企業組織機構的受攻擊面正在持續不斷的擴大。而隨著數據信息越來越被分散到跨云服務、移動設備、遠程設備、合作伙伴及其他第三方環境,使得網絡邊界也正在消失。進入網絡的多入口點已經出現,使得原本就已經相當復雜的數據盜竊者在全球范圍內團結起來,創造出了專業的列表數據盜竊業務。那么,企業組織機構要如何應對這一狀況呢?根據IDG研究服務在2016年3月所進行的一項調查顯示,企業的IT領導者們都已經意識到了這一新的數據安全風險以及以數據為中心的加密技術在減緩這些相關風險方面所發揮的作用。然而,與此同時,許多企業組織機構似乎已經被迅速轉變的安全環境搞得不堪重負。他們承認,他們在充分采用數據級保護作為通往實現對各種狀態的數據(包括靜態、傳輸過程中、使用中的數據)的安全保護的一個路徑方面并沒有取得足夠的進展。
這項最新的調查發現,大多數企業組織機構的安全部署都遵循了容器級別的加密方法,而不是更安全的數據級別的加密方法。但其實企業組織對于在最高水平確保數據的安全性的重要性是非常了解的。采取積極主動的數據安全保護戰略,將降低企業風險,也有助于保護企業的品牌和聲譽。
保護靜態數據是最重要的
據IDG的受訪者表示,企業組織機構將其大部分的精力和預算用在于基于容器的數據安全性和靜止數據保護方面,例如存儲在數據庫中的的數據(見下圖1)。
有近四分之三(72%)的受訪者表示,其所在的企業組織將靜態數據的安全性排在最為“關鍵”的位置。相比之下,只有約一半(50%)的受訪者表示,他們所在的企業組織將跨網絡傳輸過程中的數據的安全性視為最關鍵的,而較高比例( 57%)的受訪者表示,保護正在使用的數據(應用程序數據)的安全性是其所在企業的重中之重。
問題在于,敏感數據是未受保護的,且正在被應用程序、分析師、業務流程用戶和數據科學家所使用,故而是非常脆弱的,極易受到網絡攻擊。業內專家顯示,在一個應用程序中的數據或跨一個網絡正在傳輸過程中的數據更容易被外部盜竊。一些報告顯示,超過80%的數據泄露事件均發生在應用程序級別。
圖1、企業數據安全保護優先級:
數據資料來源:IDG研究服務;基于對54家受訪企業的問卷調查
而一個好消息則是:該項調查的結果描繪了一副企業的安全管理愿景正朝著爭相打造數據安全,以推動業務目標轉型,并遵守日益嚴格的數據隱私保密監管要求方向過渡。
例如,已經意識到數據保護和加密的益處的企業所占的比例是相當高的(見下圖2)。但是,盡管有超過四分之三(76%)的受訪者表示數據加密有助于減輕數據泄露的風險,超過一半(52%)的受訪者也將其歸結為在新的平臺(云服務、移動設備、大數據)的數據保護,并恰好有一半(50%)的受訪者將其歸結為行業安全合規性。
簡而言之,在數據級別的加密(要比容器級別的加密方法更具細粒度)是對靜態數據、及傳輸和使用中的數據進行安全保護的關鍵。
圖2、企業組織機構實施數據保護和加密的益處:
數據資料來源:IDG研究服務;基于對54家受訪企業的問卷調查
企業如何保護他們的數據
那么,企業組織機構在今天如何保護他們的數據安全呢?大部分受訪者表示,他們保護數據是在整個磁盤級別(56%)和數據庫級別(50%)和文件級別(48%)。然而,所有這些都是采用的容器級別的方法,并沒有考慮數據不會停留在一個地方的事實。當數據移動時,受保護的數據容器之間的間隙會突然出現。與之相反,在數據級別的加密保護的數據,無論數據是什么狀態、位于何處,都是受保護的。
調查受訪者喬爾·羅森布拉特,紐約哥倫比亞大學信息安全辦公室(CISO)網絡和計算機安全主管這樣解釋道:
“幾乎所有的網絡安全事故都是以某種形式的網絡釣魚開始的——獲得某人的網絡訪問憑據并使用該憑據來訪問數據。對于企業數據的盜竊行為迫使企業需要對其數據庫實施加密,同時也妨礙了企業自己也用戶訪問數據庫。”他說。 “但是,如果數據是字段加密的,那么,即使有人盜走了整個數據庫,也將無法讀取(因為你已經加密了字段)。這是不容易做到的,但它會為你的數據提供真正的安全。”
