數(shù)據(jù)存儲(chǔ)安全性的最大挑戰(zhàn)之一是阻止網(wǎng)絡(luò)入侵者訪問(wèn)關(guān)鍵的存儲(chǔ)資源。為確保數(shù)據(jù)安全，組織必須跟蹤其數(shù)據(jù)的位置以及可以訪問(wèn)的人員。此外，也需要定期更新安全策略。

滿(mǎn)足數(shù)據(jù)存儲(chǔ)安全的最佳實(shí)踐將有助于減輕網(wǎng)絡(luò)攻擊的威脅，組織首先需要制定全面的縱深防御和分層保護(hù)策略。

管理和技術(shù)咨詢(xún)機(jī)構(gòu)Booz Allen Hamilton公司高級(jí)副總裁Tony Sharp說(shuō)，“組織必須識(shí)別進(jìn)入其存儲(chǔ)環(huán)境的所有邏輯路徑和連接，并確保對(duì)所有接口都具有適當(dāng)?shù)臋?quán)限，其中包括特權(quán)和零信任訪問(wèn)模型。”他補(bǔ)充說(shuō)，這些模型應(yīng)該得到檢測(cè)和響應(yīng)控制的支持，并建議組織監(jiān)控訪問(wèn)、數(shù)據(jù)和流量模式的異常情況，以及對(duì)已經(jīng)制定的安全策略的遵守情況。

咨詢(xún)機(jī)構(gòu)Cybri公司首席執(zhí)行官兼聯(lián)合創(chuàng)始人Konstantine Zuckerman說(shuō)：“加密應(yīng)該在靜止和傳輸過(guò)程中進(jìn)行，因此即使網(wǎng)絡(luò)攻擊者可以訪問(wèn)數(shù)據(jù)，也會(huì)限制其讀取數(shù)據(jù)的能力。加密措施應(yīng)該足夠強(qiáng)大，以便在數(shù)據(jù)可以被破解時(shí)不再可用。”

[[335663]]

不要忽略云中的數(shù)據(jù)

全球獨(dú)立的IT審核和認(rèn)證機(jī)構(gòu)Schellman&Company公司的高級(jí)經(jīng)理Jacob Ansari表示，企業(yè)基于云計(jì)算的存儲(chǔ)節(jié)點(diǎn)犯的最大錯(cuò)誤之一就是不知道它們存在。他說(shuō)，建立一個(gè)存儲(chǔ)節(jié)點(diǎn)很容易，讓任何擁有相關(guān)URL訪問(wèn)權(quán)限的人都能訪問(wèn)。

Ansari說(shuō)：“組織的信息安全團(tuán)隊(duì)?wèi)?yīng)該了解其使用的已知云計(jì)算服務(wù)提供商帳戶(hù)下存在哪些存儲(chǔ)節(jié)點(diǎn)，并應(yīng)嘗試了解其他個(gè)人或業(yè)務(wù)部門(mén)在何處創(chuàng)建了自己的帳戶(hù)。識(shí)別存儲(chǔ)點(diǎn)并使用訪問(wèn)控制措施對(duì)其進(jìn)行保護(hù)，可以顯著減少數(shù)據(jù)泄露或丟失的可能性。”

針對(duì)網(wǎng)絡(luò)攻擊的一種經(jīng)過(guò)驗(yàn)證的數(shù)據(jù)存儲(chǔ)安全最佳實(shí)踐是確保將存儲(chǔ)資源與網(wǎng)絡(luò)基礎(chǔ)設(shè)施隔離開(kāi)來(lái)。

Zuckerman說(shuō)：“這是通過(guò)強(qiáng)大的ACL(訪問(wèn)控制列表)白名單來(lái)實(shí)現(xiàn)的，只允許進(jìn)行適當(dāng)?shù)脑L問(wèn)，并確保擁有訪問(wèn)權(quán)限的用戶(hù)只能以受保護(hù)的方式進(jìn)行訪問(wèn)，而無(wú)需外部許可。這是有效的，因?yàn)槿藗兺ǔ？吹降氖蔷W(wǎng)絡(luò)攻擊者通過(guò)超額許可的用戶(hù)帳戶(hù)或應(yīng)該由防火墻上的ACL阻止的網(wǎng)絡(luò)服務(wù)來(lái)獲得訪問(wèn)權(quán)限。”

