时间:2022-03-16
2022年2月24日,俄羅斯針對烏克蘭開展特別軍事行動,俄烏爆發軍事衝突。在物理戰場之外,是以俄烏為主的多方勢力在網絡空間這個看不見硝煙的第二戰場上的激烈較量。在俄烏網絡戰中,除了有直接的網絡攻擊引起系統癱瘓或數據損毀,還有網絡信息戰對輿論的影響與爭奪。俄烏戰爭爆發現已過去三週,在此,奇安信安全威脅分析團隊針對近期涉及兩國的網絡衝突進行梳理分析,總結俄烏網絡戰所呈現的幾大特徵,並分享這場數字戰爭給我們帶來的思考和啓示。
时间:2022-02-23
報告圍繞漏洞監測、漏洞分析與研判、漏洞情報獲取、漏洞風險處置等方面描繪過去一年全網漏洞態勢,並對2021年度有現實威脅的漏洞進行重點分析和回顧。思考在漏洞造成實際危害前,對於個人、企業以及漏洞情報提供商而言,可以採取哪些措施來有效隔離風險。
时间:2022-01-21
Gartner發佈的《Guidance for Privileged Access Management》中,術語“特權賬號”是數據中心內部,分佈在主機、網絡設備、數據庫等資產上具有較高訪問權限的賬號,衍生到一切資產上具有可訪問權限的賬號。在組織運營過程中,這些特權賬號通常由IT運維人員管理,各角色人員開展系統管理、業務運營、系統運維等系統維護、權限變更、數據刪除、下載導出等高級權限操作。特權賬號是直接接觸組織關鍵IT資產和數據資源的入口,一旦特權賬號被盜用、誤用、濫用,將為組織信息系統帶來嚴重破壞性的後果。
近兩年數據泄漏事件頻頻發生,究其根源,泄漏的憑據是導致數據泄漏事件的主要原因。在網絡安全日趨成熟的情況下,與其穿透層層防護竊取數據本身(數據庫),不如竊取賬號,通過內網橫向移動,利用特權賬號的管控手段缺失,最終攻破特權賬號,再利用特權賬號權限對系統進行惡意破壞,如執行刪庫、刪表等高危操作,達到破壞或竊取敏感數據的目的。
特權賬號的管理作為數據資產防護極為關鍵的環節,已經在2018年、2019年連續兩年被Gartner評為十大安全項目之首。但目前國內對特權賬號安全的認識仍處於早期,本報告將圍繞國內特權賬號安全管理的現狀,總結分析特權賬號管理過程中的風險和困境,提出基於特權賬號生命週期的管理原則和方法,降低因特權賬號和口令管理不善等帶來的數據泄漏風險。
时间:2022-01-21
隨着數字化的深入,數據成為重要生產要素。數據伴隨着業務和應用,在不同載體間流動和留存,貫穿信息化和業務系統的各層面、各環節,在複雜的應用環境下,保證重要數據、核心數據以及用户個人隱私數據等敏感數據不發生外泄,是數據安全保障工作的重要挑戰。
數據安全靠的不是單點技術,而是能力體系。真正做好數據安全防護,需要從零散建設升級到體系化建設,內生安全框架是安全體系化建設的核心,“一中心兩體系”是內生安全框架落地的具體方法,即網絡安全態勢感知與管控中心、網絡安全防護體系以及零信任動態授權體系,從而打造認知、安全、授權三個重要能力。其中零信任數據動態授權體系,則是授權能力的落地。從實體安全、身份可信、業務合規三個目標出發,抽象出主體、客體、主體環境,通過動態評估主體的數字身份、安全狀態和信任、數據安全治理的成果,進行動態細粒度授權及訪問控制,並結合數據安全防護體系的技術能力,實現對應用和數據的、服務,API接口、大數據平台、數據庫行、列等級別的精準管控。
本報告總結分析了數字化時代數據安全的背景和挑戰,結合零信任理念,提出構建數據動態授權能力的建設思路,以及以工程化思維推進零信任架構演進的建設方法,旨在為組織開展數據安全體系化建設提供參考和建議。
时间:2022-01-21
對數據要素掌控和利用能力,已成為經濟增長的核心驅動力。在數字化時代,數據是重要資產,數據的安全是網絡安全乃至國家安全和社會安定不可或缺的重要要素。在雲計算、大數據、人工智能等新興技術的推動下,眾多行業都在經歷一場轟轟烈烈的數字化轉型大潮。伴隨着數字化進程的發展,API作為連接數據和應用的重要通道,在物聯網、微服務、雲原生等場景都得到了非常廣闊的應用,通過API的能力將企業的數據資源整合,即將其服務、能力和資產打包到可重複利用的模塊化軟件中,讓數據在不同環境中使用,包括將其與合作伙伴及其他第三方有價值的資產結合起來。API在數字化轉型中的扮演的角色將愈發重要,通過API進行數據交換成為最重要的傳輸方式之一,也因此成為攻擊者竊取數據的重點攻擊對象。