解釋和建議
一些企業可能會堅持采用那些熟悉的安全方法,但這卻是以可能面臨新的風險為代價的。這一點已經被調查結果所證實,調查顯示,當前企業組織重點都是采用基于容器的方法。
然而,“支持不斷變化的環境的能力”卻是受訪者們所列出的對于安全的第二大障礙(46%),而排名第一的障礙則是長期的安全管理的困難(57%)。今天的安全形勢要求更新的技術,能夠通過借助加密數值或隨機token,更換原始數據,來屏蔽敏感的信息。
標記化(Tokenization)和格式保留加密(format-preserving encryption,FPE)就是這樣的兩種方法。兩種方法都涉及到借助加密數值或隨機token來替換原始數據。例如,AES-FPE采用傳統的高級加密標準(Advanced Encryption Standard,AES)加密,但卻能夠保持數據格式不變;數據庫模式和應用程序很少或沒有改變是必需的,當加密的數值從大型機遷移到開放系統時,沒有格式轉換是必要的。只有15%的受訪者表示他們所在的企業組織機構正在使用FPE,不過,也許是因為這種方法太新了。
無狀態的密鑰管理是一個FPE相關的技術,安全地提取導出了在傳輸過程中的密鑰。這種方法降低了IT成本,并通過消除對關鍵數據庫和相應的硬件、軟件的需要;以及對于不斷保護數據庫的IT流程的需要或從站點到站點復制或備份密鑰的需要,而簡化了管理負擔。
標記化被支付卡行業(PCI)所廣泛采用,因為其有著嚴格的客戶信息保護要求。30%的受訪者表示說,他們使用了這種方法。一個較新的形式,稱為無狀態的標記化,阻止企業將高度敏感的客戶數據和其他數據存儲在數據庫中,隨機產生的token與實際的個人賬戶沒有任何關系。PCI認為標記化的數據系統超出了掌控范圍之外;而沒有通過PCI審核的標記化系統降低了合規性要求,復雜性和企業的成本。
結論
安全風險和解決方案已經從多個維度方面獲得了增長,而隨著企業組織的數據溢出企業邊界,到達云服務和數據湖、以及移動網絡和公共互聯網連接,則應該適用新的規則。在數據級別上的數據加密有助于對數據信息的安全保護,無論其是處在什么狀態,也不論其是遷移到何處。
對于那些建立和實施了新的加密流程的企業組織機構而言,這一任務無疑是相當艱巨的,所以業界專家建議企業組織不妨從最敏感的數據開始,然后將是最有價值的數據。這將幫助你企業制定一個框架,來解決你企業所有的數據平臺、應用程序、大數據和物聯網(IoT)網絡、支付處理設備和預服務加密的云服務格式和標記化技術。
關于本調研
IDG研究服務于2016年3月進行了一次快速調查,以了解當前的企業組織機構是如何應對他們的數據安全挑戰的,以及他們的數據保護優先級順序及其相關安全保護解決方案采用計劃。這項調查研究涉及到跨多個行業和公司規模的54名IT專業人士。
加密術語表
·數據庫級別的加密——在關系數據庫中的元素級別的粒度加密,如數據庫中的列(column)或字段(field)。
·數據級別,格式保留加密(format-preserving encryption,FPE)——在字段或子字段級別的加密方法,用來通過將某些特定的明文格式轉換成密文格式進行加密,來護結構化和半結構化的數據。某些FPE方法也將保留數據的邏輯值,如參照完整性和日期范圍。
·Data Masking(數據屏蔽) ——利用隨機字符隱藏原始數據;或在字段中的數據保護敏感數據。
·文件級別的加密——由一個文件系統對單個文件或目錄進行加密保護。
· 標記化(Tokenization)——用等效的、沒有外在或利用意義和價值的非敏感數據替換一個敏感數據元素的過程,例如信用卡號,簡稱為“token”。
京公網安備 11010502049343號