文章发表于2024-09-26 09:30:39,归属【信息安全】分类,已有303人阅读
什么是数据安全?
数据安全被定义为保护任何计算机系统的信息免受未经授权的访问或破坏的技术过程。这包括任何类型的设备、服务器或计算机设备网络(比如你家的无线网络)。
让我们来看一下数据安全的关键组成部分,以便进一步理解:
三重资源集 —— 认为数据安全的定义仅适用于数据安全工具和技术是一个常见的错误。实际上,安全策略、实施这些策略的流程以及资源分配对于保护企业数据资产同样重要。
识别有价值的数据 —— 要制定数据安全政策框架,首先你需要根据安全投资对数据进行优先级排序。例如,在费用受限的情况下,对有 50 年历史的数据投入与对新签署的知识产权文件相同水平的资源是低效的,尤其是在新冠疫情之后。当大规模复制时,这尤其成为一个重大挑战。这就是为什么识别、分类和确定数据安全需求的优先级至关重要。
数据可能永远无法 100% 安全 —— 有价值的数据可能会暴露在新形式的恶意软件和病毒之下,而你当前的安全机制可能不足以应对。这是因为双方都在不断创新 —— 一方试图进行黑客攻击,而你的数据安全协议和系统则试图检测并消除它。但这并不会降低安全漏洞的可能性。
数据安全是工作数据的关键 —— 虽然个人设备在购买时也需要并且通常内置有数据安全功能,但鉴于信息价值/损害成本要高得多,企业系统更容易受到攻击。
为了有效地涵盖所有组成部分,公司需要一个强大的数据安全计划。
数据安全计划和策略:六个关键步骤及示例
人们很容易采取一种一劳永逸的方法。你与供应商合作,实施一个数据安全解决方案,然后继续照常开展业务。但是,如果没有下面提到的关键步骤,公司很可能会在这个过程中面临明显的差距。这就是为什么建议:
1. 重新思考基于网络的网络安全框架
基于网络的安全将企业生态系统划分为应用程序、设备和边界级别。但这只是解决方案的一个步骤。随着许多公司在 2020 年广泛采用远程工作,员工将从传统策略之外的端点登录到使用数据应用程序。
“为了在确保遵守不断发展的法规的同时保护客户、员工和声誉,公司应将其安全策略从主要依赖'边界保护'的过时方法转变为基于'安全数据访问'的公司范围方法,” 数据治理和访问软件公司 Okera 的首席执行官Nick Halsey说。例如,当有如此多的员工在企业防火墙之外工作时,保护周边环境是不够的。还需要考虑到人类的愚蠢和不良的数字习惯。
2. 围绕云制定数据安全策略
云迁移已经在大多数组织的数字化转型路线图上,而由于新冠疫情影响,远程工作只会加速这一进程。采用云意味着你正在使用共享资源,与仅在本地设置相比,有更多的安全向量。你的云数据安全策略也应该是可扩展的。当你动态地利用云资源时,框架会同步适应,而不会留下任何漏洞。
技术进步使得以最小的努力投入实现这一目标成为可能。例如,混合云数据仓库公司 Yellowbrick Data 刚刚与数据安全供应商 Sotero 合作,推出了这样的解决方案。你可以将现有的数据库基础设施,甚至在混合环境中,与一个强大的安全层集成,而只需要很少的操作和维护干预。
3. 使数据安全成为软件即服务(SaaS)投资的一个参数
你购买的每一个新的 SaaS 许可证都会带来一系列自身的安全风险和漏洞。在过去几个月里,关于 Zoom 的安全缺陷以及它如何暴露机密通信数据的新闻标题反复出现。在购买 SaaS 产品、提交征求建议书(RFP)和撰写服务级别协议(SLA)时,将数据安全作为一个核心参数。
