平均每天發生近3起資料洩露事件 簡單5步降低資料洩露風險

zktq2021發表於2021-11-24
事件

當今社會及企業發展已離不開資料的收集和執行。在每次互動時從客戶那裡收集資訊,並使用它來提高效率、提高敏捷性並提供更高水平的服務。

但越來越明顯的是,企業收集的所有資料也使它們成為網路犯罪分子的誘人目標。大量資料的存在使其危險性逐漸增加。在過去幾個月中,我們目睹了針對Neiman Marcus、Facebook和Robinhood股票交易應用程式的大規模資料洩露。近年來,全球平均每天發生近3起資料洩露事件。

產生、儲存、使用“資料”的主體,均為軟體,保障資料安全的第一步是保障軟體自身的安全。統計資料表明,一般企業只用很少的時間對其資料進行防禦。為了提供幫助,這裡有一個簡單的5步框架,企業可以參考使用來保護他們的客戶資料安全。

第一步:審查和調整資料收集標準

企業提高客戶資料安全性的第一步是檢查他們收集的資料型別和原因。大多數進行這項工作的公司最終都會對他們的發現感到驚訝。這是因為,隨著時間的推移,收集到的客戶資訊的數量和種類遠遠超出了企業的最初意圖。

例如,通常情況下會收集客戶姓名和電子郵件地址等資訊。但如果這就是企業存檔的全部內容,那麼對攻擊者來說沒有什麼吸引力。關鍵在於,如果企業擁有云呼叫中心或任何型別的高接觸銷售週期或客戶支援,它可能會收集家庭住址、財務資料和人口統計資訊,然後收集這些資料,如果這些資料被洩露出去,就可以完美地實現身份盜竊。

因此,在評估每個收集到的資料點以確定其價值時,企業應該反思,這些資料促進了哪些關鍵的業務功能。如果答案是沒有,那麼建議清除資料並停止收集。如果資料有利於企業業務,但對於一個不關鍵的功能,業務部門應該權衡資料所帶來的好處和如果資料被洩露可能造成的傷害。

第二步:最小化資料訪問

在減少要保護的資料量之後,下一步是透過最小化訪問資料的人來減少資料的攻擊面。訪問控制在資料保護中扮演著非常重要的角色,因為竊取使用者憑證是惡意參與者進入受保護系統的主要方式。因此,企業需要將最小許可權原則(PoLP)應用於其資料儲存庫以及與之連線的系統。

而最小化對資料的訪問還有另一個作用:它有助於防止內部威脅導致資料洩露。研究公司Forrester預測,今年內部威脅將導致31%的入侵事件——這一數字只會繼續增長。因此,透過在一開始就不讓大多數員工接觸敏感的客戶資料,企業可以同時應對內部和外部威脅。

第三步:儘可能消除密碼

即使在減少了可以訪問客戶資料的人數之後,企業仍然可以透過另一種方式讓駭客更難獲得這些資料。透過儘可能避免將密碼作為主要身份驗證的方法,可以很大程度上提高安全性。

根據2021年Verizon資料洩露調查報告,去年所有資料洩露中有61%涉及使用憑據、被盜或其他方式。因此,從邏輯上講,需要擔心的憑據越少越好。還有一些方法可以減少對傳統密碼身份驗證系統的依賴。

使用雙因素身份驗證就是其一。這意味著賬戶需要密碼和限時安全令牌,通常透過應用程式或簡訊傳送。但是一個更好的方法是使用硬體安全金鑰。它們是物理裝置,依賴於不可破解的密碼憑證來控制資料訪問。隨著它們的使用,網路釣魚和其他社會工程攻擊的威脅大大減少。

第四步:加強軟體安全保護資料

雖然到目前為止,被洩露的憑證確實是導致資料洩露的最大威脅,但它們不是唯一的威脅。軟體安全漏洞或缺陷通常為網路攻擊者入侵系統開啟了大門。他們透過利用這些安全漏洞或缺陷繞過常規的訪問控制方法,獲得對客戶資料的訪問許可權。最糟糕的是,這樣的攻擊很難被發現,而且一旦進行就更難阻止。

產生、儲存、使用“資料”的主體,均為軟體,保障資料安全的第一步是保障軟體自身的安全。隨著企業在網路安全方面意識的提高,在軟體開發過程中透過安全可信的 靜態程式碼檢測工具來查詢識別安全漏洞及缺陷,有助於開發人員第一時間修改問題程式碼,提高軟體自身安全性,從而保護資料安全。

在資料保護計劃中,另一需要做的是確保所有客戶的資料始終處於加密狀態。這意味著使用在資料透過時採用強加密的軟體、採用加密的網路硬體和元件,以及允許靜態資料加密的資料儲存系統。這樣做可以最大限度地減少攻擊者在沒有憑據的情況下可以獲得的資料訪問許可權,並且可以在確實發生違規時幫助控制損害。

第五步:制定資料洩露響應計劃

不管如何防禦,都不存在完美的網路安全。攻擊者總是努力尋找網路中的弱點並加以利用。在網安防禦上準備充分的企業將避免或降低遭到攻擊或資料洩露的風險,但這並不意味著不會發生資料洩露事件。

制定資料洩露響應計劃是為了以防萬一。響應計劃為業務提供一個詳細路線圖,以便在攻擊者獲得對客戶資料的訪問權時做出響應。該計劃應該不放過任何細節——詳細說明從內部IT團隊應該如何反應,第三方安全顧問是誰,以及如何通知客戶入侵。

尚未遭到資料洩露的企業不應該存有僥倖之心,提前做好資料洩露詳細的防禦措施和響應計劃,按照上述提到的步驟完善企業資料安全防禦系統,有助於降低資料洩露風險,並在發生資料洩露時限制損失,幫助公司處理後續事宜。在網路安全這個不完美的世界裡,沒有任何企業能奢求更多。


參讀連結:


來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/70000012/viewspace-2843786/,如需轉載,請註明出處,否則將追究法律責任。

相關文章