每年关于网络安全事件的报告越来越多,看到报告中的一系列数字也十分让人揪心,而且出于安全和公关等方面原因,相信仍有大量未报道出的网络攻击的事例。即使是最有经验的安全专业人员也可能会担心用户数据和隐私方面出现的安全威胁,尽管当今提供的大量安全解决方案可以解决一部分安全威胁,也能够起到良好的作用,但它也无法完全弥补IT人员和最终用户对网络安全问题担忧。
即便询问任何有经验的CISO,他们也都会承认,大规模的企业数据泄露对他们来说是最可怕的梦魇。
从万豪酒店到Facebook(不止一次),2019年中一次次的企业数据泄露都是在处理客户数据过程中带来的意外结果,安全管理的漏洞百出种下了之后灾难性的恶果。这不同于黑客突破企业安全防御系统,意在窃取有价值的数据而进行的外部攻击,去年的大多数数据泄露事件是由于云服务器配置错误或其他系统配置不当造成的。
困境中的一线希望,但还不够
IBM的“2019年数据泄露成本报告”显示,每次数据泄露事件平均给组织造成392万美元的损失。此外,违规行为通常会对企业品牌声誉和客户信心方面造成难以估量的损害。
如今,相关的数据保护法律法规针对导致数据泄露事件的企业组织做出的罚款可谓越来越严厉。 例如:英国航空公司(British Airways)去年客户数据遭到黑客窃取而被监管部门英国信息专员办公室(ICO)罚款2.3亿美元,信贷机构Equifax支付约7亿美元,就2017年一起大规模数据泄露事件与美国联邦贸易委员会(FTC)达成和解。
但是,尽管这些企业因数据泄露而遭受了严厉的处罚,但依然难以弥补其给客户带来的损害,也无法遏制黑客为高额利益而接二连三的实施网络攻击,以窃取高价值的客户数据。
随着网络犯罪分子不断尝试利用被泄露的数据实施进一步的攻击,数据泄露造成的危害可能会持续困扰受害用户很长时间。前不久,来自2015年Ashley Madison数据泄露事件背后的黑客发起了新一轮的网络勒索,威胁称要公开被泄露用户的帐户,除非他们用比特币支付赎金。
企业是时候为维护客户数据做些正确的事了
为数据加密是阻止违规行为的一种方法,但处理数据的全过程尚未完全实施加密。客户数据应该随时随地进行加密,通过使用有效的加密技术,达到即使是将加密数据展现在人们眼前,也没人能读取它的效果。 只要加密技术足够有效,要破解加密是非常困难的,即使存在理论上的可能,也会因代价太过昂贵而放弃。
如今,加密数据并不困难。 大多数系统本机都支持加密,这意味着您仅需付出一点额外的配置工作即可。 但是给数据进行了加密还不算结束,因为您仍然需要向某人提供读取数据的密钥。
必须严格控制对加密数据的访问。如果您对数据进行加密,但不仔细检查谁有权访问解密密钥,那么一切都将无济于事。要做到仅向授权用户提供加密密钥,而仅有限地访问其工作所需的内容,从而可以消除许多可能的威胁。这样的设置可提供高级别的防护,同时也可确保数据使用者仍然可以正常使用数据。
但是,访问控制要做到识别那些请求访问者的真实身份,最好的解决方案是一种用户身份验证方法,该方法需要不容易被钓鱼,黑客不易入侵或破解的凭据。
如果黑客可以轻易地冒充合法用户或窃取其凭据,则加密和访问控制将毫无用处。如今即使是再强大的密码策略也无法创建足够好的凭据。 我们需要能够真正与攻击者匹敌的东西,并确保只有授权用户才能成功进行身份验证和访问数据。最好使用只有授权用户才能生成的凭证来完成此操作:例如,无法通过电子方式窃取的生物特征或物理凭证。 更好的方式是同时使用这两种证书——将生物特征认证与物理身份验证设备结合在一起。
更严格的个人数据保护措施
展望2020年,由于与网络安全相关的技术和法律法规的发展,相关安全措施将变得更加必要。
从集中的、本地的服务器过渡到具有各自的数据库和身份验证系统的多云设置,这其中并非没有风险。组织必须应对数据处理不当所带来的可能性,以及来自网络安全的威胁。
此外,并非所有系统都可以满足监管机构和客户要求的不断变化的标准,并且安全审查流程正成为企业的巨大限制。
为了应对这种现实情况,组织在安全策略管理和员工培训方面投入了大量资源。遗憾的是,这依然无法确保其中最薄弱环节上的安全性。
因此,必须采用新的思路来应对数据泄露的威胁,例如采用新的标识和身份验证方法。常见的示例包括很多企业在使用的单点登录(SSO),利用生物特征和行为属性的无密码身份验证机制,以及简化安全策略管理的自动化工具。
在数据保护方面的严厉的法律法规也促使了这些技术的发展。
例如GDPR、CCPA等法律法规正变得越来越普遍,也更易于执行。这要求企业需要遵守有关个人数据使用的严格要求,并特别防止数据泄漏。尤其需要注意,因为立法者、法院以及公众舆论比以往任何时候都更愿意站在用户的角度考虑数据泄露问题。
有一个事实是短时期内不太可能改变的,那就是弱密码或密码被盗是大多数数据泄露的根源。对于安全团队来说,在对待密码的问题上,密码本身也是一种昂贵的选择,更不用说也是被用户厌烦的了。因此,可能是时候完全停止使用密码进行身份验证了。
2020年应该是我们对个人数据托管方提出更高要求的一年。他们必须开始加密客户数据,对访问用户进行安全控制,并对要求访问数据的人员实施令人信服的身份验证才行。
閱讀更多 IT方程式 的文章
