數(shù)據(jù)泄漏事件總是成為行業(yè)媒體的頭條新聞,但現(xiàn)實(shí)是企業(yè)更有可能成為內(nèi)部人員行為的受害者。事實(shí)證明,多達(dá)60%的攻擊都是由企業(yè)內(nèi)部人員實(shí)施的,無(wú)論是有意還是無(wú)意的。
數(shù)據(jù)泄漏成本高昂
如果一家企業(yè)成為受害者,那么可能會(huì)付出很高的代價(jià),例如公司的聲譽(yù)可能會(huì)受損,客戶可能不再愿意提供敏感信息。即使彌補(bǔ)和修復(fù)也可能需要付出沉重的代價(jià)。
根據(jù)調(diào)研機(jī)構(gòu)波洛蒙研究所進(jìn)行的一項(xiàng)研究,每一份包含機(jī)密或?qū)S行畔⒈槐I記錄的平均成本是148美元。這其中包括發(fā)現(xiàn)違規(guī)行為和修復(fù)損壞的硬性成本,例如必須向每個(gè)記錄持有者發(fā)送通知。
根據(jù)Sarbanes-Oxley法案、PCI-DSS,HIPAA或GDPR等合規(guī)性規(guī)定,企業(yè)未能充分保護(hù)數(shù)據(jù)可能還將遭到經(jīng)濟(jì)處罰。
攻擊者如何進(jìn)入?
通常是壞人做壞事。但情況并非總是如此。
據(jù)調(diào)查,醫(yī)療保健行業(yè)58%的數(shù)據(jù)泄漏事件都涉及內(nèi)部參與者,其中包括竊取筆記本電腦以獲取訪問(wèn)憑證、惡意軟件安裝和竊取機(jī)密數(shù)據(jù)。這些都是明顯的惡意行為。
在其他時(shí)候,寬松的安全協(xié)議會(huì)導(dǎo)致問(wèn)題。美國(guó)國(guó)家安全局(NSA)有史以來(lái)最嚴(yán)重的數(shù)據(jù)泄露行為是內(nèi)部員工造成的,當(dāng)時(shí)一名承包商在沒(méi)有遵守安全程序的情況下將機(jī)密文件帶回家。
企業(yè)工作中最危險(xiǎn)的部分之一可能無(wú)法檢測(cè)到內(nèi)部違規(guī)行為。因?yàn)閱T工有權(quán)訪問(wèn)大量信息,并且沒(méi)有任何警告。問(wèn)題在于他們?nèi)绾翁幚頂?shù)據(jù),如果他們懷有惡意,則可能會(huì)越過(guò)檢測(cè)或掩蓋事實(shí)。
然而,那些沒(méi)有認(rèn)真對(duì)待安全的員工是企業(yè)面臨的最大風(fēng)險(xiǎn)。
無(wú)意中泄露數(shù)據(jù)
事實(shí)上,大多數(shù)泄露數(shù)據(jù)行為都是無(wú)辜的。通過(guò)單擊欺騙性電子郵件或其他網(wǎng)絡(luò)釣魚(yú)攻擊,企業(yè)的團(tuán)隊(duì)成員可能允許安裝惡意軟件。例如,需要更新防病毒軟件消息就可能會(huì)導(dǎo)致放棄登錄憑據(jù)。
美國(guó)癌癥治療中心在過(guò)去一年中遭受過(guò)兩次重大的網(wǎng)絡(luò)攻擊。當(dāng)員工點(diǎn)擊網(wǎng)絡(luò)釣魚(yú)郵件并放棄登錄憑據(jù)時(shí),導(dǎo)致42,000名患者的數(shù)據(jù)泄露。
在另一個(gè)案例中,eBay網(wǎng)站的1.45億用戶的個(gè)人信息和密碼泄露。調(diào)查人員最終發(fā)現(xiàn)三名員工實(shí)施泄露數(shù)據(jù)的行為,從數(shù)據(jù)泄露到發(fā)現(xiàn)已過(guò)去200多天。這種事例并不罕見(jiàn)。80%的泄露數(shù)據(jù)行為在數(shù)周內(nèi)未被發(fā)現(xiàn)。識(shí)別和確定泄露數(shù)據(jù)行為的平均時(shí)間為197天。這意味著黑客平均有半年以上的時(shí)間訪問(wèn)侵入的服務(wù)器。
企業(yè)的網(wǎng)絡(luò)安全中也有兩個(gè)不斷增長(zhǎng)的趨勢(shì):BYOD(自攜設(shè)備)和影子IT(Shadow IT)。
