Gần đây789bey, trên mạng xã hội đã xuất hiện thông tin về việc dữ liệu của một công ty thương mại điện tử lớn trong nước bị tin tặc truy cập trái phép, làm rò rỉ gần 1,2 tỷ thông tin người dùng. Từ những tài liệu phán quyết lan truyền, có thể thấy sự việc này đã được xác nhận chắc chắn. An Toàn 419 đang theo dõi sự việc nhưng cũng cảm thấy băn khoăn, bởi với quy mô khổng lồ như vậy, khả năng bảo mật của nền tảng thương mại điện tử này vốn đã rất mạnh mẽ, đầu tư rất nhiều vào an toàn, nhưng tại sao vẫn xảy ra tình trạng dữ liệu người dùng bị thu thập hàng loạt?
Vì vậy789bey, chúng tôi đã tìm đến công ty an toàn dữ liệu Toàn Tri, chuyên nghiên cứu về quản lý lưu thông dữ liệu, để xin ý kiến từ nhà sáng lập kiêm CEO của họ là Phương Hành.
Việc rò rỉ dữ liệu không phải lúc nào cũng do tin tặc xâm nhập gây ra
Dữ liệu kinh doanh đang "chạy trốn"
Ông Phương Hành789bey, nhà sáng lập và CEO của Toàn Tri, cho biết rằng trước đây các doanh nghiệp thường coi dữ liệu là tài sản cốt lõi, đặt nó vào chiếc tủ an toàn nhất trong nhà. Nếu hacker muốn đánh cắp dữ liệu, họ phải phá vỡ từng lớp ranh giới, xâm nhập vào bên trong. Tuy nhiên, khi quá trình số hóa của doanh nghiệp ngày càng nhanh chóng, nhiều doanh nghiệp và cơ quan chính phủ sẽ ngày càng mở rộng các hệ thống kinh doanh trực tuyến để cung cấp dịch vụ thuận tiện hơn. Vì nhu cầu kinh doanh, các hệ thống trực tuyến này mỗi ngày sẽ tiếp nhận dữ liệu do người dùng gửi lên, đồng thời cũng tự động phát tán một lượng lớn dữ liệu ra ngoài.
Trước đây mọi người luôn nhấn mạnh vào các cuộc tấn công của tin tặc789bey, các lỗ hổng 0Day, lo ngại rằng kẻ xấu sẽ phá vỡ hệ thống bằng các phương pháp kỹ thuật rồi lấy toàn bộ dữ liệu đi. Tuy nhiên, thực tế lại không phải như vậy.
Trên thực tếkeo 88, các sự cố rò rỉ dữ liệu thường xảy ra ở cấp độ kinh doanh, không cần kỹ thuật cao siêu hay các lỗ hổng 0Day phức tạp để xâm nhập sâu vào hệ thống doanh nghiệp. Thay vào đó, tin tặc sẽ ẩn mình ở các khâu liên quan đến hệ thống kinh doanh, chờ đợi dữ liệu di chuyển và lợi dụng những khiếm khuyết nhỏ để lấy đi một cách hàng loạt.
Thực tếcổng game quốc tế, so với các hình thức tấn công khác, hành vi của phe đen trắng có rủi ro pháp lý thấp hơn. Họ chỉ cần sử dụng phần mềm thu thập dữ liệu đơn giản, mô phỏng truy cập hoặc lỗi giao diện API là có thể lấy được dữ liệu, mà doanh nghiệp thậm chí còn không hề nhận ra
Trong hầu hết các trường hợpkeo 88, đối với phía sau hệ thống kinh doanh, những hành vi này dường như chỉ là việc truy xuất dữ liệu bình thường, nên rủi ro thường bị bỏ qua. Tuy nhiên, thực tế thì dữ liệu đang "trơ trọi", phe đen trắng dễ dàng thu thập hàng loạt thông qua công nghệ thu thập dữ liệu hoặc lợi dụng các lỗ hổng trong hệ thố Ngay cả khi phía kinh doanh phát hiện một số rủi ro truy xuất dữ liệu, họ cũng có thể không nhận ra rằng đã xảy ra vấn đề an toàn dữ liệu.
