數(shù)據(jù)依然成為企業(yè)運(yùn)行的血液,其每次互動(dòng)時(shí)從客戶那里收集信息,并以此提高效率、提高敏捷性并提供更高水平的服務(wù)。數(shù)據(jù)收集越多、越重要,大數(shù)據(jù)環(huán)境下,數(shù)據(jù)自然成為黑客眼饞的目標(biāo)。
隨著時(shí)間一天天過(guò)去,證據(jù)越來(lái)越多顯示數(shù)據(jù)越來(lái)越重要,對(duì)數(shù)據(jù)的攻擊越來(lái)越頻繁。根據(jù)國(guó)外有關(guān)報(bào)道,在過(guò)去幾個(gè)月中,我們看到了針對(duì)Neiman Marcus、Facebook和Robinhood股票交易應(yīng)用程序的大規(guī)模數(shù)據(jù)泄露。當(dāng)然,這些都不是孤立安全事件,通觀近年來(lái),全球數(shù)據(jù)泄露事件的數(shù)量平均每天接近3起。
統(tǒng)計(jì)數(shù)據(jù)表明,一般企業(yè)都沒(méi)有時(shí)間對(duì)其數(shù)據(jù)進(jìn)行防御,但是數(shù)據(jù)又非常重要,根據(jù)國(guó)外安全網(wǎng)站總結(jié)的五個(gè)步驟,我們一起看看如何保護(hù)各類規(guī)模企業(yè)的數(shù)據(jù)。
第一步:審查和調(diào)整數(shù)據(jù)收集標(biāo)準(zhǔn)
企業(yè)提高客戶數(shù)據(jù)安全性,需要采取的第一步是審查自身收集的數(shù)據(jù)類型以及原因。大多數(shù)進(jìn)行這項(xiàng)工作的公司最終都會(huì)發(fā)現(xiàn),隨著時(shí)間的推移,收集到的客戶信息的數(shù)量和種類遠(yuǎn)遠(yuǎn)超出了企業(yè)的原始意圖。
例如,收集客戶姓名和電子郵件地址等信息是相當(dāng)標(biāo)準(zhǔn)的。如果這就是企業(yè)存檔的全部?jī)?nèi)容,基本上就不會(huì)成為攻擊者的有吸引力的目標(biāo)。但是,如果企業(yè)擁有云呼叫中心或任何類型的高接觸銷售周期或客戶支持,可能會(huì)收集家庭住址、財(cái)務(wù)數(shù)據(jù)和人口統(tǒng)計(jì)信息,然后會(huì)收集一個(gè)非常適合身份盜用的數(shù)據(jù)集到野外。
因此,在評(píng)估每個(gè)收集到的數(shù)據(jù)點(diǎn)以確定其價(jià)值時(shí),企業(yè)應(yīng)該問(wèn)自己:這些數(shù)據(jù)促進(jìn)了哪些關(guān)鍵業(yè)務(wù)功能。如果答案是否定的,應(yīng)該清除數(shù)據(jù)并停止收集。如果有一個(gè)有效的答案,但不是關(guān)鍵的功能,企業(yè)應(yīng)該權(quán)衡數(shù)據(jù)創(chuàng)造的好處與如果數(shù)據(jù)在泄露中暴露可能遭受的損害。
第二步:最小化數(shù)據(jù)訪問(wèn)
減少要保護(hù)的數(shù)據(jù)量后,下一步是通過(guò)最大限度地減少訪問(wèn)數(shù)據(jù)的人員來(lái)減少數(shù)據(jù)的攻擊面。訪問(wèn)控制在數(shù)據(jù)保護(hù)中發(fā)揮著巨大的作用,因?yàn)楦`取用戶憑據(jù)是惡意行為者進(jìn)入受保護(hù)系統(tǒng)的主要方式。出于這個(gè)原因,企業(yè)需要將最小特權(quán)(PoLP)原則應(yīng)用于其數(shù)據(jù)存儲(chǔ)庫(kù)以及連接到系統(tǒng)。
最小化對(duì)數(shù)據(jù)的訪問(wèn)還有另一個(gè)有益的副作用:它有助于防止內(nèi)部威脅導(dǎo)致數(shù)據(jù)泄露。研究公司Forrester預(yù)測(cè),今年有31%的數(shù)據(jù)泄露事件是由內(nèi)部威脅導(dǎo)致的,同時(shí)這一數(shù)字只會(huì)在此之后繼續(xù)增長(zhǎng)。因此,首先通過(guò)將敏感的客戶數(shù)據(jù)從大多數(shù)員工手中排除,企業(yè)可以同時(shí)應(yīng)對(duì)內(nèi)部和外部威脅。
第三步:盡可能消除密碼
