世界經(jīng)濟論壇《2022年全球風(fēng)險報告》曾指出,隨著整個社會不斷向數(shù)字世界遷移,網(wǎng)絡(luò)安全威脅也在不斷加劇,掌握主動權(quán)的攻擊者經(jīng)常給組織帶來數(shù)千萬甚至數(shù)億美元的直接損失,同時次生災(zāi)害所造成的損失更難以用金錢來衡量。
以完整的網(wǎng)絡(luò)攻擊事件為例,直接損失往往更容易觀察,比如因攻擊事件造成的系統(tǒng)癱瘓所帶來的業(yè)務(wù)連續(xù)性損失,比如某調(diào)研機構(gòu)認為銀行業(yè)關(guān)鍵業(yè)務(wù)中斷1分鐘,就會帶來27萬美元損失。與之相反的是因攻擊所帶來的次生災(zāi)害通常不容易被觀察,比如企業(yè)信譽受損,潛在的數(shù)據(jù)泄露所帶來的持續(xù)影響等,評估這部分的損失,我們只能采用更加主動的方式。
日前,外部攻擊面管理廠商零零信安發(fā)布了一款名為00SEC-D&D數(shù)據(jù)泄露報警系統(tǒng),顧名思義,該系統(tǒng)可以監(jiān)測組織是否存在數(shù)據(jù)泄露情況,今天我們就聊聊這款產(chǎn)品的安全價值。
為什么要做數(shù)據(jù)泄露監(jiān)測工作?
有這樣兩個案例:
案例一,發(fā)生在今年年初,基于已知的數(shù)據(jù)泄露,英國陸軍在線募兵網(wǎng)站不得不緊急關(guān)閉。事件中,有100多名新兵的個人數(shù)據(jù)被情報人員發(fā)現(xiàn)出現(xiàn)在“在線論壇”上公開出售,隨后英國國防部責(zé)令相關(guān)安全部門對網(wǎng)站安全性進行調(diào)查。
這一事件中,募兵網(wǎng)站被緊急關(guān)閉,是基于在線系統(tǒng)可能出現(xiàn)安全漏洞的擔(dān)憂,由于關(guān)閉舉措,在此期間英國陸軍只能依靠其他辦法來征募新兵。
案例二,就在不久前,在基于葡萄牙武裝力量總參謀部的一次網(wǎng)絡(luò)攻擊后,數(shù)百份北約機密文件已被確認出現(xiàn)在“在線論壇”上公開出售。針對此次事件,葡萄牙議會成員對泄露的機密軍事文件以及該國情報部門未能及時發(fā)現(xiàn)高度嚴重的違規(guī)行為表示驚訝。
據(jù)報道,該事件將很快舉行聽證會,披露顯示,受影響的葡萄牙高級軍事機構(gòu)使用的是氣隙系統(tǒng),但可能在某些時候他們違反了自己的行動規(guī)則。
以上兩個案例有著相同的既定事實,即對網(wǎng)絡(luò)安全具有極高要求的組織也難受成為安全事件的主角。從技術(shù)上來解釋的話,組織通過一定的安全基線建設(shè),可以解決絕大多數(shù)的網(wǎng)絡(luò)攻擊,但絕不意味著他們能夠解決所有的網(wǎng)絡(luò)攻擊。
從整體的網(wǎng)絡(luò)安全投資管理維度來講,數(shù)據(jù)泄露監(jiān)測工作實際上則可視為解決整體風(fēng)險當(dāng)中的“殘余風(fēng)險”的組成部分,從另外一個視角來輔助主動建設(shè)安全。
當(dāng)然,對于做好數(shù)據(jù)泄露監(jiān)測工作實際上也有著法律方面的合規(guī)要求,比如我國的《數(shù)據(jù)安全法》要求組織對數(shù)據(jù)泄露進行監(jiān)測、預(yù)警、研判;《個人信息保護法》要求對可能發(fā)生個人信息泄露立即采取補救措施,并進行相關(guān)通告。
對于出海企業(yè)而言同樣受到各國家地區(qū)的相關(guān)法律制約,如歐盟《通用數(shù)據(jù)保護條例》則要求組織在數(shù)據(jù)泄露事件發(fā)生后的72小時內(nèi)通告監(jiān)管部門,并提供詳細事件報告,違反該法規(guī)將企業(yè)將最高被處以2000萬歐元(約 1.5 億人民幣)或全球4%營業(yè)額罰款(以高者為準(zhǔn))。
在法律合規(guī)方面的典型案例當(dāng)屬Facebook在過去幾年時間內(nèi)經(jīng)歷的一系列數(shù)據(jù)泄露風(fēng)波,比如近日他們剛與美國執(zhí)法機構(gòu)達成了50億美元罰金的和解協(xié)議,最終“劍橋分析事件”宣告終結(jié)。在此之前,F(xiàn)acebook還因多起泄露用戶數(shù)據(jù)事件曾在全球多地遭到處罰,如愛爾蘭、巴西、英國等地。
