加入“ICT销售和大客户联盟”(微信ID:ICT-League),与ICT同行!
---Robert Xu
对企业而言,构建网络安全大局,应当将信息网络产品、服务提供商以及相关第三方都纳入网络安全防御范畴,对网络进行日常流量监测,采集威胁数据并进行大数据分析,得到各种威胁的样本信息,并深入分析各种数据安全威胁和网络威胁,了解其工作原理、特征以及预防措施和方法,构建数据安全威胁知识库;统计分析恶意流量的发展趋势,建模、预测网络流量,形成网络流量模型和流量趋势数据,从而为应对数据安全事件提供第一手的技术支持。
对于许多企业和企业的CISO而言,2019是最糟糕的一年。但是恐怕就数据安全而言,2019年可能是未来几年中最好的一年了。2020肯定比2019要更多事。
我们梳理一下Ponemon Institute颁布的《2019年数据泄露成本报告》,报告的关键词如下:
数据泄露的平均成本:392万美元
数据泄露成本最贵的国家 - 美国:819万美元
数据泄露成本最贵的行业 - 卫生保健:645万美元
数据泄露的平均数量:25,575条记录
平均的数据泄露成本和泄露数量都创了有记录以来的纪录。
对于负责数据安全的CISO和安全团队来说,责任重大但又似乎不知所措,甚至有些无能为力。毕竟,当今互联网、物联网等等的广泛应用,带来的是广阔的威胁面,各自独立的网络防护、数据安全防护、邮件防护等等,在加上各个系统多年的策略的不断增长、交叉、重复等,安全报警的数量几乎以指数级别的上升,令人不知所措,从而导致疲惫和倦怠的程度也相应有所提高。更为令人头疼的是,并非所有威胁都是同样具有先见之明的,某些突如其来的威胁比其他威胁更可能发生和也更为不祥。
难以避免的危机企业数据安全的风险主要有:
1、内部威胁
Verizon的《2019年内部威胁报告》估计,内部威胁导致所有数据泄露的三分之一以上。
我们信任自己的同事,无论是已经离职的还是现在在岗的,但是,信任不代表就不会出问题。有意或者无意的内部员工的数据泄漏是目前最大的数据安全隐患。
比如,大部分人都经历过不小心将电子邮件发送给错误的人,如果恰好这是一封机密邮件呢,或者里面包含机密的信息呢?数据泄漏就发生了!事实上,很多数据泄漏就是仅仅因为员工在处理敏感信息和数据时的无意操作造成的。
总有些人为了个人利益,去选择做一些有违职业道德甚至是违反法律的事情,其中有一些人,或不在意、或粗心大意、或操作错误等等,将企业重要的内部数据发送给竞争对手或者其他无权阅览相关信息的人。前者是为了个人获利,后者是工作的不负责不认真。
调查表明,这类的数据泄露行为的发生趋势在逐年攀升,已经高于黑客在后台活动的数量。
所以,最重要的数据安全威胁之一可能存在于员工,也包括高管。员工和高管对数据完整性已经构成了重大威胁。
2、网络钓鱼诈骗
通过电子邮件或者通过网站进行钓鱼攻击,是企业泄漏数据另一条的重要途径。说来似乎很简单,钓鱼攻击就是通过说服、诱骗员工点击预设的恶意网站,从而对企业网络进行入侵。
尽管很多企业做出了很大的努力,投入了很大的财力和人力,但是,网络钓鱼诈骗仍不可避免地进入企业员工的邮箱。尽管不是每次都使公司数据面临风险,但是很不幸,从已经从数据泄露案件中获得的大量统计数据来看,邮件中的链接,已经越来越难以检测和确认是否为钓鱼攻击链接了。
尽管工具本身可以帮助降低这种威胁,但是如何规范、灵活、个性化的使用却不是随便什么工具都能提供和实现的。有时,可能还是经常,低价中标和关系型的锁定供应商交付的产品,只是一个机器简单的标准化的工具。你有没有掉进坑里?好吧,你绝对不是孤单的。
除了标准化的工具本身外,快速的满足越来越多的个性化配置,快速提供欺骗性策略(例如HTTPS加密)和反欺骗性策略应该成为规范。日常的培训也是十分重要的,以使企业员工始终了解收件箱中存在的威胁。
