数字时代数据安全防护指南:威胁演变与新兴解决方案

本文深入探讨数字时代数据保护的关键挑战与解决方案,涵盖云配置错误、人为失误和针对性网络攻击等威胁,并提供数据分类管理、网络安全培训和事件响应计划等实用防护策略。

数据保护的现状

数据保护对企业至关重要。即使是单一的网络攻击也可能导致毁灭性的数据泄露。以今年6月发现的MOVEit供应链网络攻击为例,截至2023年9月26日,受害组织已达2040个,受影响个人达5570万至6060万,且这一数字仍在增长。

这次网络攻击及其后续数据泄露的长期影响,证明了数据保护是网络安全不可或缺的一部分。数据泄露的进一步后果,例如客户在数据泄露后选择不再与公司互动导致的收入损失,也说明了数据保护和隐私的重要性。

数据完整性面临诸多威胁,包括恶意行为者的网络攻击和软件配置错误。Cyber Security Hub在此探讨如何克服这些问题并保护数据。

目录

  • 数据保护的现状
  • 不良数据保护导致的问题
  • 确保良好的数据保护和隐私
  • 总结

数据保护的现状

在Cyber Security Hub的调查中,近三分之一(29%)的受访者表示,安全数据管理是2023年的首要网络安全投资。此外,安全访问和基本安全基础、网络安全卫生分别被24%和23%的受访者列为投资重点。

新加坡社会科学大学网络安全与治理研究员Anthony Lim指出,要有效保护数据,网络团队需要确保基本的数据网络安全策略、解决方案和实践到位,例如:

  • 适当的密码和身份验证机制,包括使用双因素认证
  • 尽可能进行数据加密
  • 数据防泄漏解决方案
  • 网络分段和访问控制
  • 最小权限和零信任原则
  • 防火墙、防病毒或反恶意软件
  • 监控和记录网络及数据移动活动
  • 持续修补和更新软件应用程序、操作系统、中间件及其他软件

在非网络威胁相关问题上,38%的网络安全专业人士指出缺乏全公司范围的网络安全培训/理解。超过三分之一(36%)的人表示难以将网络安全融入公司文化,三分之一(33%)的人表示网络安全解决方案预算不足。这些问题可能对数据保护造成困扰,因为这意味着公司更容易受到数据泄露的影响。

Morrison Foerster律师事务所调查与白领辩护及隐私与数据安全业务组合伙人Nate Mendell解释说:“最常见的失败点是用户错误——比如点击恶意链接或未能更新和修补。威胁情报的效用不仅取决于向用户传达信息,还取决于让他们根据这些信息采取行动。解决方案是用户参与,其策略因机构而异,可以是限制系统访问,也可以是及时提示。甚至幽默也可能有效!”

不良数据保护导致的问题

数据泄露、泄漏和盗窃有多种原因,从针对性网络攻击到软件配置错误,再到人为错误。本节将评估数据未受保护的原因,并探讨如何纠正这些问题。

软件配置错误

在Cyber Security Hub的调查中,四分之一(25%)的网络安全专业人士表示,他们的公司正在投资云安全能力。随着更多公司投资并迁移到云端,他们应意识到云在数据保护方面可能带来的风险。

2023年3月6日,为美国政府人员提供健康保险的DC Health Link遭受数据泄露,影响超过5万人。此次网络攻击中,未经授权的一方获取了56,415名DC Health Link当前和过去客户的资料,包括585名工作人员和17名美国国会议员。

美国众议院在3月8日发给员工的信息中解释说,此次数据泄露“可能暴露了数千名注册者的个人可识别信息(PII)”。泄露被发现后,DC Health Link向FBI和谷歌旗下的网络安全公司Madinat报告了此事。随后,这家健康保险公司通知了其他六个使用DC Health Link为其员工提供健康保险的联邦机构。

DC Health Link执行董事Mila Kofman在4月19日向众议院监督委员会作证前提交的文件中透露,数据泄露是由配置错误的云服务器引起的。Kofman表示,此配置错误是人为失误而非恶意意图造成的,一经发现立即被DC Health Link的安全经理关闭。

家电维修网站Appliance Geeked的CEO兼创始人Matt Kerr指出,虽然基于云的数据存储可以配备网络安全措施以防止数据泄露,但如果公司托管大量有价值的客户数据,即使是部分泄露也可能产生深远的负面影响。这是因为公司的云存储包含“大量极其有价值的数据”,即使攻击者仅能访问其中一小部分,也能造成实际损害。

人为错误

在Cyber Security Hub的调查中,网络安全专业人士面临的首要非网络威胁相关问题被指出是缺乏全公司范围的网络安全培训/理解,以及难以将网络安全融入公司文化。

电信公司Verizon发现,74%的数据泄露包含人为因素。对于未受过网络安全教育的员工队伍和不考虑网络安全的工作文化,其潜在后果可能对数据保护造成灾难性影响。

例如,2023年8月8日,北爱尔兰警察局(PSNI)在PSNI内所有人员的个人识别信息被在线发布后遭遇“严重事件”。这次“重大”数据泄露发生在回应信息自由(FoI)请求时,一个包含超过10,000名PSNI在职警官和员工的姓氏、首字母、职级/等级、职位和地点的数据库被错误地发布到网上。该数据库被发布到一个“合法的FoI网站”上,数据可访问约三个小时后被撤下。

