近日，閃捷信息安全與戰(zhàn)略研究中心重磅發(fā)布《2021年度數(shù)據(jù)泄漏態(tài)勢分析報告》(以下簡稱“《報告》”)，《報告》通過統(tǒng)計分析2021年國內(nèi)所發(fā)生的數(shù)據(jù)泄漏事件，結(jié)合全球數(shù)據(jù)泄漏事件的趨勢，從數(shù)據(jù)泄漏事件、時間、人員、動機、數(shù)據(jù)源以及個人信息泄漏態(tài)勢進行總結(jié)分析，多維度呈現(xiàn)2021年國內(nèi)數(shù)據(jù)泄漏的態(tài)勢全景，并提供2022年數(shù)據(jù)泄漏的研判預測。

2021數(shù)據(jù)泄漏態(tài)勢分析概況

數(shù)據(jù)泄漏：

2021年數(shù)據(jù)泄漏事件呈現(xiàn)不斷增長的宏觀態(tài)勢，尤其在2021年下半年，數(shù)據(jù)泄漏事件發(fā)生的頻率較高，這與《數(shù)據(jù)安全法》《個人信息保護法》在這期間相繼出臺有一定的關(guān)系，數(shù)據(jù)安全相關(guān)法律法規(guī)將數(shù)據(jù)的安全級別做出清晰劃分，前期沒有意識到的情景也納入了數(shù)據(jù)泄漏范疇。

與2020年相比，2021年數(shù)據(jù)泄漏所占比例進一步上升，占所有數(shù)據(jù)安全事件類型的80%，其中以獲利為目的的數(shù)據(jù)泄漏事件占比最高，同為80%，可見造成數(shù)據(jù)泄漏，仍然是利益驅(qū)動。

從數(shù)據(jù)的全生命周期階段分析數(shù)據(jù)泄漏發(fā)現(xiàn)，2021年數(shù)據(jù)泄漏發(fā)生在存儲階段的占比最高，接近40%，其次是數(shù)據(jù)使用階段，占比接近30%，都屬于數(shù)據(jù)泄漏的高風險階段和數(shù)據(jù)安全防御的重點階段，應給予重視。

個人信息泄漏：

通過對各大行業(yè)的個人信息泄漏態(tài)勢調(diào)查分析發(fā)現(xiàn)，個人信息泄漏最嚴重的是互聯(lián)網(wǎng)行業(yè)，占比為27%，互聯(lián)網(wǎng)行業(yè)數(shù)據(jù)安全建設實質(zhì)性投入少，成為個人信息泄漏的重災區(qū)。另外，個人信息的泄漏，還會通過地下市場流向黑灰產(chǎn)業(yè)，對社會造成二次危害。

本報告將泄漏的個人信息進行危險等級評估，分為低等危害、中等危害、高等危害和嚴重危害，這樣的分類分級有助于組織機構(gòu)根據(jù)評估等級選擇不同級別的響應措施。

分析總結(jié)：

風險監(jiān)測能力不足：目前大多數(shù)組織機構(gòu)對數(shù)據(jù)泄漏事件的風險監(jiān)測能力不足，未能在發(fā)生數(shù)據(jù)泄漏事件時，及時采取應急措施減少損失。

數(shù)據(jù)云端化趨勢：業(yè)務上云這樣的新型IT架構(gòu)讓很多組織機構(gòu)不能及時了解其安全風險，數(shù)據(jù)存放在傳統(tǒng)的網(wǎng)絡安全邊界之外，責任邊界、安全風險對組織機構(gòu)來說都模糊不清。

雙重勒索常態(tài)化：數(shù)據(jù)泄漏事件同時伴隨勒索攻擊行為，發(fā)生勒索攻擊+數(shù)據(jù)泄漏事件占比正逐年遞增，攻擊者以公開敏感數(shù)據(jù)為要挾，比以加密的數(shù)據(jù)為籌碼更具殺傷力。

數(shù)據(jù)安全能力需要體系化建設：數(shù)據(jù)安全風險存在于數(shù)據(jù)全生命周期中，任何一個環(huán)節(jié)的漏洞將會導致整個數(shù)據(jù)安全防護體系功虧一簣，若僅依賴若干孤立產(chǎn)品進行安全防護，已不能應對當前復雜的數(shù)據(jù)泄漏場景。

降低數(shù)據(jù)安全風險的建議

加強全流程數(shù)據(jù)安全風險監(jiān)控：盡早發(fā)現(xiàn)數(shù)據(jù)安全風險并進行處置，是減少安全事件，降低損失的最佳辦法。對數(shù)據(jù)安全的風險監(jiān)控應重點從安全措施稽核、操作行為監(jiān)測、系統(tǒng)漏洞監(jiān)測三個維度考慮，對監(jiān)測數(shù)據(jù)分類分級，進行風險評估和處置。

加強企業(yè)云上數(shù)據(jù)防護：沒有實施保護措施而將數(shù)據(jù)上云，幾乎等同于直接把數(shù)據(jù)公開。建議數(shù)據(jù)上云的企業(yè)對上云的數(shù)據(jù)進行分類分級、對業(yè)務數(shù)據(jù)進行梳理，明確數(shù)據(jù)使用場景，同時提升員工的數(shù)據(jù)安全保護意識。

數(shù)據(jù)防泄漏與數(shù)據(jù)防勒索并重：傳統(tǒng)的數(shù)據(jù)防勒索方案無法發(fā)現(xiàn)數(shù)據(jù)泄漏行為，更完善的防勒索方案除了防止數(shù)據(jù)被加密、不可用，還需要能夠識別并防范數(shù)據(jù)泄漏行為，真正杜絕被勒索。

對數(shù)據(jù)進行分類分級保護：數(shù)據(jù)分級分類是建設合理數(shù)據(jù)安全體系的前提基礎，對數(shù)據(jù)分類分級能夠正確地評估數(shù)據(jù)所面臨的風險，制訂差異化的防護策略。

回顧2021年發(fā)生的多起數(shù)據(jù)泄漏事件，不論是從數(shù)據(jù)泄漏的規(guī)模、數(shù)量、影響程度，都呈現(xiàn)擴張的趨勢，數(shù)據(jù)泄漏場景愈加復雜多變，閃捷信息安全與戰(zhàn)略研究中心建議，組織機構(gòu)應密切關(guān)注數(shù)據(jù)安全局勢，不斷排查數(shù)據(jù)安全隱患，做好整體數(shù)據(jù)安全規(guī)劃，防患于未然。

《2021年度數(shù)據(jù)泄漏態(tài)勢分析報告》下載方式：可關(guān)注“閃捷信息”微信公眾號，后臺回復“下載”。

免責聲明：市場有風險，選擇需謹慎!此文僅供參考，不作買賣依據(jù)。

關(guān)鍵詞：