自攜設(shè)備
企業(yè)員工比以往任何時(shí)候都更多地將業(yè)務(wù)和個(gè)人設(shè)備混合在一起使用。員工在手機(jī)上訪問(wèn)公司信息,并會(huì)繞過(guò)公司采取的安全措施。或者采用家用電腦處理和存儲(chǔ)機(jī)密信息,或者員工在家中登錄公司IT系統(tǒng)或訪問(wèn)數(shù)據(jù),這些都帶來(lái)更多的威脅。
使問(wèn)題更加復(fù)雜的是,下載到個(gè)人設(shè)備的應(yīng)用程序本質(zhì)上可能是惡意的。安全合規(guī)機(jī)構(gòu)Cimcor公司指出,“在某些情況下,惡意應(yīng)用程序有可能控制用戶的移動(dòng)設(shè)備。這可能導(dǎo)致監(jiān)視、數(shù)據(jù)泄露或大幅增加通話費(fèi)用,個(gè)人信息或工作信息的丟失。企業(yè)的用戶需要有關(guān)應(yīng)用最佳實(shí)踐的培訓(xùn)。這種基于知識(shí)的培訓(xùn)應(yīng)該包括只從應(yīng)用商店下載內(nèi)容的重要性。在許多情況下,惡意鏡像或個(gè)人應(yīng)用程序是通過(guò)網(wǎng)頁(yè)下載的。”
人們可能聽(tīng)說(shuō)過(guò),員工可能是企業(yè)安全最薄弱的環(huán)節(jié)。無(wú)論企業(yè)在工作場(chǎng)所設(shè)置了哪些安全系統(tǒng)和程序,其數(shù)據(jù)和IT系統(tǒng)都可能會(huì)被員工或計(jì)算機(jī)上的某些內(nèi)容所破壞。
影子IT
有些員工還繞過(guò)安全協(xié)議,并使用他們認(rèn)為需要的軟件或應(yīng)用程序來(lái)完成工作。
雖然具有良好的意圖,但這種所謂的“影子IT”可以侵入企業(yè)的網(wǎng)絡(luò)和系統(tǒng)而避開(kāi)安全專業(yè)人員的適當(dāng)審查。這些應(yīng)用在安裝之前缺乏質(zhì)量保證測(cè)試,可能會(huì)導(dǎo)致企業(yè)的IT團(tuán)隊(duì)無(wú)法了解其風(fēng)險(xiǎn)。
這比人們想象的還要普遍。Everest Group的研究發(fā)現(xiàn),超過(guò)50%的IT支出沒(méi)有經(jīng)過(guò)批準(zhǔn)的IT流程。,但是當(dāng)包含基于云計(jì)算的銷(xiāo)售軟件、部門(mén)特定應(yīng)用程序或個(gè)人設(shè)備等內(nèi)容時(shí),這個(gè)比例可能很高。
這意味著企業(yè)無(wú)論采取何種策略,其IT生態(tài)系統(tǒng)的主要部分都可能無(wú)法得到保護(hù)。
那么,如何在保持員工工作組生產(chǎn)力的同時(shí),企業(yè)如何處理影子IT?首先,教育員工了解IT出錯(cuò)的影響,并最終導(dǎo)致IT團(tuán)隊(duì)與組織內(nèi)部工作人員之間的公開(kāi)對(duì)話。
例如,如果銷(xiāo)售人員正在考慮使用新的自動(dòng)化工具,他們應(yīng)該與IT部門(mén)就如何將工具實(shí)施到其安全結(jié)構(gòu)中進(jìn)行開(kāi)放式溝通,以確保企業(yè)或客戶數(shù)據(jù)不會(huì)受到威脅。解決方案可能是在內(nèi)部構(gòu)建工具或在系統(tǒng)之間開(kāi)發(fā)集成以實(shí)現(xiàn)相同的目標(biāo),而無(wú)需使用可能產(chǎn)生安全漏洞的第三方工具。
正如Soliant咨詢公司高級(jí)解決方案架構(gòu)師Aubrey Spath所說(shuō),“在某些情況下,IT團(tuán)隊(duì)意識(shí)到特定工作組的挑戰(zhàn),并且正在積極嘗試找到解決這些問(wèn)題的應(yīng)用程序。而不是鼓勵(lì)和支持他們將由業(yè)余開(kāi)發(fā)人員開(kāi)發(fā)和銷(xiāo)售的劣質(zhì)工具拼湊在一起,企業(yè)需要考慮為他們的需求構(gòu)建定制解決方案。“
