2022年上半年,全球范围内数据泄露事件频发:
1月20日,红十字国际委员会 (ICRC) 披露称,该组织使用的一个承包商遭到的网络攻击已经泄露了超过51.5万名“高危人群”的个人数据。
2月15日,克罗地亚电话运营商 A1 Hrvatska 披露了一起数据泄露事件,该事件影响了 10% 的客户,大约 20 万人。
3月2日国际芯片制造巨头英伟达证实,在2月23日遭遇了一次来自名为 Lapsus$ 数据勒索团伙的网络攻击,入侵者成功访问到专有信息与员工登录数据,窃取到了近 1TB 数据。
3月24日,匿名者黑客组织在推特账户上发布了瑞士饮品和食品巨头雀巢公司的一份数据库,约有10GB敏感数据泄露,包括公司电子邮件、密码,以及与商业客户相关的数据。
6月8日,美国医疗设备公司 Shields Health Care Group (Shields) 遭遇黑客攻击,泄露了大约200万美国人的医疗数据。
上面只是数百起大规模数据泄露事件的一个缩影。后续的业务受损,声誉受损,监管机构严查和罚款,以及电信诈骗或者用户资产失窃一系列的与业务所有者和个人用户相关的损失会接踵而至。
根据 Identity theft Resource Center (ITRC) 的统计1, 仅2022年的第一个季度,美国已报告的数据泄露事件高达404起,相比2011年的同期上涨了14%。Verizon 在其2022数据泄露调查报告2指出,勒索软件造成的数据泄露事故的数量上涨了13%,增幅超过过去五年的总和,有82%的数据泄露事故与人为的错误和社会工程有直接关系。IBM在其最近的数据泄露报告3中也谈到,如今一次数据泄露事故的平均损失为424万美元,这个数字较2019年上涨了10%。对于出海的中国企业起来说,不断上升的数据泄露威胁也带来了更大的风险。另外,在当今的国际环境下,中国企业在海外数据泄露事故带来的负面影响和损失较海外本地企业还要大很多。
Google 把用户数据保护作为最高优先级。凭借基于零信任的云平台设计,强有力的全球网络安全防护,基于大量流量和样本的安全研究和积累,以及全面的数据安全防护,Google一直是用户数据保护方面的典范。Google Cloud 继承了 Google 在安全上的积累和实践,通过云产品和服务来赋能客户,共同应对数据安全的挑战。
与 Google Cloud 一起建立您的云上纵深防御:
根据 Verizon 在其2022数据泄露调查报告2中的分析,四个主要的数据泄露起因为凭据泄露(credentials leakage),钓鱼(Phishing),漏洞(Vulnerabilities),尤其是人为的错误配置和变更带来的漏洞)和僵尸网络(BotNet)。这当中,有82%的数据泄露事故与人为的错误和社会工程有直接关系。其中25%的事故背后的客户组织通过勒索软件索要赎金。
面对这些威胁,在基础的云安全能力(点击小视频:
https://www.bilibili.com/video/BV1og411A79Y 了解 Google Cloud 13大核心安全控件)之上,Google Cloud 提供端到端的安全保护和数据治理的服务和能力,与您一起建立云上的纵深防御。
管理好的重要安全凭据
借助 Secret Manager,您可以将所有 Secret 存储在一个集中位置。Secret 是数据库密码、API 密钥或 TLS 证书等配置信息。您可以自动轮替 Secret,并且可以将应用配置为自动使用最新版本的 Secret。每次与 Secret Manager 交互都会生成审核日志,因此您可以查看对每个 Secret 的每次访问。
云上服务账号(Service Account)的管理、使用和监控是难点。在其他云上广泛使用的下载和使用服务账号令牌(Service Account Key,类似AK/SK)的方式,是 Google Cloud非常不建议使用的。建议大家遵循 Google Cloud 服务账号最佳实践,不仅仅可以避免遗失关键服务账号凭据带来的风险,还可以解决监控和审计方面的挑战。
Cloud Data Loss Prevention 提供检测器类别,以帮助您识别可能受到 Secret Manager 保护的数据中的凭据和 Secret。
控制对数据的访问权限
