數(shù)據(jù)泄漏事件總是成為行業(yè)媒體的頭條新聞,但現(xiàn)實是企業(yè)更有可能成為內(nèi)部人員行為的受害者��。事實證明����,多達60%的攻擊都是由企業(yè)內(nèi)部人員實施的,無論是有意還是無意的���。
數(shù)據(jù)泄漏成本高昂
如果一家企業(yè)成為受害者��,那么可能會付出很高的代價���,例如公司的聲譽可能會受損���,客戶可能不再愿意提供敏感信息。即使彌補和修復也可能需要付出沉重的代價�。
根據(jù)調(diào)研機構波洛蒙研究所進行的一項研究,每一份包含機密或?qū)S行畔⒈槐I記錄的平均成本是148美元��。這其中包括發(fā)現(xiàn)違規(guī)行為和修復損壞的硬性成本����,例如必須向每個記錄持有者發(fā)送通知。
根據(jù)Sarbanes-Oxley法案�、PCI-DSS,HIPAA或GDPR等合規(guī)性規(guī)定���,企業(yè)未能充分保護數(shù)據(jù)可能還將遭到經(jīng)濟處罰�����。
攻擊者如何進入?
通常是壞人做壞事����。但情況并非總是如此��。
據(jù)調(diào)查��,醫(yī)療保健行業(yè)58%的數(shù)據(jù)泄漏事件都涉及內(nèi)部參與者,其中包括竊取筆記本電腦以獲取訪問憑證��、惡意軟件安裝和竊取機密數(shù)據(jù)�����。這些都是明顯的惡意行為�����。
在其他時候���,寬松的安全協(xié)議會導致問題。美國國家安全局(NSA)有史以來最嚴重的數(shù)據(jù)泄露行為是內(nèi)部員工造成的�����,當時一名承包商在沒有遵守安全程序的情況下將機密文件帶回家�����。
企業(yè)工作中最危險的部分之一可能無法檢測到內(nèi)部違規(guī)行為�����。因為員工有權訪問大量信息,并且沒有任何警告��。問題在于他們?nèi)绾翁幚頂?shù)據(jù)�,如果他們懷有惡意,則可能會越過檢測或掩蓋事實�。
然而,那些沒有認真對待安全的員工是企業(yè)面臨的最大風險����。
無意中泄露數(shù)據(jù)
事實上,大多數(shù)泄露數(shù)據(jù)行為都是無辜的��。通過單擊欺騙性電子郵件或其他網(wǎng)絡釣魚攻擊�����,企業(yè)的團隊成員可能允許安裝惡意軟件��。例如��,需要更新防病毒軟件消息就可能會導致放棄登錄憑據(jù)����。
美國癌癥治療中心在過去一年中遭受過兩次重大的網(wǎng)絡攻擊。當員工點擊網(wǎng)絡釣魚郵件并放棄登錄憑據(jù)時���,導致42,000名患者的數(shù)據(jù)泄露�。
在另一個案例中,eBay網(wǎng)站的1.45億用戶的個人信息和密碼泄露�����。調(diào)查人員最終發(fā)現(xiàn)三名員工實施泄露數(shù)據(jù)的行為����,從數(shù)據(jù)泄露到發(fā)現(xiàn)已過去200多天。這種事例并不罕見��。80%的泄露數(shù)據(jù)行為在數(shù)周內(nèi)未被發(fā)現(xiàn)�。識別和確定泄露數(shù)據(jù)行為的平均時間為197天。這意味著黑客平均有半年以上的時間訪問侵入的服務器�����。
企業(yè)的網(wǎng)絡安全中也有兩個不斷增長的趨勢:BYOD(自攜設備)和影子IT(Shadow IT)����。
自攜設備
企業(yè)員工比以往任何時候都更多地將業(yè)務和個人設備混合在一起使用��。員工在手機上訪問公司信息��,并會繞過公司采取的安全措施?���;蛘卟捎眉矣秒娔X處理和存儲機密信息,或者員工在家中登錄公司IT系統(tǒng)或訪問數(shù)據(jù)��,這些都帶來更多的威脅����。
使問題更加復雜的是,下載到個人設備的應用程序本質(zhì)上可能是惡意的��。安全合規(guī)機構Cimcor公司指出��,“在某些情況下�����,惡意應用程序有可能控制用戶的移動設備�。這可能導致監(jiān)視、數(shù)據(jù)泄露或大幅增加通話費用�,個人信息或工作信息的丟失。企業(yè)的用戶需要有關應用最佳實踐的培訓����。這種基于知識的培訓應該包括只從應用商店下載內(nèi)容的重要性���。在許多情況下,惡意鏡像或個人應用程序是通過網(wǎng)頁下載的����。”
