外部威逼早已广泛传播并引起众多保险平安管理者的共鸣,很多重大数据保险平安事件都是由外部因素所引发。然后即便如此,企业对外部威逼问题仍然没有足够的重视,大多数保险平安团队面对外部威逼都只会事后补救,缺乏前瞻意识。
根据 Ponemon Institute 的《全球外部威逼成本报告》显示,2022年较过去两年相比,外部威逼事件的总数增加了44%。数据显示,56%事件的根本原因是外部人员的疏忽,平均每起事件的成本为484931美元(约为310万人民币);外部人员歹意或者犯罪的成本更高,平均为648062美元(约为410万人民币),他们是26%的保险平安事件的幕后黑手。与此同时,利用权力账号盗窃占近两年保险平安事件的18%,高于2020年的14%。
外部威逼的种类非常多,从保险平安意识薄弱的职工、心怀不满的职工、到职职工和第三方,再到那些对敏感数据和零碎拥有高级会见权力的用户,包括零碎管理员、网络工程师甚至CISO等,都大概对企业数据造成威逼和损害。
外部威逼的具体表现
知其然,还需知其所以然,外部威逼的具体表现在哪?
1、特权账号/隐形特权账号
持有特权账户的人掌握着企业信息零碎的生死大计,这些账户的使命是为公司各项交易正常开展保驾护航。然而,若“无意一指”,或是恶念乍起,这些缺乏管控的特权账户大概就会给公司交易带来灭顶之灾。
除了公司指定的特权账户,还存在一些隐形的特权账户,比如可以分配权力的账号,可以利用特权开通小号,做完危险查询操纵之后删除小号,这样就了无痕迹,很难发现。
另外,一些项目涉及较多或者岗位轮换的职工,权力越开越大,这样的账号就接近特权账号了。隐形特权账号同样面临着持有者歹意破坏、监守自盗、失误操纵等保险平安威逼。
2、权力泛滥/权力滥用
目前有很多行业的人员流动性很大,职工入到职以及转岗较多,权力越开越多;有的企业,第三方(如承包商、兼职职工、供应商、服务提供商和客户)也拥有企业零碎的会见权力,随着第三方数快速增长以及维度扩大,数据的揭露面越来越大,危险就越来越大。
有时候为了简化用户管理流程,确保用户可以在不触发保险平安警报或被禁止应用必要资产的情况下完成工作,往往将不受限制或将过多的用户权力广泛分配给组、角色和个人。 结果,用户拥有过多的权力,数据的保险平安性大概会受到危害,大概会对数据进行未经授权的更改,包括添加、修改或删除数据;大概会查看机密或敏感数据,包括知识产权、代码,法律数据,以及职工和客户的个人信息,即使这些数据并非他们工作所必需的;甚至会贩卖数据博得利益。
3、越权举动
职工的越权举动是职工在工作中超越本职位的权力及其限度而作出不属于自己职权范围内工作的举动,越权举动包含两个重要特征:一是超越权力范围,二是擅自做决定。在大数据时代,企业中职工越权会见敏感数据并牟利的举动时有发生。2022年,一则“华为职工越权会见机密数据被判刑”的消息冲上热搜,该职工被指于2016年至2018年间越权会见机密数据并牟利。作为知名企业,华为一直非常重视数据信息的保险平安,不过职工违法违规还是时有发生,涉及信息数据泄露、专利侵权等。显然,越权举动是企业外部威逼重要的因素之一。
4、“僵尸账号”
随着时间的推移,交易零碎在运营过程中会产生大量失效的账号和授权,比如测试账号或者临时项目人员账号等等,这些“僵尸账号”没有及时清理,大概会被黑客或病毒攻击,也大概会给一些心怀不轨的人制造了方便,蓄意造成破坏,大概会删除关键资料、重要文件,篡改后台密码、泄露数据等等。
5、同享账号/违规操纵
为了便于工作,将自己的账号借给其他同事应用;在论坛或者其他传播媒介上沟通手艺问题,将工作内容复制或者截图上传,用于讨论学习;为了方便远程办公,将公司敏感资料私自打印存留并带离公司;歹意导出数据,出售信息谋取利益;发生信息保险平安事件,及时处理未造成较大损失,因已经消除了影响并未上报备案。
6、API保险平安漏洞
应用程序编程接口(API)是一套规则和规范,管理两个应用程序如何互动,通常通过互联网。API也被称为一个应用程序的 "前门"。它增强了开发的生态零碎,使其更容易在现有的平台上构建,而不是从头开始。
API保险平安对企业来说至关重要,因为API经常被用来向外部开发者揭露外部零碎和数据。这样做的原因有很多,例如实现合作伙伴的整合,或者为第三方开发者在现有平台上建立新功能提供途径。然而,将外部零碎和数据揭露给外部开发者也伴随着危险。例如,如果一个API没有得到正确的保护,它大概允许未经授权的人会见敏感数据。
7、到职泄密
打算到职的职工反复下载或者导出重要数据,到职后带走公司重要机密,大概将其所从事项目的成果归己所有,大概会将重要的公司信息泄露给竞争对手;或是,已经到职且还具有会见权力的职工再次登录零碎,歹意破坏数据或者泄露数据等等。
企业如何防范?
没有数据保险平安事件发生,不代表没有外部威逼,哪怕不做任何操纵,起码做到心中有数,防患于未然。企业如何防范?
No.1 数据管理
step1识别敏感数据:对于企业,到底有多少数据,包含了哪些数据,敏感数据有多少,分布在哪里。通过了解企业的高危险敏感数据,能够有针对性的建立起更有效的防御机制。因此,首先需要识别出企业所含的敏感数据及其分布情况。
step2数据分类分级:敏感等级不同的数据对内应用时受到的保护策略也不同,对外同享开放的程度也不同,高价值的数据需要更为严格的保护机制,而且数据的价值是有时效性的,数据的分类分级清单也需要不断变化。企业需要专业的数据分类分级产品或者服务来有效地保护企业重要数据资产。
step3敏感数据揭露面分析:这些敏感数据对外揭露给了多少交易零碎,又通过交易零碎揭露给多少部门,又揭露给多少人员?揭露的类型有哪些?揭露的量级有多少?通过数据揭露面分析了解敏感数据的保险平安危险程度。
step4数据保险平安手艺管控:通过前面的数据梳理,了解数据的分布、数据的敏感程度、数据的危险成都,不同危险级别的数据需要采取不同的策略,监控、阻止、告警、脱敏、加密等。采取的数据保险平安管理手艺可以根据数据的分级分类,结合交易,决定采用何种数据保险平安手艺作为支撑。通常采取的手艺有加解密、数据脱敏、DCAP、DLP、CASB、IAM、UEBA。
No.2 账号管理
临时账号:为承包方或实习生等第三方雇员建立临时账户,使这个临时账户在合同或工程期末的某一个特定的日期到期。这项举措会确保个人在离开后,不能再会见这些账户。可以根据需要延长账户的有效期限。
无效账户:定期多次开展审核,定期把已经失效的账号以及不活跃的僵尸账号给拉取出来,及时处理。企业应确保让到职职工知道不能带走公司的财产,并密切关注下载过多数据的职工,并执行到职流程,以便在职工到职后终止其账户会见权力。
特权账户:建立特权账号(包括隐形特权账户)名单,对特权账号做特定的限制,比如特权账号限定其会见的IP、地址和设备等等,也就是严格限定特权账号的应用地点,明确特权账号的应用场景。
特权职工的人数越少,保护企业数据就越容易。这不仅意味着有机会执行歹意操纵的职工更少,还意味着黑客/内鬼可以入侵/冒用的账户也变少了。
不仅仅特权账户,企业所有的账户都应遵守权力最小化原则的网络保险平安标准,规定企业中的每个账户都应当具有尽大概少的特权,并在有必要的时候进行权力升级。应用权力最小化原则来控制账户可以会见哪些资源(例如,资产、应用程序、数据、设备、文件、网络、零碎等),以及账户可以对这些资源执行哪些操纵。这一点同样适用于第三方会见数据,确保他们具有最少的权力,并且在他们的工作完成时删掉凭证。
No.3 举动管控
1、提高职工的数据保险平安意识:定期开展数据保险平安宣传和培训活动,精心打造企业保险平安文化,让职工意识到数据保险平安的重要性以及违规举动的严重性。
2、会见举动管控:禁止职工之间同享账户,或尽大概限制同享账户的应用;可以采用一定的手艺,应用零信任网络会见和举动分析等来检测异常活动,对账号登录、数据会见、数据下载、数据导出、复制截屏过程中的异常举动实时监测和告警。异常检测是识别用户执行异常活动的唯一途径,实时监测实时告警响应,并优先应对最关键的威逼。
3、保险平安审计:可以通过对用户会见数据举动的记录、分析和汇报,来帮助企业事后生成合规报告、事故追根溯源,同时通过大数据搜索手艺提供高效查询审计报告,定位事件原因,以便日后查询、分析、过滤,实现加强外部网络举动的监控与审计,提高数据资产保险平安。
基于以上防护要点,推荐一款数据保险平安内控利器-极盾·觅踪,通过分析企业外部人员操纵举动,扫描交易操纵涉及的核心数据资产,构建围绕交易和人员的零信任数据保险平安体系,实现敏感数据识别、数据分类分级、危险监测、动态脱敏、会见控制、水印保护、保险平安审计等“硬管控”。