全面數(shù)據(jù)保護(hù)策略的旅程應(yīng)包括通過(guò)安全最佳實(shí)踐和相關(guān)的特定數(shù)據(jù)保護(hù)用例來(lái)支持業(yè)務(wù)。從本質(zhì)上講,在為未來(lái)構(gòu)建和實(shí)施整體數(shù)據(jù)保護(hù)計(jì)劃的同時(shí)保護(hù)今天的數(shù)據(jù)。本文重點(diǎn)介紹了三個(gè)特定的數(shù)據(jù)保護(hù)用例,它們可以作為整體戰(zhàn)略的一部分實(shí)施。總結(jié)這些用例:
內(nèi)部威脅:檢測(cè)并防止惡意內(nèi)部人員泄露數(shù)據(jù)
網(wǎng)絡(luò)釣魚(yú)攻擊:通過(guò)多因素身份驗(yàn)證減輕假冒
數(shù)據(jù)泄漏:檢測(cè)和緩解過(guò)度暴露的資源和資產(chǎn)
數(shù)據(jù)保護(hù)的一般方法
對(duì)于所有使用云以電子方式存儲(chǔ)數(shù)據(jù)的組織而言,數(shù)據(jù)保護(hù)都是一個(gè)關(guān)鍵問(wèn)題。綜合數(shù)據(jù)保護(hù)策略的目標(biāo)是確保組織數(shù)據(jù)的安全性和機(jī)密性,同時(shí)最大限度地減少數(shù)據(jù)泄露的影響。可以采取許多技術(shù)和組織措施來(lái)保護(hù)數(shù)據(jù)。總的來(lái)說(shuō),這些措施包括數(shù)據(jù)加密、數(shù)據(jù)備份和恢復(fù)、訪問(wèn)控制和用戶(hù)教育。
數(shù)據(jù)加密是使用密鑰或密碼將可讀數(shù)據(jù)轉(zhuǎn)換為不可讀格式的過(guò)程。這可以防止未經(jīng)授權(quán)的數(shù)據(jù)訪問(wèn),并防止數(shù)據(jù)在傳輸過(guò)程中被截獲時(shí)被讀取。
數(shù)據(jù)備份和恢復(fù)是指在與主數(shù)據(jù)存儲(chǔ)不同的位置創(chuàng)建和維護(hù)數(shù)據(jù)副本。這確保了在主數(shù)據(jù)存儲(chǔ)發(fā)生故障時(shí)可以恢復(fù)數(shù)據(jù)。
訪問(wèn)控制措施僅限授權(quán)用戶(hù)訪問(wèn)數(shù)據(jù)。
保護(hù)數(shù)據(jù)資產(chǎn)的網(wǎng)絡(luò)安全措施,例如防火墻、入侵防御和檢測(cè)系統(tǒng)
用戶(hù)教育涉及為用戶(hù)提供有關(guān)數(shù)據(jù)安全最佳實(shí)踐的培訓(xùn)。
組織還應(yīng)制定應(yīng)對(duì)數(shù)據(jù)泄露的政策和程序。這些應(yīng)包括通知受影響的個(gè)人、調(diào)查違規(guī)行為以及采取糾正措施以防止未來(lái)違規(guī)行為的步驟。應(yīng)根據(jù)組織及其數(shù)據(jù)的特定需求量身定制全面的數(shù)據(jù)保護(hù)策略。定期審查和更新策略以響應(yīng)組織數(shù)據(jù)和安全環(huán)境的變化非常重要。
數(shù)據(jù)保護(hù)用例
除了整體數(shù)據(jù)保護(hù)戰(zhàn)略外,關(guān)注當(dāng)前公司和/或行業(yè)特定用例可以在數(shù)據(jù)保護(hù)過(guò)程中提供有意義的短期“勝利”和里程碑。企業(yè)和組織可以使用不同的安全策略來(lái)保護(hù)他們的數(shù)據(jù),具體取決于風(fēng)險(xiǎn)類(lèi)型和與業(yè)務(wù)的相關(guān)性。例如,為了降低內(nèi)部威脅的風(fēng)險(xiǎn),企業(yè)可能會(huì)將敏感數(shù)據(jù)的訪問(wèn)權(quán)限限制在少數(shù)授權(quán)用戶(hù)范圍內(nèi)。為了防止網(wǎng)絡(luò)釣魚(yú)攻擊,企業(yè)可能會(huì)對(duì)其基于云的應(yīng)用程序使用雙重身份驗(yàn)證。為了防止數(shù)據(jù)泄露,企業(yè)可能會(huì)根據(jù)行業(yè)標(biāo)準(zhǔn)和公司政策評(píng)估其當(dāng)前部署。
