首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 看雪社区
  2. 企业安全
    3. 发新帖
[分享]平均每天发生近3起数据泄露事件 简单5步降低数据泄露风险
2021-11-24 10:19 4452

[分享]平均每天发生近3起数据泄露事件 简单5步降低数据泄露风险

中科天齐 活跃值
2021-11-24 10:19
4452

当今社会及企业发展已离不开数据的收集和运行。在每次互动时从客户那里收集信息,并使用它来提高效率、提高敏捷性并提供更高水平的服务。

 

但越来越明显的是,企业收集的所有数据也使它们成为网络犯罪分子的诱人目标。大量数据的存在使其危险性逐渐增加。在过去几个月中,我们目睹了针对Neiman Marcus、Facebook和Robinhood股票交易应用程序的大规模数据泄露。近年来,全球平均每天发生近3起数据泄露事件。

 

产生、存储、使用“数据”的主体,均为软件,保障数据安全的第一步是保障软件自身的安全。统计数据表明,一般企业只用很少的时间对其数据进行防御。为了提供帮助,这里有一个简单的5步框架,企业可以参考使用来保护他们的客户数据安全。

第一步:审查和调整数据收集标准

企业提高客户数据安全性的第一步是检查他们收集的数据类型和原因。大多数进行这项工作的公司最终都会对他们的发现感到惊讶。这是因为,随着时间的推移,收集到的客户信息的数量和种类远远超出了企业的最初意图。

 

例如,通常情况下会收集客户姓名和电子邮件地址等信息。但如果这就是企业存档的全部内容,那么对攻击者来说没有什么吸引力。关键在于,如果企业拥有云呼叫中心或任何类型的高接触销售周期或客户支持,它可能会收集家庭住址、财务数据和人口统计信息,然后收集这些数据,如果这些数据被泄露出去,就可以完美地实现身份盗窃。

 

因此,在评估每个收集到的数据点以确定其价值时,企业应该反思,这些数据促进了哪些关键的业务功能。如果答案是没有,那么建议清除数据并停止收集。如果数据有利于企业业务,但对于一个不关键的功能,业务部门应该权衡数据所带来的好处和如果数据被泄露可能造成的伤害。

第二步:最小化数据访问

在减少要保护的数据量之后,下一步是通过最小化访问数据的人来减少数据的攻击面。访问控制在数据保护中扮演着非常重要的角色,因为窃取用户凭证是恶意参与者进入受保护系统的主要方式。因此,企业需要将最小权限原则(PoLP)应用于其数据存储库以及与之连接的系统。

 

而最小化对数据的访问还有另一个作用:它有助于防止内部威胁导致数据泄露。研究公司Forrester预测,今年内部威胁将导致31%的入侵事件——这一数字只会继续增长。因此,通过在一开始就不让大多数员工接触敏感的客户数据,企业可以同时应对内部和外部威胁。

第三步:尽可能消除密码

即使在减少了可以访问客户数据的人数之后,企业仍然可以通过另一种方式让黑客更难获得这些数据。通过尽可能避免将密码作为主要身份验证的方法,可以很大程度上提高安全性。

 

根据2021年Verizon数据泄露调查报告,去年所有数据泄露中有61%涉及使用凭据、被盗或其他方式。因此,从逻辑上讲,需要担心的凭据越少越好。还有一些方法可以减少对传统密码身份验证系统的依赖。

 

使用双因素身份验证就是其一。这意味着账户需要密码和限时安全令牌,通常通过应用程序或短信发送。但是一个更好的方法是使用硬件安全密钥。它们是物理设备,依赖于不可破解的密码凭证来控制数据访问。随着它们的使用,网络钓鱼和其他社会工程攻击的威胁大大减少。

第四步:加强软件安全保护数据

虽然到目前为止,被泄露的凭证确实是导致数据泄露的最大威胁,但它们不是唯一的威胁。软件安全漏洞或缺陷通常为网络攻击者入侵系统打开了大门。他们通过利用这些安全漏洞或缺陷绕过常规的访问控制方法,获得对客户数据的访问权限。最糟糕的是,这样的攻击很难被发现,而且一旦进行就更难阻止。

 

产生、存储、使用“数据”的主体,均为软件,保障数据安全的第一步是保障软件自身的安全。随着企业在网络安全方面意识的提高,在软件开发过程中通过安全可信的静态代码检测工具来查找识别安全漏洞及缺陷,有助于开发人员第一时间修改问题代码,提高软件自身安全性,从而保护数据安全。

 

在数据保护计划中,另一需要做的是确保所有客户的数据始终处于加密状态。这意味着使用在数据通过时采用强加密的软件、采用加密的网络硬件和组件,以及允许静态数据加密的数据存储系统。这样做可以最大限度地减少攻击者在没有凭据的情况下可以获得的数据访问权限,并且可以在确实发生违规时帮助控制损害。

第五步:制定数据泄露响应计划

不管如何防御,都不存在完美的网络安全。攻击者总是努力寻找网络中的弱点并加以利用。在网安防御上准备充分的企业将避免或降低遭到攻击或数据泄露的风险,但这并不意味着不会发生数据泄露事件。

 

制定数据泄露响应计划是为了以防万一。响应计划为业务提供一个详细路线图,以便在攻击者获得对客户数据的访问权时做出响应。该计划应该不放过任何细节——详细说明从内部IT团队应该如何反应,第三方安全顾问是谁,以及如何通知客户入侵。

 

尚未遭到数据泄露的企业不应该存有侥幸之心,提前做好数据泄露详细的防御措施和响应计划,按照上述提到的步骤完善企业数据安全防御系统,有助于降低数据泄露风险,并在发生数据泄露时限制损失,帮助公司处理后续事宜。在网络安全这个不完美的世界里,没有任何企业能奢求更多。

 

参读链接:

 

https://thehackernews.com/2021/11/a-simple-5-step-framework-to-minimize.html


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
打赏
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
 回帖  表情 雪币赚取及消费
高级回复
返回