什么是數(shù)據(jù)安全甜癞?
數(shù)據(jù)安全是保護(hù)企業(yè)和客戶數(shù)據(jù)免受未經(jīng)授權(quán)的使用和泄露的措施。它涵蓋從發(fā)現(xiàn)公司擁有的數(shù)據(jù)到實(shí)施旨在限制訪問和保護(hù)這些數(shù)據(jù)的安全控制措施的所有內(nèi)容羡洛。
數(shù)據(jù)安全是許多企業(yè)面臨的最大網(wǎng)絡(luò)安全挑戰(zhàn)之一找前。根據(jù) Statista 的數(shù)據(jù),2022 年第三季度乱豆,全球約有 1500 萬條數(shù)據(jù)記錄因數(shù)據(jù)泄露而被曝光。與上一季度相比吊趾,這一數(shù)字增加了 37%宛裕。最近的數(shù)據(jù)泄露事件范圍從大多數(shù)人從未聽說過的小事件到像Equifax數(shù)據(jù)泄露那樣的大規(guī)模事件,該事件暴露了 1.47 億人的財(cái)務(wù)數(shù)據(jù)论泛。
為什么數(shù)據(jù)安全是必要的揩尸?
投資于數(shù)據(jù)安全的最大驅(qū)動(dòng)力之一是最大限度地降低數(shù)據(jù)泄露可能造成的潛在成本和損害。
根據(jù) IBM 和波耐蒙研究所的數(shù)據(jù)屁奏,數(shù)據(jù)泄露的平均成本為 360 萬美元岩榆,包括以下幾類費(fèi)用:
1. 檢測(cè)和升級(jí)(28.8%)
2. 修復(fù)(6.2%)
3. 事后響應(yīng)(25.4%)
4. 業(yè)務(wù)損失成本(39.4%)
在這四類中,數(shù)據(jù)安全性差給業(yè)務(wù)帶來的最大成本是事件發(fā)生后不清理。雖然難以衡量朗恳,但失去客戶信任和未來業(yè)務(wù)的損失對(duì)公司來說是更大的費(fèi)用湿颅。
數(shù)據(jù)安全性差的組織也可能面臨監(jiān)管處罰载绿。隨著《通用數(shù)據(jù)保護(hù)條例》(GDPR)和《健康保險(xiǎn)可攜性和責(zé)任法案》(HIPAA)等數(shù)據(jù)保護(hù)法規(guī)變得更加嚴(yán)格粥诫,即使不遵守規(guī)定并未導(dǎo)致數(shù)據(jù)泄露,監(jiān)管機(jī)構(gòu)也可以對(duì)不遵守要求的行為征收巨額罰款崭庸。
不遵守其他法規(guī)怀浆,如《支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)》(PCI-DSS),可能導(dǎo)致失去處理信用卡和借記卡的權(quán)利怕享,這極大地影響了組織開展業(yè)務(wù)的能力执赡。
數(shù)據(jù)安全的類型
數(shù)據(jù)安全的目標(biāo)是通過最大限度地降低敏感數(shù)據(jù)被泄露或暴露給未經(jīng)授權(quán)用戶的可能性來保護(hù)敏感數(shù)據(jù)。
有許多不同的工具可用于實(shí)現(xiàn)這一目標(biāo)函筋,包括:
1. 加密
加密算法使得在沒有訪問正確解密密鑰的情況下無法讀取數(shù)據(jù)沙合。在許多數(shù)據(jù)保護(hù)法律下,如果加密數(shù)據(jù)被泄露跌帐,但攻擊者無法訪問解密密鑰首懈,那么該泄露事件無需報(bào)告。