Lớp ứng dụng kinh doanh
Đã trở thành "vùng nóng" của vấn đề an toàn dữ liệu
Rất nhiều lầnkeo 88, phe đen trắng liên tục thu thập dữ liệu từ nhiều nền tảng và kênh khác nhau. Khi những dữ liệu khổng lồ này tụ họp lại trong tay họ, họ sẽ tiến hành phân tích và tính toán dữ liệu lớn phức tạp, từ đó nắm bắt được thông tin nhạy cảm hơn nữa.
Ví dụ cụ thểkeo 88, vào năm 2020, đã từng xảy ra một sự việc rò rỉ dữ liệu hàng trăm triệu số điện thoại và ID người dùng của một nền tảng mạng xã hội. Thực chất, tin tặc đã lợi dụng chức năng ghép nối tài khoản mạng xã hội thông qua số điện thoại trên ứng dụng, sử dụng giao diện tải lên danh bạ để thực hiện ghép nối bạo lực, sau đó tra ngược tên người dùng trên Weibo thông qua số điện thoại và danh bạ, thu thập được nhiều dữ liệu như tài khoản, tên người dùng, mối liên hệ giữa tài khoản và số điện thoại.
Dù nhìn bề ngoàicổng game quốc tế, dường như sự rò rỉ này không gây ảnh hưởng gì đến người dùng và nền tảng, nhưng thực tế, số điện thoại là một loại dữ liệu riêng tư nhạy cảm vì nó trực tiếp liên quan đến con người.
Dù hiện tại đa số các doanh nghiệp internet đều thực hiện một số biện pháp bảo vệ và làm mờ thông tin khi xử lý ID người dùngcổng game quốc tế, nhưng phe đen trắng vẫn có thể sử dụng số điện thoại để thu thập toàn bộ thông tin của người dùng trên các nền tảng mạng xã hội khác nhau. Họ sẽ ghi lại nhiều thông tin được cho là không quan trọng như hình đại diện, nơi đăng ký, sở thích… sau đó phân tích thuộc tính để tái nhận diện và phục hồi thông tin thật của người dùng, từ đó xây dựng bản đồ nhận diện người dùng ngày càng chính xác hơn, sau đó có thể thực hiện quảng cáo mục tiêu, lừa đảo điện thoại mục tiêu, hoặc bất kỳ việc nào khác.
Chúng tôi từng nghĩ rằng ID người dùngcổng game quốc tế, tên người dùng, hình đại diện có phải là dữ liệu nhạy cảm không? Chết cũng không thể tưởng tượng nổi.Ông Phương cho biết789bey, có rất nhiều ví dụ tương tự, sự rò rỉ dữ liệu xảy ra mà doanh nghiệp và người dùng không hề biết. Và ngay cả sau khi dữ liệu bị rò rỉ, chúng ta cũng không rõ phe đen trắng sẽ sử dụng nó như thế nào.
Thực tếcổng game quốc tế, đây chính là vấn đề an toàn dữ liệu chủ yếu mà chúng ta đối mặt ngày hôm nay.
Giao diện API mất kiểm soát
Đang trở thành "nguồn gốc" và "kẻ giúp sức" cho việc rò rỉ dữ liệu của doanh nghiệp
Với sự phát triển nhanh chóng của ứng dụng di độngkeo 88, API đóng vai trò là con đường quan trọng trong việc truyền tải và lưu thông dữ liệu, đảm nhiệm trọng trách trao đổi và truyền tải dữ liệu. Tuy nhiên, chính những cổng giao diện API này, những điểm then chốt trong việc truyền tải dữ liệu, đang trở thành "nguồn gốc" và "kẻ hỗ trợ" cho việc rò rỉ dữ liệu của doanh nghiệp.
