2017年重要数据安全事件解读

本文涉及的产品
云数据库 MongoDB,独享型 2核8GB
推荐场景:
构建全方位客户视图
数据安全中心,免费版
简介: 2017云上安全发生了哪些大事件,盘点云数据安全事件,了解全球云安全趋势!

2017年,几乎每个月都有多起安全事件发生,“美国2亿选民信息泄露”、“比特币勒索病毒爆发”、“瑞典政府顶级机密信息泄露”、“MangoDB勒索事件”……


即便如欧美等信息化起步早,信息安全机制较为完善的国家。数据泄露、数据库勒索等种种安全事件同样呈现大规模爆发状况。每分每秒,人们的信息安全、财产安全、隐私安全时时的都在被“心怀不轨”的不法分子窥视。


本文通过对过去一年重要数据安全事件的总结,找到问题的根本所在,为企业的数据安全保护工作提供一些借鉴。


 

1月:MongoDB数据泄露,勒索病毒席卷全球


今年1月份开始,最具代表性的是MongoDB爆发性的超33000个数据库遭遇入侵勒索事件,被黑掉的MongoDB数据库中所有的数据都被黑客洗劫一空,并留下信息勒索,要求支付比特币赎回数据。


从此次事件可以看出,MongoDB在云的状态下采用的防护基本可以看做是“裸奔”的状态。通过动态扫描只要发现漏洞,就可以轻松登录。黑客登录后,其实偷数据倒不是主要的目的。通常黑客们会通过删除数据,预留账号缴纳赎金赎回的形式勒索用户。因此,从一月份数据勒索的大潮便开始,如此大规模的爆发本质的问题还是配置和使用能力不足,防护措施简单造成黑客轻松攻入所导致。 


 

1月:黑客瞄准Hadoop,大数据安全事件爆发



同样在1月份,MongoDB事件发生后,1万+台Hadoop和CouchDB被勒索,这也是因为大数据平台中的数据更有勒索价值,会有更多的人为此缴纳赎金。所以,黑客们也是在不断升级,不断寻找更具有勒索价值的目标。越是数据资产集中的地方越是他们的目标。


 
6月:AWS近2亿美国选民个人资料泄露



1月份开始随着用户对数据安全的重视和防护升级,大多数以数据勒索形式的攻击有所减缓,但从6月份开始,亚马逊AWS近2亿美国选民的个人资料泄露事件的爆发,让云数据安全问题进入到人们的视野当中。


造成如此严重的信息泄露事件,是因为泄露企业在AWS上没有任何保护措施,这部分泄露的数据其实是作为备份数据放在AWS S3的服务器上,但备份之后并没有做任何访问上的保护,同时也没有做任何加密措施。不知是运维者有意还是无意之举,虽然AWS S3是具有一定安全能力,但运维者为了自己使用方便主动把这些安全防护措施给关掉了,这便是因为运维者自身的操作不当导致的泄露事件。


 

9月:从Equifax近2月的数据泄露看暗网的“养鱼”策略



美国三大老牌征信机构Equifax发生1.43 亿的大规模个人信息泄露,被泄露的信息中包括名称、社会保障号、出生日期、地址,以及一些驾驶执照号码等。除此之外还有20多万名美国消费者的详情和18.2万人的争议性文件可能遭到泄露。同时Equifax在英国和加拿大的一些顾客信息也受到影响。


而这个事件实际上并不是那么简单。当时Equifax所使用应用系统的开发框架是基于Apache Struts,它本身有很多很多的漏洞,而恰恰他们在几个关键漏洞上面延迟了大概两个多月的时间没有做补丁、也没有升级应用服务器的框架漏洞。


问题又回来了,应用系统的框架有漏洞,为什么会造成数据泄露呢?实际上就是黑客利用到了这种应用框架的漏洞,原本这些是要靠不停的打补丁不停升级才能解决的。但运维者对漏洞的补丁似乎晚了一些时间,因此造成了黑客利用框架漏洞注入到应用系统,利用应用系统和数据的直接交互的过程,一点一点的拿走数据。而这个过程持续了长达两个月的时间,后来如果不是因为事件暴露出来之后引起了重视,恐怕也没人能发现这个问题。


深度思考

通过这几个例子可以看出,实际从最初的劫持,到由于配置安全引起的数据泄露,再到框架的漏洞引起的数据泄露。造成泄露的原因是多方面的,所以,数据安全防护并不是简单的通过一两款产品能解决的。所以,如果说1月份数据勒索是因为本身的安全能力防护措施薄弱,那6月份的数据泄露就是因为一些对运维者的管理不当和内部操作问题导致的自身泄露事件,说到底还是对安全意识的薄弱。企业要增强云端数据安全防护的意识,并实施更有针对性、更全面的安全防护机制。

最后,还是给自家打个广告:

安华云安全便是为将来更多云数据安全服务的专业服务商,欢迎了解。

阿里云市场官方店铺:https://shop14d60793.market.aliyun.com/ 



相关文章
|
存储 SQL 机器学习/深度学习
数据安全事件频发,数据脱敏技术发展趋势如何?
在当前的大数据时代,各类数据分析应用技术已经广泛应用在国家治理、企业运行、个人日常生活等各个方面,数据成为时下最热门的基础资源,因此数据安全的受关注程度也在不断攀升,成为颇受重视的话题。
|
安全 大数据 数据安全/隐私保护
|
7月前
|
存储 数据采集 安全
瓴羊Dataphin数据安全能力再升级,内置分类分级模板、上线隐私计算模块
瓴羊Dataphin数据安全能力再升级,内置分类分级模板、上线隐私计算模块
211 0
|
5月前
|
安全 Java Apache
Java中的数据安全与隐私保护技术
Java中的数据安全与隐私保护技术
|
7月前
|
存储 人工智能 算法
数据安全与隐私保护在人工智能时代的挑战与应对
随着人工智能技术的快速发展,数据安全和隐私保护问题日益凸显。本文将探讨在人工智能时代下,数据安全面临的挑战以及如何有效应对,为保护用户数据和维护信息安全提供新思路。
1148 13
|
7月前
|
监控 安全 网络安全
云端防御策略:在云计算中确保数据安全与隐私
【4月更文挑战第6天】 随着企业和个人日益依赖云服务,数据安全性和隐私保护成为不容忽视的挑战。本文探讨了云计算环境中面临的主要网络安全威胁,并提出了综合性的安全措施来加强防护。我们将从云服务的基础知识出发,分析安全风险,并深入讨论如何通过加密技术、身份验证、访问控制以及持续监控等手段来提高数据的安全性。文章的目标是为读者提供一套实用的策略框架,以便在享受云计算带来的便利时,能够有效地保障信息安全。
|
7月前
|
存储 边缘计算 安全
边缘计算中的数据安全与隐私保护:挑战与应对策略
边缘计算中的数据安全与隐私保护:挑战与应对策略
|
7月前
|
存储 安全 数据安全/隐私保护
云计算中的数据安全与隐私保护:技术与挑战
云计算中的数据安全与隐私保护:技术与挑战
846 0
|
7月前
|
数据采集 人工智能 安全
加码数据安全,瓴羊隐私计算能力获多奖项认可!
加码数据安全,瓴羊隐私计算能力获多奖项认可!