世界經濟論壇《2022年全球風險報告》曾指出,隨著整個社會不斷向數字世界遷移,網絡安全威脅也在不斷加劇,掌握主動權的攻擊者經常給組織帶來數千萬甚至數億美元的直接損失,同時次生災害所造成的損失更難以用金錢來衡量。
以完整的網絡攻擊事件為例,直接損失往往更容易觀察,比如因攻擊事件造成的系統癱瘓所帶來的業務連續性損失,比如某調研機構認為銀行業關鍵業務中斷1分鐘,就會帶來27萬美元損失。與之相反的是因攻擊所帶來的次生災害通常不容易被觀察,比如企業信譽受損,潛在的數據泄露所帶來的持續影響等,評估這部分的損失,我們只能采用更加主動的方式。
日前,外部攻擊面管理廠商零零信安發布了一款名為00SEC-D&D數據泄露報警系統,顧名思義,該系統可以監測組織是否存在數據泄露情況,今天我們就聊聊這款產品的安全價值。
為什么要做數據泄露監測工作?
有這樣兩個案例:
案例一,發生在今年年初,基于已知的數據泄露,英國陸軍在線募兵網站不得不緊急關閉。事件中,有100多名新兵的個人數據被情報人員發現出現在“在線論壇”上公開出售,隨后英國國防部責令相關安全部門對網站安全性進行調查。
這一事件中,募兵網站被緊急關閉,是基于在線系統可能出現安全漏洞的擔憂,由于關閉舉措,在此期間英國陸軍只能依靠其他辦法來征募新兵。
案例二,就在不久前,在基于葡萄牙武裝力量總參謀部的一次網絡攻擊后,數百份北約機密文件已被確認出現在“在線論壇”上公開出售。針對此次事件,葡萄牙議會成員對泄露的機密軍事文件以及該國情報部門未能及時發現高度嚴重的違規行為表示驚訝。
據報道,該事件將很快舉行聽證會,披露顯示,受影響的葡萄牙高級軍事機構使用的是氣隙系統,但可能在某些時候他們違反了自己的行動規則。
以上兩個案例有著相同的既定事實,即對網絡安全具有極高要求的組織也難受成為安全事件的主角。從技術上來解釋的話,組織通過一定的安全基線建設,可以解決絕大多數的網絡攻擊,但絕不意味著他們能夠解決所有的網絡攻擊。
從整體的網絡安全投資管理維度來講,數據泄露監測工作實際上則可視為解決整體風險當中的“殘余風險”的組成部分,從另外一個視角來輔助主動建設安全。
當然,對于做好數據泄露監測工作實際上也有著法律方面的合規要求,比如我國的《數據安全法》要求組織對數據泄露進行監測、預警、研判;《個人信息保護法》要求對可能發生個人信息泄露立即采取補救措施,并進行相關通告。
對于出海企業而言同樣受到各國家地區的相關法律制約,如歐盟《通用數據保護條例》則要求組織在數據泄露事件發生后的72小時內通告監管部門,并提供詳細事件報告,違反該法規將企業將最高被處以2000萬歐元(約 1.5 億人民幣)或全球4%營業額罰款(以高者為準)。
在法律合規方面的典型案例當屬Facebook在過去幾年時間內經歷的一系列數據泄露風波,比如近日他們剛與美國執法機構達成了50億美元罰金的和解協議,最終“劍橋分析事件”宣告終結。在此之前,Facebook還因多起泄露用戶數據事件曾在全球多地遭到處罰,如愛爾蘭、巴西、英國等地。
也就是說,從法律合規層面來講,組織不去做數據泄露監測,僅僅依靠對已知的安全事件進行應急響應,將處于被動局面,就很有可能觸發高額罰款。
對于組織能夠盡早地發現自身的數據泄露發生,IBM發布的《2022年數據泄露成本報告》則有一定的發言權。該報告指出,組織一側通常要用277天才能識別和控制數據泄露事件,其中數據泄露生命周期如果超過200天,其數據泄露成本為486萬美元,低于200天的話,則會降至374萬美元。
這就意味著,組織能夠提前獲悉自身數據泄露的發生,就可以大幅縮減組織因此產生的各項違規支出。
綜上所述,我們從安全本質、法律合規、成本支出三個維度分析了數據泄露監測工作的價值,但綜合解釋只有一條,它的價值是正向的。且從公開披露信息來看,全球每天至少發生10起數據泄露事件,考慮真實數據泄露事件要遠大于此數字,組織在這方面的投入存在一定高度的必要性。
外部攻擊面管理技術的落地實踐
堪比情報機構的數據泄露監測能力
那么組織如何做好數據泄露監測工作,零零信安則從外部攻擊面管理(EASM)的視角給出了答案。零零信安00SEC-D&D數據泄露報警系統的正式發布,就可以勝任這一工作。
Gartner曾在此前發布《新興技術:外部攻擊面管理關鍵洞察》中對外部攻擊面管理進行了一系列詳細的描述,具體包含以下幾點:資產的識別及清點、漏洞修復及暴露面管控、云安全與治理、數據泄漏檢測、子公司風險評估、供應鏈/第三方風險評估、并購(M&A)風險評估。
