执行摘要
近年来,随着云计算技术的迅猛发展,企业在公有云和混合云环境中的业务部署显著增加,随之而来的云租户及云环境安全风险也大幅提升,尤其是云上数据泄露风险持续攀升,许多企业因配置错误等问题发生了严重的数据泄露事件,引发了广泛关注。
绿盟科技创新研究院在云上风险发现和数据泄露领域已有多年深入研究,目前已发布了多篇报告,包括《2021绿盟科技网络空间测绘年报》[1]、《2022绿盟科技网络空间测绘年报云上风险测绘篇》[2]和《2023公有云安全风险分析报告》[3。2023年,全球发生了多起云上数据泄露事件,例如,2023年2月,由于配置错误,Digital Ocean的对象存储公开可访问,导致印度跨国银行的数百万条数据泄露[4,2023年5月,Toyota Connected因云配置错误发生大规模数据泄露,泄露持续了多年[5]。
今年我们持续关注全球云上数据泄露风险态势,本报告首先对2024上半年发生的云上数据泄露事件分类和映射的ATT&CK攻击技术进行了具体说明,以便读者易于理解后续内容。
其次,我们对2024上半年全球发生的较大规模云上数据泄露风险和事件进行了详细分析,据绿盟科技创新研究院的统计,2024年上半年全球发生了16起云上数据泄露事件,泄露总量约为12亿公民隐私数据。在16起事件中,发生云上数据泄露事件最多的国家是美国,共发生8起,涉及泄露数据高达10亿。行业方面,零售业泄露数据量最多,约9.4亿条。事件原因方面,11起事件是由杂项错误引起,造成约2567万数据泄露;1起事件是由Web应用
攻击引起,造成约1.25亿数据泄露;4起事件是由系统入侵引起,造成约10.5亿数据泄露。本报告主要聚焦于事件成因分析。由于大多数事件成因相似,限于篇幅,我们选取了十起典型行业案例进行详细说明,以展示云上数据泄露的整体态势。
最后,根据事件背后的成因分析,我们针对性地提出了相应的安全建议。本报告旨在提升公众对云上数据泄露的关注,并深入了解其背后成因,以便及时采取有效措施降低云上数据泄露风险,保护资产安全。
本文来自知之小站
PDF报告已分享至知识星球,微信扫码加入立享3万+精选资料,年更新1万+精选报告
(星球内含更多专属精选报告.其它事宜可联系zzxz_88@163.com)
