平均每天發(fā)生近3起數(shù)據(jù)泄露事件 簡單5步降低數(shù)據(jù)泄露風(fēng)險

當(dāng)今社會及企業(yè)發(fā)展已離不開數(shù)據(jù)的收集和運行。在每次互動時從客戶那里收集信息，并使用它來提高效率、提高敏捷性并提供更高水平的服務(wù)。

但越來越明顯的是，企業(yè)收集的所有數(shù)據(jù)也使它們成為網(wǎng)絡(luò)犯罪分子的誘人目標。大量數(shù)據(jù)的存在使其危險性逐漸增加。在過去幾個月中，我們目睹了針對Neiman Marcus、Facebook和Robinhood股票交易應(yīng)用程序的大規(guī)模數(shù)據(jù)泄露。近年來，全球平均每天發(fā)生近3起數(shù)據(jù)泄露事件。

產(chǎn)生、存儲、使用“數(shù)據(jù)”的主體，均為軟件，保障數(shù)據(jù)安全的第一步是保障軟件自身的安全。統(tǒng)計數(shù)據(jù)表明，一般企業(yè)只用很少的時間對其數(shù)據(jù)進行防御。為了提供幫助，這里有一個簡單的5步框架，企業(yè)可以參考使用來保護他們的客戶數(shù)據(jù)安全。

第一步：審查和調(diào)整數(shù)據(jù)收集標準

企業(yè)提高客戶數(shù)據(jù)安全性的第一步是檢查他們收集的數(shù)據(jù)類型和原因。大多數(shù)進行這項工作的公司最終都會對他們的發(fā)現(xiàn)感到驚訝。這是因為，隨著時間的推移，收集到的客戶信息的數(shù)量和種類遠遠超出了企業(yè)的最初意圖。

例如，通常情況下會收集客戶姓名和電子郵件地址等信息。但如果這就是企業(yè)存檔的全部內(nèi)容，那么對攻擊者來說沒有什么吸引力。關(guān)鍵在于，如果企業(yè)擁有云呼叫中心或任何類型的高接觸銷售周期或客戶支持，它可能會收集家庭住址、財務(wù)數(shù)據(jù)和人口統(tǒng)計信息，然后收集這些數(shù)據(jù)，如果這些數(shù)據(jù)被泄露出去，就可以完美地實現(xiàn)身份盜竊。

因此，在評估每個收集到的數(shù)據(jù)點以確定其價值時，企業(yè)應(yīng)該反思，這些數(shù)據(jù)促進了哪些關(guān)鍵的業(yè)務(wù)功能。如果答案是沒有，那么建議清除數(shù)據(jù)并停止收集。如果數(shù)據(jù)有利于企業(yè)業(yè)務(wù)，但對于一個不關(guān)鍵的功能，業(yè)務(wù)部門應(yīng)該權(quán)衡數(shù)據(jù)所帶來的好處和如果數(shù)據(jù)被泄露可能造成的傷害。

第二步：最小化數(shù)據(jù)訪問

在減少要保護的數(shù)據(jù)量之后，下一步是通過最小化訪問數(shù)據(jù)的人來減少數(shù)據(jù)的攻擊面。訪問控制在數(shù)據(jù)保護中扮演著非常重要的角色，因為竊取用戶憑證是惡意參與者進入受保護系統(tǒng)的主要方式。因此，企業(yè)需要將最小權(quán)限原則(PoLP)應(yīng)用于其數(shù)據(jù)存儲庫以及與之連接的系統(tǒng)。

而最小化對數(shù)據(jù)的訪問還有另一個作用:它有助于防止內(nèi)部威脅導(dǎo)致數(shù)據(jù)泄露。研究公司Forrester預(yù)測，今年內(nèi)部威脅將導(dǎo)致31%的入侵事件——這一數(shù)字只會繼續(xù)增長。因此，通過在一開始就不讓大多數(shù)員工接觸敏感的客戶數(shù)據(jù)，企業(yè)可以同時應(yīng)對內(nèi)部和外部威脅。

第三步：盡可能消除密碼

即使在減少了可以訪問客戶數(shù)據(jù)的人數(shù)之后，企業(yè)仍然可以通過另一種方式讓黑客更難獲得這些數(shù)據(jù)。通過盡可能避免將密碼作為主要身份驗證的方法，可以很大程度上提高安全性。

