备份数据窃取
风险概览
风险编号:GAARM.0012
子风险:无
安全阶段:数据安全
生命周期:部署阶段
创建时间:2024.05.01
修改时间:2024.05.01
攻击概述¶
备份数据中通常包含模型的训练数据、算法逻辑、敏感数据、个人数据等重要信息。如果保护不当,攻击者可以通过未授权访问或者其他攻击方式获取到备份数据,从而导致模型相关重要信息外泄等风险,甚至带来经济风险。
攻击案例¶
| 案例 | 描述 |
|---|---|
| 案例一 | 攻击者通过钓鱼邮件获取了科技公司员工的访问凭证,未授权访问云存储服务后窃取了包含敏感个人信息和商业秘密的大模型备份数据,导致公司面临法律和经济风险 |
攻击风险¶
- 模型篡改:如果备份数据中包含模型的训练数据、算法等信息,攻击者可以利用这些信息对模型进行篡改等。
- 敏感数据泄露:如果备份数据中包含用户、客户等信息,泄露将会导致身份盗窃、欺诈活动、勒索等。
缓解措施¶
| 缓解方式 | 描述 |
|---|---|
| 数据加密 | 在备份数据存储过程中使用强大的加密算法,确保数据在存储和传输过程中都得到保护,即使泄露也难以解密 |
| 多重认证 | 引入多重认证机制,如双因素认证,增强对备份数据的访问控制,提高安全性 |