西北工业大学遭受美国国家安全局网络攻击的事件持续引发各方高度关注。近日,中央电视总台国际电视台(CGTN)新闻频道的今日世界栏目就该事件邀请到北京数安行科技有限公司CEO王文宇,上海国际问题研究院网络空间国际治理研究中心秘书长等网络空间安全相关专家进行分析解读。
数据安全成为影响国家安全的一大变量
据悉,6月22日,西北工业大学发布《公开声明》称,该校遭受境外网络攻击。陕西省西安市公安局碑林分局随即发布警情通报,证实在西北工业大学的信息网络中发现了多款源于境外的木马样本,西安警方已对此正式立案调查。由国家计算机病毒应急处理中心和360公司联合组成的技术团队全程参与技术分析工作,全面还原了相关攻击事件的总体概貌、技术特征、攻击武器、攻击路径和攻击源头并于日前发布调查报告,判明相关攻击活动源自美国国家安全局(NSA)特定入侵行动办公室(TAO)。
美国借此窃取了多少信息?他们又会如何利用这些信息?CGTN记者在节目中报道,调查报告显示已检测到多达1100多条在西北工业大学内部渗透的攻击链路,NSA先后使用了41种网络攻击武器来窃取这些核心技术,报告还称,TAO的网络攻击规模远大于一所大学。该部门近年来对中国进行了数万次恶意攻击,控制了大量网络设备,超过140GB的高价值数据被盗,就连中国的手机用户也受到美国的监视。
数安行CEO王文宇在接受CGTN采访时表示,“事实上,美国建立了大量的数据中心专门用于进行无差别数据收集后的数据分析提取工作,包括敏感的商业数据、政治数据、军事数据等,美国将其提取并放入他们的情报数据库。网络战和信息战已经成为现代战争的主场,在这方面,如果美国对我们的武器和制造工艺有了更深的了解,其将在未来的战争中对我们采取难以想象的反制措施。”
数据安全不只是合规亟需基于对抗的数据安全
案件中的西北工业大学以航空、航天和航海研究而闻名,承担了我国大量的国防和科学研究,是典型的关键信息基础设施单位,而这类目标,正是TAO的核心攻击对象。不难想象,关基设施所掌握的数据价值对于国家安全的重要性有多高,美国政府不惜以网络犯罪为手段,致力于谋取网络霸权的强盗霸凌行径,对国家安全利益造成了严重影响。
当我们聚焦到数据安全本身,可以发现,这已经不仅仅是单纯的合规刚需,其已成为能影响国家安全的一大变量,值得引起高度警惕。不仅仅是关基设施,新时代的国家数据安全防护责任要求涉及敏感数据处理活动各个环节的企业和机构都应当承担起相应义务,共同保障国家数据安全。
还是以该案件来看,西北工业大学在6月的声明中就表示,他们的师生收到了带有木马程序的钓鱼电子邮件,这些境外黑客试图借此获取邮件登录信息,最终调查报告表明检测到超过1100条在内部渗透的攻击链路。数安行DSO实验室数据安全专家分析表示,攻击行为之所以可以在内部横移,最终窃取走大量数据,充分说明在内部针对敏感数据的流动缺乏有效的识别和管控机制,而且基于边界检测拦截的安全防护策略已经明显失效。
这也正是当前数据安全防护工作的难点所在。一方面,在内部发生的各种数据访问、传输等合法的数据运营过程,会造成数据的大量复制、压缩、格式转换等等形态和数量上的变化,导致数据存储混乱、暴露面大、敏感数据无梳理,内部扩散滥用风险增大。另一方面,外部攻击窃密以网络钓鱼等手段攻破切入,盗取敏感数据外出时,也会提前进行多次的加密、隐写变形等等恶意伪装和掩饰处理,导致可以绕过边界处的审计、检测、拦截策略。
数据安全未来发展趋势:DataSecOps是数据安全左移的必然产物
为了对抗新时代的数据安全挑战,我们需要新的防护理念和安全架构,使数据在存储、应用以及终端中都能保证数据被安全地存储和使用,既要满足合规要求又要做到真正的风险识别和可控,这需要将数据防护措施从传统的边界拦截延展到数据运营全流程。
参展安全左移思想在网络安全各个领域的运用,数据安全左移将侧重持续化的数据跟踪和风险监测,不再只守着边界,而是横贯数据处理、使用以及流转的所有环节,这是数字时代以数据为中心的安全发展的必然趋势。
数安行认为,通过在DataOps中内嵌安全属性的方式,可以实现数据安全左移的技术落地。DataSecOps是一种自动化的安全,基本思想就是在数据运营的第一现场持续地对数据处理和使用全流程进行追踪,这样才能监测到数据经变形处理流转的整个过程,直面数据的多态性和多副本性,发掘数据风险的真正源头,实现数据安全能力的延展。
DataOps关注的是数据处理的效率,DataSecOps的目标是保证数据安全地处理使用,一方面实现数据全流程的防护,一方面实现数据开发利用与数据安全的有效平衡。数安行依据该理念打造的零数据运营安全平台重点围绕数据识别与数据流映射、保护自动化、风险的持续监控、数据安全合规评估等四个方面进行数据安全体系建设。通过DataSecOps的防护理念,可以更全面地识别数据,更有效地保护重要数据,更早地识别风险,打破业务、IT以及数据安全团队的沟通界限,从而整体上降低数据安全建设成本,提升数据安全建设收益。
网络空间很大程度是物理空间的映射,网络活动轻易跨越国境的特性使之成为持续性斗争的先导。没有数据安全就没有网络安全,没有网络安全就没有国家安全,公安部近日在其新闻发布会上表示要零容忍打击涉数据安全违法犯罪、全方位加强网络安全监督检查,无论是常态化的数据安全合规监管,还是原生性的数据安全防护需求,直面数字时代的数据安全严峻挑战,运用与时俱进的安全理念和技术架构,发展我们在科技领域的非对称竞争优势,才能建立起属于中国的、独立自主的网络防护和对抗能力。