根据Gemalto统计,2003年以来,全球有91亿9858万条数据被盗或者丢失,每小时丢失207849条记录,每秒钟丢失58条记录。
其中,风险程度最高的数据泄漏事件有:
假如您是CIO,有必要居安思危,防患于未然。面对如此巨大的数据安全之威胁,企业若想领先于攻击者一步, 并更有效地保护自己的底线,就需要 一个全新的数据安全思维框架(MINDSET).
数据安全的新思维
单纯的预防泄漏已经失败了
Gemalto 2017年H1的泄漏指数显示,数据泄露对组织来说是一个日益严重的威胁。考虑到许多组织为了保护他们的数据而花费的时间和精力,受损的记录数量显然让人瞠目结舌。如果组织想领先攻击者,并且在未来更有效地保护他们的知识产权、数据、客户信息、员工以及他们的底线以防止数据泄露,那么显然需要一个全新的数据安全方法。
安全在IT总支出中所占的份额越来越大,但针对数据泄露疫情的安全措施根本上没有改善。企业并没有根据当前的现实投资于安全,而是以过去的现实为基础进行投资:在过去的时代,黑客是追求荣誉光环的破坏者,敏感数据是集中的,企业的边缘是在位置已知的桌面PC。在这个过去的现实中,网络防火墙和其他网络边界的“防范”技术已经足够好了。不幸的是,在数据是分布式存放并常常跨越企业边界的今天,昨天“足够好”的安全方法已经过时了,黑客,无论是熟练的犯罪分子还是内部人员 ,无论是恶意的还是偶然的 ,都对数据安全持续构成威胁。 网络周边安全技术没有任何问题 ,它们是一个额外的保护层。问题在于,现在很多企业还依靠它们作为信息安全战略的基础,实际上,预防数据泄漏事件绝不是那么简单的一件事情。令人惊讶的是,市场趋势表明,大部分组织都没有改变这种“依赖”的计划。根据IDC的数据,2016年在安全技术上花费379亿美元的企业中,超过30%(114亿美元)被投入了网络周边安全。
从预防数据泄漏到接受数据泄漏
泄漏指数表明,在过去几年里,数据泄露的频率和规模都在不断增加。从定义上来说,防范泄漏对于防范网络犯罪来说是一个不相干的策略。另外,每个组织在竞争环境中都有潜在的对手。且不论这些内部威胁不仅会招致公然的数据滥用,更不能防止粗心大意带来的意外事故。即使是非恶意的行为,例如通过电子邮件帐户把工作带回家里,丢失设备,在USB上存储数据以及供应商在不知不觉中共享网络登录凭据和密码等,都可能无辜地泄漏掉一些敏感数据。
在当今的环境下,任何安全战略的核心都需要从“防范泄漏”转变为“接受泄漏”, 而且,从泄漏接受的角度来看待安全时,世界变成了一个相对简单的地方:保护数据,而不是周边设备,是重中之重。在云计算、虚拟化和移动设备导致攻击面呈指数级增长的世界里,保护数据是一个极具挑战性的命题。许多组织可能倾向于用“遏制”策略来解决这个问题 —即限制数据可以去的地方,只允许有限的人访问。然而,这种“否定”的策略 - 即以限制数据访问和限制移动为基础的安全性 - 违背了当初技术赋能我们的初衷。如果我们理解移动互联网和共享数据是商业成功的基础的话,今天的任务就是务必要建立一个更加主动且有所作为的安全战略。
从接受泄漏到保护数据
改变心态说起来容易,在组织内部实施新的安全策略却困难重重。没有一个“一刀切”的办法,或能医治百病的一剂灵丹妙药,能够实现“数据保护”的理想,但每个公司都应该采取三个步骤来降低安全漏洞导致的损失并回避不利后果,他们是控制用户的访问和认证,对所有敏感数据进行加密(无论是静态的还是动态的),安全地管理和存储您的所有密钥。通过将这三个步骤分别实施到您的IT基础架构中,企业可以有效地应对数据泄漏,避免成为受害者。 你的网络能否被侵入已经不是一个问题了,唯一的问题是什么时候将被攻击。随着业务增长的速度不断加快,新的技术不断被部署,新的更加复杂的尖端攻击不断被启动,您的业务遭到黑客攻击只是时间问题。
保护数据三步骤
1. 加密数据
找到敏感数据所在的位置,对其进行加密。无论数据是在物理网络、虚拟化环境、云端还是在运动中,加密都会隐藏并保护重要的信息。
2. 存储和管理密钥
没有一个加密管理平台,您就无法安全地加密数据。密钥应该存储在远离任何加密数据的保险柜里,然后建立一个流程来实现限制访问、撤销、轮换和重新发布密钥。
3. 控制用户访问
确定谁有权访问数据,实现用户的强制认证,并建立验证过程。定义用户访问级别,并自动设置和管理用户和令牌。
对于第三个步骤,最容易被决策人士忽略的还有一环,就是最后一公里的用户访问控制。当边缘设备使用了四年以后,硬盘上积累了大量的敏感数据。公司淘汰这些旧电脑时,9成以上的用户没有彻底进行数据擦除,这些数据被其他用户通过特殊方式恢复出来,就造成了所谓的不适当的用户访问,泄漏由此发生。我们强烈建议所有的公司在更换电脑的时候,务必对硬盘数据进行擦除(绝对不是格式化哦)。数据擦除是一项专业性很强的工种,最好由专业的公司操作。