3、公开的数据库
公有云的出现,企业可以租用供应商提供的计算资源开发他们自己的应用程序,极大程度的降低了企业成本、提高了资源利用率。云计算已经成为了企业新的趋势之一。
随着越来越多的企业将其运营迁移移到云上,云上存在的数据安全问题也越来越多,企业在云上的数据更容易受到复杂繁多的威胁,同时企业和企业的用户的个人隐私也极易泄漏。
2019年,网络安全公司UpGuard的网络风险小组发布报告指出:世界一流的商业财经信息提供商、新闻媒体出版集团道琼斯公司至少有220万客户信息外泄。
此次暴露的数据存储库为一个Amazon Web Services S3存储桶,管理人员通过权限设置将其配置为允许任何AWS“认证用户”通过该存储库的URL进行数据下载。此次云数据泄露事件说明不安全的数据管理机制会带来持续威胁,而错误的安全设置则直接导致数百万道琼斯客户的敏感信息被他人窥探。
同年,安全研究人员在一台不受保护的服务器上发现了Facebook的数据,其中包括22000个纯文本密码。这些数据来自Facebook的两个第三方应用程序。
UpGuard的安全研究人员表示,Facebook的一个公共数据库在网上曝光了一个包含5.4亿多条记录的珍贵数据库。这些数据包含了广泛的细节,包括人们的评论、点赞、姓名和Facebook id。它被两个第三方Facebook应用程序收集。
(图片来自互联网)
这些令人惊讶的事件,突显了暴露数据库对数据安全的威胁。统计分析数据库公开导致泄露的原因可能为:
数据通信安全:数据库存储未安置防护设施,信息传输过程中未进行加密处置,窃听、非法终端接入、利用非应用方式侵入等是主要手段。
数据库管理系统脆弱性:数据库管理系统(DBMS)必然存在很多弱点。因为,一方面是由于数据及数据库管理系统(DBMS)的分级管理体系,另一方面,为方便访问数据,DBMS留有很多的接口,他们与操作系统的配套就必然会留下不少不足之处,这种不足是先天的,无法完全克服。
病毒与非法入侵:由于病毒或者非法入侵而导致数据泄漏,病毒入侵感染后,破坏数据、勒索加密数据等导致数据不可用,甚至盗取脱库,非法入侵指恶意攻击者运用不道德的手段侵入数据库或者数据存储空间,盗取数据。
访问控制和权限管理不善:任何数据的数据资产分布、数据资产分级、权限分层、安全分级、数据生命周期管理、安全的访问控制,以及因为人的脆弱性存在而导致的数据库公开和数据泄露。
从私有云向公有云的过渡为数据公开提供了机会。技术监督缺乏、不合规等等可能会对数据库和数据安全造成严重后果。
4、疲劳的安全团队
安全团队越来越疲于应付告警?是的,这是现实情况。来自多种工具的告警流淹没了SOC运营中心,安全团队疲于应付,更可恼的是有时候是错误配置带来的。为了避免被告警流淹没,分析师被迫分辨并排序哪些告警值得注意。
因为疲于应对,安全工程师是秃了头但却没成长,怎一个苦不堪言可以描述。更为可怕的是,重大问题似乎总是会在错过关键告警时出现,并导致安全事件。
告警疲劳已经成为了对安全团队的“暴击”,常常是一击致命啊。
如今,在企业网络上的数据量、数据资产等等与十年前完全不可同日而语。十年前是完全不能够想象到今天的量级的。几乎没有公司和企业不疲于应付,来自告警的暴击令企业陷于风险,也令安全团队的每一个人都面临风险。
毕竟,除了安全事故,尤其是涉及重大泄密、重大事故的时候,是要有人来承担责任的。
结果,精疲力尽的网络安全专业人员以创纪录的速度离职。首席信息安全官的平均任期为18到24个月,平均比其他高级主管职位少四年。
恶性循环的结果是,职位的高周转使数据更加面临风险,安全人员缺乏连续性和职位的空缺给了黑客良好的攻击环境。
关于这个问题更多的探讨,可以参见另文:“安全告警数量翻倍,八成团队遭遇告警疲劳,如何应对?”
