今天保護(hù)數(shù)據(jù)，同時(shí)構(gòu)建和實(shí)施未來的整體數(shù)據(jù)保護(hù)計(jì)劃。

全面數(shù)據(jù)保護(hù)策略的旅程應(yīng)包括通過安全最佳實(shí)踐和相關(guān)的特定數(shù)據(jù)保護(hù)用例來支持業(yè)務(wù)。從本質(zhì)上講，在為未來構(gòu)建和實(shí)施整體數(shù)據(jù)保護(hù)計(jì)劃的同時(shí)保護(hù)今天的數(shù)據(jù)。本文重點(diǎn)介紹了三個(gè)特定的數(shù)據(jù)保護(hù)用例，它們可以作為整體戰(zhàn)略的一部分實(shí)施?？偨Y(jié)這些用例：

• 內(nèi)部威脅：檢測并防止惡意內(nèi)部人員泄露數(shù)據(jù)
• 網(wǎng)絡(luò)釣魚攻擊：通過多因素身份驗(yàn)證減輕假冒
• 數(shù)據(jù)泄漏：檢測和緩解過度暴露的資源和資產(chǎn)

數(shù)據(jù)保護(hù)的一般方法

對于所有使用云以電子方式存儲(chǔ)數(shù)據(jù)的組織而言，數(shù)據(jù)保護(hù)都是一個(gè)關(guān)鍵問題。綜合數(shù)據(jù)保護(hù)策略的目標(biāo)是確保組織數(shù)據(jù)的安全性和機(jī)密性，同時(shí)最大限度地減少數(shù)據(jù)泄露的影響?？梢圆扇≡S多技術(shù)和組織措施來保護(hù)數(shù)據(jù)?？偟膩碚f，這些措施包括數(shù)據(jù)加密、數(shù)據(jù)備份和恢復(fù)、訪問控制和用戶教育。

• 數(shù)據(jù)加密是使用密鑰或密碼將可讀數(shù)據(jù)轉(zhuǎn)換為不可讀格式的過程。這可以防止未經(jīng)授權(quán)的數(shù)據(jù)訪問，并防止數(shù)據(jù)在傳輸過程中被截獲時(shí)被讀取。
• 數(shù)據(jù)備份和恢復(fù)是指在與主數(shù)據(jù)存儲(chǔ)不同的位置創(chuàng)建和維護(hù)數(shù)據(jù)副本。這確保了在主數(shù)據(jù)存儲(chǔ)發(fā)生故障時(shí)可以恢復(fù)數(shù)據(jù)。
• 訪問控制措施僅限授權(quán)用戶訪問數(shù)據(jù)。
• 保護(hù)數(shù)據(jù)資產(chǎn)的網(wǎng)絡(luò)安全措施，例如防火墻、入侵防御和檢測系統(tǒng)
• 用戶教育涉及為用戶提供有關(guān)數(shù)據(jù)安全最佳實(shí)踐的培訓(xùn)。

組織還應(yīng)制定應(yīng)對數(shù)據(jù)泄露的政策和程序。這些應(yīng)包括通知受影響的個(gè)人、調(diào)查違規(guī)行為以及采取糾正措施以防止未來違規(guī)行為的步驟。應(yīng)根據(jù)組織及其數(shù)據(jù)的特定需求量身定制全面的數(shù)據(jù)保護(hù)策略。定期審查和更新策略以響應(yīng)組織數(shù)據(jù)和安全環(huán)境的變化非常重要。

數(shù)據(jù)保護(hù)用例

除了整體數(shù)據(jù)保護(hù)戰(zhàn)略外，關(guān)注當(dāng)前公司和/或行業(yè)特定用例可以在數(shù)據(jù)保護(hù)過程中提供有意義的短期“勝利”和里程碑。企業(yè)和組織可以使用不同的安全策略來保護(hù)他們的數(shù)據(jù)，具體取決于風(fēng)險(xiǎn)類型和與業(yè)務(wù)的相關(guān)性。例如，為了降低內(nèi)部威脅的風(fēng)險(xiǎn)，企業(yè)可能會(huì)將敏感數(shù)據(jù)的訪問權(quán)限限制在少數(shù)授權(quán)用戶范圍內(nèi)。為了防止網(wǎng)絡(luò)釣魚攻擊，企業(yè)可能會(huì)對其基于云的應(yīng)用程序使用雙重身份驗(yàn)證。為了防止數(shù)據(jù)泄露，企業(yè)可能會(huì)根據(jù)行業(yè)標(biāo)準(zhǔn)和公司政策評(píng)估其當(dāng)前部署。