讓我們仔細(xì)看看它們中的每一個(gè)。
內(nèi)部威脅
內(nèi)部威脅是對(duì)組織的惡意威脅,來(lái)自?xún)?nèi)部,來(lái)自有權(quán)訪問(wèn)組織系統(tǒng)和數(shù)據(jù)的人員。內(nèi)部威脅可能來(lái)自多種來(lái)源,包括心懷不滿的員工、希望訪問(wèn)敏感數(shù)據(jù)的惡意內(nèi)部人員,甚至是不小心暴露數(shù)據(jù)的粗心內(nèi)部人員。
為了發(fā)現(xiàn)和減輕內(nèi)部威脅,組織需要監(jiān)控其系統(tǒng)和數(shù)據(jù)的活動(dòng)。這包括監(jiān)視用戶(hù)活動(dòng)、跟蹤數(shù)據(jù)和配置文件的更改以及監(jiān)視網(wǎng)絡(luò)流量。組織還可以使用數(shù)據(jù)丟失防護(hù)(DLP)工具通過(guò)阻止敏感數(shù)據(jù)傳輸?shù)浇M織外部來(lái)檢測(cè)和防止數(shù)據(jù)泄露。為了通過(guò)DLP發(fā)現(xiàn)內(nèi)部威脅,組織可以使用多種方法,例如監(jiān)控員工電子郵件和Web活動(dòng)、跟蹤文件傳輸以及分析數(shù)據(jù)使用模式。
DLP程序還可以包括允許識(shí)別異常行為的功能,這可能表明惡意意圖。例如,Exabeam是一家DLP供應(yīng)商,它對(duì)收集的日志使用機(jī)器學(xué)習(xí)來(lái)開(kāi)發(fā)用戶(hù)行為基線模式,包括活動(dòng)類(lèi)型、位置和其他規(guī)則。當(dāng)活動(dòng)偏離基線時(shí),會(huì)為該特定用戶(hù)分配風(fēng)險(xiǎn)評(píng)分以進(jìn)行進(jìn)一步調(diào)查,同時(shí)創(chuàng)建整體用戶(hù)監(jiān)視列表以了解公司范圍內(nèi)的模式。使用Exabeam和監(jiān)視列表的另一種方法是將表現(xiàn)出不斷變化的行為(例如突然辭職)的用戶(hù)添加到監(jiān)視列表中以進(jìn)行主動(dòng)監(jiān)控。
網(wǎng)絡(luò)釣魚(yú)攻擊
由于內(nèi)部威脅來(lái)自公司內(nèi)部,網(wǎng)絡(luò)釣魚(yú)攻擊通常來(lái)自公司外部,其中惡意行為者偽裝成受信任的實(shí)體并試圖誘騙用戶(hù)點(diǎn)擊惡意鏈接或下載以竊取敏感信息或用惡意軟件感染他們的系統(tǒng)。網(wǎng)絡(luò)釣魚(yú)攻擊可以通過(guò)電子郵件、社交媒體或短信進(jìn)行,并且通常涉及假冒網(wǎng)站或旨在看似來(lái)自合法來(lái)源的附件。網(wǎng)絡(luò)釣魚(yú)攻擊可用于以幾種不同的方式利用易受攻擊的虛擬機(jī):
通過(guò)誘使用戶(hù)點(diǎn)擊惡意鏈接或附件,攻擊者可以在虛擬機(jī)上下載并執(zhí)行可用于植入惡意軟件或竊取敏感數(shù)據(jù)的代碼。
攻擊者還可以使用虛擬機(jī)創(chuàng)建一個(gè)看起來(lái)與合法網(wǎng)站相同的釣魚(yú)網(wǎng)站。當(dāng)用戶(hù)訪問(wèn)該網(wǎng)站并輸入他們的登錄憑據(jù)時(shí),攻擊者就可以竊取此信息。
