全面数据保护策略的旅程应包括通过安全最佳实践和相关的特定数据保护用例来支持业务。从本质上讲,在为未来构建和实施整体数据保护计划的同时保护今天的数据。本文重点介绍了三个特定的数据保护用例,它们可以作为整体战略的一部分实施。总结这些用例:
内部威胁:检测并防止恶意内部人员泄露数据
网络钓鱼攻击:通过多因素身份验证减轻假冒
数据泄漏:检测和缓解过度暴露的资源和资产
数据保护的一般方法
对于所有使用云以电子方式存储数据的组织而言,数据保护都是一个关键问题。综合数据保护策略的目标是确保组织数据的安全性和机密性,同时最大限度地减少数据泄露的影响。可以采取许多技术和组织措施来保护数据。总的来说,这些措施包括数据加密、数据备份和恢复、访问控制和用户教育。
数据加密是使用密钥或密码将可读数据转换为不可读格式的过程。这可以防止未经授权的数据访问,并防止数据在传输过程中被截获时被读取。
数据备份和恢复是指在与主数据存储不同的位置创建和维护数据副本。这确保了在主数据存储发生故障时可以恢复数据。
访问控制措施仅限授权用户访问数据。
保护数据资产的网络安全措施,例如防火墙、入侵防御和检测系统
用户教育涉及为用户提供有关数据安全最佳实践的培训。
组织还应制定应对数据泄露的政策和程序。这些应包括通知受影响的个人、调查违规行为以及采取纠正措施以防止未来违规行为的步骤。应根据组织及其数据的特定需求量身定制全面的数据保护策略。定期审查和更新策略以响应组织数据和安全环境的变化非常重要。
数据保护用例
除了整体数据保护战略外,关注当前公司和/或行业特定用例可以在数据保护过程中提供有意义的短期“胜利”和里程碑。企业和组织可以使用不同的安全策略来保护他们的数据,具体取决于风险类型和与业务的相关性。例如,为了降低内部威胁的风险,企业可能会将敏感数据的访问权限限制在少数授权用户范围内。为了防止网络钓鱼攻击,企业可能会对其基于云的应用程序使用双重身份验证。为了防止数据泄露,企业可能会根据行业标准和公司政策评估其当前部署。
让我们仔细看看它们中的每一个。
内部威胁
内部威胁是对组织的恶意威胁,来自内部,来自有权访问组织系统和数据的人员。内部威胁可能来自多种来源,包括心怀不满的员工、希望访问敏感数据的恶意内部人员,甚至是不小心暴露数据的粗心内部人员。
为了发现和减轻内部威胁,组织需要监控其系统和数据的活动。这包括监视用户活动、跟踪数据和配置文件的更改以及监视网络流量。组织还可以使用数据丢失防护(DLP)工具通过阻止敏感数据传输到组织外部来检测和防止数据泄露。为了通过DLP发现内部威胁,组织可以使用多种方法,例如监控员工电子邮件和Web活动、跟踪文件传输以及分析数据使用模式。
DLP程序还可以包括允许识别异常行为的功能,这可能表明恶意意图。例如,Exabeam是一家DLP供应商,它对收集的日志使用机器学习来开发用户行为基线模式,包括活动类型、位置和其他规则。当活动偏离基线时,会为该特定用户分配风险评分以进行进一步调查,同时创建整体用户监视列表以了解公司范围内的模式。使用Exabeam和监视列表的另一种方法是将表现出不断变化的行为(例如突然辞职)的用户添加到监视列表中以进行主动监控。
网络钓鱼攻击
由于内部威胁来自公司内部,网络钓鱼攻击通常来自公司外部,其中恶意行为者伪装成受信任的实体并试图诱骗用户点击恶意链接或下载以窃取敏感信息或用恶意软件感染他们的系统。网络钓鱼攻击可以通过电子邮件、社交媒体或短信进行,并且通常涉及假冒网站或旨在看似来自合法来源的附件。网络钓鱼攻击可用于以几种不同的方式利用易受攻击的虚拟机:
通过诱使用户点击恶意链接或附件,攻击者可以在虚拟机上下载并执行可用于植入恶意软件或窃取敏感数据的代码。
攻击者还可以使用虚拟机创建一个看起来与合法网站相同的钓鱼网站。当用户访问该网站并输入他们的登录凭据时,攻击者就可以窃取此信息。
如果虚拟机没有得到适当的保护,攻击者还可以访问可用于启用C2服务器的底层基础设施和工厂代码。这将允许攻击者远程控制虚拟机并进行进一步的攻击。
网络钓鱼攻击变得越来越复杂且难以检测,这使得它们对企业和个人都构成严重威胁。由于它们越来越难以检测,多因素身份验证(MFA)可以有效防御网络钓鱼攻击,因为它要求用户提供不止一种形式的身份验证才能访问系统或服务。这使得攻击者成功冒充合法用户变得更加困难,因为他们需要获取并正确使用多条信息,并且通过需要多种形式的身份验证,MFA使攻击者更难访问系统和数据。这可以显着降低网络钓鱼攻击以及其他类型的网络攻击的影响。Okta等身份提供商对于访问公司资源的用户,可能需要MFA。虽然MFA不是一个完美的解决方案,但它是防止网络钓鱼和其他类型的网络攻击的重要一步。企业和个人应考虑实施MFA以帮助防御这些威胁。
数据泄露
云数据泄露被定义为未经授权访问或泄露存储在云中的机密信息。由于内部威胁和网络钓鱼攻击,可能会发生数据泄露。此外,数据泄露可能会导致数据泄露,攻击者会在其中发现过度暴露和可利用的敏感数据。
数据泄露要么是未知的数据泄露,要么是尚未缓解的已知泄露,或者治理、风险和合规(GRC)团队和业务所有者“接受”了泄露的风险。数据泄漏的发生是由于多种因素,包括:
错误配置的设置:不受信任的实体可以访问数据
软件漏洞:未打补丁的系统可能允许不良行为者访问敏感数据
弱密码:由于容易猜到的密码或缺乏MFA,数据可能会泄漏
为了识别数据泄漏,在与行业标准或公司政策进行比较时,可以使用Tenable、PaloAltoNetworks或Wiz等公司的漏洞扫描程序来识别这些数据泄漏风险。发现数据泄漏后,可以通过Terraform和Ansible等自动化工具开发和实施缓解步骤。
概括
根据公司独特的业务需求,其他数据保护用例可能更需要解决。无论如何,框架保持不变,该战略的目标是根据需要满足各个业务部门和利益相关者的数据保护需求,并将这些用例用作构建块和组件,以实现全面数据保护战略继续向前。