正文

从数字化迅速扩张导致的不均衡发展看数据泄露问题

admin
admin V管理员 /0 评论 /6 阅读
1113
文章最后更新时间2025年11月13日,若文章内容或图片失效,请留言反馈!

随着数字经济的迅速发展,数字化产业成为我国重要的经济模式,依托信息技术产生的数字化表现加速了我国经济的发展。数字化扩展了数字产品的范围和类型,从传统的PC桌面终端到移动终端,智能终端、云终端以及各种基于OT的工业化终端。而终端的操作者也从计算机专业人士到业务操作者。数字化不仅仅加剧了终端的复杂化,同时也带来业务交互复杂性以及通信复杂性。在种种复杂性的情况下,为数据泄露提供了一个必要的温床。

数字化的普及使得数字化设备设施的操作成为每一个社会人必须具备的技能,操作数字化设备和安全的操作数字化设备是两个不可分割的问题。首先我们面临的是人的能力不均衡的问题。由于操作数字化组件的人员普遍缺乏网络安全意识。在识别和对抗网络钓鱼、垃圾邮件、社会工程学以及应对针对个人PC终端、智能终端安全问题时缺乏相应的意识和能力;使得操作者总是会在有意或无意之间存在如下操作:

l始终保持智能终端与终端云服务相连,并且开启云备份功能,使得保存在手机中的文件、相册、通讯录被自动上传云端存储,在不可信任的云技术情况下,可能上传更多的终端数据。一旦云平台被攻击或者恶意的云服务商工作人员产生的数据滥用和盗窃,直接导致不可预测的数据泄露;

l随意点击链接是整个数字化设备操作人员最容易犯的错误。在无法辨识链接是否安全的情况下,随意的点击可能导致钓鱼链接、木马下载、感染诸如勒索病毒一般的恶意代码等等问题是产生终端被控制后两个恶意后果,一方面本机数据可能会被扒窃或者被加密后勒索;另一方面,不恰当的一机双网也容易导致本机被作为跳板向内网发起攻击,进而使得整个组织面临危险;而这种恶意链接可以寄生在邮件、即时通信工具聊天过程中、短信、文章、网站等应用之中;如果缺乏有效的终端防护工具,这是一种最便捷的攻击方式;

l社会工程学攻击是最容易突破技术屏障成功攻击用户段 手段,这种攻击不仅仅对非数字化专业人员产生重大伤害,同时也会对过于自信和缺乏警惕的专业数字化人员甚至专业网络安全人员形成有效攻击的手段;利用伪造(近年来,AI伪造产生的社会工程学攻击越来越普遍,将会成为未来很多年统治社会工程学的最佳手段)、欺诈、胁迫等手段利用人性的善良、畏惧权威机构、同情、信任以及贪婪等心理成功获得相关权限。“人们总喜欢用牺牲隐私来换取便捷”成为个人信息泄露的一种自嘲;

l操作者在缺乏非专业化指导的情况疲于奔命的应对不断迭代更新的信息技术手段和应用。大多数的工作已经被数字化替代,但是不管是操作基于B/SWeb应用还是C/B/S的智能终端App应用。我们发现往往建立数字化转型服务的过程中,只有在实现技术和维护活动中我们可以看到专业的信息技术和网络安全人员参与,除此之外我们面对的是对数字化技术完全不熟悉的业务人员与领导。盲信和自信导致整个数字化应用从需求开始就缺乏一种安全可信。设计背离于需求、实现与设计不一致等等问题成为一个数字化转型中的重大灾难。当我们将需求、设计、实施文档目录叠加在一起的时候,我们发现,每一个环节都是独立的。在这种脆弱的数字化体系建设过程中,为数据泄露提供了必然的条件;

其次我们面临的是数字化业务、数字化技术以及数据安全技术的不均衡发展。

l技术迭代与人员能力迭代的不匹配考验着每一个组织。每一种新技术产生的配置和管理活动以及网络技术与应用技术的割裂,我们发现大多数的数据泄露的前奏网络攻击行为,都是围绕着错误的配置、过多的暴露以及各种违规违约的外联、一机多网以及基于云管理平台产生的远程智能终端的操作。大多数的智能设备是可以通过设备关联的用户ID在厂商提供的远程管理平台上执行无设备的操作,比如:接管或读取短信、远程支付、虚拟终端等,尤其是境外优秀的智能终端设备。而这一切,对于不可能完全了解设备所有功能的用户而言都是无知的。数据安全问题更多的产生与无知者无畏的思想中;

l智能体将成为未来大规模数据泄露的新的途径。作为一个新型的应用,从实验室到开放应用经过了一个漫长的岁月,生成式人工智能一经推出就成为全社会的萌宠。但是当我们源源不断的将单位的各种文件、数据投喂给智能体为自己生成各种文件、报告、PPT以及文章的时候,这些训练数据会不会被智能体作为自己的知识库提供给每一个互联网用户呢?我们是否会对智能体生成的结果进行验证和复核呢?我们是相信智能体最终的结果还是用辩证的思想去分析智能体的结果呢?越来越多的人已经不在信赖专业的人而去痴迷于智能体的结论。这时候我们不断将自己的各种数据投送给智能体时,是否会考虑敏感信息泄露甚至是涉密信息泄露的问题?

l通信的多元化和多样化,对于非专业人士无需关注通信传输的流量与流向,也就是说,我不要知道他都去了哪里,我只关心我的信息有没有送达给我想要送达的对方。实际上通信相当于一条公路,我们在公路上有很多岔路和高架,决定车辆行驶状态的不说车辆和公路而是司机。对于数字化通信而言同样,决定数字化通信状态的不仅是通信协议还包括提供传送活动的代码。最终数据如何传送以及送给谁,是由程序代码决策。近年来我们发现很多应用系统在不告知用户的情况下通过代码改变数据包的传送路径,从用户登录请求开始,将各种数据分别传送给不同的应用平台、云平台实现显式的画像、精准分析以及隐式的数据非法获取和留存,这为其他数据攻击者提供了良好的第三方攻击途径,也就是说,攻击者不一定要通过攻击A机构的系统来获取A机构的数据。只需要了解持有数据最多的数据分析平台B机构的缺陷就可以在A公司无感知的情况下获得不仅包含A公司的更多的数据或隐私。这使得A公司面临无妄之灾。

第三,对数据安全价值和意义的理解不均衡。虽然立法不断强化对数据安全和个人信息保护的要求,但是更多的时候管理者的眼光还是把数据安全工作定义在技术安全层面上,以合规为出发点,并未真正领会数据安全的价值和意义。业务部门把数据安全定义为业务的阻碍因素。安全部门将数据安全视为网络安全的延伸和精细化。使得对数据安全产生的实际问题-数据自身的安全被广泛忽视。业务、安全、管理三者认知的隔离产生数据安全工作更多的不均衡。

数字化技术在不断演进,操作数字化技术将便捷作为放弃安全保障的一种理由,排斥网络及数据安全技术手段的部署和实施。导致数据泄露成为一种常态化问题。重业务轻安全的思想自上而下的存在。很多时候可能读者认为这是在夸大数据安全问题,但是我们发现更多的时候我们在掩耳盗铃,自欺欺人。数字化带来的不均衡问题是构建可信数字经济过程中不可调和的矛盾。


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒天下网