埃隆·馬斯克最近的日子不太好過。政府效率部部長(zhǎng)的寶座越來越不好坐，特斯拉的股價(jià)坐上了過山車，X平臺(tái)（原twitter）也不省心，不但被DDoS打癱三次，還陷入了一場(chǎng)空前的數(shù)據(jù)泄露風(fēng)波。

據(jù)外媒報(bào)道，數(shù)據(jù)泄露論壇 Breach Forums“知名”用戶 ThinkingOne 在當(dāng)?shù)貢r(shí)間 3月28 日表示，X平臺(tái)于今年1月發(fā)生了一起嚴(yán)重的數(shù)據(jù)安全事件，包含28億7341 萬842條賬戶個(gè)人數(shù)據(jù)信息的400GB數(shù)據(jù)遭遇泄露。

鑒于X 平臺(tái)目前約有3.357億用戶，因此該泄露數(shù)據(jù)集除實(shí)際活躍用戶外可能還包含了機(jī)器人賬戶、非活動(dòng)賬戶、非用戶實(shí)體等特殊賬戶，也無法排除從第三方獲得的可能。從內(nèi)容上看，本次泄露的數(shù)據(jù)包含用戶ID、顯示名稱、賬戶創(chuàng)建日期、配置文件描述和URL、位置和時(shí)區(qū)設(shè)置、最后一條推文的時(shí)間和來源、賬戶狀態(tài)、關(guān)注者/書簽/好友/列表計(jì)數(shù)等一系列詳細(xì)信息。

更扎馬斯克心的是，ThinkingOne 宣稱這些數(shù)據(jù)“幾乎肯定”是心懷不滿的 X 員工在裁員潮時(shí)竊取的。此外 X 官方和公眾此前并未知曉本次事件，他之前多次嘗試同 X 建立聯(lián)系都未得到回應(yīng)。

X平臺(tái)此次的泄密事件，再次把“內(nèi)鬼泄密”這一問題曝光在聚光燈之下，也給所有企業(yè)敲響了數(shù)據(jù)安全的警鐘——想要數(shù)據(jù)更安全，杜絕內(nèi)鬼最關(guān)鍵。

“內(nèi)部員工泄密”成為企業(yè)普遍難題

近年來，內(nèi)部員工泄密導(dǎo)致的數(shù)據(jù)泄露事件屢見不鮮。江蘇法院的最新統(tǒng)計(jì)數(shù)據(jù)顯示，商業(yè)秘密案件中超80%系企業(yè)內(nèi)部員工泄密，50.7%的案件屬于侵害技術(shù)秘密糾紛，多于侵害經(jīng)營(yíng)秘密糾紛。從案件成因看，與82.3%的案件員工“跳槽”有直接關(guān)系。

當(dāng)然，來自法院的數(shù)據(jù)有一定的“幸存者偏差”。很多情況下，內(nèi)部員工是因?yàn)榘踩庾R(shí)不足，在無意之間泄露了企業(yè)的機(jī)密。比如員工可能會(huì)將機(jī)密數(shù)據(jù)投喂給公共AI大模型，或者無意間通過電子郵件、社交媒體等渠道分享敏感數(shù)據(jù)，或者所使用的終端設(shè)備被植入惡意軟件。

無論有意竊取，還是無心泄密，頻繁發(fā)生的“內(nèi)部員工泄密”都反映出了企業(yè)的數(shù)據(jù)安全困境。在傳統(tǒng)的網(wǎng)絡(luò)安全防御架構(gòu)下，內(nèi)部往往被視為“受信任的用戶”，他們往往了解企業(yè)的數(shù)字資產(chǎn)分布情況，并擁有對(duì)這些資產(chǎn)的訪問權(quán)限，所以他們通常可以瀏覽、下載、傳播各種敏感數(shù)據(jù)而不會(huì)觸發(fā)安全警報(bào)。

因此，過度信任，才是內(nèi)部員工泄密難以防范的根源。

芯盾時(shí)代零信任數(shù)據(jù)安全解決方案

想要消除“過度信任”，零信任是最好的選擇。與基于網(wǎng)絡(luò)位置構(gòu)建信任區(qū)的傳統(tǒng)網(wǎng)絡(luò)安全架構(gòu)相比，零信任默認(rèn)所有網(wǎng)絡(luò)流量不可信，需要基于認(rèn)證和授權(quán)重構(gòu)訪問控制的信任基礎(chǔ)，從網(wǎng)絡(luò)中心化走向身份中心化，以身份為中心實(shí)施細(xì)粒度的動(dòng)態(tài)訪問控制。

芯盾時(shí)代作為領(lǐng)先的零信任業(yè)務(wù)安全產(chǎn)品方案提供商，擁有豐富的零信任安全產(chǎn)品線。芯盾時(shí)代基于用戶身份與訪問管理平臺(tái)（IAM）、零信任業(yè)務(wù)安全平臺(tái)（SDP）等產(chǎn)品，打造的零信任數(shù)據(jù)安全解決方案，能夠幫助企業(yè)破解內(nèi)部員工泄密難題，構(gòu)筑數(shù)據(jù)安全“鋼鐵防線”。

