第17叨
2022年高考结束了,让职场人感叹幸亏毕业早的作文题、让考生祈祷“韦神附体”的数学也都随之落下了帷幕。
作为人生中首个重要的“三岔路口”,高考承载了太多太多,以至于在那些早已远离高考十几二十年的朋友中,还能听到当年我要是多考几分就能怎样怎样的声音。
网友吐槽图片来源于网络
诚然,对于普通人而言,想要考高分是一件非常困难的事情,但是考一个相对还不错的分数,却是有迹可循。对于高考而言,基础题比例大概是80%左右,只有稳稳拿下这些分数,并在有余力的基础上攻坚高难度题目,才能考取一个理想的成绩。尤其是今年高考,陡然增加的试题难度,让紧紧抓住基础题显得更加重要。
不过即便是学霸,也不敢百分之百保证基础题一分不丢。作为考生,必须得学会识别考试过程中的一个又一个坑。
同样的道理在数据安全领域也适用。随着《数据安全法》、《个人信息保护法》等相关法律法规的出台,政企机构不得不思考如何在“数据安全大考”中,考取一个好成绩。
对此奇安信认为,面对日益严峻的数据安全形势,大量政企机构依然处在数据“裸奔”状态,只有首先解决了“裸奔”问题,才能做好后续的系统治理和持续运营。
那么,在解决数据“裸奔”的过程中,都会遇到哪些坑呢?
Part.1
第一,特权账号管理薄弱
笔作为考生书写答案的唯一工具,按照规定,考生应当使用0.5mm黑色签字笔和2B铅笔,在规定的地方规范答题。
可每年总有一些考生不当回事,有用蓝笔、红笔的,有使用非2B(如6H、6B)等或者不合格的2B铅笔的,有答题卡涂错位置的,有字写得自己都不认识的,甚至有将答案写在答题框外面的等等,这些都有可能导致机器阅卷出现异常,从而丢掉本应该得到的分数。
同样,作为通往企业数据大门的“钥匙”,在业务流程中对重要的数据进行访问或操作都需要经过特权账号,其重要性几乎等同于考试用笔。特权账号的使用人群非常复杂,包括数据采集者、数据分析师、数据生产人员、开发人员、运维人员等,覆盖数据库、中间件、网络设备、安全设备、虚拟机、服务器等。一旦特权账号使用不当或者被窃取,都会给数据安全带来非常大的隐患。
特权账号存在的最常见问题就莫过于普遍使用123456之类的弱口令了,且没有设置口令强度或者定期修改的规则,破解起来几乎不费吹灰之力。比如乌克兰武装部队的“第聂伯罗”军事自动化控制系统就使用了admin/123456的弱口令,甚至在被破解之后还不以为然。
另外一个问题就是对特权账号无感知,内部大量存在私自创建的、废弃但尚未销毁的甚至是多人共用的特权账号,一旦相关用户出现问题,都不知道从何查起。
针对这部分问题,奇安信特权账号管理系统能够主动发现各类基础设施资源的账号分布、识别账号风险(包括弱口令、僵尸账号、幽灵账号、长期未改密账号,账号违规提权等)、管理账号使用,实现对各类基础设施资源账号的全生命周期管理。
Part.2
第二,权限控制措施不力
考生在做几何题时,通常会用到做辅助线的方法。例如2022年高考数学北京卷立体几何题第一问中,考生需要证明线面平行,则通常需要在该面上引入一条辅助线,并通过证明线线平行得到线面平行的结论。
但在有些时候尤其是题目难度较大时,会引入多条辅助线,这就导致考生经常会陷入一个僵局:要是这两条边相等、这两个角相等……结论不就出来了么。在脑袋不那么清醒的情况下,考生很容易就会犯下错误,将原本假设的两边相等/两个角相等误认为已知条件,超越了题设赋予考生的“权限”,从而导致解题过程全部错误。
与之类似的是,数据的访问和使用也必须遵守一定的权限。然而,动态化、多样化的访问和接入,改变了信息化环境,极易引发权限管理不清、监督不力的情况,从而导致对访问数据的身份没有认证、对访问数据的权限没有监督以及对访问数据的行为没有审计和控制,很容易引发数据安全事故。
例如近两年比较火热的程序员跑路删库事件,无一例外都给企业造成了严重的损失。作为离职或者即将离职的员工,其访问数据的权限应当受到一定的限制,其访问数据的行为应当受到严格的管控和事后的审计,才能最大限度杜绝杜绝此类事件发生。
对此,奇安信网神运维审计系统能够实现对企事业IT中心的网络设备、数据库、安全设备、主机系统、中间件等资源统一运维管理和审计,为客户提供集中化运维管控、运维过程实时监管、运维访问合规性控制、运维过程图形化审计等功能,满足全行业运维审计规范要求。