安全治理的實(shí)際步驟
企業(yè)首席執(zhí)行官或高級(jí)經(jīng)理需要確保其IT領(lǐng)導(dǎo)者遵循網(wǎng)絡(luò)安全和安全協(xié)議:
1.安全治理
(1)信息安全(IS)治理,用于制定政策,優(yōu)先事項(xiàng)和緩解措施。
(2)對(duì)數(shù)據(jù)進(jìn)行劃分,以便只有作為其工作職責(zé)一部分需要訪問(wèn)權(quán)限的員工才能實(shí)際訪問(wèn)。
2.符合行業(yè)特定的合規(guī)性規(guī)定
(3)測(cè)試。
(4)分配監(jiān)督職責(zé)。
(5)正在進(jìn)行的風(fēng)險(xiǎn)/威脅評(píng)估。
3.管理團(tuán)隊(duì)成員
(6)團(tuán)隊(duì)成員對(duì)硬件和軟件的具體政策。
(7)威脅意識(shí)和檢測(cè)培訓(xùn)。
(8)定期合規(guī)審計(jì)。
隨著網(wǎng)絡(luò)罪犯技術(shù)的發(fā)展,威脅變得越來(lái)越復(fù)雜。企業(yè)需要確保其IT主管不斷學(xué)習(xí)和發(fā)展他們的技能,這一點(diǎn)至關(guān)重要。
IT/IS政策的戰(zhàn)略方法
企業(yè)采用IT/IS政策的戰(zhàn)略方法可以緩解風(fēng)險(xiǎn),并有助于保護(hù)企業(yè)的業(yè)務(wù)。
關(guān)鍵詞: 數(shù)據(jù)泄漏 網(wǎng)絡(luò)安全威脅
新聞發(fā)布平臺(tái) |科極網(wǎng) |環(huán)球周刊網(wǎng) |新商報(bào)網(wǎng) |中國(guó)商界網(wǎng) |互聯(lián)快報(bào)網(wǎng) |萬(wàn)能百科 |薄荷網(wǎng) |資訊_時(shí)尚網(wǎng) |連州財(cái)經(jīng)網(wǎng) |劇情啦 |5元服裝包郵 |中華網(wǎng)河南 |網(wǎng)購(gòu)省錢(qián)平臺(tái) |海淘返利 |太平洋裝修網(wǎng) |勵(lì)普網(wǎng)校 |九十三度白茶網(wǎng) |商標(biāo)注冊(cè) |專利申請(qǐng) |啟哈號(hào) |速挖投訴平臺(tái) |深度財(cái)經(jīng)網(wǎng) |深圳熱線 |財(cái)報(bào)網(wǎng) |財(cái)報(bào)網(wǎng) |財(cái)報(bào)網(wǎng) |咕嚕財(cái)經(jīng) |太原熱線 |電路維修 |防水補(bǔ)漏 |水管維修 |墻面翻修 |舊房維修 |參考經(jīng)濟(jì)網(wǎng) |中原網(wǎng)視臺(tái) |財(cái)經(jīng)產(chǎn)業(yè)網(wǎng) |全球經(jīng)濟(jì)網(wǎng) |消費(fèi)導(dǎo)報(bào)網(wǎng) |外貿(mào)網(wǎng) |重播網(wǎng) |國(guó)際財(cái)經(jīng)網(wǎng) |星島中文網(wǎng) |上甲期貨社區(qū) |品牌推廣 |imtoken下載 |imtoken |名律網(wǎng) |項(xiàng)目大全 |整形資訊 |整形新聞 |美麗網(wǎng) |佳人網(wǎng) |稅法網(wǎng) |法務(wù)網(wǎng) |法律服務(wù) |法律咨詢 |尼達(dá)尼布翻譯 |媒體采購(gòu)網(wǎng)
中國(guó)資本網(wǎng) 版權(quán)所有
Copyright © 2011-2020 資本網(wǎng) All Rights Reserved. 聯(lián)系網(wǎng)站:55 16 53 8 @qq.com