數(shù)據(jù)存儲(chǔ)安全性的最大挑戰(zhàn)之一是阻止網(wǎng)絡(luò)入侵者訪問關(guān)鍵的存儲(chǔ)資源。為確保數(shù)據(jù)安全,組織必須跟蹤其數(shù)據(jù)的位置以及可以訪問的人員。此外,也需要定期更新安全策略。
滿足數(shù)據(jù)存儲(chǔ)安全的最佳實(shí)踐將有助于減輕網(wǎng)絡(luò)攻擊的威脅,組織首先需要制定全面的縱深防御和分層保護(hù)策略。
管理和技術(shù)咨詢機(jī)構(gòu)Booz Allen Hamilton公司高級(jí)副總裁Tony Sharp說,“組織必須識(shí)別進(jìn)入其存儲(chǔ)環(huán)境的所有邏輯路徑和連接,并確保對(duì)所有接口都具有適當(dāng)?shù)臋?quán)限,其中包括特權(quán)和零信任訪問模型。”他補(bǔ)充說,這些模型應(yīng)該得到檢測(cè)和響應(yīng)控制的支持,并建議組織監(jiān)控訪問、數(shù)據(jù)和流量模式的異常情況,以及對(duì)已經(jīng)制定的安全策略的遵守情況。
咨詢機(jī)構(gòu)Cybri公司首席執(zhí)行官兼聯(lián)合創(chuàng)始人Konstantine Zuckerman說:“加密應(yīng)該在靜止和傳輸過程中進(jìn)行,因此即使網(wǎng)絡(luò)攻擊者可以訪問數(shù)據(jù),也會(huì)限制其讀取數(shù)據(jù)的能力。加密措施應(yīng)該足夠強(qiáng)大,以便在數(shù)據(jù)可以被破解時(shí)不再可用。”
不要忽略云中的數(shù)據(jù)
全球獨(dú)立的IT審核和認(rèn)證機(jī)構(gòu)Schellman&Company公司的高級(jí)經(jīng)理Jacob Ansari表示,企業(yè)基于云計(jì)算的存儲(chǔ)節(jié)點(diǎn)犯的最大錯(cuò)誤之一就是不知道它們存在。他說,建立一個(gè)存儲(chǔ)節(jié)點(diǎn)很容易,讓任何擁有相關(guān)URL訪問權(quán)限的人都能訪問。
Ansari說:“組織的信息安全團(tuán)隊(duì)?wèi)?yīng)該了解其使用的已知云計(jì)算服務(wù)提供商帳戶下存在哪些存儲(chǔ)節(jié)點(diǎn),并應(yīng)嘗試了解其他個(gè)人或業(yè)務(wù)部門在何處創(chuàng)建了自己的帳戶。識(shí)別存儲(chǔ)點(diǎn)并使用訪問控制措施對(duì)其進(jìn)行保護(hù),可以顯著減少數(shù)據(jù)泄露或丟失的可能性。”
針對(duì)網(wǎng)絡(luò)攻擊的一種經(jīng)過驗(yàn)證的數(shù)據(jù)存儲(chǔ)安全最佳實(shí)踐是確保將存儲(chǔ)資源與網(wǎng)絡(luò)基礎(chǔ)設(shè)施隔離開來。
Zuckerman說:“這是通過強(qiáng)大的ACL(訪問控制列表)白名單來實(shí)現(xiàn)的,只允許進(jìn)行適當(dāng)?shù)脑L問,并確保擁有訪問權(quán)限的用戶只能以受保護(hù)的方式進(jìn)行訪問,而無需外部許可。這是有效的,因?yàn)槿藗兺ǔ?吹降氖蔷W(wǎng)絡(luò)攻擊者通過超額許可的用戶帳戶或應(yīng)該由防火墻上的ACL阻止的網(wǎng)絡(luò)服務(wù)來獲得訪問權(quán)限。”
組織在將數(shù)據(jù)放入云平臺(tái)中時(shí)犯下的另一個(gè)常見錯(cuò)誤是假設(shè)數(shù)據(jù)存儲(chǔ)安全性已經(jīng)得到解決。云存儲(chǔ)用戶通常會(huì)誤以為云平臺(tái)本身就具有固有的安全性。實(shí)際上,大多數(shù)云計(jì)算存儲(chǔ)運(yùn)營商都采用分擔(dān)責(zé)任的概念,在這種概念下,云計(jì)算提供商負(fù)責(zé)云平臺(tái)的安全,而客戶需要自己負(fù)責(zé)云中內(nèi)容的安全。
避免隨意的數(shù)據(jù)管理
組織通常會(huì)因無法正確控制信息流而使其存儲(chǔ)資源容易受到攻擊。
Zuckerman說:“這可以允許數(shù)據(jù)進(jìn)入任何系統(tǒng),不一定是需要這些數(shù)據(jù)的系統(tǒng),或在停用或重新使用資源時(shí)沒有正確刪除數(shù)據(jù)。組織可能會(huì)讓客戶處于危險(xiǎn)之中,因?yàn)樗麄儠?huì)保留舊服務(wù)器上的數(shù)據(jù),比如社會(huì)保險(xiǎn)號(hào)碼或信用卡信息。”
隨意的數(shù)據(jù)管理是另一個(gè)重要的數(shù)據(jù)存儲(chǔ)安全錯(cuò)誤。IT和安全咨詢機(jī)構(gòu)Oram Corporate Advisors公司首席執(zhí)行官Ryan O'Ramsay Barrett說:“組織應(yīng)該根據(jù)所需的安全級(jí)別對(duì)所有業(yè)務(wù)數(shù)據(jù)進(jìn)行分類,還應(yīng)該始終知道所有數(shù)字和紙質(zhì)副本數(shù)據(jù)的存儲(chǔ)位置。”
組織可以通過實(shí)施3-2-1備份方法來跟蹤其數(shù)據(jù)副本的位置。這意味著在兩種不同類型的存儲(chǔ)介質(zhì)上存儲(chǔ)三個(gè)副本(一個(gè)主副本和兩個(gè)備份),其中一個(gè)副本存儲(chǔ)在異地。
另一個(gè)嚴(yán)重錯(cuò)誤是缺乏基本的安全協(xié)議。Barrett說:“每個(gè)組織都應(yīng)采用最小特權(quán)原則,這意味著只有真正需要它來執(zhí)行其工作職能的員工才能訪問存儲(chǔ)的數(shù)據(jù)。此外,這意味著要使用標(biāo)準(zhǔn)防火墻、防病毒和反惡意軟件程序,并隨時(shí)對(duì)其進(jìn)行更新。”
勒索軟件對(duì)大多數(shù)組織都是一個(gè)挑戰(zhàn),但許多組織可以通過實(shí)施強(qiáng)大的安全技術(shù)、實(shí)踐和培訓(xùn)方法來保護(hù)其存儲(chǔ)的數(shù)據(jù)。正確的備份策略可以在很大程度上保護(hù)數(shù)據(jù)免受勒索軟件的攻擊。例如,如果磁帶備份離線存儲(chǔ)并且沒有連接到網(wǎng)絡(luò),則網(wǎng)絡(luò)攻擊者無法訪問這些數(shù)據(jù)。
Barrett說:“組織可以通過定期備份來保護(hù)存儲(chǔ)的數(shù)據(jù)。如果發(fā)生最壞的情況,并且存儲(chǔ)資源被破壞,組織仍將擁有備份的數(shù)據(jù),這可以防止網(wǎng)絡(luò)攻擊者的勒索。”
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號(hào)