近日，閃捷信息安全與戰(zhàn)略研究中心重磅發(fā)布《2021年度數(shù)據(jù)泄漏態(tài)勢分析報(bào)告》(以下簡稱“《報(bào)告》”)，《報(bào)告》通過統(tǒng)計(jì)分析2021年國內(nèi)所發(fā)生的數(shù)據(jù)泄漏事件，結(jié)合全球數(shù)據(jù)泄漏事件的趨勢，從數(shù)據(jù)泄漏事件、時(shí)間、人員、動(dòng)機(jī)、數(shù)據(jù)源以及個(gè)人信息泄漏態(tài)勢進(jìn)行總結(jié)分析，多維度呈現(xiàn)2021年國內(nèi)數(shù)據(jù)泄漏的態(tài)勢全景，并提供2022年數(shù)據(jù)泄漏的研判預(yù)測。

2021數(shù)據(jù)泄漏態(tài)勢分析概況

數(shù)據(jù)泄漏：

2021年數(shù)據(jù)泄漏事件呈現(xiàn)不斷增長的宏觀態(tài)勢，尤其在2021年下半年，數(shù)據(jù)泄漏事件發(fā)生的頻率較高，這與《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》在這期間相繼出臺有一定的關(guān)系，數(shù)據(jù)安全相關(guān)法律法規(guī)將數(shù)據(jù)的安全級別做出清晰劃分，前期沒有意識到的情景也納入了數(shù)據(jù)泄漏范疇。

與2020年相比，2021年數(shù)據(jù)泄漏所占比例進(jìn)一步上升，占所有數(shù)據(jù)安全事件類型的80%，其中以獲利為目的的數(shù)據(jù)泄漏事件占比最高，同為80%，可見造成數(shù)據(jù)泄漏，仍然是利益驅(qū)動(dòng)。

從數(shù)據(jù)的全生命周期階段分析數(shù)據(jù)泄漏發(fā)現(xiàn)，2021年數(shù)據(jù)泄漏發(fā)生在存儲階段的占比最高，接近40%，其次是數(shù)據(jù)使用階段，占比接近30%，都屬于數(shù)據(jù)泄漏的高風(fēng)險(xiǎn)階段和數(shù)據(jù)安全防御的重點(diǎn)階段，應(yīng)給予重視。

個(gè)人信息泄漏：

通過對各大行業(yè)的個(gè)人信息泄漏態(tài)勢調(diào)查分析發(fā)現(xiàn)，個(gè)人信息泄漏最嚴(yán)重的是互聯(lián)網(wǎng)行業(yè)，占比為27%，互聯(lián)網(wǎng)行業(yè)數(shù)據(jù)安全建設(shè)實(shí)質(zhì)性投入少，成為個(gè)人信息泄漏的重災(zāi)區(qū)。另外，個(gè)人信息的泄漏，還會(huì)通過地下市場流向黑灰產(chǎn)業(yè)，對社會(huì)造成二次危害。

本報(bào)告將泄漏的個(gè)人信息進(jìn)行危險(xiǎn)等級評估，分為低等危害、中等危害、高等危害和嚴(yán)重危害，這樣的分類分級有助于組織機(jī)構(gòu)根據(jù)評估等級選擇不同級別的響應(yīng)措施。

分析總結(jié)：

風(fēng)險(xiǎn)監(jiān)測能力不足：目前大多數(shù)組織機(jī)構(gòu)對數(shù)據(jù)泄漏事件的風(fēng)險(xiǎn)監(jiān)測能力不足，未能在發(fā)生數(shù)據(jù)泄漏事件時(shí)，及時(shí)采取應(yīng)急措施減少損失。

數(shù)據(jù)云端化趨勢：業(yè)務(wù)上云這樣的新型IT架構(gòu)讓很多組織機(jī)構(gòu)不能及時(shí)了解其安全風(fēng)險(xiǎn)，數(shù)據(jù)存放在傳統(tǒng)的網(wǎng)絡(luò)安全邊界之外，責(zé)任邊界、安全風(fēng)險(xiǎn)對組織機(jī)構(gòu)來說都模糊不清。

