全球知名的投資者沃倫•巴菲特警告說,網絡犯罪如今已經成為人類面臨的“頭號問題”。鑒于2019年發生的大量數據泄露事件,以數據為中心的安全應該成為每個組織和每個人首要考慮的問題。
以數據為中心的網絡安全是什么?
隨著當今企業處理的高度敏感數據量的不斷增加,以數據為中心的安全實踐已經超越了以前的做法。但是,以數據為中心的網絡安全是什么?傳統的網絡安全關注于保護數據的物理位置,如網絡、個人設備、服務器和應用程序。以數據為中心的安全性側重于保護數據本身,而不管它是靜止的還是運動的(例如,通過網絡從一個存儲位置移動到另一個存儲位置)。
確保以數據為中心的網絡安全
個人或組織如何從傳統的對數據物理位置的關注轉向對數據本身的關注?以下10個步驟有助于使企業以網絡安全數據為中心開展業務。
1.超越法規要求
美國健康保險可移植性和責任法案(HIPPA)、支付卡行業數據安全標準(PCI DSS)、薩班斯-奧克斯利法案(SOX)和通用數據保護法規(GDPR)都是很好的舉措。但是建議將遵循這些法規作為保護數據時應努力的最低要求。人們應該認識到,定義如此廣泛的內容具有挑戰性,并且可能很耗時。但是,創建一個包羅萬象的安全系統將節省大量的工作量,并使企業能夠滿足不斷變化的需求。
2.識別敏感數據
企業可能需要處理許多不同類型的數據,因為并非所有數據都是敏感的。鑒于企業的安全性資源不是無限的,建議盡量減少花費在非敏感數據上的時間。但是對于敏感數據,需要采取一些步驟,才能充分保護它們。這包括確定數據的類型、數據的位置以及所需的安全級別。這是制定最適合企業的安全策略所需的信息。
3.專注于加密
企業必須確保對靜態數據或存儲的數據進行加密。例如,許多企業已經使用HTTPS協議,但是其加密僅適用于設備之間的數據傳輸?在接收到數據之后,可能不會對數據進行重新加密(并且數據也可能不是來自加密源)。這凸顯了網絡安全的另一個主要弱點:數據傳輸。企業應該確保傳輸數據的通道是安全的,并且不能被惡意方“竊聽”(例如通過使用VPN)。即使只是很小的加密失誤,也足以使他人訪問未經授權的數據。
4.盡可能實現自動化
如果企業需要使用數據,則必須先對其進行解密。然后,在完成之后,需要在存儲之前對其進行重新加密。所有這些步驟都增加了工作量,因此,如果可以自動執行此類任務以及其他任務,則可以最大程度地降低人為錯誤的可能性,因為人為錯誤會損害數據的安全性。例如,顯然不應該基于擁有企業電子郵件地址之類的內容來授予對掃描區域的訪問權限。因此,身份管理軟件提供了諸如組和角色之類的功能。根據用戶的分配,將為他們提供適當的數據訪問權限,而無需任何人進行精細管理。
5.保護數據而不是文件
訪問控制應遵循保護數據而不是文件的原則。傳統的安全性方法著重于鎖定給定類型的所有文件,而以數據為中心的模型應著重于信息本身。否則,黑客可能會繞過文件系統并直接利用數據。
6.控制應用程序訪問
這一步驟似乎模糊了傳統網絡安全和以數據為中心的網絡安全之間的界限,但是建議強制執行允許訪問數據的特定應用程序。例如,可以要求必須使用特定的應用程序來打開特定的文件類型。這有助于阻止用戶使用不安全、過時或其他惡意的應用程序打開受到保護的數據。
7.強調對風險點的保護
就像企業不應該在非敏感的數據上花費時間一樣,不要把資源浪費在不太可能導致數據泄露的薄弱環節上。有很多地方可以應用企業的網絡安全資源:數據訪問、云平臺本身、數據傳輸的渠道和數字出口(如網站)。這個團隊特別強調可靠的網站托管的重要性,這可以幫助確保企業的網站對其訪客是安全的。最終,了解哪些是弱點有助于企業將注意力集中在最危險的領域。
8.監控數據
盡管對數據的持續監視可能會變得更加昂貴,但收集有關其的可靠信息可以幫助企業制定安全性決策。它還可以為企業提供在發生數據泄露時解決問題所需的知識。企業將能夠確定攻擊發生的時間和地點、攻擊的范圍、惡意攻擊者的成功程度等等。此外,隨著大數據的出現,企業可以使用收集到的信息來改進實現的安全程序。
9.使用與設備無關的保護
數據可以存在很多地方,例如服務器、工作站、移動設備、云計算環境,以及所有類型的應用程序。企業應盡可能爭取設備不可知的保護。雖然一開始看起來很有挑戰性,但是找到一個與設備和平臺無關的解決方案意味著,當企業意識到由于先前選擇的工具而導致整個團隊都沒有受到保護時,以后需要填補的空白就更少了。
10.培訓如何處理數據
企業增加安全保護層來保護自己的數據,意味著使用數據更具挑戰性。因此,工作人員很容易為避開看似不必要的步驟辯護。建議企業培訓自己的員工如何正確處理數據,以及采用這些步驟是必不可少的原因。這種培訓不會使任務變得更簡單或更省時,但它確實提醒人們,可能要實現任何策略或協議都有其原因。盡管強調使用自動化技術,用戶仍然是所有安全程序的重要組成部分。
結論
隨著漏洞風險的增加,以及保護用戶安全的重要性的增加,以數據為中心的網絡安全應該是企業在開發其安全程序時使用的范例。與其將重點放在物理存儲機制上,不如將重點放在數據上,這樣就可以使用復雜完善的措施,增加對所有相關方的保護。
版權聲明:本文為企業網D1Net編譯,轉載需注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號