在當今的混合環境中,資料安全變得更加複雜。 協調的安全管理對於一系列關鍵任務至關重要,包括確保每個使用者都有權訪問資料和應用程式,並且敏感資料不會過度暴露。
使用以下五個步驟建立全面的資料風險評估。
檢查端點、雲服務、儲存介質和其他位置,以查詢和記錄敏感資料的所有例項。 資料清單應包括可能影響風險要求的任何特徵。 例如,儲存資料的地理位置會影響適用的法律和法規。 確定誰負責每個敏感資料例項,以便您可以根據需要與他們進行互動。
每個組織都應該為所有敏感資料定義資料分類,例如“受保護的健康資訊”和“個人身份資訊”。 這些定義應指示哪些安全和私隱控制是強制性的,並建議對每種敏感資料型別進行控制。
即使資料已經分類,也應定期重新檢查。 資料的性質可能會隨著時間的推移而改變,並且可能會出現適用於相關資料的新分類。
組織可能擁有如此多的敏感資料,以至於在每次評估期間都無法檢視所有敏感資料。 如有必要,請優先處理最敏感的資料、要求最高的資料或未評估時間最長的資料。
審核控制措施,以保護敏感資料在使用、儲存和傳輸時的安全。 常見的審核步驟包括:
驗證最小許可權原則。 確認只有必要的人類和非人類使用者、服務、管理員和第三方(如業務合作夥伴、承包商和供應商)才能訪問敏感資料,並且他們只有所需的訪問許可權,例如唯讀、讀寫等。
確保積極實施所有限制資料訪問的策略。 例如,組織可能會根據以下因素限制對某些敏感資料的訪問:
使用者的位置。
資料的位置。
一天中的時間。
星期幾。 使用者的裝置型別。
確保所有其他必要的安全和私隱控制措施都在使用中。 降低風險的常用工具包括:
資料丟失防護軟體。
防火牆。 加密。
多因素身份驗證。
使用者和實體行為分析。
識別資料保留違規行為。 確定是否存在任何應銷毀的資料以符合資料保留策略。
雖然識別安全和私隱缺陷屬於資料風險評估的範圍,但修復它們並非如此。 但是,評估應包括以下內容:
每個缺陷的相對優先順序。
解決每個缺陷的推薦行動方案。
理想情況下,這些建議為實現更好的資料安全性提供了路線圖。 風險矩陣可以幫助根據潛在後果的嚴重性和發生的可能性來組織問題並確定問題的優先順序。
企業領導者應制定策略,以緩解資料風險評估中發現的安全和私隱缺陷,同時考慮補救建議並優先考慮高風險問題。 歸根結底,資料風險評估的輸出應該是組織風險管理和緩解計畫的主要輸入,從而做出更明智的決策,從而有助於改善資料保護。
資料安全管理涉及各種技術、流程和實踐,以確保業務資料安全且未經授權的各方無法訪問。 資料安全管理系統側重於保護敏感資料,例如個人資訊或關鍵業務智財權。 例如,資料安全管理可能涉及建立資訊保安策略、識別安全風險以及發現和評估 IT 系統的安全威脅。 另乙個關鍵做法是與整個組織的員工分享有關資料安全最佳實踐的知識,例如在開啟電子郵件附件時要謹慎。
資料安全面臨許多不同的威脅,而且它們在不斷發展,因此沒有乙個權威的列表。 但是,您需要密切關注並教育您的使用者了解以下最常見的威脅:
惡意軟體 – 惡意軟體是為獲得未經授權的訪問或造成損害而開發的惡意軟體。 一旦惡意軟體感染了計算機,它就會在整個網路中迅速傳播。 惡意軟體有多種形式,例如病毒、蠕蟲、特洛伊木馬、間諜軟體和犯罪軟體。 惡意軟體通常通過利用受害者的訪問許可權進行傳播,因此將每個使用者的許可權限制為他們完成工作所需的資料和系統至關重要。
DDoS 攻擊 — 分布式拒絕服務攻擊試圖使伺服器無法使用。 為了降低風險,請考慮投資入侵檢測系統 (IDS) 或入侵防禦系統 (IPS) 來檢查網路流量並記錄潛在的惡意活動。
網路釣魚詐騙 – 這種常見的社會工程技術試圖誘騙使用者開啟網路釣魚電子郵件中的惡意附件。 解決方案包括建立一種以網路安全為中心的文化,並使用工具自動阻止垃圾郵件和網路釣魚訊息,使使用者永遠不會看到它們。
黑客 – 這是上述攻擊背後的攻擊者的總稱。
第三方 – 缺乏足夠網路安全的合作夥伴和承包商可能會使互連系統容易受到攻擊,或者他們可能會直接濫用 IT 環境中授予的許可權。
惡意內部人員 – 一些員工故意竊取資料或破壞系統,例如,利用這些資訊在黑市上建立競爭業務**,或因實際或感知到的問題而對雇主進行報復。