人們可能聽說過,員工可能是企業(yè)安全最薄弱的環(huán)節(jié)�。無論企業(yè)在工作場所設置了哪些安全系統(tǒng)和程序,其數(shù)據(jù)和IT系統(tǒng)都可能會被員工或計算機上的某些內(nèi)容所破壞���。
影子IT
有些員工還繞過安全協(xié)議����,并使用他們認為需要的軟件或應用程序來完成工作���。
雖然具有良好的意圖�,但這種所謂的“影子IT”可以侵入企業(yè)的網(wǎng)絡和系統(tǒng)而避開安全專業(yè)人員的適當審查��。這些應用在安裝之前缺乏質(zhì)量保證測試�,可能會導致企業(yè)的IT團隊無法了解其風險��。
這比人們想象的還要普遍����。Everest Group的研究發(fā)現(xiàn)����,超過50%的IT支出沒有經(jīng)過批準的IT流程����。,但是當包含基于云計算的銷售軟件�����、部門特定應用程序或個人設備等內(nèi)容時��,這個比例可能很高�。
這意味著企業(yè)無論采取何種策略,其IT生態(tài)系統(tǒng)的主要部分都可能無法得到保護�。
那么,如何在保持員工工作組生產(chǎn)力的同時�����,企業(yè)如何處理影子IT?首先�,教育員工了解IT出錯的影響,并最終導致IT團隊與組織內(nèi)部工作人員之間的公開對話。
例如��,如果銷售人員正在考慮使用新的自動化工具�,他們應該與IT部門就如何將工具實施到其安全結構中進行開放式溝通,以確保企業(yè)或客戶數(shù)據(jù)不會受到威脅����。解決方案可能是在內(nèi)部構建工具或在系統(tǒng)之間開發(fā)集成以實現(xiàn)相同的目標,而無需使用可能產(chǎn)生安全漏洞的第三方工具����。
正如Soliant咨詢公司高級解決方案架構師Aubrey Spath所說,“在某些情況下��,IT團隊意識到特定工作組的挑戰(zhàn)�,并且正在積極嘗試找到解決這些問題的應用程序。而不是鼓勵和支持他們將由業(yè)余開發(fā)人員開發(fā)和銷售的劣質(zhì)工具拼湊在一起�����,企業(yè)需要考慮為他們的需求構建定制解決方案���。“
安全治理的實際步驟
企業(yè)首席執(zhí)行官或高級經(jīng)理需要確保其IT領導者遵循網(wǎng)絡安全和安全協(xié)議:
1.安全治理
(1)信息安全(IS)治理�����,用于制定政策��,優(yōu)先事項和緩解措施����。
(2)對數(shù)據(jù)進行劃分��,以便只有作為其工作職責一部分需要訪問權限的員工才能實際訪問�。
2.符合行業(yè)特定的合規(guī)性規(guī)定
(3)測試。
(4)分配監(jiān)督職責����。
(5)正在進行的風險/威脅評估。
3.管理團隊成員
(6)團隊成員對硬件和軟件的具體政策�����。
(7)威脅意識和檢測培訓��。
(8)定期合規(guī)審計�。
隨著網(wǎng)絡罪犯技術的發(fā)展,威脅變得越來越復雜�����。企業(yè)需要確保其IT主管不斷學習和發(fā)展他們的技能,這一點至關重要�。
IT/IS政策的戰(zhàn)略方法
企業(yè)采用IT/IS政策的戰(zhàn)略方法可以緩解風險,并有助于保護企業(yè)的業(yè)務����。
關鍵詞:
數(shù)據(jù)泄漏
網(wǎng)絡安全威脅
據(jù)泄漏事件原因何在 當今最大的網(wǎng)絡安全威脅就在企業(yè)內(nèi)部&url=http://bzd888.cn/news/kj/2020/0922/33673.html&pic=picture/1121922106_15101037383211n.jpg)
據(jù)泄漏事件原因何在 當今最大的網(wǎng)絡安全威脅就在企業(yè)內(nèi)部&pics=picture/1121922106_15101037383211n.jpg)