也就是說,從法律合規(guī)層面來講,組織不去做數(shù)據(jù)泄露監(jiān)測,僅僅依靠對已知的安全事件進行應(yīng)急響應(yīng),將處于被動局面,就很有可能觸發(fā)高額罰款。
對于組織能夠盡早地發(fā)現(xiàn)自身的數(shù)據(jù)泄露發(fā)生,IBM發(fā)布的《2022年數(shù)據(jù)泄露成本報告》則有一定的發(fā)言權(quán)。該報告指出,組織一側(cè)通常要用277天才能識別和控制數(shù)據(jù)泄露事件,其中數(shù)據(jù)泄露生命周期如果超過200天,其數(shù)據(jù)泄露成本為486萬美元,低于200天的話,則會降至374萬美元。
這就意味著,組織能夠提前獲悉自身數(shù)據(jù)泄露的發(fā)生,就可以大幅縮減組織因此產(chǎn)生的各項違規(guī)支出。
綜上所述,我們從安全本質(zhì)、法律合規(guī)、成本支出三個維度分析了數(shù)據(jù)泄露監(jiān)測工作的價值,但綜合解釋只有一條,它的價值是正向的。且從公開披露信息來看,全球每天至少發(fā)生10起數(shù)據(jù)泄露事件,考慮真實數(shù)據(jù)泄露事件要遠大于此數(shù)字,組織在這方面的投入存在一定高度的必要性。
外部攻擊面管理技術(shù)的落地實踐
堪比情報機構(gòu)的數(shù)據(jù)泄露監(jiān)測能力
那么組織如何做好數(shù)據(jù)泄露監(jiān)測工作,零零信安則從外部攻擊面管理(EASM)的視角給出了答案。零零信安00SEC-D&D數(shù)據(jù)泄露報警系統(tǒng)的正式發(fā)布,就可以勝任這一工作。
Gartner曾在此前發(fā)布《新興技術(shù):外部攻擊面管理關(guān)鍵洞察》中對外部攻擊面管理進行了一系列詳細的描述,具體包含以下幾點:資產(chǎn)的識別及清點、漏洞修復(fù)及暴露面管控、云安全與治理、數(shù)據(jù)泄漏檢測、子公司風(fēng)險評估、供應(yīng)鏈/第三方風(fēng)險評估、并購(M&A)風(fēng)險評估。
可見,零零信安00SEC-D&D數(shù)據(jù)泄露報警系統(tǒng)實際上正是外部攻擊面管理技術(shù)的細分能力的落地實踐。
在零零信安召開的新品發(fā)布會上,其創(chuàng)始人兼CEO王宇指出,零零信安00SEC-D&D數(shù)據(jù)泄露報警系統(tǒng)核心能力是可提供全網(wǎng)可視性,無論泄露數(shù)據(jù)隱藏在全球任何匿名的交易市場、論壇、BLOG、社交網(wǎng)絡(luò)中,00SEC-D&D數(shù)據(jù)泄露報警系統(tǒng)均可以第一時間獲悉相關(guān)信息。
“2022.9.12共發(fā)現(xiàn)匿名網(wǎng)絡(luò)資訊信息32,961條;最近7天共發(fā)現(xiàn)匿名網(wǎng)絡(luò)資訊信息858,435條,增長9%;最近30天共發(fā)現(xiàn)匿名網(wǎng)絡(luò)資訊信息2,232,609條。”
以前文的兩個數(shù)據(jù)泄露案例為例,如在零零信安00SEC-D&D數(shù)據(jù)泄露報警系統(tǒng)加持下,組織將第一時間,且無需外部力量的參與,即可從“在線論壇”獲取相關(guān)泄露信息。
實際上,在上述具體的數(shù)據(jù)泄露案例中,對于已知的數(shù)據(jù)泄露發(fā)現(xiàn)則歸功于情報人員,甚至是他國的情報機構(gòu),這一信息也顯示了數(shù)據(jù)泄露全網(wǎng)監(jiān)測工作對于自身的重要性。
從產(chǎn)品化的應(yīng)用角度來講,零零信安將這套系統(tǒng)定位兩大應(yīng)用面,其一是企業(yè)用戶,產(chǎn)品應(yīng)用僅為自身負責(zé);其二是監(jiān)管單位,比如各垂直領(lǐng)域內(nèi)的數(shù)據(jù)泄露事件的監(jiān)管。
00SEC-D&D數(shù)據(jù)泄露報警系統(tǒng)
對應(yīng)企業(yè)用戶,其價值相對簡單,用戶可以通過系統(tǒng)7*24小時全網(wǎng)監(jiān)測,通過全面的智能分析,第一時間為發(fā)現(xiàn)組織是否存在數(shù)據(jù)泄露情況。無論是反向的進一步夯實安全建設(shè),還是對安全事件本身的研判、應(yīng)急,這一工作都具有主動式的深遠影響。