Google Cloud 提供了全面的身份认证和授权管理的最佳实践,在诸如最小权限、权责分离等基础要求之上,还提供了一整套围绕不同层级资源的 IAM 管理、治理、监控和审计的建议。
零信任访问控制(点击小视频:
https://www.bilibili.com/video/BV1hi4y1U7Rv 了解 Google Cloud 零信任方案)为企业内网关键资源的安全访问增加了一层安全防控,有效降低横向移动风险,提供端到端的DLP和病毒木马扫描,并借助 Google 全球网络提高企业出海员工办公的用户体验。
您可以控制 Google 支持和工程团队对您的 Google Cloud 环境的访问权限。借助 Access Approval,您可以事先明确批准 Google 员工访问您在 Google Cloud 上的数据或资源。此产品是对 Access Transparency 提供的可见状态的补充,它会在 Google 员工与您的数据交互时生成日志。这些日志中将包含办公地点和访问原因。
加密您的数据
在众多的云平台中,Google Cloud 承诺默认支持真正的所有数据的静态加密和网络传输加密。默认情况下,Google Cloud 会对静态存储的客户数据进行加密,因此您无需执行任何操作。除了默认加密之外,Google Cloud 还提供信封加密和加密密钥管理选项。例如,虽然 Compute Engine 永久性磁盘会自动加密,但您可以提供或管理自己的密钥。
无论您选择的是用于存储、计算还是大数据工作负载的密钥,都必须确定最适合密钥生成、存储和轮替要求的解决方案。在 Google 管理的密钥选项基础上,Google Cloud 提供以下加密和密钥管理选项:
● 客户管理的加密密钥 (CMEK)。您可以使用 Cloud Key Management Service (Cloud KMS) 来生成和管理您的加密密钥。
● 客户提供的加密密钥 (CSEK)。您可以创建和管理自己的加密密钥,然后根据需要将其提供给 Google Cloud。
● 具有 Cloud External Key Manager (Cloud EKM) 的第三方密钥管理系统。Cloud EKM 使用您在 Google 基础架构外部控制的第三方密钥管理系统中存储和管理的加密密钥来保护您的静态数据。
● 硬件安全模块(HSM)。经过 FIPS 140-2 3 级验证,跨区域分发密钥管理,为密钥提供了冗余性和全球可用性。
对核心数据平台和服务进行安全加固
Google Cloud 提供丰富的产品特性和最佳实践,保护承载关键数据资产的 BigQuery 数据仓库和 Google Cloud Storage 等数据平台和服务。同时,我们提供了安全蓝本,确保存储机密数据的 BigQuery 数据仓库的安全性,并提供一键部署的Terraform方案。
VPC 服务控制 提供更深一层的安全围栏能力,可以将数据服务和平台放入围栏中,控制 API 的访问,为合法的用户访问设置白名单。
Cloud DLP 内置120多种用户敏感信息模版,且支持使用正则表达自定义敏感信息检查。可以对各类 Google Cloud 数据平台以及第三方的数据源进行扫描和脱敏。
Cloud Armor 配合 Google Cloud 全球负载均衡,保护关键数据服务的 Web 和 API 访问。
监控您的数据和各种行为
如需查看管理员活动和密钥使用日志,请使用 Cloud Audit Logs。为了帮助保护您的数据,请使用 Cloud Monitoring 来监控日志,以确保正确使用您的密钥。
Cloud Logging 会捕获 Google Cloud 事件,并且允许您在必要时添加其他来源。您可以按区域细分日志、将日志存储在存储桶中,以及集成自定义代码来处理日志。
您还可以将日志导出到 BigQuery 来执行安全和访问分析,以帮助识别对组织数据的未经授权更改及不当访问。
Security Command Center 可以帮助您识别并解决存储在云端的组织敏感数据中的不安全访问问题。通过单个管理界面,您便可以扫描您的云基础架构中的各种安全漏洞和风险。
此外 Google Cloud 独特的云原生自动化(简单的持续自动化合规的小视频:
