資料洩漏！我們的資訊還安全麼？

7月初，《2017年全球資料洩露成本研究》報告發布。研究結果顯示，IBM Security 和 Ponemon Institute兩家研究機構針對419家公司進行調研，合計資料洩露總成本達到362萬美元。每條包含敏感和機密資訊的丟失或被盜記錄的平均成本達到141美元。對比往年，今年企業和組織資料洩露的規模較以往更大，平均規模增長了1.8%。 近年來，全球各地無論是政府組織還是知名企業，頻繁被爆出大規模資料洩露事件，尤以資訊化程度發達的國家更為嚴重。研究結果來自11個國家和2個區域，從中選擇了419個組織參加了今年的研究。通過對這些組織中的1900多名專家進行訪談，以此瞭解：

• 資料洩露中有多少客戶記錄丟失(即洩露規模)

• 資料洩露後他們失去的客戶的百分比(即客戶流失)

• 資料洩露的根本原因

• 檢測和控制洩露事件的時間

• 發現和立即響應資料洩露的活動方面花費，例如取證和調查，以及發現後進行的活動，例如通知受害人和法律方面的費用

通過這些樣本對資料洩露成本進行研究和分析，不僅是為了核算成本和趨勢預判，最終目的是通過調研還原這些資料洩露事件全貌，為組織和企業的資料安全保護提供更有參考價值的建議，我們將報告中的一些重要觀點摘錄下來，以此作為重要的參考依據，思考在大資料時代下，如何通過行之有效的手段，規避未來可能會發生的洩露事件，為企業避免為此類負面事件付出高昂的成本。

資料洩露的主要原因

報告顯示，資料洩露事件的主要根源中，47%的事件涉及惡意或犯罪行為，25%是由於員工或承包商疏忽(人為因素)，28%涉及系統故障，包括IT和業務流程故障。

雖然本次調查沒有涉及中國的組織和企業，但這一趨勢與國內諸多安全研究結果較為一致。早期，惡意攻擊者的目標是業務系統，以導致業務中斷為目的。近年伴隨資料資產價值與日俱增，惡意攻擊者的目標越來越多的指向資料儲存的基礎設施-資料庫系統。針對資料庫的漏洞攻擊、SQL隱碼攻擊等手段不斷升級，目的正是對敏感資料的竊取，這些包含個人隱私或商業機密的資料流入黑產市場，經過多手倒賣，流入更多不法分子手中，震驚全球的雅虎5億使用者資訊洩露事件正是源於黑客攻擊。

另一方面，與國內情況類似，內部員工及承包商(即第三方公司)的人為洩露比例正在逐年上升。企業資訊化建設增速逐年提升，除了內部人員配備提升，為節省人力成本，引入第三方外包公司進行系統開發、測試、分析或代理運維等工作是目前常見的解決方式，在此過程中這類人群往往持有資料庫的高許可權賬戶，一面是內部人員可能產生的高危操作、誤操作，另一方面是第三方人員引發的資料洩露事件，這成為資料洩露的另一主因。

慶幸的是，國內的多數行業已經意識到內部威脅及第三方人員的資料洩露風險，會主動尋求技術手段規避。資料庫脫敏和資料庫安全運維產品的出現和應用正是基於此，對敏感資料做變形和漂白後可以放心交給第三方公司使用;即使內部及第三方運維人員擁有DBA高許可權賬戶，依然可以通過基於審批流機制的資料庫安全運維繫統，對敏感資料的運維操作進行稽核和過濾，防止誤操作及高危操作。

外洩規模的大小以及丟失或被盜記錄的數量

調研結果顯示，資料洩露事件將導致客戶信任度下降、企業也需要投入大量成本進行取證調查，挽回資料，以及相關客戶的聯絡及法律成本。通過成本分析揭示了資料洩露的平均總成本與事件的大小之間的關係。在今年的研究中，少於10,000個損失記錄的事件的平均總成本190萬美元，超過50,000記錄的時間平均總成本是630萬美元。因此，丟失的記錄越多，資料洩露的成本就越高。對於這一情況，報告中提到資料分類儲存計劃對於瞭解敏感和機密資訊至關重要。

這一結論與安華金和提出的資料安全治理思路不謀而合，我們認為要實現資料在使用中的安全，首先一步是要了解資料，通過對資料資產進行梳理，發現你的敏感資料資產有多少、分佈在哪裡，使用情況和訪問許可權怎樣。對資料資產進行分級分類，是為建立定製化的保護策略提供原始依據。

資料洩露的平均總成本與419個組織的事件大小之間的關係

哪些行業的資料洩露更為昂貴

每個丟失或被盜記錄的資料洩露的全球平均成本為141美元。然而，醫療保健機構的平均成本為380美元，金融服務平均成本為245美元。行業的資料特性，全球共通，醫療及金融行業的資料更多涉及公眾個人隱私及資產資訊，資料量龐大;另一方面，從業務角度來看，這兩個行業與其他行業的資料集中、共享需求更為明顯，從中國國情來看，這兩個行業除了互相業務交叉，還會與政府、社保、工商、稅務財政等諸多行業發生資料共享，在資料使用和流轉的過程中，節點更多，一旦單點產生安全威脅，可能牽連出跨行業的極大規模資料洩露，由此產生的惡劣社會影響難以估計。

我們在與這些行業的使用者接觸時，發現他們對於資料安全防護的意識也更為強烈，但同時又有另一點考慮，由於業務複雜度高且應用繁多，使用者希望能夠在實現安全保障的基礎上不影響業務穩定性及連續性，這對於諸如資料庫防火牆、資料庫加密等技術手段的要求更高，這些必備的產品需要具備大型專案的實施基礎，以確保複雜場景下的效能要求。

今年綜合樣本平均成本按行業分類與四年平均水平

大量使用加密技術可降低成本

報告中指出，廣泛使用加密技術可以節省平均費用16美元，平均每筆記錄費用為125美元(141-16美元)。

在安華金和提出的資料庫安全防護體系中，資料庫加密技術被定義為底線防守。技術效果是將資料庫儲存層的明文資料替換為密文，並設定嚴格的許可權校驗機制，即使退一萬步，資料庫檔案已經洩露，沒有金鑰和最高許可權，任何人都無法破解。如果按照每筆節省16美元的成本來算，一個技術手段的實施，可以讓一次大規模過萬條記錄的資料洩露事件成本直接下降數十萬美元，乃至更高。

藉助事件響應小組識別並控制資料洩漏的時間

在今年的研究中，事件響應(IR)團隊降低了每個洩露記錄19美元成本。因此，具有強大的IR能力的公司預計調整後的成本為122美元(每筆記錄141-19美元)。

國內的少數大型企業會成立專門的安全應急團隊，此外，專業的安全企業也應當具備安全攻防的研究能力，能夠為使用者提供及時有效的安全事件響應，通過審計追查等技術手段及人工分析快速定位洩露源，在最短時間內控制洩露規模和態勢，並能夠通過分析攻擊樣本，提供有效的安全加固策略。

無法快速識別資料洩露而增加的成本

通過了解報告中的觀點和分析，這些精確的數學核算讓我們對資料洩露的後果和影響有了更感性的認識。這些有價值的安全建議和技術手段並不會花費太大的成本，然而卻可以讓企業和組織不再為此類負面事件付出數百甚至數千倍的高昂成本，這其中的價效比應該是相當划算的。

本文出處：暢享網

本文來自雲棲社群合作伙伴暢享網，瞭解相關資訊可以關注vsharing.com網站。