根據(jù)2021年Verizon數(shù)據(jù)泄露調(diào)查報告，去年所有數(shù)據(jù)泄露中有61%涉及使用憑據(jù)、被盜或其他方式。因此，從邏輯上講，需要擔(dān)心的憑據(jù)越少越好。還有一些方法可以減少對傳統(tǒng)密碼身份驗證系統(tǒng)的依賴。

使用雙因素身份驗證就是其一。這意味著賬戶需要密碼和限時安全令牌，通常通過應(yīng)用程序或短信發(fā)送。但是一個更好的方法是使用硬件安全密鑰。它們是物理設(shè)備，依賴于不可破解的密碼憑證來控制數(shù)據(jù)訪問。隨著它們的使用，網(wǎng)絡(luò)釣魚和其他社會工程攻擊的威脅大大減少。

第四步：加強軟件安全保護數(shù)據(jù)

雖然到目前為止，被泄露的憑證確實是導(dǎo)致數(shù)據(jù)泄露的最大威脅，但它們不是唯一的威脅。軟件安全漏洞或缺陷通常為網(wǎng)絡(luò)攻擊者入侵系統(tǒng)打開了大門。他們通過利用這些安全漏洞或缺陷繞過常規(guī)的訪問控制方法，獲得對客戶數(shù)據(jù)的訪問權(quán)限。最糟糕的是，這樣的攻擊很難被發(fā)現(xiàn)，而且一旦進行就更難阻止。

產(chǎn)生、存儲、使用“數(shù)據(jù)”的主體，均為軟件，保障數(shù)據(jù)安全的第一步是保障軟件自身的安全。隨著企業(yè)在網(wǎng)絡(luò)安全方面意識的提高，在軟件開發(fā)過程中通過安全可信的靜態(tài)代碼檢測工具來查找識別安全漏洞及缺陷，有助于開發(fā)人員第一時間修改問題代碼，提高軟件自身安全性，從而保護數(shù)據(jù)安全。

在數(shù)據(jù)保護計劃中，另一需要做的是確保所有客戶的數(shù)據(jù)始終處于加密狀態(tài)。這意味著使用在數(shù)據(jù)通過時采用強加密的軟件、采用加密的網(wǎng)絡(luò)硬件和組件，以及允許靜態(tài)數(shù)據(jù)加密的數(shù)據(jù)存儲系統(tǒng)。這樣做可以最大限度地減少攻擊者在沒有憑據(jù)的情況下可以獲得的數(shù)據(jù)訪問權(quán)限，并且可以在確實發(fā)生違規(guī)時幫助控制損害。

第五步：制定數(shù)據(jù)泄露響應(yīng)計劃

不管如何防御，都不存在完美的網(wǎng)絡(luò)安全。攻擊者總是努力尋找網(wǎng)絡(luò)中的弱點并加以利用。在網(wǎng)安防御上準備充分的企業(yè)將避免或降低遭到攻擊或數(shù)據(jù)泄露的風(fēng)險，但這并不意味著不會發(fā)生數(shù)據(jù)泄露事件。

制定數(shù)據(jù)泄露響應(yīng)計劃是為了以防萬一。響應(yīng)計劃為業(yè)務(wù)提供一個詳細路線圖，以便在攻擊者獲得對客戶數(shù)據(jù)的訪問權(quán)時做出響應(yīng)。該計劃應(yīng)該不放過任何細節(jié)——詳細說明從內(nèi)部IT團隊應(yīng)該如何反應(yīng)，第三方安全顧問是誰，以及如何通知客戶入侵。

尚未遭到數(shù)據(jù)泄露的企業(yè)不應(yīng)該存有僥幸之心，提前做好數(shù)據(jù)泄露詳細的防御措施和響應(yīng)計劃，按照上述提到的步驟完善企業(yè)數(shù)據(jù)安全防御系統(tǒng)，有助于降低數(shù)據(jù)泄露風(fēng)險，并在發(fā)生數(shù)據(jù)泄露時限制損失，幫助公司處理后續(xù)事宜。在網(wǎng)絡(luò)安全這個不完美的世界里，沒有任何企業(yè)能奢求更多。

參讀鏈接：

https://thehackernews.com/2021/11/a-simple-5-step-framework-to-minimize.html