創新方案,如何更有效地預防資料洩露?
閱讀: 9
一、背景概述
現代人類世界正處於一個高速發展的資訊化時代,而資料作為資訊化時代中的核心,已經融入到了社會中的點點滴滴,手機、微信、淘寶等資訊化產物已貫穿於每個人的生活。資訊化時代引領人類世界進步的同時,資料的副作用也慢慢顯示出了它的威力。
近些年來電話詐騙、網路欺詐等事件層出不窮,不法分子利用個人隱私資訊(如電話號、身份證號、銀行卡號等)來進行詐騙,導致無數人的生命和財產安全收到損害。從國家層面上來看,國家關鍵基礎設施單位、重要部門的敏感資料一旦洩露,更會對國家安全造成嚴重影響。鑑於資料洩露的巨大危害,我國分別在2021年9月1日和2021年11月1日實施了《資料安全法》 [1] 和《個人資訊保護法》 [2] 。在我們享受資訊化時代帶來的便捷同時,資料安全也值得引起我們的重視。
下文我們首先會介紹部分資料洩露事件,隨後我們會介紹預防資料洩露的兩個創新解決方案(“原始碼暴露核查服務”和“綠盟隱私計算平臺”),最後我們會進行一個總結。
二、資料洩露事件
近些年來境外黑客對我國展開的網路攻擊不勝列舉。自2021年10月以來,一個名為AgainstTheWest(ATW)的境外黑客組織,便通過SonarQube平臺的未授權訪問漏洞對我國多家關鍵資訊基礎設施單位發起攻擊,竊取其系統的資料,並在國外黑客論壇RaidForums上進行非法售賣,更多詳情請見:
http://mp.weixin.qq.com/s/LDZQZF-nMCvPFZc6DqRuQw
2022年1月20日,該組織又發起了更大規模的攻擊,這次ATW利用了Gitlblit自建程式碼倉庫中的未授權訪問漏洞竊取了我國多家重要單位系統的資料,並在同樣的論壇RaidForums上進行了非法售賣,更多詳情請見: http://blog.nsfocus.net/gitblit-snoarqube/。
圖1 ATW黑客組織在RaidForums地下論壇進行非法售賣
三、原始碼暴露核查服務
儘管許多企業和機構非常重視資料安全,也購買了諸多資料安全相關的產品,但是上述資料洩露事件還是屢見不鮮。對此,綠盟科技創新研究院進行了大量的研究,我們發現上述重大資料洩露案例都與原始碼洩露相關,一個系統的原始碼往往會由多個開發人員進行編寫,而個別開發人員可能因安全意識不強,將程式碼放置在了暴露的網路環境,從而造成了原始碼洩露。
基於我們深厚的雲上風險研究積累,綠盟科技推出了 原始碼暴露核查服務。 通過該服務 , 我們可以深度發現網際網路上與企業和機構自身相關的暴露程式碼倉庫,綠盟科技也是 行業首個 針對非開源資產程式碼倉庫(如:Gitblit、Gogs、Gitea)提供暴露核查服務的廠商。
截至目前,我們已經發現了我國多個重要單位相關係統暴露的原始碼倉庫,目前已幫助其中約100家單位進行了處理,部分示例如下:
圖2 某銀行預售款監控系統
圖3 某重要部門黨史系統
圖4 某地水利系統
圖5 某醫院管理系統
圖6 某地鐵系統
在我們研究的同時,我們發現此類程式碼倉庫暴露事件 90%以上 屬於外包供應鏈暴露模式(甲方單位將專案外包給專門開發某系統的公司,外包公司因為安全意識不強將程式碼放在有未授權訪問漏洞的倉庫之中進行管理),關係如圖7所示。
圖7 系統程式碼暴露關係圖
由於外包關係,相關單位更難發現自身相關係統的原始碼是否暴露,因此進行程式碼暴露核查顯得更為關鍵。
圖8 綠盟科技原始碼暴露核查服務功能點