例如,Slack 最近增强了其数据安全控制,为管理员提供更好的可见性并简化与数据相关的合规性。它的新企业密钥管理功能对自定义工作流进行端到端加密,同时 Slack 审计日志保持详细记录 —— 正如我们所提到的,这是数据安全的一个关键组成部分。
4. 选择零信任策略进行用户身份验证
一个中型甚至大型企业每天都会有数百名利益相关者登录其数据应用程序。从公共部门的本地承包商到银行的数字支付推动者,从医疗保健领域的保险经纪人到制造业的物流经理 —— 在一个典型的企业生态系统中,角色的数量是无穷无尽的。
零信任数据安全政策假定每个利益相关者都是潜在风险,无论其资质如何。它监控你的数字资产并评估每一个试图连接到这些资产的用户,为可能的最坏情况保留记录。网络安全分析师和专家越来越推荐这种策略,建议将每个用户、设备、服务和数据集都归入信任框架内的不同类别,以限制访问。例如,美国国家标准与技术研究院(NIST)发布了新的指南以实施零信任架构。
5. 对数据泄露保持透明度和问责制
到目前为止我们提到的步骤将让你准确了解你的数据位于何处、已采取的措施以及数据是如何、被谁以及为何被访问。如果在任何时候你面临数据泄露,这个问责制策略将非常有用。
根据数据的性质,公司有义务向相关当局报告泄露事件并进行赔偿。如果不这样做,可能会招致数百万美元的罚款,更不用说对品牌声誉造成不可逆转的损害。这就是为什么响应步骤是任何数据安全政策的关键部分,概述了在 “预防胜于治疗” 这句格言不再适用时的行动计划。
从最近的攻击事件中吸取教训,在这些事件中,公司未能及时承担责任。例如,Uber 的前首席安全官现在面临美国法警的传唤,因为他没有报告 2016 年的一次黑客攻击事件,而是试图向威胁行为者支付封口费。在这种情况下,建议咨询有经验的领域专家 —— 这就引出了下一步。
6. 与数据隐私和安全法律专家合作
法律专家可以帮助你更好地应对围绕数据安全、隐私和利用不断发展的法律,根据特定地区或行业的需求调整你的策略。在政策实施的早期阶段引入专家可以帮助更有效地配置你的框架,选择最有利于安全的技术促成因素,并在最坏的情况下做出适当的响应。
有几个组织可以帮助你做到这一点。例如,全球律师事务所 Winston & Strawn LLP 有一个新的全球隐私和数据安全业务。该业务的联合负责人 Sheryl Falk 说,“由新冠疫情引起的几乎普遍的远程工作环境增加了在确保系统不易受攻击并遵守隐私和数据安全法律的同时提供信息访问的挑战。”
2021 年数据安全的关键挑战与解决方案
2020 年是网络安全的一个里程碑式的年份,因为企业数字框架中的任何漏洞都可能开始显现。随着员工转向远程工作并使用纯数字机制进行沟通和提高生产力,公司正在争相扩大其数据安全基础设施。超过 50% 的组织对虚拟专用网络(VPN)和云安全进行了新的投资,而只有 37% 的组织在使用多因素身份验证。
在我们能够充分解决所有漏洞之前,需要解决几个挑战:
1. 员工仍然容易受到网络钓鱼等诈骗的影响
一种不确定感正在促使员工点击他们原本会避免的链接或打开电子邮件。自 2 月以来,网络钓鱼攻击增加了 667%,最近微软控制了几个用于以新冠疫情为主题的网络钓鱼的域名。
应对这一挑战的最佳解决方案是安全意识培训。对员工进行在线风险教育并培养怀疑精神文化,将从源头上解决问题。用像 Sophos Phish Threat 这样的专业产品来加强你的培训活动 —— 它基于威胁情报模拟真实且具有挑战性的攻击。员工可以通过 30 多个培训模块进行实践,了解在面对可疑内容时该怎么做。
2. 每个人都是特权用户,尤其是在小企业中