Gartner từng dự đoán rằng đến năm 2022keo 88, việc lạm dụng API sẽ trở thành phương thức tấn công phổ biến nhất. Tuy nhiên, Toàn Tri đã nhận thức sâu sắc rằng, trọng tâm của an toàn API không phải là chiến tranh mạng, mà là an toàn dữ liệu. Ông Phương chia sẻ rằng, trong làn sóng số hóa, các hoạt động kinh doanh trực tuyến của doanh nghiệp đang phát triển nhanh chóng. Để đáp ứng nhu cầu kinh doanh, họ đã mở ra rất nhiều cổng giao diện API. Những cổng giao diện API này thực sự đã trở thành kênh phổ biến nhất mà phe đen trắng sử dụng để đánh cắp dữ liệu.
Một mặtkeo 88, các cổng giao diện API sẽ tiết lộ một số dữ liệu phải công khai, chẳng hạn như dữ liệu đánh giá người dùng, ID hình đại diện, thông tin tồn kho của nhà bán hàng trong các nền tảng thương mại điện tử... Những thông tin công khai này có giá trị lớn đối với tin tặc, và thường được sử dụng sai lệch trong các tình huống quan trọng như tiếp thị mục tiêu, lừa đảo...
Mặt khác789bey, đối với các doanh nghiệp internet lớn, họ có rất nhiều hệ thống kinh doanh và cũng mở ra rất nhiều cổng giao diện API. Tuy nhiên, ngoài nhân viên phát triển hệ thống, ít ai hiểu rõ các cổng giao diện API cụ thể nào đang tồn tại. Hơn nữa, các lập trình viên có thể quên mất những cổng giao diện nào vẫn còn mở trên mạng internet sau vài năm, dẫn đến việc thiếu bảo trì an toàn. Tuy nhiên, tin tặc có thể sử dụng các phương pháp như phân tích lưu lượng mạng, giải nén mã nguồn, lỗ hổng bảo mật để tìm thấy các cổng giao diện API không được bảo vệ và thực hiện tấn công.Ngành công nghiệp đen trắng luôn nghiên cứu bạnkeo 88, phân tích bạn, họ thậm chí còn hiểu rõ hơn cả các lập trình viên của doanh nghiệp về giao diện API. , Phương Hưng nói.
Ngoài rakeo 88, nhân viên nghiên cứu phát triển của doanh nghiệp cũng thiếu ý thức an toàn. Một số lập trình viên chủ động giữ lại cổng hậu để điều chỉnh giao diện, hoặc vì nguyên tắc ưu tiên kinh doanh mà mở một số giao diện cho các đối tác hợp tác phía sau, khiến nhiều cổng giao diện bị lộ ra ngoài, tạo cơ hội cho tin tặc.
Do đó789bey, rất nhiều vấn đề an toàn dữ liệu phát sinh ở tầng ứng dụng kinh doanh, trong giai đoạn lưu thông dữ liệu, nhưng đây lại là điểm yếu trong quá trình xây dựng an toàn dữ liệu của doanh nghiệp. Giải quyết vấn đề an toàn trong quá trình lưu thông dữ liệu mới là chìa khóa để giải quyết vấn đề.
Mô tả sự di chuyển của dữ liệu
Tìm được điểm cân bằng giữa giá trị dữ liệu và rủi ro có thể kiểm soát
giám sát rủi ro dữ liệu
Từ góc độ quản lý dữ liệukeo 88, chúng ta cần suy nghĩ: chúng ta sẽ thu thập dữ liệu như thế nào? Sau khi trải qua các biện pháp xử lý và chế biến, chúng sẽ được sử dụng ở đâu? Từ góc độ an toàn và tuân thủ quyền riêng tư, chúng ta cũng cần suy nghĩ: tiêu chuẩn phân loại và phân cấp dữ liệu cốt lõi là gì? Dữ liệu quan trọng và nhạy cảm nhất là gì? Chúng nằm ở đâu và đang được lưu thông từ đâu?
Vì vậycổng game quốc tế, Phương Hưng đề xuất,Trong tương laikeo 88, lưu thông dữ liệu sẽ trở thành một hệ thống kiểm soát rủi ro toàn diện. Trong quá trình lưu thông dữ liệu, chúng ta cần bảo vệ an toàn dữ liệu, tìm ra điểm cân bằng giữa việc tối đa hóa giá trị sử dụng dữ liệu và kiểm soát rủi ro.
