本文來自微信公眾號“數(shù)世咨詢”,作者/nana。
IBM最新一期《數(shù)據(jù)泄露成本》報告顯示,全球數(shù)據(jù)泄露事件平均成本已升至每起近445萬美元。雖然數(shù)據(jù)被盜是入侵的明顯影響,但利潤和企業(yè)聲譽(yù)的損失也可能對企業(yè)造成重大甚至持久的損害。這些后果往往在入侵發(fā)生后很久才慢慢顯現(xiàn),因?yàn)闀治g客戶信任,導(dǎo)致上市公司股價下跌,迫使企業(yè)提價以應(yīng)對利潤損失。
也就是說,數(shù)據(jù)泄露可能會對企業(yè)的各個方面產(chǎn)生巨大影響……但如果情況不再如此呢?
不妨試想一下安全入侵無害的未來:不是說安全入侵不會發(fā)生,而是它們無關(guān)緊要。公司遭到滲透,攻擊者進(jìn)入網(wǎng)絡(luò),甚至可能染指員工的設(shè)備,但數(shù)據(jù)仍舊安全無損。而且,因?yàn)闆]有數(shù)據(jù)丟失,聲譽(yù)影響幾乎可以忽略不計,因?yàn)槠髽I(yè)可以自信表示:雖然發(fā)生了入侵事件,但企業(yè)和客戶的數(shù)據(jù)受到妥善保護(hù)。
聽起來很不錯,對吧?這種未來是完全有可能的,但前提是企業(yè)進(jìn)行必要的(如果還來得及的話)安全策略范式轉(zhuǎn)變。
01
安全范式轉(zhuǎn)變
多年來,主流理論一直都是要圍繞網(wǎng)絡(luò)構(gòu)筑安全:保護(hù)邊界,將攻擊者攔在外面。這種方法最終被證明是不足以做好安全防護(hù)的,因?yàn)楫?dāng)邊界充滿漏洞,墻再大再高都沒用。此外,端點(diǎn)的增長和勞動力愈加分散的情況也促成了圍繞設(shè)備構(gòu)筑安全的新策略。但這種方法也存在短板,因?yàn)槿绻谌綋碛衅髽I(yè)資產(chǎn)的訪問權(quán)限,基于設(shè)備的安全就留有漏洞。
如上所述,僅圍繞網(wǎng)絡(luò)和設(shè)備構(gòu)筑安全沒什么效果。我們應(yīng)該將重點(diǎn)轉(zhuǎn)向圍繞數(shù)據(jù)本身構(gòu)筑安全。這種模式不是圍繞設(shè)備或員工而是圍繞數(shù)據(jù)資產(chǎn)嵌入細(xì)粒度的安全控制,從而確保數(shù)據(jù)資產(chǎn)僅按預(yù)期使用。這些控制措施跟著數(shù)據(jù)走,無論數(shù)據(jù)流向企業(yè)內(nèi)部還是外部,無關(guān)數(shù)據(jù)共享和存儲的方法是哪一種,并且允許隨時更新對數(shù)字資產(chǎn)的訪問權(quán)限。
通過保護(hù)網(wǎng)絡(luò)邊界外的數(shù)據(jù),企業(yè)能夠保持對自身敏感資產(chǎn)的可見性和控制,即使在與第三方協(xié)作者共享關(guān)鍵信息時也是如此。這么做讓企業(yè)能在不拖慢自身增長的情況下保護(hù)供應(yīng)鏈安全。而將重點(diǎn)放在保護(hù)數(shù)據(jù)而非保護(hù)網(wǎng)絡(luò)或端點(diǎn),則可以使企業(yè)不僅能夠保護(hù)自身最關(guān)鍵且敏感的資產(chǎn),還能主動緩解未來發(fā)生入侵的影響。
02
五步減輕入侵影響
想要重新調(diào)整網(wǎng)絡(luò)安全策略并減輕入侵的影響,安全專業(yè)人員可以采取如下五個步驟:
•與高管溝通,闡明為什么這種轉(zhuǎn)變是必要的:防火墻和端點(diǎn)保護(hù)主導(dǎo)安全多年,存在改變管理的需求。在過渡到面向數(shù)據(jù)的模式之前,你需要取得高管團(tuán)隊(duì)的認(rèn)同。準(zhǔn)備這場溝通的時候,你可以從Log4j和MOVEit等最近眾所周知的入侵事件著手,強(qiáng)調(diào)利潤損失和聲譽(yù)影響。而在談話過程中,可以向這一轉(zhuǎn)變可能帶來的其他好處傾斜,比如加強(qiáng)合規(guī)。相較于純網(wǎng)絡(luò)安全用例,更高級別的商業(yè)價值更能引起非技術(shù)利益相關(guān)者的共鳴。
•了解并分類數(shù)據(jù):獲得高管認(rèn)可后,確定最有價值的數(shù)據(jù)并進(jìn)行相應(yīng)分類。分類數(shù)據(jù)時可以詢問如下問題:這些數(shù)據(jù)的目的是什么?數(shù)據(jù)格式是什么?數(shù)據(jù)位于何處?誰在使用這些數(shù)據(jù),他們在企業(yè)內(nèi)部還是外部?
•制定持續(xù)保護(hù)數(shù)據(jù)的策略:為企業(yè)確定最佳策略時,你必須了解數(shù)據(jù)的生命周期(例如誰在何時以何種方式使用數(shù)據(jù)),并確定不同類別的數(shù)據(jù)可能需要的不同風(fēng)險級別。創(chuàng)建策略時要確保納入數(shù)據(jù)的真實(shí)用戶,從而創(chuàng)建最有用的過程。
•自動化數(shù)據(jù)保護(hù):自動化是數(shù)據(jù)安全的必備元素,因?yàn)樽詣踊兄诒苊馊藶殄e誤或疏忽。團(tuán)隊(duì)?wèi)?yīng)該考慮自動分類來自特定用戶或團(tuán)隊(duì)或提到特定信息(比如財務(wù)報表)的數(shù)據(jù)。
•征求反饋并重視可用性:嚴(yán)格的安全策略可能會妨礙完成工作,導(dǎo)致受挫員工尋找繞過安全措施的途徑??梢宰尠踩珗F(tuán)隊(duì)之外的員工參與進(jìn)來,看看哪些策略有效哪些無效,何處可能需要更多靈活性,以及工作流程何時可能發(fā)生變化。
一次數(shù)據(jù)泄露就有可能令公司天翻地覆,有時甚至回天乏力。但在未來幾年里,情況未必如此。通過調(diào)整不再服務(wù)于現(xiàn)代企業(yè)的過時網(wǎng)絡(luò)安全范式,企業(yè)不僅能夠制定更強(qiáng)大的安全實(shí)踐,還能讓入侵變得無關(guān)緊要。