随着中小企业在 2020 年实现数字化,身份与访问管理(IAM)和用户特权定义往往被置于次要位置。企业领导者渴望为员工提供他们在实体办公室中享有的所有资源,并使他们能够保持高效,这往往违背了疫情前的数据安全策略。
这个挑战有两个方面的答案:技术和文化。小企业必须接受安全意识文化,将尊重数据隐私作为首要任务。技术可以增强这一点 —— 考虑像 OneLogin 这样的 IAM 工具,每个用户每月低至 2 美元,为 50 人的小企业提供行业领先安全措施。
3. 影子 IT 导致数据环境杂乱无章
2020 年引入了前所未有的分散化程度,各个业务部门试图实现自给自足并继续运营,与总部几乎没有实际互动。这导致了影子 IT 的出现 —— 由于 IT 团队无法实际到场解决问题,业务部门被迫承担起这一责任。
应对这一挑战的解决方案在于更好的整合和综合可见性,最好通过统一的仪表板实现。像 Trustway DataProtect App 这样的软件可以对不同应用程序中的数据进行加密,并将它们集中在一个平台上,最大限度地减少影子 IT 的风险。CoreSaaS 是另一个方便的hui工具,可以帮助你发现所有活跃的 SaaS 应用程序、监控活动并管理 SaaS 数据。
4. 应用程序并非基于安全的数据原则构建
这对于大型企业、独立软件开发商(ISV)和数字化优先的公司来说是一个重大挑战,这些公司经常开发内部应用程序。应用程序设计必须遵循数据安全最佳实践,测试数据需要充分匿名化 —— 这些需求催生了 DataOps 领域,在该领域中,强大的数据治理紧密地融入到应用程序开发的持续集成 / 持续部署(CI/CD)环境中。
在一个敏捷的世界中,每个月或每周都会发布迭代和更新,应用程序中的安全漏洞会产生非常大的影响。选择像 Delphix 这样的数据运营解决方案,在不影响数据安全的情况下保持开发速度。Delphix 可以创建一个安全的虚拟环境、管理敏感数据、维护数据版本控制,并在开发过程中根据需要将数据恢复到任何时间段。
5. 对于退役数据集没有明确的数据安全政策
大多数数据安全法律都有存储限制,限制公司在没有正当理由的情况下保留数据。换句话说,除非你已经确定了未来分析的目的和影响,否则你不能存储数据用于未来分析。为了遵守规定,企业必须制定明确的数据保留期,之后数据进入退役阶段。
幸运的是,有几种解决方案可以应对这一挑战,比如 Blancco。Blancco 的数据擦除软件符合 25 多种标准,并为你提供防篡改报告以确保合规性。它保持准确的监管链以实现完全透明,并分析你的移动端点以查找错误。
数字工具的激增只会增加数据安全方面的挑战。这就是为什么企业必须采取积极主动的态度并遵循数据安全最佳措施,跟上不断演变的威胁变体的步伐至关重要。
2021 年数据安全的八大最佳实践
到目前为止,在 2020 年,共有 160 亿条数据记录被曝光,与上一年同期相比增长了 273%。这一趋势凸显了数据安全最佳实践的重要性,从基层员工到企业领导,如果我们要抵御复杂的网络攻击策略,这些最佳实践包括:
1. 仔细制定身份与访问管理(IAM)中的访问权限
身份访问管理(IAM)构成了许多组织数据安全政策的核心,它根据用户的角色 / 身份为用户提供对数据的访问权限。通常,专家建议采用最小权限方法,即员工只能访问与其工作相关的内容,对于其他内容必须获得批准。IAM 还要求你保留用户身份验证、访问日志和访问设备 / 来源的详细记录。这在未来的合规性和数据安全审计中非常有用。
2. 在适用的情况下遵守数据隐私和安全法规