近兩年來因API安全問題導致的數據泄漏事件頻頻發生, 可以看到API安全是一個常見但似乎又不為人熟知的挑戰。行業對API安全的認識仍處於早期,OWASP API Security Top 10(失效的對象級授權、失效的用户認證、過度的數據暴露、資源缺失&速率限制、功能級別授權已損壞等)指出了API最常見的安全風險。
时间:2022-01-21
隨着大數據時代的到來,個人信息保護得到了前所未有的重視。國際上圍繞個人信息的獲取、分析、利用和控制的競爭越來越激烈,個人信息安全已成為維護國家安全、保持社會穩定、關係長遠利益的關鍵組成部分,備受各國政府的關注和重視。如何確保個人信息安全已是各國政府及各種組織改進其競爭能力的一個新的具有挑戰性的任務。
個人信息保護工作任重而道遠,這不僅僅是個人信息保護專業人士的責任,也需要得到所有人的關注和投入。因此,個人信息保護工作也要與時俱進,成為數字化轉型道路上的“照明燈”和“守護者”。企業或組織的管理者要主動應對各種個人信息風險和問題,持續關注個人信息監管和行業標準最新動態,並積極參與管理實踐和隱私科技的發展。此外,個人信息保護能力也將作為企業或組織影響力的關鍵因素,從用户隱私體驗、科技透明度和市場信任感上為業務賦能。
編訂《個人信息保護合規建設實踐桔皮書》,全面分析了企業或組織個人信息保護合規建設驅動力,所面臨的挑戰,提出了合規建設的技術應用探索,並全面闡述了建設方案和關鍵技術的應用探索。希冀本桔皮書能為企業或組織個人信息保護合規建設提供借鑑和參考,分享研究成果,共謀發展。
时间:2022-01-21
進入21世紀以來,全球科技創新進入空前活躍時期,新一代技術的不斷湧現驅動着數字經濟的高速發展。2020年我國數字經濟規模已達到39.2萬億元,佔GDP比重達38.6%。受新冠疫情的影響,個性化醫療、在線教育、遠程辦公等全面融入人們的日常工作與生活,數字經濟發展進一步加速,併成為我國經濟高質量發展的強大動力。數據作為數字經濟最核心生產要素,規模也呈爆發式增加。據著名諮詢機構IDC預測,2025年全球數據量將高達175ZB。其中,中國數據量增速最為迅猛,預計2025年將增至48.6ZB,佔全球數據圈的27.8%,平均每年的增長速度比全球快3%。這標誌着我國社會正在從IT時代邁進DT時代。
數據在推動數字經濟高速發展的同時,數據濫用、數據泄漏等安全事件頻繁發生,數據安全風險日益凸顯,數據安全問題受到國家和社會的高度重視。近年來,我國陸續發佈了一系列數據安全相關的法律法規和標準規範,明確了企業和組織在數據開發利用活動中的責任與義務,強調了數據安全建設的重要性與必要性。
DT時代的數據環境是隨着業務發展而動態變化的,數據安全建設不是一蹴而就、一成不變的,更不是靠單一的技術就能達成的,因此數據安全領域提出了數據安全運營的理念,將技術、流程和人有機的結合,體系化的進行數據安全建設。
时间:2022-01-12
報告涉及政府機構。事業單位、醫療衞生、交通、教育、互聯網、能源、金融、互聯網、公檢法、製造業等十餘個行業,對2021年處置的所有應急響應事件從被攻擊角度、受害者行業分佈、攻擊事件發現方式、影響範圍以及攻擊行為造成的影響幾方面進行統計分析,呈現全年政企機構內部網絡安全現狀。從攻擊者角度對攻擊者攻擊意圖、攻擊類型、攻擊者常用惡意程序以及常見漏洞利用方式進行分析,為各政企機構建立安全防護體系、制定應急響應處置方案提供參考依據。
同時列舉了應急響應年度十大典型案例分析為各地提供參考依據。
时间:2021-10-17
為深入研究網絡安全人才的市場現狀,促進網絡安全人才的培養和教育,2017年以來,智聯招聘與奇安信行業安全研究中心展開聯合研究,對涉及安全人才的全平台招聘需求與求職簡歷進行分析。本次報告在需求變化、供需結構、用人單位特點以及人才自身特徵等多個方面對網絡安全人才市場現狀展開了全面、深入的研究,並連續五年發佈此項研究報告。
本報告由智聯招聘、奇安信、永信至誠、中國網絡空間安全人才教育論壇和廣州大學聯合發佈。希望此份研究報告能夠對用人單位以及網絡安全崗位的求職者們提供有價值的參考信息。
时间:2021-09-17
隨着網絡安全實踐工作的持續深入發展,白帽子已經成為了各項網絡安全工作中不可或缺的關鍵要素,白帽人才培養也是我國網絡安全人才發展戰略的重要組成部分。為了更加深入、全面的瞭解我白帽人才的發展全貌,補天漏洞響應平台與奇安信行業安全研究中心聯合展開了本次以白帽人才能力與發展現狀為核心的調研工作,期望能夠為促進白帽人才綜合能力建設與發展提供積極的、有益的參考。