关于此次数据泄露,PSNI高级信息风险负责人、助理警察局长Chris Todd在一份声明中表示,这起“不可接受”的网络安全事件最终归因于“人为错误”。数据泄漏后,PSNI表示将聘请独立顾问“对我们的流程进行端到端审查,以了解发生了什么、如何发生的以及我们可以立即采取哪些措施防止此类泄露再次发生”。

虽然评估公司流程有助于标记可改进或加强网络安全的领域,但有效教育员工以防止数据泄露至关重要。为此,阿斯顿·马丁的CISO Robin Smith建议采用亲社会方法。

亲社会网络安全培训遵循以下原则:

  • 工作:充分理解你所参与安全流程的员工的体验。通过观察、互动和沉浸来实现。
  • 定义:处理和综合初步工作的发现,形成以员工为中心的观点,指导设计协作。
  • 构思:通过生成多样化集合,探索各种可能的解决方案,让安全团队超越显而易见的选择,探索一系列想法。
  • 原型:将想法转化为具体的行动计划,在团队探索潜在结果时学习和培养更多同理心。
  • 测试:利用观察和反馈完善原型想法,了解更多关于员工适应的情况,并完善原始观点。

Smith补充道:“亲社会设计方法能够以需求为重点构建数字素养,吸引并帮助优化员工培训时间。初步结果非常令人满意,亲社会设计现在有助于保护技术规划和政策制定。它还说明了开发适应性、弹性且能够专注于优化网络安全的网络解决方案的决心。”

针对性网络攻击

公司还有责任充分保护其持有的数据,因为这些数据经常成为恶意行为者的目标。恶意行为者会针对个人识别信息和其他机密信息,以便在暗网上将其出售给其他黑客。他们还会针对机密或敏感信息来操纵目标支付赎金,承诺如果支付赎金就不会发布数据。

2022年10月发生的Medibank数据泄露事件显示了针对性网络攻击窃取私人数据的破坏性影响。10月13日,澳大利亚医疗保健和保险提供商Medibank检测到其内部系统出现一些“异常活动”。随后在10月17日,该公司被一个恶意方联系,后者后来被揭露是REvil勒索软件组织的一部分。该方表示其目的是“与[医疗保健]公司就其所谓删除客户数据进行谈判”。然而,Medibank公开拒绝屈服于黑客的要求。

Medibank于11月7日公布了黑客攻击的真实程度,宣布恶意行为者未经授权访问并窃取了970万过去和现在客户的数据。这些信息包括医疗程序的机密和个人识别信息,包括与诊断和所执行程序相关的代码。

在Medibank持续拒绝支付赎金后,黑客于2022年11月9日发布了两个包含客户数据的文件,分别称为“好名单”和“坏名单”。据称,所谓的“坏名单”包括那些曾因HIV、吸毒或酗酒或饮食失调等心理健康问题寻求治疗的人的详细信息。11月10日,他们在由俄罗斯勒索软件组织REvil支持的网站上发布了一个标记为“堕胎”的文件,其中显然包含保单持有人曾申报的程序信息,包括流产、终止妊娠和宫外孕。

Cyber Security Hub咨询委员会的一名成员分享道,网络安全团队应频繁进行网络安全卫生测试,并制定健全的事件响应计划,以确保在发生泄露时能够保护其数据。该成员还指出,网络安全团队应频繁检查公司的资产,进行响应模拟,并传达风险。

另一名成员还建议网络安全团队评估谁对公司内部持有的数据拥有治理权,以确保即使恶意行为者成功入侵组织网络,也无法访问这些数据。

确保良好的数据保护和隐私

本节将分享关于如何确保良好数据保护和隐私的关键见解。它将提供关于加强数据保护和在全公司范围内提升网络安全文化的明确建议。

为了克服本文讨论的数据保护问题,新加坡大学的Lim分享道,组织管理者和网络安全专业人士需要有一个中心策略,并对其数据、数据存储位置以及负责和监督此数据存储过程的人员有清晰的可见性。

同样,Lim建议必须强制执行集中管理的数据分类系统。这确保了对公司数据的全面概览,并将其“从技术或操作问题转变为管理、政治和官僚领域的问题”。这意味着网络安全团队获得了高管管理的支持,并且组织内的人员都参与到公司数据的网络安全中。

在发生网络安全事件时,通过关注网络韧性,公司可以减轻网络攻击或数据泄露的影响。

渣打银行信息与网络安全威胁政策实施负责人Sourabh Haldar解释了网络韧性为何有益:“网络韧性考虑了所有可能的威胁影响以及如何应对它们。例如,在制定具有网络韧性的安全策略时,网络安全专业人士可能会考虑如果一个非常高级的持久威胁行为者突破了他们公司的边界并在其网络中停留六个月会发生什么。他们将考虑如何应对此类泄露的发现,包括最小化恶意行为者一旦进入网络可能访问的机密和敏感数据。通过这样做,他们可以尝试降低数据泄露的可能性。”

总结

网络安全团队在充分保护个人、机密和专有数据方面面临一场艰苦的战斗。无论是外部威胁(如网络攻击)还是内部威胁(如人为错误),都使这些数据面临泄露风险。

然而,通过实施侧重于提高对网络安全威胁整体意识的健全网络安全培训,可以降低数据泄露的可能性。这还有助于吸引网络安全团队以外的员工参与,意味着这些员工构成的威胁的第一道防线能够更好地拦截和阻止网络攻击。

此外,通过专注于创建健全的事件响应计划、风险管理和网络韧性,网络安全团队可以确保其公司数据保持受保护状态。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次