甚么是资料保安? 

数据安全是一种保护公司或个人数据的做法,这些数据以数字格式存在,可以通过互联网合法或不合法地访问. 从企业的角度来看, 公司想要大力保护数据的原因有很多:商业秘密, 遵守客户或患者数据隐私法, 并保持良好的公众声誉.

公司可以通过建立一个健壮的 网络安全 包括进攻和防御措施的程序,以阻止潜在的攻击者和/或恶意行为者.

数据安全vs. 数据隐私

这些概念之间有一些关键的区别. 乍一看,它们似乎是一样的, 但是保护数据并不总是等同于维护数据隐私. 可能有一些数据对安全至关重要, 但在公共互联网上,任何人都可以部分地获得这些信息.

说到这一点, 需要注意的主要区别是,数据安全保护数字信息,而数据隐私是数字信息所有者控制其去向和谁可以访问它的权力.

话虽如此, 这两个概念经常被混为一谈, 尤其是在数据泄露的情况下. 在这种情况下, 一个组织的数据安全被破坏了, 这意味着之前向被入侵企业提交私人数据的客户已经失去了对其私人信息的控制. 这两个概念相互纠缠在一起,对业务和客户/病人/用户都有影响.

为什么数据安全很重要? 

数据安全很重要,因为, 如上所述, 数据安全既影响业务,也影响作为客户与业务交互的人员, 病人, 用户, 承包商, 合作伙伴, 等. 当一个人向组织或企业提交其个人身份信息(PII)时, 个人有一定的期望,即企业将尽其所能保护该信息.

某些情况可能会对企业的声誉造成灾难性的影响. 这些可能包括延迟与受影响方的沟通,即他们的PII是违规行为的一部分,或者使用了被不良行为者利用的有缺陷的安全产品.

数据安全的好处是什么? 

数据安全的好处是很多的,不能被夸大. 让我们从数据安全如何影响业务开始. 与内部和外部的监管标准保持一致,对业务连续性至关重要. 维护适当的数据安全意味着企业可能在政府和内部合规性审计员方面处于良好的地位,例如 HIPAA, PCI DSS, or GDPR.

就云服务提供商(csp)而言, 在进出云端时,客户业务数据受到多种协议的保护是标准的. 数据加密层用于确保数据传输的安全性和保密性. 这为在云上运营的企业提供了安心.

就声誉而言 欧盟小型企业数据保护指南 声明“一个以勤勉的数据保护方法而闻名的组织更有可能留住用户或客户。.”

为客户, 主要的好处是显而易见的:他们的个人信息是受保护的,他们不必担心它最终落入黑客之手 威胁的演员 试图出售被盗数据或将其用于其他邪恶目的.

数据安全的类型

数据安全作为一个概念是非常明确的:今天任何个人或组织如果不想成为受害者,就必须认真对待它. 问题是, 安全组织如何以全面的方式保护数据以更有效地挫败攻击者?

数据加密 

数据加密 将数据的原始格式转换为不可读的格式. 根据美国疾病控制与预防中心的数据, 加密的数据通常看起来像一长串随机字母和数字, 预期的接收者通常拥有可以将加密数据解码为可读文本的密钥.

数据屏蔽 

当威胁行为者隐藏数据时, 他们试图改变构成数据原始配置的字符和数字. 这些变化是为了给用户创造一种自信的感觉,因为数据看起来仍然是真实的. 当然,数据屏蔽还可以帮助保护代码开发过程并降低风险.

数据擦除 

这个过程是为了确保数据不会落入坏人之手,因为在它完成其用途之后,它就会从互联网上删除. 当然, 个人身份信息(PII)等敏感数据的副本始终存在于互联网或威胁行为者服务器的某个地方的风险.

数据弹性 

然而袭击并非100%不可避免, 任何曾经通过互联网提交数据或完成交易的人都很有可能在某一天经历数据泄露. 如果这个漏洞严重削弱了组织的防御能力, 问题变成了数据弹性:业务或组织将操作恢复到正常基线的速度有多快?

数据安全风险

试图确保数据的安全,并向客户传递尽可能多的信心, 供应商总是面临风险. 威胁行为者非常擅长模仿,并且总是存在简单的人为错误的真实可能性, 但让我们来看看一些具体的风险场景:

意外数据暴露 

没有人打算暴露数据,让它容易受到威胁行为者的攻击, 但有时这纯粹是由于意外或重复的行为——比如重复使用密码——而没有恶意. 可以这样考虑:意外的数据暴露与意外地启用攻击者是一样的, 因此,良好的数据安全卫生始终是最佳实践.

网络钓鱼和社会工程 

钓鱼式攻击 通常是通过一条消息引起用户的兴趣,目的是征求特定的响应,比如点击电子邮件中的链接或短信,这可能会在不知情的情况下将恶意软件下载到手机或终端上. 如果该端点是大型企业网络的一部分, 这可能会让整个公司变得脆弱.

内部威胁

内部威胁可能来自员工, 承包商, 最高管理者, 或者任何与手头业务有关的人. 一个人可以——有意或无意地——不仅使一个网络容易被攻破或攻击, 但也有助于进一步发展.

恶意软件

A 恶意软件攻击 通常会在用户的系统上执行未经授权的操作. 恶意软件可以以勒索软件、间谍软件等形式出现. 在理论上, 安全组织应该经过适当的培训,并有足够的经验,在恶意软件攻击影响整个网络之前遏制它.

