今天保護數(shù)據(jù)，同時構(gòu)建和實施未來的整體數(shù)據(jù)保護計劃。

全面數(shù)據(jù)保護策略的旅程應包括通過安全最佳實踐和相關(guān)的特定數(shù)據(jù)保護用例來支持業(yè)務(wù)。從本質(zhì)上講，在為未來構(gòu)建和實施整體數(shù)據(jù)保護計劃的同時保護今天的數(shù)據(jù)。本文重點介紹了三個特定的數(shù)據(jù)保護用例，它們可以作為整體戰(zhàn)略的一部分實施。總結(jié)這些用例：

• 內(nèi)部威脅：檢測并防止惡意內(nèi)部人員泄露數(shù)據(jù)
• 網(wǎng)絡(luò)釣魚攻擊：通過多因素身份驗證減輕假冒
• 數(shù)據(jù)泄漏：檢測和緩解過度暴露的資源和資產(chǎn)

數(shù)據(jù)保護的一般方法

對于所有使用云以電子方式存儲數(shù)據(jù)的組織而言，數(shù)據(jù)保護都是一個關(guān)鍵問題。綜合數(shù)據(jù)保護策略的目標是確保組織數(shù)據(jù)的安全性和機密性，同時最大限度地減少數(shù)據(jù)泄露的影響?？梢圆扇≡S多技術(shù)和組織措施來保護數(shù)據(jù)?？偟膩碚f，這些措施包括數(shù)據(jù)加密、數(shù)據(jù)備份和恢復、訪問控制和用戶教育。

• 數(shù)據(jù)加密是使用密鑰或密碼將可讀數(shù)據(jù)轉(zhuǎn)換為不可讀格式的過程。這可以防止未經(jīng)授權(quán)的數(shù)據(jù)訪問，并防止數(shù)據(jù)在傳輸過程中被截獲時被讀取。
• 數(shù)據(jù)備份和恢復是指在與主數(shù)據(jù)存儲不同的位置創(chuàng)建和維護數(shù)據(jù)副本。這確保了在主數(shù)據(jù)存儲發(fā)生故障時可以恢復數(shù)據(jù)。
• 訪問控制措施僅限授權(quán)用戶訪問數(shù)據(jù)。
• 保護數(shù)據(jù)資產(chǎn)的網(wǎng)絡(luò)安全措施，例如防火墻、入侵防御和檢測系統(tǒng)
• 用戶教育涉及為用戶提供有關(guān)數(shù)據(jù)安全最佳實踐的培訓。

組織還應制定應對數(shù)據(jù)泄露的政策和程序。這些應包括通知受影響的個人、調(diào)查違規(guī)行為以及采取糾正措施以防止未來違規(guī)行為的步驟。應根據(jù)組織及其數(shù)據(jù)的特定需求量身定制全面的數(shù)據(jù)保護策略。定期審查和更新策略以響應組織數(shù)據(jù)和安全環(huán)境的變化非常重要。

數(shù)據(jù)保護用例

除了整體數(shù)據(jù)保護戰(zhàn)略外，關(guān)注當前公司和/或行業(yè)特定用例可以在數(shù)據(jù)保護過程中提供有意義的短期“勝利”和里程碑。企業(yè)和組織可以使用不同的安全策略來保護他們的數(shù)據(jù)，具體取決于風險類型和與業(yè)務(wù)的相關(guān)性。例如，為了降低內(nèi)部威脅的風險，企業(yè)可能會將敏感數(shù)據(jù)的訪問權(quán)限限制在少數(shù)授權(quán)用戶范圍內(nèi)。為了防止網(wǎng)絡(luò)釣魚攻擊，企業(yè)可能會對其基于云的應用程序使用雙重身份驗證。為了防止數(shù)據(jù)泄露，企業(yè)可能會根據(jù)行業(yè)標準和公司政策評估其當前部署。

讓我們仔細看看它們中的每一個。

內(nèi)部威脅

內(nèi)部威脅是對組織的惡意威脅，來自內(nèi)部，來自有權(quán)訪問組織系統(tǒng)和數(shù)據(jù)的人員。內(nèi)部威脅可能來自多種來源，包括心懷不滿的員工、希望訪問敏感數(shù)據(jù)的惡意內(nèi)部人員，甚至是不小心暴露數(shù)據(jù)的粗心內(nèi)部人員。

為了發(fā)現(xiàn)和減輕內(nèi)部威脅，組織需要監(jiān)控其系統(tǒng)和數(shù)據(jù)的活動。這包括監(jiān)視用戶活動、跟蹤數(shù)據(jù)和配置文件的更改以及監(jiān)視網(wǎng)絡(luò)流量。組織還可以使用數(shù)據(jù)丟失防護 (DLP) 工具通過阻止敏感數(shù)據(jù)傳輸?shù)浇M織外部來檢測和防止數(shù)據(jù)泄露。為了通過 DLP 發(fā)現(xiàn)內(nèi)部威脅，組織可以使用多種方法，例如監(jiān)控員工電子郵件和 Web 活動、跟蹤文件傳輸以及分析數(shù)據(jù)使用模式。

