數據洩漏事件總是成為行業媒體的頭條新聞,但現實是企業更有可能成為內部人員行為的受害者。事實證明,多達60%的攻擊都是由企業內部人員實施的,無論是有意還是無意的。
數據洩漏成本高昂
如果一家企業成為受害者,那麼可能會付出很高的代價,例如公司的聲譽可能會受損,客戶可能不再願意提供敏感信息。即使彌補和修復也可能需要付出沉重的代價。
根據調研機構波洛蒙研究所進行的一項研究,每一份包含機密或專有信息被盜記錄的平均成本是148美元。這其中包括髮現違規行為和修復損壞的硬性成本,例如必須向每個記錄持有者發送通知。
根據Sarbanes-Oxley法案、PCI-DSS,HIPAA或GDPR等合規性規定,企業未能充分保護數據可能還將遭到經濟處罰。
攻擊者如何進入?
通常是壞人做壞事。但情況並非總是如此。
據調查,醫療保健行業58%的數據洩漏事件都涉及內部參與者,其中包括竊取筆記本電腦以獲取訪問憑證、惡意軟件安裝和竊取機密數據。這些都是明顯的惡意行為。
在其他時候,寬鬆的安全協議會導致問題。美國國家安全局(NSA)有史以來最嚴重的數據洩露行為是內部員工造成的,當時一名承包商在沒有遵守安全程序的情況下將機密文件帶回家。
企業工作中最危險的部分之一可能無法檢測到內部違規行為。因為員工有權訪問大量信息,並且沒有任何警告。問題在於他們如何處理數據,如果他們懷有惡意,則可能會越過檢測或掩蓋事實。
然而,那些沒有認真對待安全的員工是企業面臨的最大風險。
無意中洩露數據
事實上,大多數洩露數據行為都是無辜的。通過單擊欺騙性電子郵件或其他網絡釣魚攻擊,企業的團隊成員可能允許安裝惡意軟件。例如,需要更新防病毒軟件消息就可能會導致放棄登錄憑據。
美國癌症治療中心在過去一年中遭受過兩次重大的網絡攻擊。當員工點擊網絡釣魚郵件並放棄登錄憑據時,導致42,000名患者的數據洩露。
在另一個案例中,eBay網站的1.45億用戶的個人信息和密碼洩露。調查人員最終發現三名員工實施洩露數據的行為,從數據洩露到發現已過去200多天。這種事例並不罕見。80%的洩露數據行為在數週內未被發現。識別和確定洩露數據行為的平均時間為197天。這意味著黑客平均有半年以上的時間訪問侵入的服務器。
企業的網絡安全中也有兩個不斷增長的趨勢:BYOD(自攜設備)和影子IT(Shadow IT)。
自攜設備
企業員工比以往任何時候都更多地將業務和個人設備混合在一起使用。員工在手機上訪問公司信息,並會繞過公司採取的安全措施。或者採用家用電腦處理和存儲機密信息,或者員工在家中登錄公司IT系統或訪問數據,這些都帶來更多的威脅。
使問題更加複雜的是,下載到個人設備的應用程序本質上可能是惡意的。安全合規機構Cimcor公司指出,“在某些情況下,惡意應用程序有可能控制用戶的移動設備。這可能導致監視、數據洩露或大幅增加通話費用,個人信息或工作信息的丟失。企業的用戶需要有關應用最佳實踐的培訓。這種基於知識的培訓應該包括只從應用商店下載內容的重要性。在許多情況下,惡意鏡像或個人應用程序是通過網頁下載的。”
人們可能聽說過,員工可能是企業安全最薄弱的環節。無論企業在工作場所設置了哪些安全系統和程序,其數據和IT系統都可能會被員工或計算機上的某些內容所破壞。
影子IT
有些員工還繞過安全協議,並使用他們認為需要的軟件或應用程序來完成工作。
雖然具有良好的意圖,但這種所謂的“影子IT”可以侵入企業的網絡和系統而避開安全專業人員的適當審查。這些應用在安裝之前缺乏質量保證測試,可能會導致企業的IT團隊無法瞭解其風險。
這比人們想象的還要普遍。Everest Group的研究發現,超過50%的IT支出沒有經過批准的IT流程。,但是當包含基於雲計算的銷售軟件、部門特定應用程序或個人設備等內容時,這個比例可能很高。
這意味著企業無論採取何種策略,其IT生態系統的主要部分都可能無法得到保護。
那麼,如何在保持員工工作組生產力的同時,企業如何處理影子IT?首先,教育員工瞭解IT出錯的影響,並最終導致IT團隊與組織內部工作人員之間的公開對話。
例如,如果銷售人員正在考慮使用新的自動化工具,他們應該與IT部門就如何將工具實施到其安全結構中進行開放式溝通,以確保企業或客戶數據不會受到威脅。解決方案可能是在內部構建工具或在系統之間開發集成以實現相同的目標,而無需使用可能產生安全漏洞的第三方工具。
正如Soliant諮詢公司高級解決方案架構師Aubrey Spath所說,“在某些情況下,IT團隊意識到特定工作組的挑戰,並且正在積極嘗試找到解決這些問題的應用程序。而不是鼓勵和支持他們將由業餘開發人員開發和銷售的劣質工具拼湊在一起,企業需要考慮為他們的需求構建定製解決方案。“
安全治理的實際步驟
企業首席執行官或高級經理需要確保其IT領導者遵循網絡安全和安全協議:
1.安全治理
(1)信息安全(IS)治理,用於制定政策,優先事項和緩解措施。
(2)對數據進行劃分,以便只有作為其工作職責一部分需要訪問權限的員工才能實際訪問。
2.符合行業特定的合規性規定
(3)測試。
(4)分配監督職責。
(5)正在進行的風險/威脅評估。
3.管理團隊成員
(6)團隊成員對硬件和軟件的具體政策。
(7)威脅意識和檢測培訓。
(8)定期合規審計。
隨著網絡罪犯技術的發展,威脅變得越來越複雜。企業需要確保其IT主管不斷學習和發展他們的技能,這一點至關重要。
IT/IS政策的戰略方法
企業採用IT/IS政策的戰略方法可以緩解風險,並有助於保護企業的業務。
閱讀更多 企業網D1Net 的文章