2. 數(shù)據(jù)擦除
這是從硬盤谨敛、U 盤和移動(dòng)設(shè)備等存儲(chǔ)設(shè)備中安全刪除敏感數(shù)據(jù)的過程究履。然而,當(dāng)數(shù)據(jù)被擦除時(shí)脸狸,它通常不會(huì)完全從設(shè)備中被清除最仑,有時(shí)可以使用特殊軟件進(jìn)行恢復(fù)。數(shù)據(jù)擦除涉及用隨機(jī)字符或零覆蓋現(xiàn)有數(shù)據(jù)炊甲,使其無法恢復(fù)泥彤,防止未經(jīng)授權(quán)的各方訪問敏感數(shù)據(jù),并有助于防范數(shù)據(jù)安全威脅卿啡。數(shù)據(jù)擦除政策和流程主要應(yīng)由處理敏感數(shù)據(jù)的組織實(shí)施吟吝,以防止數(shù)據(jù)泄露。
3. 身份訪問管理(IAM)
訪問控制系統(tǒng)使組織能夠?qū)⒂脩魧?duì)其工作角色所需的訪問權(quán)限和許可限制在最低限度(最小權(quán)限原則)牵囤。實(shí)施 IAM 可降低數(shù)據(jù)泄露的可能性和影響爸黄,并且是遵守某些數(shù)據(jù)保護(hù)法規(guī)(如 PCI-DSS)的要求。
4. 數(shù)據(jù)丟失防護(hù)(DLP)
DLP 解決方案旨在識(shí)別揭鳞、發(fā)出警報(bào)或阻止從組織網(wǎng)絡(luò)中嘗試的數(shù)據(jù)外泄炕贵。這些系統(tǒng)可以作為防范數(shù)據(jù)泄露的最后一道防線,但與其他解決方案結(jié)合使用時(shí)最為有效野崇。
5. 治理称开、風(fēng)險(xiǎn)和合規(guī)
政策和風(fēng)險(xiǎn)評(píng)估程序?qū)τ趶?qiáng)大的數(shù)據(jù)安全策略至關(guān)重要。通過定義關(guān)于不同數(shù)據(jù)的數(shù)據(jù)分類、訪問和保護(hù)的政策鳖轰,組織可以降低數(shù)據(jù)泄露的風(fēng)險(xiǎn)清酥。
6. 反惡意軟件、防病毒和端點(diǎn)保護(hù)
許多數(shù)據(jù)泄露是由惡意軟件促成的蕴侣,包括竊取數(shù)據(jù)以迫使受害者支付贖金的勒索軟件或竊取用戶憑證和數(shù)據(jù)的信息竊取惡意軟件焰轻。在設(shè)備上安裝反惡意軟件、防病毒和端點(diǎn)保護(hù)解決方案可以幫助檢測(cè)和阻止惡意軟件嘗試的數(shù)據(jù)竊取昆雀。
雖然存在各種實(shí)現(xiàn)數(shù)據(jù)安全的解決方案辱志,但不同的方法在管理不同風(fēng)險(xiǎn)方面效果更好。例如狞膘,丟失或被盜的設(shè)備是眾多數(shù)據(jù)泄露的源頭揩懒。雖然 IAM 和 DLP 解決方案在防止這些類型的事件方面影響很小,但它們可以在攜帶敏感公司或客戶數(shù)據(jù)的設(shè)備上部署全盤加密挽封、設(shè)備鎖定或遠(yuǎn)程擦除已球,以提醒 IT 員工任何未經(jīng)授權(quán)的行為并防止任何數(shù)據(jù)泄露,這有助于減輕這些威脅辅愿。
數(shù)據(jù)安全威脅
數(shù)據(jù)在組織網(wǎng)絡(luò)中無處不在智亮,并且可能以多種不同方式面臨風(fēng)險(xiǎn)。一些主要的數(shù)據(jù)安全威脅包括:
1. 云中的數(shù)據(jù)丟失:許多組織正在向云遷移渠缕,但云安全一直滯后鸽素。60% 的云存儲(chǔ)包含未加密的數(shù)據(jù),并且在過去兩年中亦鳞,93% 的云存儲(chǔ)服務(wù)中的安全配置錯(cuò)誤導(dǎo)致了 200 多次數(shù)據(jù)泄露馍忽。由于這些基于云的資源可直接從公共互聯(lián)網(wǎng)訪問,這使得它們所包含的數(shù)據(jù)面臨風(fēng)險(xiǎn)燕差。
2. 網(wǎng)絡(luò)釣魚和其他社會(huì)工程攻擊:網(wǎng)絡(luò)釣魚和社會(huì)工程攻擊是竊取敏感數(shù)據(jù)的常見方法遭笋。惡意電子郵件、短信徒探、社交媒體消息或電話可能會(huì)試圖直接竊取敏感信息或竊取用戶憑證瓦呼。然后,這些憑證可以訪問包含敏感信息的在線賬戶测暗,如基于云的電子郵件或數(shù)據(jù)存儲(chǔ)央串。
3. 意外泄露:并非所有的數(shù)據(jù)泄露都是故意的。根據(jù) IBM 和波耐蒙研究所的數(shù)據(jù)碗啄,48% 的數(shù)據(jù)泄露是由系統(tǒng)故障或人為錯(cuò)誤引起的质和。這可以包括從電子郵件中的意外抄送,到錯(cuò)誤配置云安全權(quán)限稚字,再到將 U 盤或打印件遺留在地鐵上的所有情況饲宿。
4. 內(nèi)部威脅:人們普遍認(rèn)為數(shù)據(jù)泄露主要是由外部攻擊者實(shí)施的厦酬。然而,約 60% 至 75% 的數(shù)據(jù)泄露是由內(nèi)部威脅造成的瘫想。這包括惡意內(nèi)部人員和疏忽的員工仗阅,他們會(huì)導(dǎo)致意外的數(shù)據(jù)暴露。
5. 勒索軟件:勒索軟件以多種不同方式對(duì)組織的數(shù)據(jù)構(gòu)成威脅国夜。所有勒索軟件變體都執(zhí)行數(shù)據(jù)加密减噪,這使得在不支付解密密鑰的贖金的情況下無法訪問數(shù)據(jù)。一些勒索軟件團(tuán)體在其惡意軟件中添加了數(shù)據(jù)竊取器支竹,在要求支付贖金時(shí)提供了額外的籌碼旋廷。
6. 物理硬件受損:所有數(shù)據(jù)都存儲(chǔ)在物理硬件上鸠按,而物理硬件可能成為攻擊目標(biāo)礼搁。通過供應(yīng)鏈攻擊插入的惡意硬件可能會(huì)損害敏感數(shù)據(jù),或者攻擊者可以在磁盤關(guān)閉時(shí)嘗試直接從磁盤讀取內(nèi)存目尖。
7. 被盜 / 丟失的設(shè)備:隨處辦公可能會(huì)導(dǎo)致網(wǎng)絡(luò)安全風(fēng)險(xiǎn)馒吴,因?yàn)樵O(shè)備及其敏感數(shù)據(jù)可能會(huì)被盜或丟失。這些設(shè)備經(jīng)常包含私人數(shù)據(jù)瑟曲,如果落入壞人之手饮戳,未經(jīng)授權(quán)的人可以訪問這些數(shù)據(jù),包括電子郵件洞拨、財(cái)務(wù)信息扯罐、個(gè)人文件以及對(duì)公司網(wǎng)絡(luò)和數(shù)據(jù)庫的訪問憑證,這可能會(huì)導(dǎo)致嚴(yán)重的數(shù)據(jù)泄露烦衣。
如何提高工作場(chǎng)所的數(shù)據(jù)安全歹河?