雙重勒索常態(tài)化：數(shù)據(jù)泄漏事件同時(shí)伴隨勒索攻擊行為，發(fā)生勒索攻擊+數(shù)據(jù)泄漏事件占比正逐年遞增，攻擊者以公開敏感數(shù)據(jù)為要挾，比以加密的數(shù)據(jù)為籌碼更具殺傷力。

數(shù)據(jù)安全能力需要體系化建設(shè)：數(shù)據(jù)安全風(fēng)險(xiǎn)存在于數(shù)據(jù)全生命周期中，任何一個(gè)環(huán)節(jié)的漏洞將會(huì)導(dǎo)致整個(gè)數(shù)據(jù)安全防護(hù)體系功虧一簣，若僅依賴若干孤立產(chǎn)品進(jìn)行安全防護(hù)，已不能應(yīng)對當(dāng)前復(fù)雜的數(shù)據(jù)泄漏場景。

降低數(shù)據(jù)安全風(fēng)險(xiǎn)的建議

加強(qiáng)全流程數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)控：盡早發(fā)現(xiàn)數(shù)據(jù)安全風(fēng)險(xiǎn)并進(jìn)行處置，是減少安全事件，降低損失的最佳辦法。對數(shù)據(jù)安全的風(fēng)險(xiǎn)監(jiān)控應(yīng)重點(diǎn)從安全措施稽核、操作行為監(jiān)測、系統(tǒng)漏洞監(jiān)測三個(gè)維度考慮，對監(jiān)測數(shù)據(jù)分類分級，進(jìn)行風(fēng)險(xiǎn)評估和處置。

加強(qiáng)企業(yè)云上數(shù)據(jù)防護(hù)：沒有實(shí)施保護(hù)措施而將數(shù)據(jù)上云，幾乎等同于直接把數(shù)據(jù)公開。建議數(shù)據(jù)上云的企業(yè)對上云的數(shù)據(jù)進(jìn)行分類分級、對業(yè)務(wù)數(shù)據(jù)進(jìn)行梳理，明確數(shù)據(jù)使用場景，同時(shí)提升員工的數(shù)據(jù)安全保護(hù)意識。

數(shù)據(jù)防泄漏與數(shù)據(jù)防勒索并重：傳統(tǒng)的數(shù)據(jù)防勒索方案無法發(fā)現(xiàn)數(shù)據(jù)泄漏行為，更完善的防勒索方案除了防止數(shù)據(jù)被加密、不可用，還需要能夠識別并防范數(shù)據(jù)泄漏行為，真正杜絕被勒索。

對數(shù)據(jù)進(jìn)行分類分級保護(hù)：數(shù)據(jù)分級分類是建設(shè)合理數(shù)據(jù)安全體系的前提基礎(chǔ)，對數(shù)據(jù)分類分級能夠正確地評估數(shù)據(jù)所面臨的風(fēng)險(xiǎn)，制訂差異化的防護(hù)策略。

回顧2021年發(fā)生的多起數(shù)據(jù)泄漏事件，不論是從數(shù)據(jù)泄漏的規(guī)模、數(shù)量、影響程度，都呈現(xiàn)擴(kuò)張的趨勢，數(shù)據(jù)泄漏場景愈加復(fù)雜多變，閃捷信息安全與戰(zhàn)略研究中心建議，組織機(jī)構(gòu)應(yīng)密切關(guān)注數(shù)據(jù)安全局勢，不斷排查數(shù)據(jù)安全隱患，做好整體數(shù)據(jù)安全規(guī)劃，防患于未然。

《2021年度數(shù)據(jù)泄漏態(tài)勢分析報(bào)告》下載方式：可關(guān)注“閃捷信息”微信公眾號，后臺回復(fù)“下載”。

免責(zé)聲明：市場有風(fēng)險(xiǎn)，選擇需謹(jǐn)慎!此文僅供參考，不作買賣依據(jù)。

關(guān)鍵詞：