Ransomware

威胁参与者将部署恶意代码来破坏组织的操作,以便他们可以将数据作为人质,直到事件发生 赎金 支付. 攻击者的希望是,公司希望恢复正常业务运营的愿望非常强烈,以至于他们只需支付赎金,就能解决整个问题.

云数据存储

当数据通过云网络传输时, 与只运营本地数据中心相比,数据被拦截和窃取的固有风险更大. 然而,在当今世界,仅本地部署正成为一种越来越有限的选择. 云提供商可以在企业层面上实现快速扩展和节省资金的操作. 因此,云服务提供商和它的客户都有责任共同努力 责任分担模式 为了保护云和它所包含的数据.

数据安全解决方案的组件

以下并不是组织有效的数据安全解决方案可能需要的组件的详尽列表, 但它们对它的基础至关重要. 

身份验证和授权 

如上所述, 像IAM和MFA这样的认证方法有助于确保只有合适的人才能访问系统, 网络, 或应用程序.

云安全

云数据安全是对公有云和私有云平台上的信息和应用进行保护的原则. 这可以通过将网络安全应用于云基础设施来实现, 与由此产生的基础工作朝着 云安全 在这些更短暂的环境中取得成功. 

数据丢失预防(DLP)

防止数据丢失 工具可以帮助检测泄露后被主动泄露的信息. 他们通过监视网络端点设备并分析流量和可疑活动的交互来做到这一点. 为人员和端点建立认证和高级身份检查可以帮助降低风险.

电子邮件安全

保护企业电子邮件免受未经批准的用户的攻击,听起来像是多年前就可以解决的挑战, 但随着网络钓鱼攻击和数据泄露如此普遍, 电子邮件仍然是威胁行为者的主要机会领域.

治理、风险和遵从性(GRC)

确保安全解决方案符合各国制定的监管标准至关重要, State, 当地的, 或特定地区的管理机构. 遵从性义务总是在变化, 因此,重要的是要制定一个计划,以应对不断变化的监管规定.

密钥管理

密钥管理将加密控制置于用户手中. 例如, Google的密钥管理服务(KMS)支持在中央云服务中进行加密密钥管理,并提供由用户控制的使用对称或非对称密钥加密数据的灵活性.

网络访问控制 

简单地说, 网络访问控制 关注谁可以访问公司的网络或系统,谁不能. 身份和访问管理(IAM) 检查在这里起作用,以便对用户进行正确的身份验证.

密码卫生

这是确保优化密码和授权凭证以最好地保护敏感数据的实践. 这包括多因素身份验证(MFA)等安全协议。, 定期修改密码, 并主动清理整个组织的弱凭证.

零信任 

在一个 零信任安全模型, 每一个人, 端点, 移动设备, 服务器, 网络组件, 网络连接, 应用程序工作负载, 业务流程, 数据流本质上是不可信的,必须经过身份验证过程才能被授予访问权限.

数据安全标准

现在,让我们来看看用于保护全球不同行业和地区数据的许多法规遵从性标准中的一些. 

  • 一般资料保护及规例(GDPR)欧盟(EU) GDPR要求保护欧盟公民的个人数据, 无论组织的地理位置或数据如何. 这包括定期更新以降低风险的技术和组织安全措施.
  • ISO / IEC 27001ISO / IEC 27001是由国际标准化组织(ISO)和国际电工委员会(IEC)联合发布的安全管理标准。, 并指定一般安全管理最佳实践和控制.
  • 加州消费者保护法(CCPA)该标准赋予消费者对企业收集个人信息的更多控制权,并为如何实施法律提供指导.
  • 健康保险流通与责任法案(HIPAA):这是一个特定于医疗保健的标准,要求保护患者医疗记录和其他受保护的健康信息(PHI)免受安全破坏.
  • 萨班斯-奥克斯利法案SOX要求上市公司确保其内部业务流程得到适当的监控和管理, 因为财务报告流程是由需要安全配置和适当维护的IT系统驱动的.
  • 支付卡行业数据安全标准此合规措施要求零售企业通过严格的安全措施来保护信用卡持卡人的信息.

数据安全最佳实践

当然,总有一些最佳实践可以用来保护数据. 让我们来看看组织如何代表他们的客户和他们的声誉来保护数据安全:

  • 扩大和巩固可见性大多数企业缺乏对其团队在数字供应链的每个步骤中使用的所有云和容器环境的可见性. 实现一个持续监控所有云和容器服务的系统,可以更深入地了解相关风险.
  • 及早预防风险:通过杠杆 Infrastructure-as-Code (IaC) 模板扫描, 安全组织可以获得上下文丰富的结果,以帮助加强数据安全基础. 解决问题 CI / CD 管道通过一次纠正问题而不是在运行时一次又一次地修复问题来提高效率.
  • 拥抱人工智能(AI):基于人工智能的工具可以承担安全专家面临的一些重复和耗时的任务, 允许分析师解决更细微的数据安全问题,同时只关注最重要的警报和问题.
  • 利用集成和自动化集成允许团队在多个供应商系统之间快速无缝地协调操作, 使创建由一组一致的控件组成的整体安全环境变得更容易. 这套控制系统的自动化操作——甚至是自动驱动的机器人——能够对可疑活动做出更有效的反应.

阅读更多关于数据安全的信息 

客户故事:Exponent通过Rapid7 InsightVM平台和托管检测和响应服务保护客户数据