許多數(shù)據(jù)安全決策是由管理層做出的,例如公司政策以及為保護(hù)企業(yè)而部署的安全解決方案花吟。然而秸歧,你可以采取一些簡(jiǎn)單的步驟來提高自己和企業(yè)的數(shù)據(jù)安全,包括:
1. 使用強(qiáng)大的訪問控制:弱密碼是對(duì)組織及其數(shù)據(jù)的最大網(wǎng)絡(luò)安全威脅之一衅澈。對(duì)所有賬戶使用強(qiáng)而獨(dú)特的密碼键菱,并在任何可用的地方啟用多因素身份驗(yàn)證(MFA)。此外今布,身份訪問管理(IAM)工具有助于確保只有授權(quán)用戶可以訪問特定資源经备。IAM 工具包括用戶身份驗(yàn)證、授權(quán)和管理部默,使管理員能夠管理訪問侵蒙、監(jiān)控用戶活動(dòng),并在必要時(shí)撤銷訪問權(quán)限甩牺。企業(yè)可以使用 IAM 工具來改進(jìn)訪問控制程序蘑志,降低數(shù)據(jù)泄露的風(fēng)險(xiǎn),并防止未經(jīng)授權(quán)訪問敏感數(shù)據(jù)。
2. 全盤加密:全盤加密將數(shù)據(jù)以加密狀態(tài)存儲(chǔ)急但,沒有正確的密碼無法讀取澎媒。隨著使用移動(dòng)設(shè)備工作變得越來越普遍,這種針對(duì)物理攻擊的保護(hù)變得更加重要波桩。
3. 安全共享數(shù)據(jù):對(duì)基于云的文檔和數(shù)據(jù)使用共享鏈接會(huì)使任何擁有該鏈接的人都可以訪問戒努,并且存在專門用于搜索這些鏈接的工具。發(fā)送個(gè)人邀請(qǐng)以訪問資源镐躲,而不是開啟鏈接共享储玫。
4. 定期創(chuàng)建備份:勒索軟件是一個(gè)嚴(yán)重的威脅,一旦攻擊成功可能會(huì)導(dǎo)致重大的數(shù)據(jù)丟失萤皂。設(shè)置自動(dòng)備份解決方案撒穷,將數(shù)據(jù)副本存儲(chǔ)到只讀存儲(chǔ)中,以防范這些攻擊裆熙。
5. 網(wǎng)絡(luò)安全培訓(xùn):用戶意識(shí)對(duì)企業(yè)數(shù)據(jù)安全的成功至關(guān)重要端礼。
6. 風(fēng)險(xiǎn)評(píng)估檢查:這是一種主動(dòng)識(shí)別和降低安全風(fēng)險(xiǎn)的方法,這些風(fēng)險(xiǎn)可能導(dǎo)致未經(jīng)授權(quán)訪問數(shù)據(jù)入录。它涉及審查企業(yè)現(xiàn)有的安全措施蛤奥,尋找弱點(diǎn),并確定安全漏洞的風(fēng)險(xiǎn)和潛在后果僚稿。這個(gè)過程有助于組織了解并確定安全措施需要改進(jìn)的地方凡桥。
7. 創(chuàng)建并執(zhí)行全面的數(shù)據(jù)安全計(jì)劃:數(shù)據(jù)安全策略對(duì)于保護(hù)敏感信息并確保員工了解他們?cè)诎踩械慕巧陵P(guān)重要。此策略應(yīng)包括定期數(shù)據(jù)備份蚀同、加密機(jī)制缅刽、訪問控制規(guī)則、事件響應(yīng)流程以及員工關(guān)于安全最佳實(shí)踐的培訓(xùn)唤崭。精心設(shè)計(jì)的數(shù)據(jù)安全計(jì)劃可能有助于防止數(shù)據(jù)泄露并減少安全事件的影響拷恨。
數(shù)據(jù)安全法規(guī)
數(shù)據(jù)保護(hù)法規(guī)已經(jīng)存在多年。然而谢肾,在過去幾年中腕侄,監(jiān)管環(huán)境迅速變得非常復(fù)雜。
一個(gè)組織必須遵守的確切數(shù)據(jù)隱私法律取決于其位置和行業(yè)芦疏。需要了解的一些主要數(shù)據(jù)安全法規(guī)包括:
1. 通用數(shù)據(jù)保護(hù)條例(GDPR)