組織在將數(shù)據(jù)放入云平臺(tái)中時(shí)犯下的另一個(gè)常見(jiàn)錯(cuò)誤是假設(shè)數(shù)據(jù)存儲(chǔ)安全性已經(jīng)得到解決。云存儲(chǔ)用戶(hù)通常會(huì)誤以為云平臺(tái)本身就具有固有的安全性。實(shí)際上，大多數(shù)云計(jì)算存儲(chǔ)運(yùn)營(yíng)商都采用分擔(dān)責(zé)任的概念，在這種概念下，云計(jì)算提供商負(fù)責(zé)云平臺(tái)的安全，而客戶(hù)需要自己負(fù)責(zé)云中內(nèi)容的安全。

避免隨意的數(shù)據(jù)管理

組織通常會(huì)因無(wú)法正確控制信息流而使其存儲(chǔ)資源容易受到攻擊。

Zuckerman說(shuō)：“這可以允許數(shù)據(jù)進(jìn)入任何系統(tǒng)，不一定是需要這些數(shù)據(jù)的系統(tǒng)，或在停用或重新使用資源時(shí)沒(méi)有正確刪除數(shù)據(jù)。組織可能會(huì)讓客戶(hù)處于危險(xiǎn)之中，因?yàn)樗麄儠?huì)保留舊服務(wù)器上的數(shù)據(jù)，比如社會(huì)保險(xiǎn)號(hào)碼或信用卡信息。”

隨意的數(shù)據(jù)管理是另一個(gè)重要的數(shù)據(jù)存儲(chǔ)安全錯(cuò)誤。IT和安全咨詢(xún)機(jī)構(gòu)Oram Corporate Advisors公司首席執(zhí)行官Ryan O'Ramsay Barrett說(shuō)：“組織應(yīng)該根據(jù)所需的安全級(jí)別對(duì)所有業(yè)務(wù)數(shù)據(jù)進(jìn)行分類(lèi)，還應(yīng)該始終知道所有數(shù)字和紙質(zhì)副本數(shù)據(jù)的存儲(chǔ)位置。”

組織可以通過(guò)實(shí)施3-2-1備份方法來(lái)跟蹤其數(shù)據(jù)副本的位置。這意味著在兩種不同類(lèi)型的存儲(chǔ)介質(zhì)上存儲(chǔ)三個(gè)副本(一個(gè)主副本和兩個(gè)備份)，其中一個(gè)副本存儲(chǔ)在異地。

另一個(gè)嚴(yán)重錯(cuò)誤是缺乏基本的安全協(xié)議。Barrett說(shuō)：“每個(gè)組織都應(yīng)采用最小特權(quán)原則，這意味著只有真正需要它來(lái)執(zhí)行其工作職能的員工才能訪問(wèn)存儲(chǔ)的數(shù)據(jù)。此外，這意味著要使用標(biāo)準(zhǔn)防火墻、防病毒和反惡意軟件程序，并隨時(shí)對(duì)其進(jìn)行更新。”

勒索軟件對(duì)大多數(shù)組織都是一個(gè)挑戰(zhàn)，但許多組織可以通過(guò)實(shí)施強(qiáng)大的安全技術(shù)、實(shí)踐和培訓(xùn)方法來(lái)保護(hù)其存儲(chǔ)的數(shù)據(jù)。正確的備份策略可以在很大程度上保護(hù)數(shù)據(jù)免受勒索軟件的攻擊。例如，如果磁帶備份離線存儲(chǔ)并且沒(méi)有連接到網(wǎng)絡(luò)，則網(wǎng)絡(luò)攻擊者無(wú)法訪問(wèn)這些數(shù)據(jù)。

Barrett說(shuō)：“組織可以通過(guò)定期備份來(lái)保護(hù)存儲(chǔ)的數(shù)據(jù)。如果發(fā)生最壞的情況，并且存儲(chǔ)資源被破壞，組織仍將擁有備份的數(shù)據(jù)，這可以防止網(wǎng)絡(luò)攻擊者的勒索。”