Theo ôngcổng game quốc tế, quan niệm mô tả luồng dữ liệu giống như cách nhà nước phòng chống dịch bệnh, có nhiều điểm tương đồng.
Khi dịch bệnh bùng phátkeo 88, mỗi người đều bị cách ly tại nhà để ngăn ngừa rủi ro an toàn do di chuyển gây ra. Nhưng khi dịch bệnh được kiểm soát, mọi người dần di chuyển lại, điều này giúp nền kinh tế không ngừng trệ và rủi ro an toàn có thể được kiểm soát hợp lý thông qua các biện pháp phòng chống. Việc quản lý an toàn lưu thông dữ liệu cũng giống như vậy.
Trong quá trình di chuyển của con ngườicổng game quốc tế, để đảm bảo rủi ro kiểm soát được, cần đảm bảo rằng việc di chuyển là có kiểm soát. Do đó, cần thiết lập các biện pháp kiểm soát tại các điểm then chốt như sân bay, ga tàu điện ngầm, ga tàu cao tốc, cổng tòa nhà văn phòng, nơi có mật độ người di chuyển cao, để đảm bảo trật tự di chuyển. Trong lưu thông dữ liệu, cũng cần tìm ra các điểm then chốt – mặt phơi bày dữ liệu – và kiểm soát tất cả các mặt phơi bày này bằng công nghệ, đảm bảo dữ liệu di chuyển một cách có tổ chức, phát hiện các cuộc tấn công độc hại... Những mặt phơi bày này chính là các điểm cần can thiệp công nghệ bảo mật.
Tại các điểm then chốt nàykeo 88, quốc gia sử dụng các phương pháp như nhận diện khuôn mặt và đo nhiệt độ hồng ngoại để nhận diện chi tiết tình trạng rủi ro của từng cá nhân, ngăn chặn người có sốt vào bằng cách giám sát và cấm, từ đó phân biệt và xử lý hiệu quả những người có nguy cơ cao. Trong quản lý an toàn dữ liệu, cũng cần xây dựng khả năng nhận diện dữ liệu nhạy cảm tại các mặt phơi bày dữ liệu then chốt này. Chỉ khi có thể nhận diện dữ liệu nhạy cảm, chúng ta mới có thể kiểm soát và quản lý quá trình sử dụng dữ liệu có rủi ro cao, đồng thời đảm bảo dữ liệu khác được lưu thông bình thường.
Ngoài ra789bey, chúng ta cũng nhận thấy rằng tại các địa điểm then chốt này, mỗi người đều phải mở mã sức khỏe để quét và đăng ký thông tin cá nhân trước khi được phép vào. Mục đích của việc này là để ghi lại lịch sử. Nếu phát hiện có người không triệu chứng hoặc tiếp xúc gần với người nhiễm virus, chúng ta có thể nhanh chóng tìm ra tất cả những người liên quan và thực hiện kiểm soát thứ hai.
Tương tự như vậy789bey, quản lý an toàn lưu thông dữ liệu cũng cần ghi lại toàn bộ quá trình lưu thông dữ liệu. Nếu có rủi ro nào bị bỏ lỡ, chúng ta có thể phân tích tại sao rủi ro đó xảy ra, ai có thể là người trộm dữ liệu, hoặc tôi có điểm yếu nào và dữ liệu liên quan đến nó là gì. Sau đó thực hiện kiểm soát thứ hai, cải tiến liên tục hệ thống quản lý an toàn dữ liệu, khiến dữ liệu trong lưu thông trở nên an toàn hơn và hiệu quả hơn trong việc phát huy giá trị.
Vì vậykeo 88, Phương Hưng cho rằng, Dữ liệu cuối cùng được đưa cho ai và đi đâu?