GDPR 于 2016 年通過冕杠,并于 2018 年生效。它保護(hù)歐盟公民的個(gè)人數(shù)據(jù)酸茴,并適用于任何擁有歐盟客戶的組織分预,無論其位置在哪里。GDPR 引發(fā)了最近數(shù)據(jù)隱私法律的激增薪捍,并激勵(lì)了許多其他法規(guī)笼痹。
2. 健康保險(xiǎn)可攜性和責(zé)任法案(HIPAA)
HIPAA 是美國(guó)的一項(xiàng)法規(guī)配喳,保護(hù)美國(guó)公民的個(gè)人健康數(shù)據(jù)。其數(shù)據(jù)安全要求適用于醫(yī)療保健提供者及其可能訪問受法律保護(hù)數(shù)據(jù)的服務(wù)供應(yīng)商凳干。
3. 聯(lián)邦信息安全管理法案(FISMA)
FISMA 是一項(xiàng)管理美國(guó)政府信息安全的法律晴裹。它編纂了聯(lián)邦機(jī)構(gòu)必須制定的網(wǎng)絡(luò)安全和數(shù)據(jù)安全保護(hù)及政策。
4. 薩班斯 - 奧克斯利法案(SOX)
SOX 是一項(xiàng)旨在保護(hù)公司投資者免受欺詐的法律救赐。數(shù)據(jù)安全是其中的一個(gè)重要組成部分涧团,因?yàn)閿?shù)據(jù)泄露可能會(huì)損害公司股票的價(jià)值。在 SolarWinds 被黑客攻擊后经磅,針對(duì)該公司提起了集體訴訟泌绣,聲稱其在 SOX 文件中關(guān)于網(wǎng)絡(luò)安全的聲明是不真實(shí)和具有誤導(dǎo)性的。
數(shù)據(jù)安全與數(shù)據(jù)隱私
數(shù)據(jù)隱私和數(shù)據(jù)安全是保護(hù)敏感數(shù)據(jù)的關(guān)鍵組成部分预厌,但它們處理的是不同的問題阿迈。
數(shù)據(jù)安全是保護(hù)信息免受未經(jīng)授權(quán)的訪問、竊取配乓、破壞或篡改仿滔。為了防止不必要的訪問并確保數(shù)據(jù)的保密性、完整性和可用性犹芹,需要諸如加密和監(jiān)控等安全控制措施。
數(shù)據(jù)隱私是用來描述一個(gè)人控制其個(gè)人信息如何被收集鞠绰、使用和共享的權(quán)利的術(shù)語腰埂。它包括防止未經(jīng)授權(quán)的披露或?yàn)E用個(gè)人的個(gè)人信息。
總之蜈膨,主要區(qū)別在于數(shù)據(jù)隱私側(cè)重于保護(hù)個(gè)人擁有其個(gè)人信息的權(quán)利并保持其數(shù)據(jù)的機(jī)密性屿笼。相比之下,數(shù)據(jù)安全采取行動(dòng)防止對(duì)上述數(shù)據(jù)的不必要訪問翁巍,保護(hù)其免受惡意活動(dòng)的影響驴一。在處理敏感數(shù)據(jù)時(shí),兩者都是組織需要考慮的關(guān)鍵因素灶壶,因?yàn)槲茨茏龅竭@一點(diǎn)可能會(huì)對(duì)品牌產(chǎn)生負(fù)面的影響肝断。
總結(jié)
數(shù)據(jù)安全是一個(gè)持續(xù)的過程,對(duì)于個(gè)人和組織保持其數(shù)據(jù)的完整性和保密性至關(guān)重要驰凛;掌握不斷變化的威脅和漏洞需要持續(xù)的監(jiān)控胸懈、升級(jí)和培訓(xùn)。因此恰响,制定數(shù)據(jù)安全計(jì)劃并保持其更新以確保其符合企業(yè)不斷變化的需求和法律法規(guī)趣钱,從而防止數(shù)據(jù)泄露是至關(guān)重要的。
數(shù)據(jù)安全不是一種通用的解決方案胚宦。相反首有,它需要根據(jù)每個(gè)組織的獨(dú)特需求燕垃、風(fēng)險(xiǎn)和挑戰(zhàn)采取定制的方法。每個(gè)人都可以通過網(wǎng)絡(luò)安全習(xí)慣為數(shù)據(jù)安全做出貢獻(xiàn)井联,這包括使用強(qiáng)密碼利术、避免使用公共 Wi-Fi 網(wǎng)絡(luò)以及對(duì)網(wǎng)絡(luò)釣魚詐騙保持警惕。
