近日,嘶吼安全產(chǎn)業(yè)研究院正式發(fā)布「數(shù)據(jù)安全細(xì)分市場(chǎng)之?dāng)?shù)據(jù)防洩漏專題報(bào)告」。觀安信息憑藉其在數(shù)據(jù)安全及數(shù)據(jù)安全專項(xiàng)領(lǐng)域強(qiáng)大的創(chuàng)新研發(fā)能力和廣泛的市場(chǎng)影響力入選數(shù)據(jù)防洩漏典型廠商名單。
數(shù)據(jù)防護(hù)安全旨在建立一個(gè)全面的安全框架,確保數(shù)據(jù)受到適當(dāng)?shù)谋Wo(hù),並減少數(shù)據(jù)遭受安全威脅的風(fēng)險(xiǎn)。通過數(shù)據(jù)防護(hù)安全的措施,企業(yè)和組織可以建立可靠的信息安全體系,提高數(shù)據(jù)管理的可信度和可靠性,保護(hù)數(shù)據(jù)的隱私性和完整性,從而為用戶和組織提供更安全的數(shù)字環(huán)境。
數(shù)據(jù)防洩漏是數(shù)據(jù)安全重要的防護(hù)手段,根據(jù)嘶吼安全產(chǎn)業(yè)研究院的界定,數(shù)據(jù)防洩漏隸屬於數(shù)據(jù)防護(hù)安全旗下,主要指通過AI、數(shù)字指紋和圖像識(shí)別等技術(shù),對(duì)各種潛在數(shù)據(jù)漏洞、外部威脅或內(nèi)部人為錯(cuò)誤進(jìn)行及時(shí)識(shí)別、監(jiān)測(cè)、管理和防範(fàn),防止企業(yè)核心數(shù)據(jù)流出洩密,實(shí)現(xiàn)對(duì)企業(yè)核心機(jī)密數(shù)據(jù)的保護(hù)和管理。數(shù)據(jù)洩漏可能導(dǎo)致嚴(yán)重的財(cái)務(wù)損失、聲譽(yù)損害和法律責(zé)任,因此保護(hù)數(shù)據(jù)免受洩漏織重要的安全目標(biāo)之一。
根據(jù)嘶吼安全產(chǎn)業(yè)研究院的數(shù)據(jù),數(shù)據(jù)防洩漏是在數(shù)據(jù)安全防護(hù)細(xì)分領(lǐng)域中參與廠商最多的一個(gè)分類,共有60家企業(yè)提供相關(guān)產(chǎn)品。數(shù)據(jù)防洩漏這個(gè)概念最早在本世紀(jì)初引入國(guó)內(nèi),並經(jīng)過了十多年的發(fā)展。目前國(guó)內(nèi)已經(jīng)湧現(xiàn)出多家相對(duì)成熟的數(shù)據(jù)防洩漏產(chǎn)品供應(yīng)商,市場(chǎng)上出現(xiàn)了各種不同類型的產(chǎn)品。這些產(chǎn)品為組織提供了多種選擇,以滿足不同需求和業(yè)務(wù)背景下的數(shù)據(jù)防洩漏需求。
數(shù)據(jù)防洩漏典型廠商-觀安信息
觀安信息聚焦數(shù)據(jù)安全、網(wǎng)絡(luò)空間安全、5G安全、人工智能安全、工業(yè)互聯(lián)網(wǎng)安全及公共安全等核心方向,為運(yùn)營(yíng)商、政府、金融、電力、公安、醫(yī)療等行業(yè)用戶提供全面的信息安全解決方案。公司核心團(tuán)隊(duì)有著20多年信息安全專業(yè)技術(shù)經(jīng)驗(yàn)、10多年大數(shù)據(jù)分析經(jīng)驗(yàn)。在國(guó)內(nèi)外網(wǎng)絡(luò)安全技術(shù)競(jìng)賽中,多次斬獲金獎(jiǎng),並多次參與國(guó)家重大活動(dòng)信息安全保障工作。
觀安信息典型案例-某金融保險(xiǎn)
?。ㄒ唬╉?xiàng)目背景
某保險(xiǎn)作為國(guó)內(nèi)保險(xiǎn)行業(yè)第一梯隊(duì)的龍頭型企業(yè),每天有數(shù)以萬計(jì)的保單交易發(fā)生。但不時(shí)存在諸如保單號(hào)、投保人/被保人信息等保單信息洩露,導(dǎo)致剛下單不久的客戶被第三方銷售電話侵?jǐn)_、保單客戶被誘導(dǎo)代理騙保等情況發(fā)生,除了給企業(yè)帶來了巨大經(jīng)濟(jì)損失外,也嚴(yán)重?fù)p害了客戶對(duì)公司的信任,影響續(xù)保率,產(chǎn)生了極為不佳的負(fù)面影響。保單洩露的風(fēng)險(xiǎn)一般發(fā)生在市場(chǎng)等相關(guān)業(yè)務(wù)人員接觸最多的前臺(tái)業(yè)務(wù)鏈上;前臺(tái)業(yè)務(wù)鏈業(yè)務(wù)繁雜,業(yè)務(wù)系統(tǒng)繁多,每天有大量不同崗位角色的人員接觸,基於保單信息的經(jīng)濟(jì)價(jià)值誘惑,非常容易滋生洩露事件發(fā)生。因此,希望在業(yè)務(wù)部門提供洩露的保單信息前提下,對(duì)洩露源頭進(jìn)行追溯排查。