同时,奇安信数据库审计与防护系统通过大数据分区搜索技术提供高效检索审计记录能力,快速定位事件原因,帮助用户事后生成合规报告、提供有效电子取证信息,用于数据安全事故的追根溯源,加强内外部数据库网络行为的监控与审计。
Part.3
第三,API疏于防护
作为阔别象牙塔多年却唯一没有还给老师的技能,作文可以说是每年高考期间都被热议最多的话题之一了。今年高考语文全国甲卷作文材料来源于红楼梦,就有大量网友认为作文题目真难懂,甚至有人评价说曹雪芹来了都要直呼高手。
影视剧图片来源于网络
实际上,写作文的最大坑就是审题,考生很容易搞不清楚材料中的关键点在哪,理解是否正确,一旦审题出现偏差,文章写得再好分数也不会很高。要想审题不出现偏差,就得认真从作文材料中找出关键要点,并将出题人的真正意图“调用”出来,并反馈在文章里。
在IT系统中,能够起到数据调用作用的组件叫做应用程序接口(API),它能够帮助应用程序非常方便地获取并使用第三方数据。随着数据流动性的大幅增加,API的使用几乎无处不在。
与此同时,针对API的攻击正在成为攻击者窃取数据的重要途径之一。据SaltLabs发布的《2022年第一季度API安全状况报告》显示,过去12个月,恶意API流量增加了681%,95%的组织都经历了API安全事件。例如2021年6月,黑客通过领英的API漏洞,获取到领英7亿多用户的个人数据,并在暗网公开销售;2021年12月,国内某证券公司客户信息数据,以每日1万多条的量级在数据交易平台被售卖,经证实为内部API管控疏忽导致。
究其原因,主要包括API资产不清,无法有效管理;API安全检测和安全分析能力缺失以及API安全管控、安全防护无有效方案。
面对此情形,奇安信API安全卫士具有基于自动化发现并可视化展示及管理API能力,在检测传统Web攻击同时,还可检测与预警API传输中的敏感数据,建立基于用户访问行为的用户画像或行为模型,发现API未认证访问、弱口令登录、未授权访问、异常访问行为等。
Part.4
第四,风险感知能力缺失
除了作文以外,另外一个吸引人眼球的话题就是提前交卷的考生了。但对于做题速度快的考生来说,答完题后认真检查一遍能够最大限度地避免低级错误的发生。
尤其是在数学和物理考试最后一道解答题,尽管题目难度不小,但绝大多数情况下最终结果都相对简单,数据不会太大,如果最终算出来的结果太复杂(比如根号里面套根号、小数点后面大几位甚至十几位),就要想想自己是不是算错了,或者是没有化简成最终结果。这就要求考生要有对已经发生的错误有充分的感知能力。
而在数据安全中,政企机构对于已经发生的数据泄露事件感知能力普遍偏弱。这主要由于政企机构普遍缺乏多维度的数据安全风险感知能力。即使对特权账号、访问权限、访问行为进行了监控审计,但都是单一维度,无法掌握全貌,导致风险感知不及时,甚至安全事件已经发生还不知情。主要表现为后台操作无法审计、发生事故无法溯源;访问行为缺乏记录,风险访问无法识别;海量日志无法分析,风险感知能力缺失。
IBM报告显示,2021年识别一起数据泄露事件平均需要212天,遏制一起数据泄露事件平均需要75天,总生命周期为287天,这对于降低损失是极为不利的。
对此,奇安信数据安全态势感知运营中心能够主动扫描数据资产,识别敏感数据,建立数据目录并分类分级,检查敏感数据驻留风险,建立敏感数据分布态势,通过全流量深度解析,自动梳理涉敏资产,建立敏感数据流动态势,及时发现可疑行为。
特权账号管理、堡垒机、数据库审计、API安全卫士和数据安全态势感知作为奇安信最新数据安全五件套,能够帮助政企机构在数据安全建设过程中的“补短板、防裸奔”期间,针对特权账号的全生命周期统一管理、访问的安全管控与审计、数据访问行为的审计、API接口的防护与态势感知建立的多维度监控,进行全方位的数据安全保障,避免踩到上述四大坑。
作者简介
本期叨主:魏开元
安全圈“首席编剧”,写点小故事还原网络攻防一线的明枪暗箭。
分享
收藏
立即拨打
京公网安备11000002002064号