對于監(jiān)管應(yīng)用而言,在具體部署應(yīng)用時這套系統(tǒng)本身的能力將被進一步釋放。但同時據(jù)我們所了解,實際上作為一款安全產(chǎn)品,其實際應(yīng)用時零零信安方面會采取一定的限制措施,比如限定一定的查詢權(quán)限,從而杜絕產(chǎn)品能力的濫用問題。
現(xiàn)階段該系統(tǒng)應(yīng)用為查詢獲取方式,不久之后,系統(tǒng)還將在保留智能化搜索功能,從而滿足多場景應(yīng)用的前提下,升級為主動監(jiān)測方式。即無需人員間隔實操,系統(tǒng)將以自動的方式運行,一旦監(jiān)測到監(jiān)測實體的數(shù)據(jù)泄露情況,便立即告警通知。
此外,在零零信安新品發(fā)布會上,另外一款預(yù)發(fā)布的00SEC-O&S數(shù)據(jù)泄露預(yù)警系統(tǒng)還能夠與00SEC-D&D數(shù)據(jù)泄露報警系統(tǒng)進行聯(lián)動應(yīng)用,從而構(gòu)筑組織整體的數(shù)據(jù)安全主動防御策略。
平臺發(fā)展 持續(xù)升級 擴展應(yīng)用
大數(shù)據(jù)智能安全是EASM的核心能力
零零信安創(chuàng)始人兼CEO王宇向安全419介紹稱,外部攻擊面管理的核心能力是將“全量數(shù)據(jù)”與企業(yè)之間形成映射,從而形成大數(shù)據(jù)智能安全能力。
據(jù)悉,零零信安此前推出的國內(nèi)首款外部攻擊面管理平臺0.zone,就源于這一核心能力基礎(chǔ)之上,而該能力具有一定的壁壘,其分布在數(shù)據(jù)采集、分析、處理整個鏈條上。其一也是最直接的體現(xiàn)就是數(shù)據(jù)量,其二是如何把威脅可視化展現(xiàn),即映射環(huán)節(jié)如何打通各場景化應(yīng)用。
到目前為止,0.zone平臺在大數(shù)據(jù)獲取與分析方面已將全網(wǎng)數(shù)據(jù)關(guān)聯(lián)到國內(nèi)數(shù)十萬企業(yè)量級,涵蓋了主要行業(yè)應(yīng)用領(lǐng)域。據(jù)王宇分享,這一數(shù)據(jù)還在持續(xù)優(yōu)先和提升。
王宇也闡述了這方面工作的難點,比如各行業(yè)監(jiān)管體系的不同,會對全量數(shù)據(jù)關(guān)聯(lián)映射造成一定的阻礙,所以零零信安在技術(shù)上做了大量的課題攻關(guān),從而將外部攻擊面管理技術(shù)順利落地國內(nèi)。
也就是說,建立在零零信安外部攻擊面管理技術(shù)核心能力之上的00SEC-D&D數(shù)據(jù)泄露報警系統(tǒng)以及00SEC-D&D數(shù)據(jù)泄露報警系統(tǒng),在未來還將通過核心能力的持續(xù)升級,從而不斷完善它的全局應(yīng)用面。
在描繪零零信安未來外部攻擊面管理產(chǎn)品路線圖時王宇表示,從國際上外部攻擊面管理發(fā)展趨勢來看,正呈現(xiàn)擴展化應(yīng)用趨勢,零零信安方面未來將以0.zone外部攻擊面管理SaaS平臺為核心,持續(xù)孵化滿足于客戶真實場景的細分能力,持續(xù)推出更加豐富的多元化外部攻擊面數(shù)據(jù)服務(wù)。
與此同時,其產(chǎn)品或數(shù)據(jù)服務(wù)除了服務(wù)具體的客戶之外,還提供開放式的合作能力,比如向生態(tài)合作伙伴提供API、數(shù)據(jù)應(yīng)用支持,用以填補合作伙伴的能力空白,提升產(chǎn)品安全力。這方面實際上也是近年來安全產(chǎn)業(yè)界的普遍共識,封閉將會停滯不前,開放可以令整體產(chǎn)業(yè)不斷提升。
從整個安全產(chǎn)業(yè)來觀察,面對科技的不斷進步及攻擊趨勢對產(chǎn)業(yè)的重塑,創(chuàng)新實際是網(wǎng)絡(luò)安全的唯一出路,與此同時,技術(shù)的創(chuàng)新應(yīng)用更不能缺乏貼合實際的落地實踐。零零信安所處的外部攻擊面管理技術(shù)賽道是從攻擊者視角重新審視網(wǎng)絡(luò)安全的一項創(chuàng)新,其細分實踐能力的落地應(yīng)用未來幾何我們將拭目以待。
更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<
