数据保护已经取得了长足的进步。在前几年,它被认为是“最好有的”,并且是页面下方预算的一个项目。如今,它已成为所有行业几乎每位 CIO 或CISO的首要考虑因素。
然而,许多组织陷入了网络安全挑战的困境,这通常是由于对数据安全的普遍疏忽和误解造成的。这并不奇怪,因为威胁的复杂性以及不良行为者的 TTP(策略、技术和程序)不断增加。
从去中心化数据安全策略的陷阱到忽视已知漏洞和管理合规性的挑战,本文将探讨每个障碍,提供可行的解决方案,并通过一个将所有这些障碍结合在一起的现实示例来阐述。
陷阱 1:未能超越合规性
国内外都会谈合规,合规是法律要求,是必须做到的,也是最基线起点式的工作。我们有等级保护制度、数据安全保护制度、关键信息基础设施保护制度,而欧美则有GDPR 和 SOX 等法规设定了数据安全标准,但合规仅仅是起点,应被视为保护数据的赌注。合规性不应被误认为是完整的数据安全保护,因为强大的安全性不仅仅涉及合规性检查。
事实上,许多大型数据泄露事件都发生在纸面上完全合规的组织中。超越合规性需要积极(主动)识别和减轻风险,而不仅仅是在审计期间勾选框。
解决方案:将合规性视为起点
组织必须超越合规性,采取战略性、主动的方法来保护关键数据。该策略应包括发现和分类敏感数据、使用分析进行风险评估、通过加密和访问控制实施数据保护、监控异常活动、快速响应威胁以及简化合规报告。了解数据泄露的更广泛影响(例如法律责任和潜在损失)对于制定强大的数据安全措施至关重要。
陷阱 2:没有认识到集中式数据安全的必要性
随着业务的增长,数据存储在各种平台上,其中大部分是非结构化的。数据蔓延是真实存在的,这凸显了集中安全监督的重要性。
当他们的数据源进一步扩展到云中时,IT 基础设施不断增长的公司领导者可能会因这种广泛的攻击面而不知所措。如果对敏感数据没有足够的可见性和控制力,统一的方法就具有挑战性,并且会在安全协议和新漏洞中造成漏洞。
解决方案:了解敏感数据所在的位置
有效的数据安全涉及了解敏感数据的存储和访问位置以及方式,并将这些知识集成到更广泛的网络安全计划中,以确保不同技术之间的顺利通信。使用跨各种环境和平台运行的数据安全解决方案对于有效的数据保护和网络安全集成至关重要。
陷阱 3:数据所有权责任不明确
对于任何组织来说,数据都是最有价值的资产之一。然而,问题是“谁拥有这些数据?” 常常会导致组织内部出现歧义。
明确划分数据所有权和责任对于有效的数据治理至关重要。每个团队或员工都必须了解自己在保护数据方面的角色,以创建安全文化。因为如果没有人知道谁对哪些数据负责,如何保护敏感数据?
解决方案:聘请CDO或DPO
雇用首席数据官 (CDO) 或数据保护官 (DPO) 是有效数据管理和安全性的良好开端,特别欧洲是对于 GDPR 合规性而言。这些角色需要技术知识、商业头脑、风险评估技能以及指导战略数据安全实施的能力。他们还应该管理合规性、监控计划有效性、与云提供商协商并领导数据泄露响应计划。他们的作用对于促进整个组织范围内的数据安全协作至关重要。
陷阱 4:未能解决已知漏洞
未修补的漏洞是网络犯罪分子最容易攻击的目标之一。这意味着当组织无法快速解决公共漏洞时,它们将面临重大风险。尽管有补丁可用,但许多企业出于各种原因推迟了部署,这使得敏感数据容易受到攻击。
补丁管理的挑战源于协调 IT、安全和运营团队工作的困难,以及需要测试补丁以避免新问题。在云环境中,补丁责任的不确定性以及对第三方服务提供商缺乏控制只会使问题变得更加复杂。
解决方案:实施漏洞管理计划
彻底的漏洞管理计划对于网络安全至关重要,涉及对所有数据资产(包括基于云的数据资产)的定期扫描和评估。将漏洞修复作为优先事项并基于潜在的利用和业务影响至关重要。保护措施还应包括加密和标记化等数据混淆技术,以及强大的密钥管理。
陷阱 5:数据活动监控不足
在大数据时代,监控数据活动无疑是困难的。曾经被认为是纯粹的 IT 决策已经超越了董事会和公司上下的层面。
为了有效的数据安全,领导者必须对谁访问数据、访问数据的方式和时间保持警惕。这包括确保适当的访问级别和评估相关风险 - 特别是因为特权用户经常构成重大的内部威胁。
数据保护的一个关键要素是实时监控,以检测特权帐户的可疑或未经授权的活动。由于需要监控、捕获、过滤和处理来自数据库、文件系统和云环境等不同来源的大量数据,这里的挑战变得更加严峻。
解决方案:制定全面的数据安全和合规策略
启动数据安全计划需要将监控工作与特定风险和业务目标保持一致,并采用分阶段方法来实施最佳实践。应优先考虑通过明确的策略监控最敏感的数据源,并投资于具有高级分析功能的自动监控解决方案,以检测风险和异常活动,尤其是特权用户。
Equifax 数据泄露:现实示例的要点
反映未能解决已知漏洞的数据泄露最引人注目的例子之一是 2017 年的 Equifax 数据泄露事件,该事件泄露了约 1.47 亿人的个人信息。此次泄露是由于 Apache Struts Web 框架中的一个已知漏洞造成的,而Equifax 未能及时修补该漏洞。
为了解决此次泄露造成的深远影响,Equifax进行了重大变革,其中一些已在上文概述。
据他们的首席信息官称,该公司:
在网络安全方面投入巨资(违规后一年投资超过 2 亿美元)
增加资源
获得整个执行领导团队的支持
聘请了一位在 IBM 任职期间具有出色领导能力的新 CTO
在整个组织内实施内置的安全意识激励措施,与年度奖金结构挂钩,甚至在未达到特定安全目标时扣减奖金。
Equifax 泄露事件清楚地提醒我们,超越合规性,转向更全面、主动的数据安全方法的重要性,并强调及时响应已知漏洞、持续投资安全技术以及熟练网络安全人员的重要性。
再谈合规:合规就是各方君子协定下的安全防护手段,也就是说各方遵循一定规则,共同去分摊责任。然而,网络与数据安全有其自有的属性,各类攻击时不会按照君子协定出牌的,或者说根本不存在君子协定式的出牌方式。而数据安全往往是后知后觉的,加上我们都明白没有绝对安全的系统,所以在开展网络和数据安全工作中,一定不能止步于合规。合规做扎实了,只是万里长征的第一步。
— 欢迎关注 —
>>>错与罚<<<
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...