40%的SaaS數(shù)據(jù)無管理�����,存在重大安全隱患
來源:GDCA數(shù)安時代
發(fā)布時間:2021-09-30瀏覽:2794次
泰國的風(fēng)景名勝世界聞名�,除其他國家外���,每年還有大批國內(nèi)游客前往���。就2019年就有4000萬游客去了泰國旅游����。近日,網(wǎng)絡(luò)安全研究專家鮑勃·迪亞琴科(BobDiachenko)發(fā)現(xiàn)他的個人數(shù)據(jù)在線存儲在未受保護(hù)的Elasticsearch數(shù)據(jù)庫中����,該數(shù)據(jù)庫大小為200GB,包含超過1.06億泰國游客的個人詳細(xì)信息。這是在十年內(nèi)去過泰國的任何外國人都可能在本次事件中暴露了他們的信息��。甚至確認(rèn)數(shù)據(jù)庫中還包含他自己的個人信息��。調(diào)查結(jié)果顯示��,暴露的游客信息包括:姓名、性別、居留身份、護(hù)照號碼�����、簽證信息���、抵達(dá)日期��、泰國入境卡號碼...
泰國的風(fēng)景名勝世界聞名���,除其他國家外�����,每年還有大批國內(nèi)游客前往���。就2019年就有4000萬游客去了泰國旅游����。
近日���,網(wǎng)絡(luò)安全研究專家鮑勃·迪亞琴科(Bob Diachenko)發(fā)現(xiàn)他的個人數(shù)據(jù)在線存儲在未受保護(hù)的Elasticsearch數(shù)據(jù)庫中���,該數(shù)據(jù)庫大小為200GB����,包含超過1.06億泰國游客的個人詳細(xì)信息���。這是在十年內(nèi)去過泰國的任何外國人都可能在本次事件中暴露了他們的信息�。甚至確認(rèn)數(shù)據(jù)庫中還包含他自己的個人信息。
調(diào)查結(jié)果顯示,暴露的游客信息包括:姓名、性別��、居留身份���、護(hù)照號碼��、簽證信息�����、抵達(dá)日期、泰國入境卡號碼���。
2021年8月22日,迪亞琴科發(fā)現(xiàn)了未受保護(hù)的數(shù)據(jù)��,并根據(jù)負(fù)責(zé)任的披露政策立即采取措施和提醒所有者���。2021年8月23日�����,泰國方面采取了相關(guān)保護(hù)措施���,對數(shù)據(jù)實(shí)施了保護(hù)����。
我們要知道��,雖然泰國方面采取了保護(hù),但無法確定泄露的信息在被發(fā)現(xiàn)之前暴露的程度和時間����,這些未加保護(hù)的敏感數(shù)據(jù)會被無限利用����,或給近十年去過泰國的游客帶來長期且不可預(yù)計的威脅����。
這就是數(shù)據(jù)泄露的后果。數(shù)據(jù)保護(hù)不能等到泄露后再采取補(bǔ)救�,因?yàn)?��,?shù)據(jù)一旦泄露就會失控��,影響巨大且不可估量,任何明文數(shù)據(jù)都可被無限制利用��,而具有保護(hù)措施的密文數(shù)據(jù)對黑客來說則無計可施����,所以敏感數(shù)據(jù)一定要進(jìn)行加密處理。
政企應(yīng)在數(shù)據(jù)泄露事發(fā)前��,就要提前做好預(yù)防措施��。因?yàn)槲覀儾荒茴A(yù)測企業(yè)泄露的時間���,以及通過何種方式泄露的�,所以,防護(hù)措施應(yīng)在發(fā)生事發(fā)之前�,提前部署���。
企業(yè)應(yīng)該加強(qiáng)哪些防護(hù)措施呢����?
1.傳輸加密:保證郵件發(fā)送者身份真實(shí)性����,確保電子郵件內(nèi)容的完整性
郵件用戶使用GDCA郵件證書對電子郵件進(jìn)行數(shù)字簽名并加密傳輸�,一方面可以保證郵件發(fā)送者身份真實(shí)性,另一方面保障了郵件傳輸過程中不被他人閱讀及篡改����,并由郵件接收者進(jìn)行驗(yàn)證�,確保電子郵件內(nèi)容的完整性�����。
2.數(shù)據(jù)加密:對交換數(shù)據(jù)進(jìn)行加密�����,避免他人窺視。
當(dāng)下企業(yè)核心資料越來越成為競爭主體的情況下���,對企業(yè)核心數(shù)據(jù)進(jìn)行加密顯得尤為重要。
3.數(shù)據(jù)完整:保證數(shù)據(jù)交換的完整性�����。
數(shù)據(jù)加密傳輸��,第三方無法通過技術(shù)等工具篡改已受保護(hù)的信息數(shù)據(jù)�����,確保數(shù)據(jù)準(zhǔn)確和完整,避免欺詐����、釣魚等事件的發(fā)生。
4.權(quán)限管控:有效管控內(nèi)部數(shù)據(jù),不外泄����。
內(nèi)部泄密是企業(yè)數(shù)據(jù)泄露的根源之一����,內(nèi)部員工可能有意或無意的不當(dāng)行為�,是造成數(shù)據(jù)泄露的關(guān)鍵原因。
數(shù)據(jù)保護(hù)�,不僅是對自身核心價值的維護(hù)���,更是對客戶和用戶的責(zé)任����。
以電子郵件為例���,企業(yè)郵件包含:客戶信息����、財務(wù)數(shù)據(jù)、公民個人數(shù)據(jù)、商業(yè)核心機(jī)密���、科研技術(shù)、甚至于國家機(jī)密,這些涉密數(shù)據(jù)很容易因系統(tǒng)漏洞或管理不當(dāng)而發(fā)生泄露��。
企業(yè)應(yīng)該了解電子郵件安全威脅并教育用戶理解這些威脅的性質(zhì)�,這可可幫助企業(yè)抵御日益具有干擾性和破壞性的網(wǎng)絡(luò)攻擊。電子郵件安全的重要方面是,雖然攻擊者采用不同類型的策略來利用電子郵件����,但攻擊者利用電子郵件漏洞的動機(jī)與任何類型的網(wǎng)絡(luò)攻擊大致相同:竊取資金或中斷目標(biāo)企業(yè)的運(yùn)營��。
數(shù)據(jù)加密可以阻斷黑客攻擊���,卻不能防控內(nèi)部的人為擴(kuò)散,這也是企業(yè)在日常管理中���, 最容易被忽視的一環(huán)。
在線咨詢
電話咨詢
二維碼