可見,零零信安00SEC-D&D數據泄露報警系統實際上正是外部攻擊面管理技術的細分能力的落地實踐。
在零零信安召開的新品發布會上,其創始人兼CEO王宇指出,零零信安00SEC-D&D數據泄露報警系統核心能力是可提供全網可視性,無論泄露數據隱藏在全球任何匿名的交易市場、論壇、BLOG、社交網絡中,00SEC-D&D數據泄露報警系統均可以第一時間獲悉相關信息。
“2022.9.12共發現匿名網絡資訊信息32,961條;最近7天共發現匿名網絡資訊信息858,435條,增長9%;最近30天共發現匿名網絡資訊信息2,232,609條。”
以前文的兩個數據泄露案例為例,如在零零信安00SEC-D&D數據泄露報警系統加持下,組織將第一時間,且無需外部力量的參與,即可從“在線論壇”獲取相關泄露信息。
實際上,在上述具體的數據泄露案例中,對于已知的數據泄露發現則歸功于情報人員,甚至是他國的情報機構,這一信息也顯示了數據泄露全網監測工作對于自身的重要性。
從產品化的應用角度來講,零零信安將這套系統定位兩大應用面,其一是企業用戶,產品應用僅為自身負責;其二是監管單位,比如各垂直領域內的數據泄露事件的監管。
00SEC-D&D數據泄露報警系統
對應企業用戶,其價值相對簡單,用戶可以通過系統7*24小時全網監測,通過全面的智能分析,第一時間為發現組織是否存在數據泄露情況。無論是反向的進一步夯實安全建設,還是對安全事件本身的研判、應急,這一工作都具有主動式的深遠影響。
對于監管應用而言,在具體部署應用時這套系統本身的能力將被進一步釋放。但同時據我們所了解,實際上作為一款安全產品,其實際應用時零零信安方面會采取一定的限制措施,比如限定一定的查詢權限,從而杜絕產品能力的濫用問題。
現階段該系統應用為查詢獲取方式,不久之后,系統還將在保留智能化搜索功能,從而滿足多場景應用的前提下,升級為主動監測方式。即無需人員間隔實操,系統將以自動的方式運行,一旦監測到監測實體的數據泄露情況,便立即告警通知。
此外,在零零信安新品發布會上,另外一款預發布的00SEC-O&S數據泄露預警系統還能夠與00SEC-D&D數據泄露報警系統進行聯動應用,從而構筑組織整體的數據安全主動防御策略。
平臺發展 持續升級 擴展應用
大數據智能安全是EASM的核心能力
零零信安創始人兼CEO王宇向安全419介紹稱,外部攻擊面管理的核心能力是將“全量數據”與企業之間形成映射,從而形成大數據智能安全能力。
據悉,零零信安此前推出的國內首款外部攻擊面管理平臺0.zone,就源于這一核心能力基礎之上,而該能力具有一定的壁壘,其分布在數據采集、分析、處理整個鏈條上。其一也是最直接的體現就是數據量,其二是如何把威脅可視化展現,即映射環節如何打通各場景化應用。
到目前為止,0.zone平臺在大數據獲取與分析方面已將全網數據關聯到國內數十萬企業量級,涵蓋了主要行業應用領域。據王宇分享,這一數據還在持續優先和提升。
王宇也闡述了這方面工作的難點,比如各行業監管體系的不同,會對全量數據關聯映射造成一定的阻礙,所以零零信安在技術上做了大量的課題攻關,從而將外部攻擊面管理技術順利落地國內。
也就是說,建立在零零信安外部攻擊面管理技術核心能力之上的00SEC-D&D數據泄露報警系統以及00SEC-D&D數據泄露報警系統,在未來還將通過核心能力的持續升級,從而不斷完善它的全局應用面。
在描繪零零信安未來外部攻擊面管理產品路線圖時王宇表示,從國際上外部攻擊面管理發展趨勢來看,正呈現擴展化應用趨勢,零零信安方面未來將以0.zone外部攻擊面管理SaaS平臺為核心,持續孵化滿足于客戶真實場景的細分能力,持續推出更加豐富的多元化外部攻擊面數據服務。
與此同時,其產品或數據服務除了服務具體的客戶之外,還提供開放式的合作能力,比如向生態合作伙伴提供API、數據應用支持,用以填補合作伙伴的能力空白,提升產品安全力。這方面實際上也是近年來安全產業界的普遍共識,封閉將會停滯不前,開放可以令整體產業不斷提升。
從整個安全產業來觀察,面對科技的不斷進步及攻擊趨勢對產業的重塑,創新實際是網絡安全的唯一出路,與此同時,技術的創新應用更不能缺乏貼合實際的落地實踐。零零信安所處的外部攻擊面管理技術賽道是從攻擊者視角重新審視網絡安全的一項創新,其細分實踐能力的落地應用未來幾何我們將拭目以待。
更多信息可以來這里獲取==>>電子技術應用-AET<<