借助芯盾時(shí)代零信任數(shù)據(jù)安全解決方案，企業(yè)能夠在業(yè)務(wù)應(yīng)用低改造、甚至0改造的情況下，一站式實(shí)現(xiàn)以下功能：

1.落實(shí)“最小化授權(quán)”，杜絕越權(quán)訪問

芯盾時(shí)代IAM具備全面的身份管理能力，支持RBAC、ABAC、ACL等多種權(quán)限管理模型，權(quán)限管理能力細(xì)至URL，幫助企業(yè)落實(shí)“最小化授權(quán)”，精準(zhǔn)管控?cái)?shù)據(jù)資源的訪問權(quán)限，杜絕越權(quán)訪問。

借助芯盾時(shí)代SDP的動(dòng)態(tài)訪問控制能力，企業(yè)能夠結(jié)合登錄時(shí)間、設(shè)備狀態(tài)等上下文信息，靈活設(shè)置訪問控制策略，當(dāng)員工大量下載機(jī)密文件、在非工作時(shí)間訪問數(shù)據(jù)時(shí)，自適應(yīng)執(zhí)行阻斷、權(quán)限收斂等控制策略，并發(fā)出預(yù)警。

2.一鍵回收所有權(quán)限，實(shí)現(xiàn)“人走號(hào)銷”

芯盾時(shí)代IAM能夠幫助企業(yè)整合各個(gè)業(yè)務(wù)應(yīng)用中分散的身份數(shù)據(jù)，為員工生成唯一可信的數(shù)字身份，讓員工用一個(gè)身份訪問所有業(yè)務(wù)應(yīng)用。

當(dāng)員工離職時(shí)，運(yùn)維人員能夠使用IAM一站式回收所有業(yè)務(wù)應(yīng)用的訪問權(quán)限，既能消除員工離職和完成權(quán)限回收之間的“空窗期”，還能避免遺留訪問權(quán)限，實(shí)現(xiàn)“人走號(hào)銷”，不留死角。

3.強(qiáng)化終端設(shè)備管控，杜絕非法設(shè)備入網(wǎng)

芯盾時(shí)代SDP采用設(shè)備指紋技術(shù)，能夠?yàn)槊恳慌_(tái)終端設(shè)備生成唯一的識(shí)別碼，實(shí)現(xiàn)賬號(hào)和設(shè)備的強(qiáng)綁定。借助此功能，企業(yè)能夠識(shí)別非常用設(shè)備登錄等風(fēng)險(xiǎn)行為，限制員工最多使用的設(shè)備數(shù)量。當(dāng)員工使用未經(jīng)認(rèn)證的私人設(shè)備發(fā)起訪問時(shí)，SDP自動(dòng)執(zhí)行權(quán)限收斂、阻斷等訪問控制策略。

芯盾時(shí)代SDP的客戶端內(nèi)置終端威脅態(tài)勢(shì)感知模塊，企業(yè)能夠識(shí)別終端設(shè)備是否運(yùn)行了指定軟件，是否開啟了遠(yuǎn)程控制軟件、屏幕共享軟件等程序，持續(xù)監(jiān)測(cè)終端安全態(tài)勢(shì)、用戶的操作行為，保證訪問安全可控。

4.管控用戶操作行為，保證數(shù)據(jù)可追溯

借助芯盾SDP的客戶端，企業(yè)可以在終端設(shè)備中構(gòu)建與本地空間完全隔離的安全工作空間，實(shí)現(xiàn)數(shù)據(jù)不落地，并實(shí)施禁止復(fù)制、禁止截屏、禁止打印、外發(fā)審批等行為管控。針對(duì)Web應(yīng)用，SDP可以在無改造的情況下為Web頁(yè)面添加明水印或暗水印，對(duì)員工進(jìn)行安全教育、安全震懾和安全追溯，降低拍照截屏外發(fā)風(fēng)險(xiǎn)，提升數(shù)據(jù)的可溯源性。

芯盾時(shí)代SDP具備動(dòng)態(tài)數(shù)據(jù)脫敏功能，企業(yè)可以對(duì)業(yè)務(wù)應(yīng)用中的手機(jī)號(hào)、銀行卡、身份證號(hào)等敏感數(shù)據(jù)進(jìn)行動(dòng)態(tài)脫敏。針對(duì)不同人群，企業(yè)可以自定義脫敏內(nèi)容、脫敏長(zhǎng)度，精確控制敏感數(shù)據(jù)的訪問范圍。

數(shù)字時(shí)代，數(shù)據(jù)為王。守護(hù)企業(yè)數(shù)據(jù)安全，就是守護(hù)企業(yè)的未來。芯盾時(shí)代零信任數(shù)據(jù)安全解決方案，通過“持續(xù)驗(yàn)證、永不信任”的安全機(jī)制，幫助企業(yè)消除“過度信任”，讓每個(gè)數(shù)據(jù)訪問動(dòng)作都安全可控，讓企業(yè)遠(yuǎn)離內(nèi)部員工泄密~