讓我們仔細(xì)看看它們中的每一個(gè)。

內(nèi)部威脅

內(nèi)部威脅是對組織的惡意威脅，來自內(nèi)部，來自有權(quán)訪問組織系統(tǒng)和數(shù)據(jù)的人員。內(nèi)部威脅可能來自多種來源，包括心懷不滿的員工、希望訪問敏感數(shù)據(jù)的惡意內(nèi)部人員，甚至是不小心暴露數(shù)據(jù)的粗心內(nèi)部人員。

為了發(fā)現(xiàn)和減輕內(nèi)部威脅，組織需要監(jiān)控其系統(tǒng)和數(shù)據(jù)的活動(dòng)。這包括監(jiān)視用戶活動(dòng)、跟蹤數(shù)據(jù)和配置文件的更改以及監(jiān)視網(wǎng)絡(luò)流量。組織還可以使用數(shù)據(jù)丟失防護(hù) (DLP) 工具通過阻止敏感數(shù)據(jù)傳輸?shù)浇M織外部來檢測和防止數(shù)據(jù)泄露。為了通過 DLP 發(fā)現(xiàn)內(nèi)部威脅，組織可以使用多種方法，例如監(jiān)控員工電子郵件和 Web 活動(dòng)、跟蹤文件傳輸以及分析數(shù)據(jù)使用模式。

DLP 程序還可以包括允許識(shí)別異常行為的功能，這可能表明惡意意圖。例如，Exabeam 是一家 DLP 供應(yīng)商，它對收集的日志使用機(jī)器學(xué)習(xí)來開發(fā)用戶行為基線模式，包括活動(dòng)類型、位置和其他規(guī)則。當(dāng)活動(dòng)偏離基線時(shí)，會(huì)為該特定用戶分配風(fēng)險(xiǎn)評(píng)分以進(jìn)行進(jìn)一步調(diào)查，同時(shí)創(chuàng)建整體用戶監(jiān)視列表以了解公司范圍內(nèi)的模式。使用 Exabeam 和監(jiān)視列表的另一種方法是將表現(xiàn)出不斷變化的行為（例如突然辭職）的用戶添加到監(jiān)視列表中以進(jìn)行主動(dòng)監(jiān)控。

網(wǎng)絡(luò)釣魚攻擊

由于內(nèi)部威脅來自公司內(nèi)部，網(wǎng)絡(luò)釣魚攻擊通常來自公司外部，其中惡意行為者偽裝成受信任的實(shí)體并試圖誘騙用戶點(diǎn)擊惡意鏈接或下載以竊取敏感信息或用惡意軟件感染他們的系統(tǒng)。網(wǎng)絡(luò)釣魚攻擊可以通過電子郵件、社交媒體或短信進(jìn)行，并且通常涉及假冒網(wǎng)站或旨在看似來自合法來源的附件。網(wǎng)絡(luò)釣魚攻擊可用于以幾種不同的方式利用易受攻擊的虛擬機(jī)：

1. 通過誘使用戶點(diǎn)擊惡意鏈接或附件，攻擊者可以在虛擬機(jī)上下載并執(zhí)行可用于植入惡意軟件或竊取敏感數(shù)據(jù)的代碼。
2. 攻擊者還可以使用虛擬機(jī)創(chuàng)建一個(gè)看起來與合法網(wǎng)站相同的釣魚網(wǎng)站。當(dāng)用戶訪問該網(wǎng)站并輸入他們的登錄憑據(jù)時(shí)，攻擊者就可以竊取此信息。
3. 如果虛擬機(jī)沒有得到適當(dāng)?shù)谋Ｗo(hù)，攻擊者還可以訪問可用于啟用 C2 服務(wù)器的底層基礎(chǔ)設(shè)施和工廠代碼。這將允許攻擊者遠(yuǎn)程控制虛擬機(jī)并進(jìn)行進(jìn)一步的攻擊。

