一、背景概述
现代人类世界正处于一个高速发展的信息化时代,而数据作为信息化时代中的核心,已经融入到了社会中的点点滴滴,手机、微信、淘宝等信息化产物已贯穿于每个人的生活。信息化时代引领人类世界进步的同时,数据的副作用也慢慢显示出了它的威力。
近些年来电话诈骗、网络欺诈等事件层出不穷,不法分子利用个人隐私信息(如电话号、身份证号、银行卡号等)来进行诈骗,导致无数人的生命和财产安全收到损害。从国家层面上来看,国家关键基础设施单位、重要部门的敏感数据一旦泄露,更会对国家安全造成严重影响。鉴于数据泄露的巨大危害,我国分别在2021年9月1日和2021年11月1日实施了《数据安全法》[1] 和《个人信息保护法》[2]。在我们享受信息化时代带来的便捷同时,数据安全也值得引起我们的重视。
下文我们首先会介绍部分数据泄露事件,随后我们会介绍预防数据泄露的两个创新解决方案(“源代码暴露核查服务”和“绿盟隐私计算平台”),最后我们会进行一个总结。
二、数据泄露事件
近些年来境外黑客对我国展开的网络攻击不胜枚举。自2021年10月以来,一个名为AgainstTheWest(ATW)的境外黑客组织,便通过SonarQube平台的未授权访问漏洞对我国多家关键信息基础设施单位发起攻击,窃取其系统的数据,并在国外黑客论坛RaidForums上进行非法售卖,更多详情请见:【安全事件】黑客利用开源代码平台SonarQube漏洞泄露多家单位源码
2022年1月20日,该组织又发起了更大规模的攻击,这次ATW利用了Gitlblit自建代码仓库中的未授权访问漏洞窃取了我国多家重要单位系统的数据,并在同样的论坛RaidForums上进行了非法售卖,更多详情请见:
http://blog.nsfocus.net/gitblit-snoarqube/。
图1 ATW黑客组织在RaidForums地下论坛进行非法售卖
三、源代码暴露核查服务
尽管许多企业和机构非常重视数据安全,也购买了诸多数据安全相关的产品,但是上述数据泄露事件还是屡见不鲜。对此,绿盟科技创新研究院进行了大量的研究,我们发现上述重大数据泄露案例都与源代码泄露相关,一个系统的源代码往往会由多个开发人员进行编写,而个别开发人员可能因安全意识不强,将代码放置在了暴露的网络环境,从而造成了源代码泄露。
基于我们深厚的云上风险研究积累,绿盟科技推出了源代码暴露核查服务。通过该服务,我们可以深度发现互联网上与企业和机构自身相关的暴露代码仓库,绿盟科技也是行业首个针对非开源资产代码仓库(如:Gitblit、Gogs、Gitea)提供暴露核查服务的厂商。
截至目前,我们已经发现了我国多个重要单位相关系统暴露的源代码仓库,目前已帮助其中约100家单位进行了处理,部分示例如下:
图2 某银行预售款监控系统
图3 某重要部门党史系统
图4 某地水利系统
图5 某医院管理系统
图6 某地铁系统
在我们研究的同时,我们发现此类代码仓库暴露事件90%以上属于外包供应链暴露模式(甲方单位将项目外包给专门开发某系统的公司,外包公司因为安全意识不强将代码放在有未授权访问漏洞的仓库之中进行管理),关系如图7所示。
图7 系统代码暴露关系图
由于外包关系,相关单位更难发现自身相关系统的源代码是否暴露,因此进行代码暴露核查显得更为关键。
图8 绿盟科技源代码暴露核查服务功能点
四、绿盟隐私计算平台
源代码暴露核查服务可以帮助用户发现与自身相关的暴露源代码,从而核查数据相关信息是否有暴露,但是如果希望更彻底地降低数据暴露面,这时候便需要一个新兴的技术——隐私计算。
隐私计算是指在提供隐私保护的前提下,实现数据价值的挖掘。借助隐私计算技术,我们可以保证重要数据不出本地,同时我们也可以利用这部分数据完成对应的机器学习和多方安全计算等任务。有了隐私计算,在不影响数据使用的同时,数据的暴露风险面会大大减少,数据安全也会得到一个质的飞跃。
凭借着多年数据安全研究的积累,绿盟科技创新研究院推出了绿盟隐私计算平台。绿盟隐私计算平台为客户提供“数据可用不可见”的数据价值共享和流动,基于同态加密和密码学底层协议,实现“原始数据不出库,模型和结果多跑路”效果。该平台目前支持联邦学习、安全多方计算和机密计算(TEE)三种主要的隐私计算能力,并拥有功能全、实施易、成本低、安全高等优势,平台示例见图9。
图9 绿盟隐私计算平台
五、总结
随着全球信息化时代的推进,数据变得越来越重要、数据安全也得到了越来越多人的关注。尽管许多单位在数据安全方面花了大量的资金,但是依旧没有躲过黑客的入侵与破坏。绿盟科技创新研究院结合前沿创新研究,推出了“源代码暴露核查服务”和“绿盟隐私计算平台”两种新型解决方案。从理论研究和多个重要单位的实践来看,我们认为这两个创新解决方案可以更有效地预防数据的泄露,真正地降低实际案例下数据泄露的风险。如需进一步了解、咨询或试用,欢迎各位后台留言与我们取得联系。
参考链接
[1]http://www.npc.gov.cn/npc/c30834/202106/7c9af12f51334a73b56d7938f99a788a.shtml
[2]http://www.npc.gov.cn/npc/c30834/202108/a8c4e3672c74491a80b53a172bb753fe.shtml
内容编辑:创新研究院 陈佛忠
责任编辑:创新研究院 陈佛忠
本公众号原创文章仅代表作者观点,不代表绿盟科技立场。所有原创内容版权均属绿盟科技研究通讯。未经授权,严禁任何媒体以及微信公众号复制、转载、摘编或以其他方式使用,转载须注明来自绿盟科技研究通讯并附上本文链接。