https://www.bilibili.com/video/BV1D44y1M7vf)安全运维解决方案,集成了现代化的 SIEM 平台(Chronicle),自动化安全编排平台(Siemplify)和全球顶级的威胁情报平台(VirusTotal),全面提升自动化的数据安全监控、分析、关联、响应等能力,并加速您的安全运维中心现代化。
全面应对僵尸网络(BotNet)的威胁
僵尸网络不仅仅是很多网络欺诈和恶意内容的罪魁祸首,也是获取敏感数据的有效手段之一。在 Verizon 在其2022数据泄露调查报告2中,僵尸网络“榜上有名”。Google Cloud 的 reCAPTCHA enterprise 就是专门为了应对这种挑战而生。它是全球历史最悠久最负盛名的应用验证码服务,帮助600多万网站和应用对应自动化机器人的挑战,保护数十亿互联网用户。
建立勒索软件防控的全面能力
近两年勒索软件有爆发的趋势,即使一些比较成熟的公司也难逃它的侵扰。Google Workspace 内建云原生对抗勒索软件的能力,配合 Chrome 及内置 Titan 芯片的硬件双因素 token,以及相应的备份、监控、告警和恢复措施,可以非常有效地对抗钓鱼邮件并应对勒索软件的威胁。
面向数据生命周期的全面治理
确保数据在其生命周期内的安全性、识别数据所有权和分类以及保护数据免遭未经授权的使用都数据数据生命周期治理的范畴。在上面提到的一些防控手段外,以下的一些治理措施也是不可或缺的:
● 尽早在数据管理生命周期内执行数据分类分级。使用 Cloud DLP 发现 Google Cloud 环境中的数据并进行分类。Cloud DLP 内置了对 Cloud Storage、BigQuery 和 Datastore 中敏感数据的扫描和分类支持。
● 数据治理为确保数据安全、私有、准确、可用和易用所执行的各流程的组合。使用 Data Catalog 以查找、挑选和使用元数据来描述您在云端的数据资源。标记数据后,可以使用 IAM来限制用户可以通过 Data Catalog 视图查询或使用的数据。
● 根据数据的生命周期阶段和分类来保护数据。在数据生命周期的不同阶段,确保控制措施提供了足够的保护、满足合规性要求并降低风险。
● 配置数据的存储位置以及用户可以访问这些数据的位置,降低攻击面,满足合规需求。可以使用 VPC Service Controls 来控制用户可以访问数据的网络位置。同时,Assured Workload 服务可以进一步强化数据的存储区域,提升治理能力,提高合规的信心。
面对这日益严峻的数据安全挑战,很多 Google Cloud 用户使用上述提到的解决方案和最佳实践,在数据保护方面得到了很大价值。以 Sabaru 为代表的众多制造业企业,通过引入 Google Cloud 零信任,VPC 服务控制,全面监控和数据治理的能力,保护其核心的知识产权和用户数据。以 PingCAP 为代表的新锐互联网及企业服务的公司,更加看好 Workspace 的防钓鱼防勒索软件的能力,其中有些企业以 workspace 为基础,在内网应用数据保护和零信任能力打通,形成端到端的数据泄漏防护、防钓鱼、防恶意软件的能力。全球主流的电商企业,游戏企业和互联网企业均采用 reCAPTCHA enterprise 应对僵尸网络带来的恶意内容、欺诈、用户账户劫持等风险。相信 Google Cloud 数据安全产品和能力,也会在中国出海企业的数据安全保护方面贡献更大的价值。
参考
[1] Identity Theft Resource Center Report: Data Breaches Increase; Victim Rates Drop in Q1 2022 (https://www.idtheftcenter.org/post/data-breach-increase-14-percent-q1-2022/)
[2] Verizon 2022 Data Breach Investigation Report (https://www.verizon.com/business/resources/reports/dbir/)
[3] IBM: How much does a data breach cost? https://www.ibm.com/security/data-breach