如果虛擬機(jī)沒(méi)有得到適當(dāng)?shù)谋Wo(hù),攻擊者還可以訪問(wèn)可用于啟用C2服務(wù)器的底層基礎(chǔ)設(shè)施和工廠代碼。這將允許攻擊者遠(yuǎn)程控制虛擬機(jī)并進(jìn)行進(jìn)一步的攻擊。
網(wǎng)絡(luò)釣魚(yú)攻擊變得越來(lái)越復(fù)雜且難以檢測(cè),這使得它們對(duì)企業(yè)和個(gè)人都構(gòu)成嚴(yán)重威脅。由于它們?cè)絹?lái)越難以檢測(cè),多因素身份驗(yàn)證(MFA)可以有效防御網(wǎng)絡(luò)釣魚(yú)攻擊,因?yàn)樗笥脩?hù)提供不止一種形式的身份驗(yàn)證才能訪問(wèn)系統(tǒng)或服務(wù)。這使得攻擊者成功冒充合法用戶(hù)變得更加困難,因?yàn)樗麄冃枰@取并正確使用多條信息,并且通過(guò)需要多種形式的身份驗(yàn)證,MFA使攻擊者更難訪問(wèn)系統(tǒng)和數(shù)據(jù)。這可以顯著降低網(wǎng)絡(luò)釣魚(yú)攻擊以及其他類(lèi)型的網(wǎng)絡(luò)攻擊的影響。Okta等身份提供商對(duì)于訪問(wèn)公司資源的用戶(hù),可能需要MFA。雖然MFA不是一個(gè)完美的解決方案,但它是防止網(wǎng)絡(luò)釣魚(yú)和其他類(lèi)型的網(wǎng)絡(luò)攻擊的重要一步。企業(yè)和個(gè)人應(yīng)考慮實(shí)施MFA以幫助防御這些威脅。
數(shù)據(jù)泄露
云數(shù)據(jù)泄露被定義為未經(jīng)授權(quán)訪問(wèn)或泄露存儲(chǔ)在云中的機(jī)密信息。由于內(nèi)部威脅和網(wǎng)絡(luò)釣魚(yú)攻擊,可能會(huì)發(fā)生數(shù)據(jù)泄露。此外,數(shù)據(jù)泄露可能會(huì)導(dǎo)致數(shù)據(jù)泄露,攻擊者會(huì)在其中發(fā)現(xiàn)過(guò)度暴露和可利用的敏感數(shù)據(jù)。
數(shù)據(jù)泄露要么是未知的數(shù)據(jù)泄露,要么是尚未緩解的已知泄露,或者治理、風(fēng)險(xiǎn)和合規(guī)(GRC)團(tuán)隊(duì)和業(yè)務(wù)所有者“接受”了泄露的風(fēng)險(xiǎn)。數(shù)據(jù)泄漏的發(fā)生是由于多種因素,包括:
錯(cuò)誤配置的設(shè)置:不受信任的實(shí)體可以訪問(wèn)數(shù)據(jù)
軟件漏洞:未打補(bǔ)丁的系統(tǒng)可能允許不良行為者訪問(wèn)敏感數(shù)據(jù)
弱密碼:由于容易猜到的密碼或缺乏MFA,數(shù)據(jù)可能會(huì)泄漏
為了識(shí)別數(shù)據(jù)泄漏,在與行業(yè)標(biāo)準(zhǔn)或公司政策進(jìn)行比較時(shí),可以使用Tenable、PaloAltoNetworks或Wiz等公司的漏洞掃描程序來(lái)識(shí)別這些數(shù)據(jù)泄漏風(fēng)險(xiǎn)。發(fā)現(xiàn)數(shù)據(jù)泄漏后,可以通過(guò)Terraform和Ansible等自動(dòng)化工具開(kāi)發(fā)和實(shí)施緩解步驟。
概括
根據(jù)公司獨(dú)特的業(yè)務(wù)需求,其他數(shù)據(jù)保護(hù)用例可能更需要解決。無(wú)論如何,框架保持不變,該戰(zhàn)略的目標(biāo)是根據(jù)需要滿足各個(gè)業(yè)務(wù)部門(mén)和利益相關(guān)者的數(shù)據(jù)保護(hù)需求,并將這些用例用作構(gòu)建塊和組件,以實(shí)現(xiàn)全面數(shù)據(jù)保護(hù)戰(zhàn)略繼續(xù)向前。