DLP 程序還可以包括允許識別異常行為的功能，這可能表明惡意意圖。例如，Exabeam 是一家 DLP 供應商，它對收集的日志使用機器學習來開發(fā)用戶行為基線模式，包括活動類型、位置和其他規(guī)則。當活動偏離基線時，會為該特定用戶分配風險評分以進行進一步調(diào)查，同時創(chuàng)建整體用戶監(jiān)視列表以了解公司范圍內(nèi)的模式。使用 Exabeam 和監(jiān)視列表的另一種方法是將表現(xiàn)出不斷變化的行為（例如突然辭職）的用戶添加到監(jiān)視列表中以進行主動監(jiān)控。

網(wǎng)絡(luò)釣魚攻擊

由于內(nèi)部威脅來自公司內(nèi)部，網(wǎng)絡(luò)釣魚攻擊通常來自公司外部，其中惡意行為者偽裝成受信任的實體并試圖誘騙用戶點擊惡意鏈接或下載以竊取敏感信息或用惡意軟件感染他們的系統(tǒng)。網(wǎng)絡(luò)釣魚攻擊可以通過電子郵件、社交媒體或短信進行，并且通常涉及假冒網(wǎng)站或旨在看似來自合法來源的附件。網(wǎng)絡(luò)釣魚攻擊可用于以幾種不同的方式利用易受攻擊的虛擬機：

1. 通過誘使用戶點擊惡意鏈接或附件，攻擊者可以在虛擬機上下載并執(zhí)行可用于植入惡意軟件或竊取敏感數(shù)據(jù)的代碼。
2. 攻擊者還可以使用虛擬機創(chuàng)建一個看起來與合法網(wǎng)站相同的釣魚網(wǎng)站。當用戶訪問該網(wǎng)站并輸入他們的登錄憑據(jù)時，攻擊者就可以竊取此信息。
3. 如果虛擬機沒有得到適當?shù)谋Ｗo，攻擊者還可以訪問可用于啟用 C2 服務(wù)器的底層基礎(chǔ)設(shè)施和工廠代碼。這將允許攻擊者遠程控制虛擬機并進行進一步的攻擊。

網(wǎng)絡(luò)釣魚攻擊變得越來越復雜且難以檢測，這使得它們對企業(yè)和個人都構(gòu)成嚴重威脅。由于它們越來越難以檢測，多因素身份驗證(MFA) 可以有效防御網(wǎng)絡(luò)釣魚攻擊，因為它要求用戶提供不止一種形式的身份驗證才能訪問系統(tǒng)或服務(wù)。這使得攻擊者成功冒充合法用戶變得更加困難，因為他們需要獲取并正確使用多條信息，并且通過需要多種形式的身份驗證，MFA 使攻擊者更難訪問系統(tǒng)和數(shù)據(jù)。這可以顯著降低網(wǎng)絡(luò)釣魚攻擊以及其他類型的網(wǎng)絡(luò)攻擊的影響。Okta等身份提供商對于訪問公司資源的用戶，可能需要 MFA。雖然 MFA 不是一個完美的解決方案，但它是防止網(wǎng)絡(luò)釣魚和其他類型的網(wǎng)絡(luò)攻擊的重要一步。企業(yè)和個人應考慮實施 MFA 以幫助防御這些威脅。

數(shù)據(jù)泄露

云數(shù)據(jù)泄露被定義為未經(jīng)授權(quán)訪問或泄露存儲在云中的機密信息。由于內(nèi)部威脅和網(wǎng)絡(luò)釣魚攻擊，可能會發(fā)生數(shù)據(jù)泄露。此外，數(shù)據(jù)泄露可能會導致數(shù)據(jù)泄露，攻擊者會在其中發(fā)現(xiàn)過度暴露和可利用的敏感數(shù)據(jù)。

數(shù)據(jù)泄露要么是未知的數(shù)據(jù)泄露，要么是尚未緩解的已知泄露，或者治理、風險和合規(guī)(GRC) 團隊和業(yè)務(wù)所有者“接受”了泄露的風險。數(shù)據(jù)泄漏的發(fā)生是由于多種因素，包括：

1. 錯誤配置的設(shè)置：不受信任的實體可以訪問數(shù)據(jù)
2. 軟件漏洞：未打補丁的系統(tǒng)可能允許不良行為者訪問敏感數(shù)據(jù)
3. 弱密碼：由于容易猜到的密碼或缺乏 MFA，數(shù)據(jù)可能會泄漏

為了識別數(shù)據(jù)泄漏，在與行業(yè)標準或公司政策進行比較時，可以使用Tenable、Palo Alto Networks或Wiz等公司的漏洞掃描程序來識別這些數(shù)據(jù)泄漏風險。發(fā)現(xiàn)數(shù)據(jù)泄漏后，可以通過Terraform和Ansible等自動化工具開發(fā)和實施緩解步驟。

概括

根據(jù)公司獨特的業(yè)務(wù)需求，其他數(shù)據(jù)保護用例可能更需要解決。無論如何，框架保持不變，該戰(zhàn)略的目標是根據(jù)需要滿足各個業(yè)務(wù)部門和利益相關(guān)者的數(shù)據(jù)保護需求，并將這些用例用作構(gòu)建塊和組件，以實現(xiàn)全面數(shù)據(jù)保護戰(zhàn)略繼續(xù)向前。