技術(shù)
導(dǎo)讀:數(shù)據(jù)泄露的最終成本和后果可能影響深遠(yuǎn),甚至?xí)谰脫p害公司的聲譽(yù)。
考慮到數(shù)據(jù)已成為數(shù)字企業(yè)、電子商務(wù)平臺(tái)和金融機(jī)構(gòu)的重要組成部分,保護(hù)敏感數(shù)據(jù)的問(wèn)題對(duì)每個(gè)組織來(lái)說(shuō)都是一項(xiàng)挑戰(zhàn)。不幸的是,由于數(shù)據(jù)泄露、暴露和其他危害導(dǎo)致的數(shù)據(jù)盜竊在數(shù)字環(huán)境中太常見(jiàn)了,這意味著組織無(wú)法建立有效的安全態(tài)勢(shì)。數(shù)據(jù)泄露的最終成本和后果可能影響深遠(yuǎn),甚至?xí)谰脫p害公司的聲譽(yù)。
如今,越來(lái)越多的共識(shí)是,如果一組數(shù)據(jù)不能為組織增加價(jià)值或支持基本操作,則不應(yīng)存儲(chǔ)它。但是,如果組織確實(shí)決定存儲(chǔ)數(shù)據(jù),則可以主動(dòng)采取負(fù)責(zé)任的步驟來(lái)確保數(shù)據(jù)受到保護(hù)。事實(shí)上,許多行業(yè)最佳實(shí)踐也有助于滿足相關(guān)的監(jiān)管合規(guī)義務(wù)。例如,利用額外的安全措施(如格式保留加密或標(biāo)記化)滿足數(shù)據(jù)保護(hù)的常見(jiàn)安全要求,同時(shí)保留原始數(shù)據(jù)的元素,從而保留其對(duì)業(yè)務(wù)的有用性。
一個(gè)嚴(yán)酷的現(xiàn)實(shí)是,沒(méi)有任何解決方案可以聲稱是阻止數(shù)據(jù)泄露的萬(wàn)無(wú)一失或萬(wàn)無(wú)一失的方法。本文的目標(biāo)是分享簡(jiǎn)單的安全規(guī)則或智慧,幫助企業(yè)構(gòu)建更強(qiáng)大的網(wǎng)絡(luò)安全策略,并最終為保護(hù)對(duì)數(shù)字業(yè)務(wù)運(yùn)營(yíng)至關(guān)重要的數(shù)據(jù)奠定堅(jiān)實(shí)的基礎(chǔ)。
首先,要確定組織中敏感數(shù)據(jù)的規(guī)模,需要有足夠的數(shù)據(jù)發(fā)現(xiàn)過(guò)程。這個(gè)想法也是嚴(yán)格評(píng)估存儲(chǔ)敏感數(shù)據(jù)的風(fēng)險(xiǎn)與其用于分析和其他業(yè)務(wù)目的的效用。使用工具來(lái)查找和分類或“映射”環(huán)境中的敏感信息可以簡(jiǎn)化流程。
映射后,組織可以了解要保護(hù)的數(shù)據(jù)范圍,并可以開(kāi)始降低相關(guān)風(fēng)險(xiǎn)。例如,與第三方共享的數(shù)據(jù)或多個(gè)員工可通過(guò)存儲(chǔ)數(shù)據(jù)的網(wǎng)絡(luò)訪問(wèn)的數(shù)據(jù)暴露的風(fēng)險(xiǎn)更大。為了降低數(shù)據(jù)泄露或不當(dāng)處理的風(fēng)險(xiǎn),團(tuán)隊(duì)可能會(huì)盡量減少接觸敏感信息的個(gè)人或系統(tǒng)的數(shù)量。
盡管它們不是用于保護(hù)敏感數(shù)據(jù)的唯一措施,但所有傳統(tǒng)的外圍安全方法仍必須適用于組織的整體安全狀況。分層方法包括安裝和維護(hù)有效的防火墻,跟蹤和監(jiān)控網(wǎng)絡(luò)流量以確定允許誰(shuí)或什么訪問(wèn)環(huán)境。一個(gè)起點(diǎn)是確保您在路由器上使用具有足夠強(qiáng)和復(fù)雜密碼的專用網(wǎng)絡(luò)。更重要的一步是要求所有個(gè)人都使用密碼來(lái)訪問(wèn)環(huán)境,明確為每個(gè)帳戶使用強(qiáng)大且唯一的密碼,以避免竊取登錄信息以訪問(wèn)多個(gè)帳戶的憑證填充攻擊。
避免使用不安全的員工路由器、移動(dòng)設(shè)備或熱點(diǎn)也很重要,尤其是那些具有公共連接的熱點(diǎn),因?yàn)樗鼈儠?huì)引入未受保護(hù)的接入點(diǎn)并削弱安全鏈。始終使用雙因素身份驗(yàn)證,這需要多種形式的身份驗(yàn)證來(lái)確認(rèn)用戶身份,并部署和維護(hù)可以檢測(cè)和刪除各種類型惡意軟件的防病毒軟件程序,防止它們滲透系統(tǒng)或以其他方式破壞網(wǎng)絡(luò)。
盡管如此,有些人認(rèn)為數(shù)據(jù)泄露是不可避免的。我不建議將重點(diǎn)轉(zhuǎn)移到恢復(fù)計(jì)劃而不是入侵預(yù)防措施上。盡管制定詳細(xì)的恢復(fù)計(jì)劃至關(guān)重要,但這只是其中的一部分。積極努力防止違規(guī)可以減緩黑客的進(jìn)展,并最大限度地減少違規(guī)的潛在負(fù)面影響。我們已經(jīng)介紹了幾種經(jīng)過(guò)驗(yàn)證的安全實(shí)踐,這些實(shí)踐可以有效地阻止數(shù)據(jù)盜竊,使用的實(shí)踐與監(jiān)管合規(guī)性的行業(yè)要求密切相關(guān)。
令牌化可以通過(guò)從環(huán)境中完全刪除敏感數(shù)據(jù)來(lái)進(jìn)一步推進(jìn)這一過(guò)程。我們非常簡(jiǎn)單地向客戶解釋了這一點(diǎn):沒(méi)有數(shù)據(jù),沒(méi)有盜竊。由于其卓越的安全性、靈活性和簡(jiǎn)單性,標(biāo)記化正被世界各地的組織廣泛采用,以解決有關(guān)數(shù)據(jù)保護(hù)和法規(guī)遵從性的問(wèn)題。
無(wú)論組織需要滿足隱私法規(guī)、對(duì)系統(tǒng)內(nèi)的敏感數(shù)據(jù)集進(jìn)行去標(biāo)識(shí)化,還是幫助保護(hù)各種形式的支付信息,標(biāo)記化都是非常有效的。 通過(guò)用非敏感令牌替換數(shù)據(jù),違規(guī)行為將無(wú)法產(chǎn)生任何有價(jià)值或可用的信息。 令牌對(duì)網(wǎng)絡(luò)犯罪分子毫無(wú)價(jià)值,因?yàn)樗鼈儫o(wú)法竊取不存在的數(shù)據(jù)。 代幣還可用于限制不必要地暴露數(shù)據(jù)或共享或錯(cuò)誤處理數(shù)據(jù)的內(nèi)部風(fēng)險(xiǎn)。 沒(méi)有數(shù)據(jù),就沒(méi)有盜竊。