網(wǎng)絡(luò)釣魚攻擊變得越來越復(fù)雜且難以檢測，這使得它們對企業(yè)和個(gè)人都構(gòu)成嚴(yán)重威脅。由于它們越來越難以檢測，多因素身份驗(yàn)證(MFA) 可以有效防御網(wǎng)絡(luò)釣魚攻擊，因?yàn)樗笥脩籼峁┎恢挂环N形式的身份驗(yàn)證才能訪問系統(tǒng)或服務(wù)。這使得攻擊者成功冒充合法用戶變得更加困難，因?yàn)樗麄冃枰@取并正確使用多條信息，并且通過需要多種形式的身份驗(yàn)證，MFA 使攻擊者更難訪問系統(tǒng)和數(shù)據(jù)。這可以顯著降低網(wǎng)絡(luò)釣魚攻擊以及其他類型的網(wǎng)絡(luò)攻擊的影響。Okta等身份提供商對于訪問公司資源的用戶，可能需要 MFA。雖然 MFA 不是一個(gè)完美的解決方案，但它是防止網(wǎng)絡(luò)釣魚和其他類型的網(wǎng)絡(luò)攻擊的重要一步。企業(yè)和個(gè)人應(yīng)考慮實(shí)施 MFA 以幫助防御這些威脅。

數(shù)據(jù)泄露

云數(shù)據(jù)泄露被定義為未經(jīng)授權(quán)訪問或泄露存儲(chǔ)在云中的機(jī)密信息。由于內(nèi)部威脅和網(wǎng)絡(luò)釣魚攻擊，可能會(huì)發(fā)生數(shù)據(jù)泄露。此外，數(shù)據(jù)泄露可能會(huì)導(dǎo)致數(shù)據(jù)泄露，攻擊者會(huì)在其中發(fā)現(xiàn)過度暴露和可利用的敏感數(shù)據(jù)。

數(shù)據(jù)泄露要么是未知的數(shù)據(jù)泄露，要么是尚未緩解的已知泄露，或者治理、風(fēng)險(xiǎn)和合規(guī)(GRC) 團(tuán)隊(duì)和業(yè)務(wù)所有者“接受”了泄露的風(fēng)險(xiǎn)。數(shù)據(jù)泄漏的發(fā)生是由于多種因素，包括：

1. 錯(cuò)誤配置的設(shè)置：不受信任的實(shí)體可以訪問數(shù)據(jù)
2. 軟件漏洞：未打補(bǔ)丁的系統(tǒng)可能允許不良行為者訪問敏感數(shù)據(jù)
3. 弱密碼：由于容易猜到的密碼或缺乏 MFA，數(shù)據(jù)可能會(huì)泄漏

為了識(shí)別數(shù)據(jù)泄漏，在與行業(yè)標(biāo)準(zhǔn)或公司政策進(jìn)行比較時(shí)，可以使用Tenable、Palo Alto Networks或Wiz等公司的漏洞掃描程序來識(shí)別這些數(shù)據(jù)泄漏風(fēng)險(xiǎn)。發(fā)現(xiàn)數(shù)據(jù)泄漏后，可以通過Terraform和Ansible等自動(dòng)化工具開發(fā)和實(shí)施緩解步驟。

概括

根據(jù)公司獨(dú)特的業(yè)務(wù)需求，其他數(shù)據(jù)保護(hù)用例可能更需要解決。無論如何，框架保持不變，該戰(zhàn)略的目標(biāo)是根據(jù)需要滿足各個(gè)業(yè)務(wù)部門和利益相關(guān)者的數(shù)據(jù)保護(hù)需求，并將這些用例用作構(gòu)建塊和組件，以實(shí)現(xiàn)全面數(shù)據(jù)保護(hù)戰(zhàn)略繼續(xù)向前。