錯誤 – 使用者和管理員也可能犯無辜但代價高昂的錯誤,例如將檔案複製到個人裝置、意外將包含敏感資料的檔案附加到電子郵件中,或將機密資訊傳送給錯誤的收件人。
要構建分層防禦策略,了解網路安全風險以及計畫如何緩解這些風險至關重要。 有一種方法來衡量您的工作對業務的影響也很重要,這樣您就可以確保做出正確的安全投資。
以下操作和技術最佳實踐可幫助您降低資料安全風險:
使用合規性要求作為網路安全的基礎。 簡而言之,合規性法規旨在迫使組織抵禦重大威脅並保護敏感資料。 儘管滿足合規性要求不足以實現完整的資料安全性,但它將幫助您開始走上風險管理和資料保護的正確道路。
制定明確的網路安全政策。 制定策略,明確說明如何處理敏感資料以及違反資料保護規定的後果。 確保所有員工閱讀並理解該政策將降低關鍵資料因人為行為而損壞或丟失的風險。
構建並測試備份和恢復計畫。 公司必須為一系列違規行為做好準備,從輕微的資料丟失到資料中心的完全破壞。 確保關鍵資料已加密、備份和離線儲存。 設定可加快恢復速度的角色和過程,並定期測試計畫的每個部分。
制定自帶裝置 (BYOD) 策略。 允許使用者使用其個人裝置訪問您的網路會增加網路安全風險。 因此,建立流程和規則,在安全問題與便利性和生產力之間取得平衡。 例如,您可以要求使用者使其軟體保持最新狀態。 請記住,個人裝置比公司裝置更難跟蹤。
定期提供安全培訓。 幫助您的員工識別和避免勒索軟體攻擊、網路釣魚詐騙以及針對您的資料和 IT 資源的其他威脅。
將留住網路安全人才作為重中之重。 如今,網路安全專業人員稀缺,因此請採取措施留住您擁有的人才。 投資自動化工具以消除平凡的日常任務,以便他們可以專注於實施強大的資料安全技術,以應對不斷變化的網路威脅。
根據資料的價值和敏感度對資料進行分類。 全面清點本地和雲中擁有的所有資料,並對其進行分類。 與大多數資料安全方法一樣,資料分類在自動化時效果最佳。 與其依賴繁忙的員工和容易出錯的手動流程,不如尋找一種能夠準確可靠地對敏感資料(如信用卡號或醫療記錄)進行分類的解決方案。
定期進行權利審查。 對資料和系統的訪問應基於最小特權原則。 由於使用者角色、業務需求和 IT 環境在不斷變化,因此請與資料所有者合作,定期檢視許可權。
執行漏洞評估。 主動尋找安全漏洞,並採取措施降低攻擊風險。
實施強密碼策略。 要求使用者每季度更改一次憑據並使用多重身份驗證。 由於管理憑據功能更強大,因此需要每月至少更改一次。 此外,請勿使用共享管理員密碼,因為這會使個人無法對其行為負責。
資料安全管理需要以下資料安全工具:
防火牆 – 防火牆可防止不良流量進入網路。 根據組織的防火牆策略,防火牆可能會完全禁止部分或全部流量,或者可能會對部分或全部流量執行驗證。
備份和恢復 – 如前所述,您需要可靠的備份和恢復,以防您的資料被意外或故意更改或刪除。
防病毒軟體通過檢測和阻止可能竊取、修改或損壞敏感資料的特洛伊木馬、rootkit 和病毒,提供關鍵的第一道防線。
IT 審計 — 通過審核系統中的所有更改並嘗試訪問關鍵資料,您可以主動識別問題、及時調查事件並確保個人責任。
以下型別的解決方案可解決更具體的問題:
資料發現和分類分級 – 資料發現技術掃瞄資料儲存庫以查詢所有資料。 資料分類使用結果並使用特定標籤標記敏感資料,以便您可以根據公司資料對組織的價值來保護公司資料,並降低不當資料洩露的風險。
資料加密 – 加密使資料對惡意行為者毫無用處。 基於軟體的資料加密可在資料寫入 SSD 之前對其進行保護。 在基於硬體的加密中,單獨的處理器專用於加密和解密,以保護可攜式裝置(如膝上型電腦或 USB 驅動器)上的敏感資料。
資料丟失防護 (DLP) — 這些資料安全產品和技術有助於防止敏感或關鍵資訊離開公司網路,從而有助於防止其丟失、濫用或被未經授權的人員訪問。
動態資料掩碼 (DDM) — DDM 支援實時資料掩碼,以限制敏感內容暴露給非特權使用者,而無需更改原始資料。 大資料專案對DDM特別感興趣。
使用者和實體行為分析 (UEBA) - UEBA 是一種複雜的技術,用於為正常活動設定基線,並在可疑偏差影響安全性或業務連續性之前對其進行檢測。 UEBA 可以幫助您檢測多種型別的威脅,包括內部威脅、黑客、惡意軟體和勒索軟體。