四、 綠盟 隱私計算平臺
原始碼暴露核查服務可以幫助使用者發現與自身相關的暴露原始碼,從而核查資料相關資訊是否有暴露,但是如果希望更徹底地降低資料暴露面,這時候便需要一個新興的技術——隱私計算。
隱私計算是指在提供隱私保護的前提下,實現資料價值的挖掘。藉助隱私計算技術,我們可以保證重要資料不出本地,同時我們也可以利用這部分資料完成對應的機器學習和多方安全計算等任務。 有了隱私計算, 在不影響資料使用的同時, 資料的暴露風險面會大大減少,資料安全也會得到一個質的飛躍。
憑藉著多年資料安全研究的積累,綠盟科技創新研究院推出了 綠盟 隱私計算平臺 。綠盟隱私計算平臺為客戶提供“資料可用不可見”的資料價值共享和流動,基於同態加密和密碼學底層協議,實現“原始資料不出庫,模型和結果多跑路”效果。該平臺目前支援聯邦學習、安全多方計算和機密計算(TEE)三種主要的隱私計算能力,並擁有功能全、實施易、成本低、安全高等優勢,平臺示例見圖9。
圖9 綠盟隱私計算平臺
五、總結
隨著全球資訊化時代的推進,資料便得越來越重要、資料安全也得到了越來越多人的關注。儘管許多單位在資料安全方面花了大量的資金,但是依舊沒有躲過黑客的入侵與破壞。綠盟科技創新研究院結合前沿創新研究,推出了“原始碼暴露核查服務”和“綠盟隱私計算平臺”兩種新型解決方案。從理論研究和多個重要單位的實踐來看,我們認為這兩個創新解決方案可以更有效地預防資料的洩露,真正地降低實際案例下資料洩露的風險。如需進一步瞭解、諮詢或試用,歡迎各位後臺留言與我們取得聯絡。
參考文獻
- http://www.npc.gov.cn/npc/c30834/202106/7c9af12f51334a73b56d7938f99a788a.shtml
- http://www.npc.gov.cn/npc/c30834/202108/a8c4e3672c74491a80b53a172bb753fe.shtml
版權宣告
本站“技術部落格”所有內容的版權持有者為綠盟科技集團股份有限公司(“綠盟科技”)。作為分享技術資訊的平臺,綠盟科技期待與廣大使用者互動交流,並歡迎在標明出處(綠盟科技-技術部落格)及網址的情形下,全文轉發。
上述情形之外的任何使用形式,均需提前向綠盟科技(010-68438880-5462)申請版權授權。如擅自使用,綠盟科技保留追責權利。同時,如因擅自使用部落格內容引發法律糾紛,由使用者自行承擔全部法律責任,與綠盟科技無關。
- 安全多方計算(5):隱私集合求交方案彙總分析
- 2022年網路空間安全事件簡析
- 區塊鏈密碼基礎之簽名演算法(二)
- 省省省,簽名也去重:帶有去重功能的雲資料完整性審計
- 5G安全:5G-AKA連結攻擊及對策
- 告警全量分診思路分析
- 區塊鏈密碼基礎之簽名演算法(一)
- 融合與共生:區塊鏈之智慧合約
- 淺談雲原生BAS
- 全球IPv4 AS拓撲測繪初探
- Linux提權手法實戰
- 網路空間測繪——MQTT服務篇
- TTD除錯進階之ttd-bindings
- Linux核心跟蹤:ftrace hook入門手冊(下)
- 創新方案,如何更有效地預防資料洩露?
- 洞見RSA2022 | The Rise of API Security
- 除錯services.exe程序
- 超大規模的物聯網僵屍網路:Pink
- RSA 2021創新沙盒 | Apiiro公司緣何一舉奪魁?
- 【格物實驗室】製造業常見攻擊型別介紹