電信巨頭T-Mobile三年內(nèi)曝光四起信息泄露 運(yùn)營(yíng)商該怎么保障數(shù)據(jù)安全？

2021 年才剛剛開(kāi)始,信息泄露事件已經(jīng)發(fā)生了好幾起……

意沃達(dá)豐(Vodafone)旗下的意大利移動(dòng)運(yùn)營(yíng)商Ho Mobile證實(shí)發(fā)生大規(guī)模數(shù)據(jù)泄露,約250萬(wàn)客戶個(gè)人信息被竊取并流入暗網(wǎng)售賣(mài),包括姓名、電話號(hào)碼、電子郵件地址、國(guó)籍、家庭住址、社會(huì)安全號(hào)碼等,Ho Mobile 表示將為受影響的用戶免費(fèi)更換 SIM 卡。

無(wú)獨(dú)有偶,美國(guó)電信巨頭T-Mobile近日公布一起數(shù)據(jù)泄露事件,其發(fā)現(xiàn)一些客戶的的賬號(hào)信息遭到惡意訪問(wèn),這些賬戶信息涉及客戶的通話記錄,如通話時(shí)長(zhǎng)、通話時(shí)呼叫號(hào)碼與接聽(tīng)號(hào)碼等。此次數(shù)據(jù)泄露事件影響的人數(shù)大約為20萬(wàn)。

這已經(jīng)不是T-Mobile第一次“出事”了,算上剛爆出的這起事件,其在三年內(nèi)已經(jīng)發(fā)生了四次數(shù)據(jù)泄露事故:

2018年8月,黑客獲取了200萬(wàn)用戶的個(gè)人信息;

2019年11月,其預(yù)付費(fèi)用戶數(shù)據(jù)被泄露;

2020年3月,其員工和客戶數(shù)據(jù)遭惡意訪問(wèn),包括員工的電子郵件帳戶。

運(yùn)營(yíng)商的業(yè)務(wù)系統(tǒng)積累掌握著大量的客戶信息和生產(chǎn)、運(yùn)營(yíng)數(shù)據(jù),不僅涉及到個(gè)人隱私,還包含諸多的行業(yè)及國(guó)家政策、商業(yè)機(jī)密等。而且運(yùn)營(yíng)商的業(yè)務(wù)系統(tǒng)和終端環(huán)境復(fù)雜,上下游供應(yīng)鏈伙伴繁多,數(shù)據(jù)的交互、流動(dòng)相當(dāng)頻繁。更重要的是,運(yùn)營(yíng)商作為網(wǎng)絡(luò)、通信基礎(chǔ)設(shè)施提供者,扮演著連接者的角色,一旦發(fā)生數(shù)據(jù)泄露,波及面及影響程度都很深遠(yuǎn)。

據(jù)了解,運(yùn)營(yíng)商現(xiàn)有的防護(hù)手段例如防火墻、堡壘機(jī)等,雖然可以起到一定的防護(hù)效用,但是重在解決單個(gè)域內(nèi)的安全風(fēng)險(xiǎn),數(shù)據(jù)在跨系統(tǒng)、跨域流動(dòng)過(guò)程的防護(hù)有所缺失。同時(shí)這些防護(hù)沒(méi)有對(duì)數(shù)據(jù)全鏈路進(jìn)行監(jiān)測(cè)和管控,僅針對(duì)比如靜態(tài)存儲(chǔ)狀態(tài)等某一單個(gè)時(shí)期的安全狀態(tài)進(jìn)行保護(hù),而如今的數(shù)據(jù)隨時(shí)處于高頻交互中,這些都恰恰成為了最薄弱的環(huán)節(jié)。

數(shù)安行在長(zhǎng)期的數(shù)據(jù)安全保護(hù)研究中,創(chuàng)新提出了一種新的防護(hù)思路——數(shù)據(jù)運(yùn)營(yíng)安全(DataSecOps),關(guān)注數(shù)據(jù)本身,圍繞數(shù)據(jù)運(yùn)營(yíng)的全流程進(jìn)行安全防護(hù),所有的防護(hù)都圍繞數(shù)據(jù)運(yùn)營(yíng)展開(kāi),既覆蓋數(shù)據(jù)業(yè)務(wù)全流程,又與數(shù)據(jù)業(yè)務(wù)流程獨(dú)立運(yùn)行互不影響。

把焦點(diǎn)從系統(tǒng)、網(wǎng)絡(luò)、域等轉(zhuǎn)移到數(shù)據(jù)本身,可以避免傳統(tǒng)安全產(chǎn)品各自為陣從而存在安全盲區(qū)的問(wèn)題;同時(shí)通過(guò)跟蹤數(shù)據(jù)流轉(zhuǎn)的全生命周期,可以對(duì)敏感數(shù)據(jù)流轉(zhuǎn)擴(kuò)散的風(fēng)險(xiǎn)態(tài)勢(shì)做到全程把握與處置。以有效改善、解決上述傳統(tǒng)安全手段的防護(hù)瓶頸。

依此打造的數(shù)安行數(shù)據(jù)運(yùn)營(yíng)安全平臺(tái),即是通過(guò)對(duì)數(shù)據(jù)業(yè)務(wù)全流程進(jìn)行無(wú)改造的一一映射,管理跟蹤各種類(lèi)型、各種來(lái)源的個(gè)人隱私數(shù)據(jù)及商業(yè)數(shù)據(jù),建立敏感數(shù)據(jù)資產(chǎn)全景視圖,實(shí)現(xiàn)全類(lèi)型多源數(shù)據(jù)資產(chǎn)發(fā)現(xiàn)及風(fēng)險(xiǎn)分析、全流程數(shù)據(jù)流動(dòng)治理與風(fēng)險(xiǎn)感知以及自適應(yīng)精準(zhǔn)化的數(shù)據(jù)安全防護(hù)。