从松下披露的数据泄露事件看企业信息安全

日本跨国企业松下集团在上周发布的新闻稿中披露数据泄露事件，证实了公司包含敏感数据的服务器遭到未知第三方的非法访问。

对外披露的新闻稿

“2021年11月11日，松下公司已确认其网络被第三方进行非法访问，经过内部调查，确定攻击者在入侵过程中访问了文件服务器上的部分数据。”松下发布公告称，“在检测到未经授权的访问后，公司立即向有关部门报告了该事件，并采取了安全措施防止外部访问网络。” 2020年11月，松下在印度子公司也曾在遭到网络攻击后伴随有数据泄露，只不过当时攻击者窃取的是财务信息和电子邮件地址的访问权限。

此外，松下还聘请了第三方网络安全公司来调查此次泄露事件，以确定相关客户及基础设施等敏感信息是否泄露。

 

对外公布的新闻稿中并未披露更多数据泄露信息，但据The Record报道，包括Mainichi 和 NHK在内的日本媒体表示，攻击者在今年6月至11月期间多次访问松下服务器，并获得了对其客户和员工敏感信息的访问权限。

 

该事件引发的企业信息安全思考

对于此次数据泄露，相信对于大多数还没有将企业信息安全事件重视起来的企业敲响了一次警钟。享受着当下时代发展的红利，不少企业搭上了发展的快车道，但由于对企业信息安全的忽视和不重视，导致在网络攻击频发的当下网络环境中频频中招或始终处于威胁之下。

 

主动发现未知漏洞对于企业的意义

对于企业来说，与其坐以待毙，等待被攻击后再加以应对，更重要的事情是主动发现可能出现的攻击点，比如尚未被发现的漏洞以及其他风险。下面我们具体来说：

1、信息安全资产的发现及处理

摸排内部现行的实际安全水准、发现未知资产，形成风险资产梳理表，为后续阶段的实施提供数据依据。

2、全网安全风险评估

以资产梳理结果为依据，开展全网漏洞扫描及分析，形成宏观层面的安全分析报告。

3、整体安全风险渗透测试及分析

以全网弱扫分析报告为依据研判安全风险，对安全漏洞具有针对性的开展渗透测试工作。

确定安全风险的影响深度和影响范围，形成渗透测试报告。

4、整体信息架构调优及消缺

通过前期资产发现梳理和安全评估，了解痛点、不合理项、薄弱环节后，结合厂内信息化业务开展相关的实际需求。

 

对现有网络架构和基础环境进行研判，并进行科学合理的调整和设计。做出适应未来发展的规划设计，输出规划设计方案，为后期信息网络的建设和投资提供依据。达到强有力的支撑安全生产的目地。

专业的人做专业的事，对于以上四个方面的企业信息安全处理方式，作为用户型企业来说相对困难，面临专业技能、专业人才、配套设施、实施思路等方面的问题。这个时候就需要像众里这样，深耕行业十余年的企业信息安全服务专家来协助企业、指导实施，才能真正将企业信息安全的全面预防落到实处。

 

俗话说，进攻才是最好的防守。企业想要排除来自不明来源的网络攻击的威胁，只得以这种主动出击的方式进行，才能从根本上来降低和避免被网络攻击的威胁和风险，而在企业的安全服务这块，众里以其十余年的行业内信息安全服务的积累，相信可以给更多处于网络攻击威胁之下的企业带来足够的“安全感”！