快捷搜索:  汽车  科技
当前位置: 爱玩科技 > 科技 > 正文

怎样防止第三方数据泄露(如何更有效地预防数据泄露)

威哥 766

怎样防止第三方数据泄露(如何更有效地预防数据泄露)近年来,信息安全事件频发,数据泄露事件屡见不鲜。对此,绿盟科技创新研究院进行了大量的研究,发现上述重大数据泄露案例都与源代码泄露相关,一个系统的源代码往往会由多个开发人员进行编写,而个别开发人员可能因安全意识不强,将代码放置在了暴露的网络环境,从而造成了源代码泄露。源代码暴露核查服务近些年来境外黑客对我国展开的网络攻击不胜枚举。自2021年10月以来,一个名为AgainstTheWest(ATW)的境外黑客组织,便通过SonarQube平台的未授权访问漏洞对我国多家关键信息基础设施单位发起攻击,窃取其系统的数据,并在国外黑客论坛RaidForums上进行非法售卖。2022年1月20日,该组织又发起了更大规模的攻击,这次ATW利用了Gitlblit自建代码仓库中的未授权访问漏洞窃取了我国多家重要单位系统的数据,并在同样的论坛RaidForums上进行了非法售卖,更多详情请见:http://b

信息化时代引领人类世界进步的同时,数据的副作用也慢慢显示出了它的威力。

近些年来电话诈骗、网络欺诈等事件层出不穷,不法分子利用个人隐私信息(如电话号、身份证号、银行卡号等)来进行诈骗,导致无数人的生命和财产安全受到损害。从国家层面上来看,国家关键基础设施单位、重要部门的敏感数据一旦泄露,更会对国家安全造成严重影响。鉴于数据泄露的巨大危害,我国分别在2021年9月1日和2021年11月1日实施了《数据安全法》[1] 和《个人信息保护法》[2]。在我们享受信息化时代带来的便捷同时,数据安全也值得引起我们的重视。

下文我们首先会介绍部分数据泄露事件,随后对预防数据泄露的两个创新解决方案(“私有源代码暴露核查服务”和“数安湖”隐私计算平台)进行介绍,最后对其进行总结。

数据泄露事件

近些年来境外黑客对我国展开的网络攻击不胜枚举。自2021年10月以来,一个名为AgainstTheWest(ATW)的境外黑客组织,便通过SonarQube平台的未授权访问漏洞对我国多家关键信息基础设施单位发起攻击,窃取其系统的数据,并在国外黑客论坛RaidForums上进行非法售卖。

2022年1月20日,该组织又发起了更大规模的攻击,这次ATW利用了Gitlblit自建代码仓库中的未授权访问漏洞窃取了我国多家重要单位系统的数据,并在同样的论坛RaidForums上进行了非法售卖,更多详情请见:

http://blog.nsfocus.net/gitblit-snoarqube/

源代码暴露核查服务

近年来,信息安全事件频发,数据泄露事件屡见不鲜。对此,绿盟科技创新研究院进行了大量的研究,发现上述重大数据泄露案例都与源代码泄露相关,一个系统的源代码往往会由多个开发人员进行编写,而个别开发人员可能因安全意识不强,将代码放置在了暴露的网络环境,从而造成了源代码泄露。

基于我们深厚的云上风险研究积累,绿盟科技推出了源代码暴露核查服务。通过该服务,我们可以深度发现互联网上与企业和机构自身相关的暴露代码仓库,绿盟科技也是行业首个针对非开源资产代码仓库(如:Gitblit、Gogs、Gitea)提供暴露核查服务的厂商。

截至目前,我们已经发现了我国多个重要单位相关系统暴露的源代码仓库,目前已帮助多家单位进行了处理,部分示例如下:

怎样防止第三方数据泄露(如何更有效地预防数据泄露)(1)

图1 某银行预售款监控系统

怎样防止第三方数据泄露(如何更有效地预防数据泄露)(2)

图2 某地水利系统

怎样防止第三方数据泄露(如何更有效地预防数据泄露)(3)

图3 某医院管理系统

怎样防止第三方数据泄露(如何更有效地预防数据泄露)(4)

图4 某地铁系统

在我们研究的同时,我们发现此类代码仓库暴露事件90%以上属于外包供应链暴露模式(甲方单位将项目外包给专门开发某系统的公司,外包公司因为安全意识不强将代码放在有未授权访问漏洞的仓库之中进行管理),关系如图5所示。

怎样防止第三方数据泄露(如何更有效地预防数据泄露)(5)

图5 系统代码暴露关系图

由于外包关系,相关单位更难发现自身相关系统的源代码是否暴露,因此进行代码暴露核查显得更为关键。

怎样防止第三方数据泄露(如何更有效地预防数据泄露)(6)

图6 私有源代码核查服务的优势

“数安湖”隐私计算平台

源代码暴露核查服务可以帮助用户发现与自身相关的暴露源代码,从而核查数据相关信息是否有暴露,但是如果希望更彻底地降低数据暴露面,这时候便需要一个新兴的技术——隐私计算。

隐私计算是指在提供隐私保护的前提下,实现数据价值的挖掘。借助隐私计算技术,我们可以保证重要数据不出本地,同时我们也可以利用这部分数据完成对应的机器学习和多方安全计算等任务。有了隐私计算,在不影响数据使用的同时,数据的暴露风险面会大大减少,数据安全也会得到一个质的飞跃。

凭借多年数据安全研究的积累,绿盟科技和海光信息联合发布了“数安湖”隐私计算平台。该平台为客户提供“数据可用不可见”的数据价值共享和流动,基于同态加密和密码学底层协议,实现“原始数据不出库,模型和结果多跑路”效果。该平台目前支持联邦学习、安全多方计算和机密计算(TEE)三种主要的隐私计算能力,并拥有功能全、实施易、成本低、安全高等优势。

随着全球信息化时代的推进,数据变得越来越重要、数据安全也得到了越来越多人的关注。绿盟科技创新研究院结合前沿创新研究,推出“私有源代码暴露核查服务”和“数安湖”隐私计算平台两种新型解决方案。从理论研究和多个重要单位的实践来看,这两个创新解决方案可以更有效地预防数据的泄露,真正地降低实际案例下数据泄露的风险。

参考链接

[1]http://www.npc.gov.cn/npc/c30834/202106/7c9af12f51334a73b56d7938f99a788a.shtml

[2]http://www.npc.gov.cn/npc/c30834/202108/a8c4e3672c74491a80b53a172bb753fe.shtml


网站首页

返回栏目

猜您喜欢:

相关文章