5、安全的优先顺序颠倒
数据泄漏、隐私泄漏等大量事件和重大事故的发生,正在逐步的迫使企业高管开始关注安全问题了。
这是一个极好的消息。要知道在过去可不是这样,直到2019年底的统计数据仍然表明,企业高管认识到数据泄漏是数字时代企业面临的较大威胁之一,但是高级管理人员却一直没有清醒的意识到这些风险。
认识不到风险就是最大的风险。
在澳大利亚CEO的一次调查中,结果也让人吃惊:只有6%的CEO承认他们经历了数据泄露,44%的CEO认为他们的公司能够迅速恢复。63%的CISO注意到发生了数据丢失事件,但是只有26%的CISO表示他们的公司已经准备好应对威胁。
一旦发生数据泄密,事实是怎样的呢,真的像CEO们认为的那样能够迅速恢复吗?《2019年数据泄露成本报告》首次审查了数据泄露对财务的长期影响,发现数据泄露的对财务的影响会持续数年之久:
· 在数据泄露的第一年,67%的数据泄露成本会显现;
· 第二年显现22%;
· 两年后显现11%。
另一项研究表明,约4%的组织表示,他们根本不准备面对网络攻击。这个数据其实蛮可怕的,他意味着全球25个组织中的一个不准备面对威胁做任何准备。
过去,企业高管们常常会因为技术的进步、经营的需要、利润的要求、预算不足、HC不足等等原因而牺牲数据安全,数据安全总是被排在诸事之后。
GDPR正式实施后,像NotPetya、Facebook、WannaCry等一系列重大事件的发生后,高管们开始意识到安全事件所致经济损失可能是企业难以承受的,企业高管不得不多加关注了。
企业再也不能以牺牲数据安全为代价去寻求商业发展!
CEO们需要确保足够资金预算投资于安全项目,例如数据资产治理,数据资产分布、分类、分级等,数据资产安全、加密、防泄漏、权限管理、行为管理、合规等,网络防病毒、防火墙、加密、入侵检测、集中安全管理等。
CEO和观光们应该很清楚很清醒认识到:至关重要的计算机设施、敏感数据、核心数据等出现安全问题,并造成严重损害的故障只是个时间问题。
必须时刻保持担忧有人(内部或外部)对企业的网络和数据构成危害的心态。
6、忽视安全培训
调查显示,只有四分之一的组织认为其网络安全和数据安全培训计划可以被归类为“高级”,而只有三分之一以上的组织认为其网络安全和数据安全培训计划是“半正式的”,不到三分之一的组织认为其员工网络安全和数据安全计划的状态是“非正式的”
但是,无论是从信誉和业务损失上衡量,还是从监管与执法机构的直接罚款上看,安全事件的责任成本都在不断增高。
而安全,尤其是数据安全,不是仅仅依靠安全团队就可以高枕无忧的,他需要全体员工的参与和重视,并且能遵从规则和法律。
法律和监管规定趋严逐步在改变安全与数据防护成本的计算方法,这让成功和有眼光的企业CEO们开始调整其网络安全和数据安全的培训计划,良好的培训计划同时还能改善安全团队日渐捉襟见肘的人员不足问题。
既然安全问题不可避免,但企业经营仍需从商业风险的角度去看,那么作为企业高管们就需要从商业角度向安全团队提出各种问题,安全团队需以商业语言与高管沟通,需准备好以CEO和高管们能理解的交流方式来回答这些问题。
CEO们更多是的会从从商业风险而不是安全威胁的角度来讨论安全需求与响应,拥抱业务的多样性、商业模式的升级、数字化转型,需要安全团队具有可以提升响应各种需求的能力。自动化是必不可少的选择。
对于数据安全和网络安全,没有迹象可以表明2020年会更好。黄沙百战穿金甲,不破楼兰终不还!
对于从事识别并应对最可能的数据安全威胁的公司而言,华云数创具有与众不同的因素和能力,一直致力于帮助企业建立完善的数据资产治理和安全保护系统,基于数据资产的整个生命周期,依托数字指纹、DNA等先进的技术,全力保护企业的数字资产、图纸、软件、设计资料、业务数据、客户信息等重要的企业内部资料,为企业打造全方位、立体化的信息安全体系。
销盟公众号:ICT_League
分享是一种美德,转载请注明来源和出处!
【数据资产治理与安全保护解决方案】,是华云数创(北京)科技有限公司针对内部数据泄漏、防范、加密和安全治理等提供了优秀的解决方案和产品,致力于保护数据安全,有效应对数据安全合规带来的风险与挑战。以数据智能分类为基础,对相关涉密数据进行全面的防护,保证数据全生命周期安全,重点解决企事业单位在深化信息化管理应用后面临的数据安全以及部门间、企业间数据共享的安全需求,保证用户数据无论何时何地均受到严密的安全防护及严谨的监控管理,杜绝数据被有意窃取或无意泄密的问题。
联系客服
