每年關於網絡安全事件的報告越來越多,看到報告中的一系列數字也十分讓人揪心,而且出於安全和公關等方面原因,相信仍有大量未報道出的網絡攻擊的事例。即使是最有經驗的安全專業人員也可能會擔心用戶數據和隱私方面出現的安全威脅,儘管當今提供的大量安全解決方案可以解決一部分安全威脅,也能夠起到良好的作用,但它也無法完全彌補IT人員和最終用戶對網絡安全問題擔憂。
即便詢問任何有經驗的CISO,他們也都會承認,大規模的企業數據洩露對他們來說是最可怕的夢魘。
從萬豪酒店到Facebook(不止一次),2019年中一次次的企業數據洩露都是在處理客戶數據過程中帶來的意外結果,安全管理的漏洞百出種下了之後災難性的惡果。這不同於黑客突破企業安全防禦系統,意在竊取有價值的數據而進行的外部攻擊,去年的大多數數據洩露事件是由於雲服務器配置錯誤或其他系統配置不當造成的。
困境中的一線希望,但還不夠
IBM的“2019年數據洩露成本報告”顯示,每次數據洩露事件平均給組織造成392萬美元的損失。此外,違規行為通常會對企業品牌聲譽和客戶信心方面造成難以估量的損害。
如今,相關的數據保護法律法規針對導致數據洩露事件的企業組織做出的罰款可謂越來越嚴厲。 例如:英國航空公司(British Airways)去年客戶數據遭到黑客竊取而被監管部門英國信息專員辦公室(ICO)罰款2.3億美元,信貸機構Equifax支付約7億美元,就2017年一起大規模數據洩露事件與美國聯邦貿易委員會(FTC)達成和解。
但是,儘管這些企業因數據洩露而遭受了嚴厲的處罰,但依然難以彌補其給客戶帶來的損害,也無法遏制黑客為高額利益而接二連三的實施網絡攻擊,以竊取高價值的客戶數據。
隨著網絡犯罪分子不斷嘗試利用被洩露的數據實施進一步的攻擊,數據洩露造成的危害可能會持續困擾受害用戶很長時間。前不久,來自2015年Ashley Madison數據洩露事件背後的黑客發起了新一輪的網絡勒索,威脅稱要公開被洩露用戶的帳戶,除非他們用比特幣支付贖金。
企業是時候為維護客戶數據做些正確的事了
為數據加密是阻止違規行為的一種方法,但處理數據的全過程尚未完全實施加密。客戶數據應該隨時隨地進行加密,通過使用有效的加密技術,達到即使是將加密數據展現在人們眼前,也沒人能讀取它的效果。 只要加密技術足夠有效,要破解加密是非常困難的,即使存在理論上的可能,也會因代價太過昂貴而放棄。
如今,加密數據並不困難。 大多數系統本機都支持加密,這意味著您僅需付出一點額外的配置工作即可。 但是給數據進行了加密還不算結束,因為您仍然需要向某人提供讀取數據的密鑰。
必須嚴格控制對加密數據的訪問。如果您對數據進行加密,但不仔細檢查誰有權訪問解密密鑰,那麼一切都將無濟於事。要做到僅向授權用戶提供加密密鑰,而僅有限地訪問其工作所需的內容,從而可以消除許多可能的威脅。這樣的設置可提供高級別的防護,同時也可確保數據使用者仍然可以正常使用數據。
但是,訪問控制要做到識別那些請求訪問者的真實身份,最好的解決方案是一種用戶身份驗證方法,該方法需要不容易被釣魚,黑客不易入侵或破解的憑據。
如果黑客可以輕易地冒充合法用戶或竊取其憑據,則加密和訪問控制將毫無用處。如今即使是再強大的密碼策略也無法創建足夠好的憑據。 我們需要能夠真正與攻擊者匹敵的東西,並確保只有授權用戶才能成功進行身份驗證和訪問數據。最好使用只有授權用戶才能生成的憑證來完成此操作:例如,無法通過電子方式竊取的生物特徵或物理憑證。 更好的方式是同時使用這兩種證書——將生物特徵認證與物理身份驗證設備結合在一起。
更嚴格的個人數據保護措施
展望2020年,由於與網絡安全相關的技術和法律法規的發展,相關安全措施將變得更加必要。
從集中的、本地的服務器過渡到具有各自的數據庫和身份驗證系統的多雲設置,這其中並非沒有風險。組織必須應對數據處理不當所帶來的可能性,以及來自網絡安全的威脅。
此外,並非所有系統都可以滿足監管機構和客戶要求的不斷變化的標準,並且安全審查流程正成為企業的巨大限制。
為了應對這種現實情況,組織在安全策略管理和員工培訓方面投入了大量資源。遺憾的是,這依然無法確保其中最薄弱環節上的安全性。
因此,必須採用新的思路來應對數據洩露的威脅,例如採用新的標識和身份驗證方法。常見的示例包括很多企業在使用的單點登錄(SSO),利用生物特徵和行為屬性的無密碼身份驗證機制,以及簡化安全策略管理的自動化工具。
在數據保護方面的嚴厲的法律法規也促使了這些技術的發展。
例如GDPR、CCPA等法律法規正變得越來越普遍,也更易於執行。這要求企業需要遵守有關個人數據使用的嚴格要求,並特別防止數據洩漏。尤其需要注意,因為立法者、法院以及公眾輿論比以往任何時候都更願意站在用戶的角度考慮數據洩露問題。
有一個事實是短時期內不太可能改變的,那就是弱密碼或密碼被盜是大多數數據洩露的根源。對於安全團隊來說,在對待密碼的問題上,密碼本身也是一種昂貴的選擇,更不用說也是被用戶厭煩的了。因此,可能是時候完全停止使用密碼進行身份驗證了。
2020年應該是我們對個人數據託管方提出更高要求的一年。他們必須開始加密客戶數據,對訪問用戶進行安全控制,並對要求訪問數據的人員實施令人信服的身份驗證才行。
閱讀更多 IT方程式 的文章