?。ǘ?shù)據(jù)洩漏溯源場(chǎng)景
1.痛點(diǎn)/需求
?。?)敏感接口發(fā)現(xiàn)
(2)敏感接口風(fēng)險(xiǎn)點(diǎn)監(jiān)測(cè)
?。?)基於敏感接口訪問進(jìn)行溯源
(4)對(duì)人為數(shù)據(jù)洩漏行為進(jìn)行分析等
2.解決方案
通過業(yè)務(wù)應(yīng)用流量接入後,對(duì)接口中token信息進(jìn)行賬號(hào)提取,形成賬號(hào)/源IP訪問業(yè)務(wù)系統(tǒng)應(yīng)用接口的完整信息。經(jīng)過1-2周的運(yùn)行,系統(tǒng)通過監(jiān)測(cè)模型和溯源能力,依照5W1H,完整描繪出包含保單信息的業(yè)務(wù)接口訪問。
3.客戶價(jià)值
?。?)通過數(shù)據(jù)溯源能力,輸入洩漏的信息,通過線索自動(dòng)聚合分析,將可疑人為推舉出來,供安全人員查證分析,並形成報(bào)告;
?。?)產(chǎn)品上線後實(shí)現(xiàn)對(duì)企業(yè)80%+洩露數(shù)據(jù)的溯源查證,減少客戶投訴數(shù)量50%+,有效提升企業(yè)品牌價(jià)值、客戶續(xù)保率,有效提升企業(yè)品牌價(jià)值;
?。?)風(fēng)險(xiǎn)效果
敏感數(shù)據(jù)偽脫敏:該接口傳輸中包含了手機(jī)號(hào),前端展示採(cǎi)用了靜態(tài)JS遮蔽,存在信息洩露風(fēng)險(xiǎn)。敏感信息展示,建議採(cǎi)用數(shù)據(jù)脫敏、數(shù)據(jù)水印等技術(shù)手段。
接口存在SQL注入並獲取敏感信息:攻擊者可以通過構(gòu)造特殊URL 的手段,利用SQL 注入漏洞從數(shù)據(jù)庫(kù)中獲取敏感數(shù)據(jù)。建議對(duì)用戶輸入的數(shù)據(jù)進(jìn)行全面的安全檢查或過濾。
?。ㄈ?shù)據(jù)脫敏防洩漏場(chǎng)景
1.痛點(diǎn)/需求
核心生產(chǎn)庫(kù)的個(gè)人信息需實(shí)時(shí)同步至業(yè)務(wù)庫(kù),分發(fā)渠道範(fàn)圍擴(kuò)大,數(shù)據(jù)洩露後溯源定責(zé)難;個(gè)人信息,比如身份證、手機(jī)號(hào),經(jīng)過脫敏之後再同步出庫(kù),則對(duì)業(yè)務(wù)側(cè)使用造成影響。
2.解決方案
通過數(shù)據(jù)脫敏平臺(tái)讀取核心業(yè)務(wù)庫(kù)數(shù)據(jù);數(shù)據(jù)脫敏平臺(tái)採(cǎi)用可逆仿真脫敏算法,將個(gè)人信息(身份證、手機(jī)號(hào))脫敏後同步分發(fā)給各個(gè)業(yè)務(wù)庫(kù);業(yè)務(wù)系統(tǒng)一般展示脫敏後個(gè)人信息;當(dāng)需要聯(lián)繫客戶時(shí),將脫敏後個(gè)人信息(身份證、手機(jī)號(hào)等)、加密密鑰上傳到脫敏平臺(tái);脫敏平臺(tái)利用可逆算法,將數(shù)據(jù)還原,並返回原始數(shù)據(jù);業(yè)務(wù)系統(tǒng)將真實(shí)個(gè)人信息(脫敏前)展示給用戶。
3.客戶價(jià)值
(1)通過脫敏算法減少敏感數(shù)據(jù)暴露面;
?。?)從源頭對(duì)數(shù)據(jù)進(jìn)行脫敏處理;
?。?)用戶日常訪問的客戶信息為脫敏數(shù)據(jù),減少數(shù)據(jù)洩露防護(hù)面,解決數(shù)據(jù)分發(fā)過多的問題;
?。?)針對(duì)需要使用真實(shí)敏感數(shù)據(jù)的業(yè)務(wù)進(jìn)行重點(diǎn)審計(jì)監(jiān)控;
(5)對(duì)業(yè)務(wù)干擾較小,安全治理成本低;
?。?)有效收緊數(shù)據(jù)洩露的洩露源頭及洩露途徑,提高數(shù)據(jù)洩露的治理效果。
自創(chuàng)立以來,觀安信息一直堅(jiān)持技術(shù)創(chuàng)新,不斷追求進(jìn)步。以國(guó)家政策為導(dǎo)向,關(guān)注技術(shù)研發(fā)與產(chǎn)品創(chuàng)新,積極圍繞城市數(shù)字化轉(zhuǎn)型及數(shù)字經(jīng)濟(jì)安全發(fā)展,展開以觀安信息數(shù)據(jù)安全綜合保障體系為核心的產(chǎn)品技術(shù)框架建設(shè),以更為貼近市場(chǎng)、貼近用戶實(shí)際安全場(chǎng)景的安全保障方案,致力助推行業(yè)、企業(yè)在數(shù)字化轉(zhuǎn)型過程中安全、穩(wěn)定、有序發(fā)展。