世界各国政府正在迅速适应不断发展的网络安全环境,在这种环境下,消费者大规模共享数据,从而开辟了新的漏洞。除了广为人知的针对欧盟公民的《通用数据保护条例》(GDPR)法律和针对加利福尼亚公司的《加利福尼亚消费者隐私法案》(CCPA)之外,几乎每个地区(和部门)都要求合规性。例如,所有健康数据记录都必须遵循专门针对医疗保健部门的《健康保险可移植性和责任法案》(HIPAA)规范。这可能需要法律专业人士的干预,这就是为什么与数据隐私和安全法律专家合作应该成为你数据安全计划的一部分。
3. 在政策实施前确定明确的数据安全优先级
你如何知道哪些数据需要保护、哪些数据需要普遍访问、哪些数据集应该有多层身份验证以及哪些数据应该完全擦除?详细且定期的风险评估活动会根据数据集对企业的价值、对创建者(员工或客户)的价值以及通过日常数字活动暴露的可能性为数据集分配风险等级。确定优先级还可以使你的数据安全计划更加高效,因为你专注于最脆弱 / 关键程度最高的领域。它还将帮助你更有效地分配安全资源。
4. 不要忽视你的内部客户、 员工
数据安全规则同样适用于外部和内部用户。例如,像 GDPR 和 CCPA 这样的法律要求对每个用户赋予类似的隐私、自主权,无论他们是外部客户还是属于合同员工协议的范围。
企业必须在监控数据活动、限制访问和扫描异常活动的需求与有意识地承认和维护员工个人权利之间取得平衡。注意通过 cookie 进行的数据收集、收集员工数据的原因以及你存储最有价值信息的位置。薄弱的措施可能会使公司面临各种风险,包括法律责任。
5. 定期进行备份
无法访问数据与数据在公共领域曝光一样是个大问题。恶意软件等网络攻击策略以客户信息等有价值的数据为目标,这些数据提供分析功能,或者知识产权,以便向数据所有者勒索赎金(如 2017 年的 “WannaCry” 勒索软件攻击)。
数据丢失也可能是自然灾害导致物理服务器损坏的不可预见的后果。如果无法访问数据,关键业务功能可能会停止。这就是为什么一个有用的数据丢失防护(DLP)最佳实践是保持尽可能接近实时的数据备份。寻找先进的备份技术,让你记录数据更改,而无需修改整个数据集,以优化资源利用。
6. 执行适当的密码管理准则
你知道吗,即使在 2020 年,有这么多公司面临高价值数据泄露的情况下,每 142 个密码中仍有一个是 “123456”?这个统计数据说明了人类为了方便而在密码管理方面变得懒惰的倾向。除此之外,常见的密码管理不良习惯还有把密码写在容易拿到的纸上,以及在多个应用程序中使用相同的密码。适当的密码管理准则不仅对于保护数据至关重要,而且对于保护你的企业资产整体也至关重要。
7. 采用默认隐私设置
默认隐私设置意味着你的系统配置 —— 在整个数字环境中 —— 将尽可能少地记录数据。例如,你的网站可能会在显示视频广告之前请求用户的许可,因为它不想侵犯用户的隐私和浏览体验。采用这一原则的一个简单方法是在你的网站上仅启用 cookie,并请求用户同意其他权限以获得更个性化的体验。
8. 限制对非工作相关网站的网络访问
在工作设备上访问可疑网站是造成漏洞的最常见原因之一。恶意软件可以以无害下载的形式潜入并帮助窃取数据。这就是为什么在企业网络和公司拥有的设备上阻止常见的恶意页面是个好主意。但是,要确保你的网络访问限制不会妨碍员工的工作流程。如果员工需要访问一个未知网站,应该有一个简单的验证和批准流程。
考虑到当前的 IT 成本紧缩,遵循严格的数据安全政策可能很困难。然而,在整个 2021 年对数据安全进行明智的投资对于企业在疫情期间和恢复期的成功至关重要。通过记住上述基本最佳措施并制定有效的政策框架,在当今复杂的时期,你也能继续正常开展业务活动。