数据泄露事件频发,企业该如何应对应用数据安全问题?
source link: http://www.ciotimes.com/IT/206280.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
数据泄露事件频发,企业该如何应对应用数据安全问题?
2021-11-22 14:33:22 来源:
关键词: 数据
2020 年3 月,万豪国际酒店约有520 万名酒店客人的信息被泄露,泄露资料包括客人的联系方式、地址、出生日期等。
2020 年4 月,视频会议软件Zoom因存在严重的隐私安全漏洞,造成了至少15000 名用户视频记录被公开在网上,超过50 万Zoom账户在交易网站上被低价出售,其中包括邮箱、密码以及个人会议链接和密钥。
2021 年4 月,Facebook再次被爆出5.33 亿用户的个人数据被泄露,包括用户的个人信息,如电话号码、Facebook ID、地点、出生日期、电子邮件地址以及一些生物信息。
相比媒体的报道,安全监测机构发布的数据更是让人触目惊心。据Canalys报告显示,2020 年全球数据出现爆炸式增长,12 个月内泄露的记录比过去15 年的总和还多。数据泄露不仅带来了严重的安全问题,还给企业造成了巨大的损失。据IBM Security研究报告显示,在2021 年,统计的企业平均每起数据泄露事件成本为424 万美元,是自2004 年来的最高值。
互联网应用逐步深入 加剧企业数据泄露风险
企业数据泄露风险加剧,很大程度来源于企业互联网化进程的不断深入,越来越多的业务被迁移到互联网上,大量的应用数据被产生、传输、公开、共享。与此同时,新一代应用通过Web、H5、App、API、微信和小程序等多种业务渠道接入,导致应用敞口风险和链条管控难度加大,加之各类变化多端的撞库攻击、暴力破解、爬虫攻击,使得企业面临越来越严峻的数据安全风险。
与此同时,近几年国家对网络安全的立法工作在逐步加速,一系列法律法规、政策条例陆续出台,从2016 年11 月《网络安全法》的颁布,到2021 年6 月《数据安全法》的颁布,再到同年11 月《个人信息保护法》的正式实施,标志着数据安全已经上升到国家战略的高度,企业对于数据保护的安全建设需求也将提升到一个全新的层次。
值得注意的是,《数据安全法》确立了对于数据的安全与发展的宗旨,并明确提出了两个较新的数据处理环节 ⸺“提供”“公开”,这是企业数字化深化过程中出现频率越来越多的使用和处理环节,也是近年来数据泄露风险最常发生的环节。结合威瑞森《2021 年数据泄露调查报告》的数据可以看到,80%的数据泄露来自外部,这正是应用数据安全治理的核心。
解决数据在应用中的风险 瑞数信息推出“应用数据安全解决方案”
针对一系列新的应用数据安全风险,瑞数信息推出了“应用数据安全主动防御解决方案”,重点解决数据处理中“传输”“提供”“公开”环节的数据安全问题,保障应用数据传输安全,防止API敏感数据泄露、实现对应用身份信息防护、恶意爬虫防护。
作为中国动态安全技术的创新者和Bots自动化攻击防护领域的专业厂商,瑞数信息以创新的“人机识别”技术+“动态混淆”技术为基础,结合行为分析技术,提供全业务渠道应用数据安全主动防御能力,轻松识别各种Bots的应用数据安全攻击,如:撞库、爬虫等;提供API敏感数据的管控能力,自动识别API敏感接口、检测API敏感数据,对异常批量获取敏感数据的行为进行脱敏和拦截,保障应用数据访问传输安全,具体而言:
全业务接入渠道
瑞数应用数据安全主动防御解决方案覆盖所有的应用接入渠道,包括 Web、H5、APP、API、微信、小程序等业务接入渠道,实现全业务渠道应用数据安全防护;通过用户账号等唯一标识和全访问记录,将各业务接入渠道的数据访问进行融合,实现用户访问数据追踪和透视。
数据传输保护
瑞数应用数据安全主动防御解决方案通过动态混淆技术,实现对应用代码、Cookie混淆;有效防止攻击者分析应用代码,盗用Cookie获取身份信息,提高攻击门槛;同时,对数据传输进行动态混淆,防止攻击者拦截数据传输报文发起中间人攻击,有效保证数据传输的保密性和完整性,覆盖数据处理的传输、提供、公开环节。
身份信息防护
瑞数应用数据安全主动防御解决方案,通过“人机识别”技术和内置的各种业务威胁模型,透视撞库和暴力破解行为,实时拦截攻击行为,防止由于账号泄露造成的进一步数据泄露。
爬虫攻击防护
瑞数应用数据安全主动防御解决方案,通过人机识别和可编程对抗技术实现对各种自动化工具的识别,提供实时和深入的Bots 攻击抵御,有效防止爬虫攻击,守住应用数据安全风险的入口。
API敏感数据管控
近期大规模数据泄露事件都和API接口有关,API接口的敏感数据管控成为各企业数据安全建设重点。瑞数应用数据安全主动防御解决方案,通过API敏感接口自动识别、敏感数据和攻击检测、访问行为分析和异常处置,实现API敏感数据泄露防护。通过API资产自动发现和建立数据访问API的安全基线,对可能造成批量数据泄漏的API滥用、API异常数据获取等行为进行数据安全风险识别和管控,解决供应链交互数据安全问题。
总体来说,瑞数信息“应用数据安全主动防御解决方案”实现了涵盖Web、H5、APP、API、微信、小程序等全渠道的应用数据安全防护,其核心在于瑞数信息独创的“动态安全”技术,完全颠覆了传统安全依赖攻击特征与策略规则的被动式防御技术,可对已知和未知的自动化攻击,各种利用自动化工具发起的恶意行为做到更及时、更高效地拦截。
结合“动态安全”与“AI人工智能”两大核心技术的协同效力,瑞数信息“应用数据安全主动防御解决方案”让企业能够构建起Web、App和API等应用的主动防御体系,将安全能力提升至可持续安全对抗的新台阶,从而高效应对应用数据安全风险。
第三十四届CIO班招生北达软EXIN网络空间与IT安全基础认证培训
北达软EXIN DevOps Professional认证培训
免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK