数据泄漏风险:不只是内部威胁

本文涉及的产品
数据传输服务 DTS,数据同步 small 3个月
推荐场景:
数据库上云
数据传输服务 DTS,数据迁移 small 3个月
推荐场景:
MySQL数据库上云
数据传输服务 DTS,数据同步 1个月
简介:
本文讲的是 数据泄漏风险:不只是内部威胁, 在近几年,几乎所有企业,无论行业、规模或者类型,都将大部分数据保护力量放在“内部威胁”上,也就是,那些已经具有访问权限的员工或者临时雇员,他们可以误用或者滥用这些企业给予的特权。这确实是事实,内部威胁需要加以解决和得到重视,但是似乎很多企业太过于关注内部威胁,而根本无视于企业外部的风险。

  这里需要考虑的问题时:“自主地发送到外部的关键数据资产?”

  例如,银行需要与审计员、监管机构、供应商以及合作伙伴共享信息,与这些外部阻止相关的数据传输绝对是影响持续经营的关键因素。然而,这种信息共享同时也是相当危险的活动,数据丢失的几率非常高,如果没有适当控制的话,将对银行的声誉产生很大的负面影响。

  信息共享的必要性和数据传输的载体和形式的增加,需要考虑的要点包括以下:

  必须考虑威胁

  -- 什么或者谁让数据处于危险之中?

  -- 当数据从企业环境流到外部环境时,数据将受到各种类型的威胁,包括传输过程中可能遇到的中间人攻击,以及存储在第三方网络中时的社会工程学攻击等。

  应该考虑的可能遇到的风险

  -- 上述的威胁将对企业的关键数据资产造成严重威胁,这些风险无疑将造成数据丢失或者保密性破坏。如果公司没有适当的数据传输控制,例如TLS、SSL或者sFTP,中间人威胁将乘机窃取关键数据。

  -- 这种损失将对企业造成严重影响,包括收入损失、负面影响、恢复成本、客户通知费用和失去客户信任

  必须部署适当的安全控制来解决这些威胁和降低风险

  -- 需要考虑部署的控制不仅仅是与电子数据保护有关的控制,例如软件/硬件加密

  -- 这超越了技术的范畴,上升到社交、管理、运营和过程控制,以避免社会工程序攻击,并确保部署了其他保护因素,例如密码政策、用户访问/权利控制和数据保护意识活动等。

  一旦企业信息离开内部环境,你部署的大部分控制都失效了。数据现在位于第三方基础设施,依赖于第三方的数据安全控制和程序。这不只是关于数据传输到第三方过程中的加密,而是关于数据在其整个生命周期进行保护的问题。

  以下相关问题可以帮助确保对外部数据流的适当控制:

  -- 与接收数据的第三方具有适当的保密协议或者不披露协议?

  -- 数据如何被传输到这些外部合作伙伴?对于电子传输是否有适当的加密(例如SSL、PGP、TLS)以及媒介传输具有充足的物理控制(例如加密磁带、安全车)?

  -- 当数据存储在第三方或者在第三方处理时,会有多少人会访问你的数据?是哪些人?

  -- 你是否知道第三方对只限制环境内有限的必要的人来访问你的数据的程序?

  -- 对于企业外部的人(例如第三方的合作伙伴或者供应商,也就是,你的合作伙伴的合作伙伴)的访问权限控制时怎样?第三方是否会审查外部承包商、供应商的安全控制以确保传输给他们的数据将会得到很好的控制?

  -- 第三方的服务器防火墙如何?

  -- 外部第三方的通信机房和数据中心是否部署了适当的物理控制,包括适当的徽章访问和环境因素等?

  -- 接收数据的第三方是否部署了技术和过程控制以应对和调查数据丢失事件?

  -- 部署了哪些技术和过程控制来防止数据从第三方的便携式媒体、移动设备和电子邮件通信的数据泄漏?

  -- 第三方是否进行了内部/外部审计(例如SAS-70、ISO27001认证)?

  -- 存储在第三方的数据当不再需要时,将如何被销毁或者归还?

  -- 第三方是否有意识培训和教育计划以确保其员工遵守协议保护其客户的敏感信息?

  -- 很显然你对业务合作伙伴的质疑必须从技术、运营和过程控制方面来考虑,让我们来从一个现实世界实例来说明为什么:

  一名银行业务经理有一天决定通过文本邮件的形式将公司的税务数据发送给他们的注册会计师,而不是通过sFTP或者PGP加密电子邮件传输。结果是该电子邮件被注册会计师的ISP电子邮件服务器拦截,注册会计师方面的电子邮件ISP服务器的恶意管理员看到这封电子邮件具有重要数据,并使用这些数据得到120万美元。

  Open Security Foundation的2011年(到目前为止)DataLossDB数据丢失统计数据显示:“平均来看,涉及第三方的数据丢失事件比那些不涉及第三方的事件造成的数据丢失损失更大。这可能是因为第三方处理的数据类型的结果,在企业间传输数据的过程,或者其他假设,这种趋势很令人担忧。”

  最后,对于数据而言,最具风险的环境就是没有受拥有这些数据的企业所控制。具有访问权限和意图的内部人员可能造成严重破坏,但是数据在企业内部,企业应该能够部署适当的技术、程序和操作/人员控制来保护自己的数据。当数据离开我们信任的环境时,只有尽可能的借助审计、审讯和测试来缓解风险。


作者: 邹铮/译
来源:it168网站
原文标题:数据泄漏风险:不只是内部威胁
相关实践学习
如何在云端创建MySQL数据库
开始实验后,系统会自动创建一台自建MySQL的 源数据库 ECS 实例和一台 目标数据库 RDS。
Sqoop 企业级大数据迁移方案实战
Sqoop是一个用于在Hadoop和关系数据库服务器之间传输数据的工具。它用于从关系数据库(如MySQL,Oracle)导入数据到Hadoop HDFS,并从Hadoop文件系统导出到关系数据库。 本课程主要讲解了Sqoop的设计思想及原理、部署安装及配置、详细具体的使用方法技巧与实操案例、企业级任务管理等。结合日常工作实践,培养解决实际问题的能力。本课程由黑马程序员提供。
相关文章
|
存储 安全 网络安全
网络信息安全管理之资产、脆弱性、威胁、风险
安全风险管理的三要素分别是资产、威胁和脆弱性,脆弱性的存在将会导致风险,而威胁主体利用脆弱性产生风险。网络攻击主要利用了系统的脆弱性。由于网络管理对象自身的脆弱性,使得威胁的发生成为可能,从而造成了不同的影响,形成了风险。
1366 0
|
存储 监控 安全
5最糟糕的大数据隐私风险(以及如何防范)
5最糟糕的大数据隐私风险(以及如何防范)
|
安全 网络安全 数据库
三个必须实施的减少安全漏洞的数据安全措施
三个必须实施的减少安全漏洞的数据安全措施
299 0
三个必须实施的减少安全漏洞的数据安全措施
|
Web App开发 前端开发 安全
IE发现新的零日攻击漏洞 用户可采取缓解措施
11月4日消息,微软发布警告称,黑客正在对IE一个新的零日攻击漏洞进行新一轮的有针对性恶意软件攻击。这个安全漏洞能够让黑客实施远程执行任意代码攻击和路过式下载攻击。 微软在安全公告中称,这个安全漏洞是由于IE浏览器中的一个非法的标记参考引起的。
749 0
|
人工智能 安全 物联网
2019年我们如何预防企业数据泄露?
攻击者将会有从进行纯粹的为了某种利益的数据窃取和网站入侵,转变成进行具有更加复杂目的网络入侵的趋势。例如攻击者可能对窃取到的数据进行恶意操纵与改编,从而通过让人们质疑相关数据的完整性而对组织造成长期的声誉损害。
1843 0
|
安全 网络安全 数据安全/隐私保护