网络安全是一个不断变化的目标,企业可能每天都要面对久经考验的真实威胁和对手。从勒索软件攻击和恶意内部人员到意外滥用和民族国家行为者,网络威胁有多种形式。
企业必须从源头保护有价值的数据以防止泄露。但是,由于数据是跨用户、网络、云平台和设备创建和驻留的,因此需要付出大量的时间和精力来保护它。幸运的是,可以使用一些技术、框架和程序来帮助确保其安全性。
企业可以遵循以下10项数据安全最佳实践,以帮助保护其信息的安全。
1、对所有企业数据进行编目
为了保护数据,需要了解存在哪些数据至关重要。数据流经并保留在由数据中心、网络附加存储、桌面设备、移动和远程用户、云计算服务器和应用程序组成的分布式网络中。安全团队必须了解这些数据是如何创建、使用、存储和销毁的。
第一步是创建和维护一个全面的数据清单。所有数据(从普通数据到敏感数据)都必须进行分类。如果不执行和维护这一尽职调查,可能导致某些数据不受保护且易受攻击。
企业创建、存储和使用的大量数据使了解数据操作成为一项艰巨的任务。需要考虑使用数据发现工具使该过程实现自动化。这些自动化工具使用各种方法(爬虫、探查器和分类器)来查找和识别结构化和非结构化数据。
2、了解数据使用情况
数据并不是静态实体,它随着应用程序的使用而移动。数据可以是动态的、静止的或正在使用的。为了正确保护数据,了解数据的不同状态以及数据如何在模式之间转换非常重要。了解数据传输、处理和存储的方式和时间有助于更好地了解所需的保护。未正确识别数据状态将会导致安全性不足。
3、对数据进行分类
并非所有数据都具有相同的值。例如,个人身份信息(PII)和财务记录比技术白皮书更有价值。
在盘点数据并了解其用途之后,需要为数据赋予价值,对其进行分类和标记。分类标签使企业能够根据应用的价值保护数据。使用的分类术语是根据企业的需求确定的,但数据通常分为四类:
(1)公开(免费提供);
(2)内部(留在企业内部);
(3)敏感(合规的数据,要求保护);
(4)保密(不合规的数据,如果泄露则造成损害)。
一致且适当的数据分类还有助于确定应在何时何地存储数据、如何保护数据以及谁有权访问数据。它还改进了合规性报告。
许多数据发现工具可以根据数据分类策略对数据进行分类和标记。这些工具还可以强制执行分类策略来控制用户访问,并避免将其存储在不安全的位置。
4、使用数据屏蔽
防止数据丢失的强大武器是使网络攻击者无法使用所窃取的信息。保密工具可以提供这一功能。
数据屏蔽使用户能够基于真实数据对功能格式化的数据执行任务,所有这些都不需要或暴露实际数据。数据屏蔽技术包括加密、字符混洗和字符或单词替换。最流行的技术之一是标记化,它采用功能齐全的虚拟数据代替真实值。真实数据(例如采用功能齐全的虚拟数据代替真实值或信用卡号)位于强化的中心位置,其访问权限仅限于所需用户。
5、使用数据加密
数据加密使用加密算法和密钥来确保只有预期的实体才能读取数据。加密用于存储在驱动器上、应用程序内或传输中的数据。它在操作系统、应用程序和云平台以及独立软件程序中广泛可用。
如果加密数据被网络攻击者窃取,则无法读取,因此网络攻击者无法从数据中获得任何价值。加密被认为是一种非常有效的方法,以至于许多法规都将其作为安全港来限制数据泄露后的责任。加密不应被视为数据安全的灵丹妙药,但它是保护有价值信息的最佳方式之一。
6、实施强大的访问控制
具有价值或受监管的数据,只能提供给需要访问才能完成工作的人员。此外,还要建立强大的访问控制机制,以确定哪些实体能够访问哪些数据,并管理和定期审查这些实体的权限。
授权和访问控制范围从密码和审计日志到多因素身份验证、特权访问管理和强制访问控制。无论使用哪种机制,都要确保它根据最小特权原则验证实体并授予访问权限。强大的访问控制需要全面监控和审核,以快速识别异常或滥用行为。
7、创建数据收集和保留策略
数据收集和保留策略是一个不受欢迎的主题,但它们的存在是有原因的。数据收集和保留策略建立了与数据管理和保护相关的规范。这些政策制定了以下规则:
- 收集了哪些数据;
- 何时以及如何保留;
- 哪些数据必须加密;
- 谁有权访问信息。
应该清除不符合数据使用和保留策略的数据。除了支持内部运营之外,政策还支持遵守GDPR和CCPA等法规。
8、进行安全意识培训
与网络安全一样,数据保护也是一项团队工作。向有权访问数据的员工和用户宣传数据安全的重要性。让他们讨论在数据安全中的作用,以及用户应该收集和存储哪些数据以及不应该共享哪些数据。
知情和授权的员工更有可能支持安全工作,而不是通过试图绕过控制来破坏它们。最接近数据管理工作的人员也可以通过识别可能表示潜在问题的异常来提供有价值的支持。
9、备份数据
可用性和完整性对于安全性与机密性一样重要。数据备份提供了这些功能。备份是驻留在不同位置的数据的副本。如果工作副本不可用、被删除或损坏,备份使数据检索成为可能。
按计划进行备份。它们可以是完整的数据复制,也可以是仅保存数据更改的增量备份。因此务必保护任何备份,因为它们也可能成为网络攻击的目标。
10、使用数据丢失防护(DLP)
数据丢失防护(DLP)平台是任何数据安全策略的关键要素。数据丢失防护(DLP)由自动跟踪敏感数据的技术、产品和技术组成。其保护使用规则来审查电子通信和数据传输。它们可以防止数据离开企业网络或被路由到不在策略范围内的内部资源。数据丢失防护(DLP)还可用于防止企业数据被传输到未经验证的实体或通过非法转移方法进行传输。
结语
数据安全事件不是凭空发生的,它要求这些最佳实践不能作为独立的活动使用,而是作为企业纵深防御战略的一部分。企业应该采用这些组件中的大多数(如果不是全部)的组合来创建高效的数据安全程序。