制定全面地数据保护策略,应包括专注于通过安全最佳实践和相关特定数据保护案例来支持业务。从本质上讲,在构建和实施未来整体数据保护计划的同时,要立即保护当前的所有数据。本文重点介绍三个特定的数据保护应用案例,这些案例可以作为整体策略的一部分进行实施。
首先,简单介绍一下这些典型的案例:
1)内部威胁:检测并防止恶意内部人员的数据泄露
2)网络钓鱼攻击:通过多重身份验证缓解模拟
3)数据泄漏:检测并缓解过度暴露的资源和资产
数据保护的一般方法
对于使用云计算存储数据的所有企业而言,数据保护都是一个关键问题。因此,建立全面的数据保护策略其目标是确保组织数据的安全性和机密性,同时最大限度地减少数据泄露的影响。
对于存储于云上的数据,企业可以采取诸多技术和措施来保护数据。通常,这些措施包括数据加密、数据备份和恢复、访问控制和用户教育。
1)数据加密是使用密钥或密码将可读数据转换为不可读格式数据的过程,它能够防止对数据进行未经授权的访问,并防止在传输过程中截获数据时读取数据。
2)数据备份和恢复是指在与主数据存储不同的位置创建和维护数据副本,它能够确保在主数据存储发生故障时可以快速地恢复数据。
3)访问控制措施主要是将对数据的访问限制为仅授权用户。
4)保护数据资产(如防火墙)以及入侵防御和检测系统的网络安全措施。
5)用户教育主要包括为用户提供有关数据安全最佳实践的培训。
企业还应制定政策和程序来应对数据泄露,包括通知受影响的个人,调查违规行为以及采取纠正措施以防止将来发生违规行为的步骤。此外,企业还应该根据组织及其数据的特定需求量身定制全面的数据保护策略,并定期审查和更新策略,以响应组织数据和安全环境的变化。
数据保护应用案例
除了整体数据保护战略外,关注当前公司和/或行业特定的使用案例,可以在数据保护之旅中提供有意义的借鉴和指导。企业和组织可以使用不同的安全策略来保护其数据,具体取决于风险类型和与业务的相关性。例如,为了降低内部威胁的风险,企业可能会将对敏感数据的访问限制为只有少数授权用户。为了防止网络钓鱼攻击,企业可以对其基于云的应用程序使用双因素身份验证。为了防止数据泄露,企业可以根据行业标准和公司政策评估其当前部署。
1)内部威胁
内部威胁是对组织的恶意威胁,它来自组织内部,来自有权访问组织系统和数据的人员。内部威胁可能来自各种来源,包括心怀不满的员工,希望访问敏感数据的恶意内部人员,甚至是意外暴露数据的粗心内部人员。
为了发现和缓解内部威胁,组织需要监控其系统和数据上的活动。这包括监视用户活动、跟踪对数据和配置文件的更改以及监视网络流量。组织还可以使用数据丢失防护 (DLP) 工具,通过阻止敏感数据传输到组织外部来检测和防止数据泄露。若要使用 DLP 查找内部威胁,组织可以使用多种方法,例如监视员工电子邮件和 Web 活动、跟踪文件传输以及分析数据使用模式。
DLP 程序还可以包括允许识别异常行为的功能,也可能表示恶意意图。例如,Exabeam 是一家 DLP 供应商,它对收集的日志使用机器学习来开发用户行为基线模式,包括活动类型、位置和其他规则。当活动偏离基线时,会将风险评分分配给该特定用户以进行进一步调查,同时创建整体用户监视列表以了解公司范围的模式。使用 Exabeam 和监视列表的另一种方法是将表现出不断变化的行为(例如突然辞职)的用户添加到监视列表中以进行主动监视。
2)网络钓鱼攻击
由于内部威胁源自公司内部,因此网络钓鱼攻击通常来自公司外部,其中恶意行为者假装是受信任的实体,并试图诱使用户单击恶意链接或下载,以窃取敏感信息或用恶意软件感染其系统。网络钓鱼攻击可以通过电子邮件,社交媒体或短信进行,并且通常涉及虚假网站或附件,这些网站或附件的设计看起来像是来自合法来源。
网络钓鱼攻击可用于以几种不同的方式利用易受攻击的虚拟机:
一)通过诱使用户单击恶意链接或附件,攻击者可以在虚拟机上下载并执行可用于植入恶意软件或窃取敏感数据的代码。
二)攻击者还可以使用虚拟机创建与合法网站外观相同的网络钓鱼网站。当用户访问此网站并输入其登录凭据时,攻击者可以窃取此信息。
三)如果虚拟机未得到适当保护,攻击者还可以访问可用于启用 C2 服务器的底层基础结构和工厂代码。这将允许攻击者远程控制虚拟机并执行进一步的攻击。
网络钓鱼攻击变得越来越复杂和难以检测,使其成为对企业和个人的严重威胁。由于它们越来越难以检测,因此多因素身份验证(MFA)是针对网络钓鱼攻击的有效防御措施,因为它要求用户提供多种形式的身份验证才能访问系统或服务。这使得攻击者更难成功模拟合法用户,因为他们需要获取并正确使用多条信息,并且通过要求多种形式的身份验证,MFA使攻击者更难访问系统和数据,能够显着降低网络钓鱼攻击以及其他类型的网络攻击的影响。例如,像 Okta 这样的身份提供商可以要求访问公司资源的用户进行 MFA。虽然MFA不是一个完美的解决方案,但它是防范网络钓鱼和其他类型的网络攻击的重要一步。企业和个人应考虑实施 MFA 以帮助抵御这些威胁。
3)数据泄露
云数据泄露被定义为未经授权访问或泄露存储在云中的机密信息。由于内部威胁和网络钓鱼攻击,可能会发生数据泄露。此外,由于数据泄漏,攻击者可能会发现过度暴露和可利用的敏感数据,从而可能发生数据泄露。
数据泄露要么是未知的数据泄露,要么是尚未缓解的已知暴露,要么是治理、风险和合规性 (GRC) 团队和业务所有者已“接受”暴露风险。数据泄露是由于各种因素造成的,包括:
一)配置错误的设置:不受信任的实体可以访问数据
二)软件漏洞:未修补的系统可能允许不良行为者访问敏感数据
三)弱密码:由于易于猜测的密码或缺少MFA,数据可能会泄漏
为了识别数据泄漏,在与行业标准或公司政策进行比较时,可以使用来自Tenable,帕洛阿尔托网络或Wiz等公司的漏洞扫描程序来识别这些数据泄漏风险。发现数据泄漏后,可以通过泰拉形态和安斯ible等自动化工具开发和实施缓解措施。
总结
根据公司独特的业务需求,数据保护应用案例可能不尽相同。但是,所有数据保护策略的目标是根据需要满足各个业务部门和利益相关者的数据保护需求,并随着全面数据保护策略之旅的继续,将这些用例用作构建块和组件。
本文出处:https://dzone.com/articles/the-journey-to-a-cloud-data-protection-strategy 本文作者:Jake Howering
