數安行科技:數據安全左移為基于對抗的數據安全建設提供新思路
數據安全成為影響國家安全的一大變量
據悉,6月22日,西北工業大學發布《公開聲明》稱,該校遭受境外網絡攻擊。陜西省西安市公安局碑林分局隨即發布警情通報,證實在西北工業大學的信息網絡中發現了多款源于境外的木馬樣本,西安警方已對此正式立案調查。由國家計算機病毒應急處理中心和360公司聯合組成的技術團隊全程參與技術分析工作,全面還原了相關攻擊事件的總體概貌、技術特征、攻擊武器、攻擊路徑和攻擊源頭并于日前發布調查報告,判明相關攻擊活動源自美國國家安全局(NSA)特定入侵行動辦公室(TAO)。
美國借此竊取了多少信息?他們又會如何利用這些信息?CGTN記者在節目中報道,調查報告顯示已檢測到多達1100多條在西北工業大學內部滲透的攻擊鏈路,NSA先后使用了41種網絡攻擊武器來竊取這些核心技術,報告還稱,TAO的網絡攻擊規模遠大于一所大學。該部門近年來對中國進行了數萬次惡意攻擊,控制了大量網絡設備,超過140GB的高價值數據被盜,就連中國的手機用戶也受到美國的監視。
數安行CEO王文宇在接受CGTN采訪時表示,“事實上,美國建立了大量的數據中心專門用于進行無差別數據收集后的數據分析提取工作,包括敏感的商業數據、政治數據、軍事數據等,美國將其提取并放入他們的情報數據庫。網絡戰和信息戰已經成為現代戰爭的主場,在這方面,如果美國對我們的武器和制造工藝有了更深的了解,其將在未來的戰爭中對我們采取難以想象的反制措施。”
數據安全不只是合規亟需基于對抗的數據安全
案件中的西北工業大學以航空、航天和航海研究而聞名,承擔了我國大量的國防和科學研究,是典型的關鍵信息基礎設施單位,而這類目標,正是TAO的核心攻擊對象。不難想象,關基設施所掌握的數據價值對于國家安全的重要性有多高,美國政府不惜以網絡犯罪為手段,致力于謀取網絡霸權的強盜霸凌行徑,對國家安全利益造成了嚴重影響。
當我們聚焦到數據安全本身,可以發現,這已經不僅僅是單純的合規剛需,其已成為能影響國家安全的一大變量,值得引起高度警惕。不僅僅是關基設施,新時代的國家數據安全防護責任要求涉及敏感數據處理活動各個環節的企業和機構都應當承擔起相應義務,共同保障國家數據安全。
還是以該案件來看,西北工業大學在6月的聲明中就表示,他們的師生收到了帶有木馬程序的釣魚電子郵件,這些境外黑客試圖借此獲取郵件登錄信息,最終調查報告表明檢測到超過1100條在內部滲透的攻擊鏈路。數安行DSO實驗室數據安全專家分析表示,攻擊行為之所以可以在內部橫移,最終竊取走大量數據,充分說明在內部針對敏感數據的流動缺乏有效的識別和管控機制,而且基于邊界檢測攔截的安全防護策略已經明顯失效。
這也正是當前數據安全防護工作的難點所在。一方面,在內部發生的各種數據訪問、傳輸等合法的數據運營過程,會造成數據的大量復制、壓縮、格式轉換等等形態和數量上的變化,導致數據存儲混亂、暴露面大、敏感數據無梳理,內部擴散濫用風險增大。另一方面,外部攻擊竊密以網絡釣魚等手段攻破切入,盜取敏感數據外出時,也會提前進行多次的加密、隱寫變形等等惡意偽裝和掩飾處理,導致可以繞過邊界處的審計、檢測、攔截策略。
數據安全未來發展趨勢:DataSecOps是數據安全左移的必然產物
為了對抗新時代的數據安全挑戰,我們需要新的防護理念和安全架構,使數據在存儲、應用以及終端中都能保證數據被安全地存儲和使用,既要滿足合規要求又要做到真正的風險識別和可控,這需要將數據防護措施從傳統的邊界攔截延展到數據運營全流程。
參展安全左移思想在網絡安全各個領域的運用,數據安全左移將側重持續化的數據跟蹤和風險監測,不再只守著邊界,而是橫貫數據處理、使用以及流轉的所有環節,這是數字時代以數據為中心的安全發展的必然趨勢。
數安行認為,通過在DataOps中內嵌安全屬性的方式,可以實現數據安全左移的技術落地。DataSecOps是一種自動化的安全,基本思想就是在數據運營的第一現場持續地對數據處理和使用全流程進行追蹤,這樣才能監測到數據經變形處理流轉的整個過程,直面數據的多態性和多副本性,發掘數據風險的真正源頭,實現數據安全能力的延展。
DataOps關注的是數據處理的效率,DataSecOps的目標是保證數據安全地處理使用,一方面實現數據全流程的防護,一方面實現數據開發利用與數據安全的有效平衡。數安行依據該理念打造的零數據運營安全平臺重點圍繞數據識別與數據流映射、保護自動化、風險的持續監控、數據安全合規評估等四個方面進行數據安全體系建設。通過DataSecOps的防護理念,可以更全面地識別數據,更有效地保護重要數據,更早地識別風險,打破業務、IT以及數據安全團隊的溝通界限,從而整體上降低數據安全建設成本,提升數據安全建設收益。
網絡空間很大程度是物理空間的映射,網絡活動輕易跨越國境的特性使之成為持續性斗爭的先導。沒有數據安全就沒有網絡安全,沒有網絡安全就沒有國家安全,公安部近日在其新聞發布會上表示要零容忍打擊涉數據安全違法犯罪、全方位加強網絡安全監督檢查,無論是常態化的數據安全合規監管,還是原生性的數據安全防護需求,直面數字時代的數據安全嚴峻挑戰,運用與時俱進的安全理念和技術架構,發展我們在科技領域的非對稱競爭優勢,才能建立起屬于中國的、獨立自主的網絡防護和對抗能力。