即使在減少了可以訪問(wèn)客戶數(shù)據(jù)的人數(shù)之后,企業(yè)仍然可以通過(guò)另一種方式讓黑客更難獲得這些數(shù)據(jù)。為了盡可能避免將密碼作為主要身份驗(yàn)證方法。
根據(jù)2021年Verizon數(shù)據(jù)泄露調(diào)查報(bào)告,去年所有數(shù)據(jù)泄露中有61%涉及使用憑據(jù)、被盜或其他方式。因此,從邏輯上講,需要擔(dān)心的憑據(jù)越少越好。還有一些方法可以減少對(duì)傳統(tǒng)密碼身份驗(yàn)證系統(tǒng)的依賴。
一種是使用雙因素身份驗(yàn)證。這意味著賬戶需要密碼和限時(shí)安全令牌,通常通過(guò)應(yīng)用程序或短信提供。但更好的方法是使用硬件安全密鑰。依靠牢不可破的加密憑證來(lái)控制數(shù)據(jù)訪問(wèn)的物理設(shè)備。雙因素身份驗(yàn)證的使用,網(wǎng)絡(luò)釣魚(yú)和其他社會(huì)工程攻擊的威脅大大減少。雙因素身份認(rèn)證是當(dāng)前最好的安全身份驗(yàn)證方法,至少在像Hushmesh這樣的解決方案成為主流之前是這樣。
數(shù)據(jù)安全
第四步:加密靜態(tài)和動(dòng)態(tài)數(shù)據(jù)
雖然憑證泄露確實(shí)是造成數(shù)據(jù)泄露的最大威脅,但不是唯一的威脅。攻擊者總是有可能利用軟件缺陷或其他安全漏洞繞過(guò)正常的訪問(wèn)控制方法并訪問(wèn)客戶數(shù)據(jù)。最糟糕的是,此類攻擊既難以檢測(cè),而且一旦發(fā)生就更難阻止。
這就是為什么任何稱職的數(shù)據(jù)保護(hù)計(jì)劃的第四步是確保所有客戶數(shù)據(jù)始終保持加密狀態(tài)。這意味著使用在數(shù)據(jù)通過(guò)時(shí)采用強(qiáng)加密的軟件、采用加密的網(wǎng)絡(luò)硬件和組件,以及允許靜態(tài)數(shù)據(jù)加密的數(shù)據(jù)存儲(chǔ)系統(tǒng)??梢宰畲笙薅鹊販p少攻擊者在沒(méi)有憑據(jù)的情況下可以獲得的數(shù)據(jù)訪問(wèn)權(quán)限,并且可以在確實(shí)發(fā)生違規(guī)時(shí)幫助控制損害。
第五步:制定數(shù)據(jù)泄露響應(yīng)計(jì)劃
不管你怎么看,這世界從來(lái)都不存在完美的網(wǎng)絡(luò)安全。攻擊者總是在努力尋找可以利用的弱點(diǎn)。做好準(zhǔn)備的企業(yè)將消除或減少其中的許多風(fēng)險(xiǎn)。但這并不意味著數(shù)據(jù)安全固若金湯,沒(méi)有泄露的可能性。
這就是客戶數(shù)據(jù)保護(hù)框架的最后一步是制定數(shù)據(jù)泄露響應(yīng)計(jì)劃的原因。如果攻擊者確實(shí)獲得了對(duì)客戶數(shù)據(jù)的訪問(wèn)權(quán)限,應(yīng)該為企業(yè)提供路線圖以幫助其做出響應(yīng)。該計(jì)劃應(yīng)不遺余力地詳細(xì)說(shuō)明內(nèi)部IT團(tuán)隊(duì)?wèi)?yīng)如何應(yīng)對(duì)、首選的3rd方安全顧問(wèn)是誰(shuí)以及如何將違規(guī)通知客戶通知等所有內(nèi)容。
最后一部分很可能是最重要的。在數(shù)據(jù)泄露之后,企業(yè)如何讓其客戶變得完整可以決定反彈程度(如果有的話)。例如,與消費(fèi)者安全公司合作,在數(shù)據(jù)泄露后為受影響的客戶提供金融欺詐保護(hù)和身份保護(hù)可能是明智之舉。這將降低任何進(jìn)一步損害企業(yè)聲譽(yù)的后續(xù)事件的風(fēng)險(xiǎn)。
底線
一個(gè)簡(jiǎn)單的事實(shí)是,尚未遭受數(shù)據(jù)泄露的企業(yè)可以說(shuō)是正在用借來(lái)的時(shí)間運(yùn)營(yíng)。而且他們的數(shù)據(jù)泄露的可能性很大。但應(yīng)用框架將大大有助于將賠率轉(zhuǎn)回對(duì)他們有利的局面。將最大程度地降低數(shù)據(jù)泄露的風(fēng)險(xiǎn),限制確實(shí)發(fā)生的損害,并幫助公司處理后果。在網(wǎng)絡(luò)安全這個(gè)不完美的世界中,沒(méi)有任何企業(yè)可以要求更多。