您当前的位置:   首页 > 新闻中心
澳大利亚公司的违规行为凸显了对以数据为中心的安全性的需求
发布时间:2022-11-07 08:48:45   阅读次数:

image.png

在安防行业,我们经常以一种超然的、通才的观点来谈论行业趋势。只有当真正的事件发生并且后续欺诈开始发生时,飙升的网络犯罪的影响才会真正打击到家。这是一个仍在爆炸式增长轨道上的地下经济,每天都在欢迎新的参与者,并为无数受害者带来痛苦。


澳大利亚最近发生的三起事件提醒当地居民这一新现实。在所有这三种情况下,似乎都没有使用加密来保护重要的个人信息。这些公司可能会在未来很多年感受到这些违规行为对财务和声誉的影响。这是另一个不幸的例子,说明那些没有将以数据为中心的安全置于其风险管理战略的前沿和中心的组织所发生的事情。


发生了什么?

有问题的三家公司是电信公司 Optus、葡萄酒商 Vinomofo 和零售市场 MyDeal。这是发生的事情:

Optus 遭受了可能是最具破坏性的违规行为。在威胁行为者利用重大安全漏洞窃取大量个人和身份信息后,超过 200 万客户受到 9 月网络攻击的影响。这包括 150,000 份护照和 50,000 个医疗保险号码,尽管随后发现总数中有 900,000 个已过期。此类详细信息可能是多次身份欺诈尝试的宝贵起点。鉴于假定的黑客已经在网上发布了数千条此类记录,因此它们极不可能被加密。澳大利亚政府随后表示,电信公司应支付更换受害者护照的费用。


几周后, MyDeal 遭受了网络攻击,攻击者破坏了其 CRM 系统,窃取了 220 万客户的信息。客户姓名、电子邮件地址、电话号码、送货地址和出生日期都在其中——足以制造令人信服的网络钓鱼和其他后续欺诈诈骗。该公司没有再次提及这些细节已被打乱,这意味着他们可能没有。


Vinomofo 完善了三人组。尽管它拒绝就此事发表公开声明,但报告显示多达 500,000 名客户可能会受到影响。姓名、性别、出生日期、家庭和电子邮件地址以及电话号码可能是从测试平台访问的数据库中窃取的详细信息。该公司没有向客户确认该信息是否已加密,只是表示该信息是非法访问的,他们应该采取预防措施。


通过以数据为中心的安全性降低风险

当今的 IT 环境由遗留系统和数字系统的复杂混合组成,安全性并不总是按预期工作,或者实施和配置不正确。在 Optus 的案例中,用户身份验证等最佳实践 API 安全措施显然被忽视了。在 MyDeal 的案例中,一个被泄露的员工凭证为攻击者提供了通往王国的钥匙——访问大量客户数据。因此,为了完全降低数据丢失的风险,组织必须回归基础,保护真正重要的东西——不仅是围绕数据的系统,还包括数据本身。


这就是以数据为中心的安全性背后的基本原理。这一切都是为了提供持续和全面的数据发现和分类,无论数据位于企业中的何处,然后以格式保留加密、令牌化或其他控制的形式应用保护。通过这种方式,组织可以受益于:

  • 数据泄露的后果有限——因为即使坏人掌握了数据,它也会变得毫无用处
  • 以降低的运营成本加强对一系列法律法规(GDPRPCI DSS 等)的遵守
  • 降低上述严重违规事件导致的财务和声誉风险
  • 继续使用数据来推动竞争优势的能力,在它受到保护的知识中是安全的


我们可以做什么

揽阁信息作为Thales的合作伙伴,拥有多年为客户提供信息安全产品和解决方案的经验,可以通过拥有FIPS认证的HSMKMS产品,结合实际的业务场景,为客户提供定制化的安全解决方案,以帮助客户实现数据安全以及合规性满足的需求。


Luna HSM是广泛被客户使用的加密产品,该产品同时拥有FIPS 140-2 Level 3和CC EAL 4+两项认证,与包括Microsoft、AWS、Google在内的众多国际知名品牌产品互相兼容,并拥有大量案例。Luna HSM产品是密钥保护的最佳选择。


CipherTrust数据保护平台,是一套可以在物理层、操作系统层、应用层、云端四个维度对数据进行全面保护的产品,其核心CipherTrust Manager(密钥管理系统\KMS)可以提供物理和虚拟两种版本,可满足不同业务场景的使用需求。


欢迎联系我们获取更多信息。


揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息,您可以获取到更多满足全球合规性要求的信息安全产品资料,以及相关的整体解决方案的相关资料。如:


您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问!


相关阅读

购买咨询电话
021-54410609