Chiến lược chiếm lĩnh vị trí then chốt trong việc mô tả luồng dữ liệu
Xây dựng hệ thống quản lý an toàn luồng dữ liệu
Xung quanh triết lý quản lý an toàn dữ liệu tiên tiến nàykeo 88, Toàn Tri đã phát triển ba sản phẩm chính:
Sản phẩm Bản đồ Dữ liệu định hướng là công cụ phân loại và phân cấp dữ liệu tự động hóa cao789bey, giúp khách hàng nhận diện dữ liệu thông qua công nghệ AI, làm rõ mức độ nhạy cảm của các loại dữ liệu khác nhau, thực hiện phân loại và phân cấp dữ liệu, quyền sử dụng, kết tập dữ liệu chính và ánh xạ quyền, cũng như phát hiện rủi ro tuân thủ và an toàn dữ liệu ở phía lưu trữ, giúp doanh nghiệp thực hiện quản lý an toàn tài nguyên dữ liệu.
Hệ thống giám sát rủi ro lưu thông tài nguyên dữ liệu phân tích mục đích và hướng đi của lưu thông dữ liệu từ góc độ tài nguyên dữ liệukeo 88, vẽ mối quan hệ giữa tài nguyên dữ liệu và ứng dụng kinh doanh, phân tích thay đổi của tài nguyên dữ liệu, cũng như rủi ro an toàn và tuân thủ do lưu thông dữ liệu mang lại.
Sản phẩm an toàn dữ liệu ứng dụng chủ yếu tập trung vào các hệ thống ứng dụng webcổng game quốc tế, bao gồm hệ thống giám sát rủi ro dữ liệu API dành cho bên ngoài và hệ thống kiểm tra và truy xuất dữ liệu web nội bộ. Nòng cốt của nó là phân tích tự động và kiểm tra các mặt phơi bày dữ liệu, thực hiện giám sát an toàn tự động, giảm thiểu rủi ro an toàn dữ liệu đang bị phơi bày. Đồng thời giám sát xem ai đang xem dữ liệu trong doanh nghiệp, quyền truy cập của họ là gì, hành vi xem dữ liệu của họ có bất thường hay không, phát hiện các loại dữ liệu nhạy cảm để theo dõi và ngăn ngừa rủi ro rò rỉ có thể xảy ra.
Ông Phương cho biếtcổng game quốc tế, hiện tại ba hệ thống sản phẩm của Toàn Tri đã đạt được giá trị mong muốn trong việc nhận diện tài sản dữ liệu tự động và kiểm soát mặt phơi bày dữ liệu. Tuy nhiên, Toàn Tri không dừng lại ở việc bao phủ các tình huống rủi ro đơn lẻ, mà đang tích hợp và kết nối ba sản phẩm này, từng bước hoàn thiện năng lực cốt lõi trong lưu thông dữ liệu doanh nghiệp, giành lấy vị trí chiến lược trong quản lý an toàn lưu thông dữ liệu trong tương lai.
Ông Phương cuối cùng nói789bey, dữ liệu có độ phân giải quá cao, từ một bản ghi, một trường, một số liệu có thể mở rộng để bàn luận về rủi ro an toàn. Tuy nhiên, nhìn từ góc độ quản lý dữ liệu, quản lý dữ liệu là một khung khổ rất lớn. Ngành đã đề xuất nhiều năm, nhưng trong nhiều năm qua, vẫn chủ yếu dựa vào kinh nghiệm và phán đoán của con người để nhận diện và giám sát dữ liệu. Mặc dù điều này có thể đạt được mục tiêu quản lý dữ liệu ngắn hạn, nhưng vẫn còn nhiều hạn chế. Nhận diện của con người hiệu suất thấp, khó bao phủ toàn bộ các rủi ro, mỗi người chỉ có thể làm phần mà họ nhận thức được, cuối cùng mọi người đều khó làm tốt việc quản lý an toàn dữ liệu một cách toàn diện.
Vì vậy, theo ông, Ai có thể mô tả lưu thông dữ liệu sớm nhấtcổng game quốc tế, có thể đạt được quản lý dữ liệu tự động hóa, thực sự nhìn từ một tầm cao hơn để xem xét tất cả các vấn đề an toàn dữ liệu, tuân thủ quyền riêng tư... và trở thành người chiến thắng trên toàn bộ chuỗi lưu thông dữ liệu trong tương lai. Toàn Tri đã tiên phong trong việc bố trí, vững chắc tiến về hướng này.
- END -
Nếu có vi phạmcổng game quốc tế, xin vui lòng liên hệ để xóa.