Согласно отчету Ponemon Institute и IBM Security, средняя стоимость утечки данных в 2019 году составила 3,92 миллиона долларов. Крупные компании, такие как Capital One, Evite и Zynga, столкнулись с утечкой данных , в результате которой было раскрыто более 100 миллионов учетных записей клиентов каждая. Согласно отчету, средний инцидент безопасности в 2019 году затрагивал 25 575 учетных записей. Что еще хуже, эта информация должна быть раскрыта клиентам, и организации потенциально могут стать предостережением.
Уроки из этих нарушений многочисленны, включая необходимость сделать следующее:
- просмотреть требования к учетным данным и политики;
- отслеживать, какие данные сохраняются и где они хранятся;
- регулярно проверяйте наличие неправильных конфигураций облака; а также
- принудительный сброс пароля при подозрении на взлом.
Переход в облако представляет собой дополнительный вектор угроз, который необходимо хорошо понимать в отношении безопасности данных. Опрос SANS State of Cloud Security 2019 года показал, что 19% респондентов сообщили об увеличении несанкционированного доступа посторонних лиц к облачным средам или облачным ресурсам, что на 7% больше, чем в 2017 году.
Программы-вымогатели и фишинг также находятся на подъеме и считаются серьезными угрозами . Компании должны защищать данные, чтобы они не могли утечь через вредоносное ПО или социальную инженерию.
Нарушения могут быть дорогостоящими событиями, которые приводят к многомиллионным коллективным искам и фондам компенсации потерпевшим. Если компаниям нужна причина для инвестиций в безопасность данных, им нужно только учитывать ценность , которую суды придают персональным данным.
Шерри Давидофф, автор книги « Утечки данных: кризис и возможности », перечислила пять факторов, повышающих риск утечки данных: доступ; количество времени хранения данных; количество существующих копий данных; насколько легко передавать данные из одного места в другое и обрабатывать их; и воспринимаемая ценность данных преступниками.
Многие организации осознают, что ценность данных и стоимость защиты данных растут одновременно, что делает практически невозможным защиту данных, просто повышая уровень безопасности. Вместо этого ИТ-специалисты и специалисты по информационной безопасности должны активно и творчески продумывать свои стратегии защиты данных.
Они также должны оценивать свой риск по сравнению с защитой, которую обеспечивают их текущие инвестиции в безопасность, и принимать соответствующие решения. Для этого требуется беспрецедентный уровень прозрачности , которого сейчас нет у большинства организаций.
Эксперт по безопасности Эшвин Кришнан посоветовал ИТ-специалистам и специалистам по безопасности сосредоточиться на трех ключевых аспектах при попытке улучшить безопасность данных на современном предприятии : чем больше данных генерируется и собирается, тем больше «поверхность» для утечки данных; права клиентов расширяются за счет новых требований соблюдения нормативных требований и соблюдения конфиденциальности , таких как GDPR и Калифорнийский закон о конфиденциальности потребителей ; и компании должны знать, участвуют ли они в посредничестве данных .
Типы безопасности данныхБезопасность данных имеет множество аспектов, которые защищают информацию в состоянии покоя, в движении и при использовании. Вот некоторые технологии, широко используемые предприятиями для защиты данных.
Шифрование
Одной из самых основных концепций безопасности данных является шифрование , поскольку простое шифрование конфиденциальных данных может иметь большое значение для соблюдения требований конфиденциальности и соблюдения требований, а также для защиты конфиденциальной информации от хакеров.
Шифрование не является универсальным предложением, поскольку организации должны выбрать алгоритм шифрования, соответствующий требованиям безопасности предприятия. Наш учебник по шифрованию расшифровывает различия и помогает выбрать лучший подход для вашей организации.
Наиболее распространенная форма шифрования — симметричная — включает преобразование открытого текста в зашифрованный текст с использованием одного и того же ключа для шифрования и дешифрования. В асимметричном шифровании используются два взаимозависимых ключа — один для шифрования данных, а другой — для их расшифровки. Симметричное шифрование имеет множество «разновидностей», включая Advanced Encryption Standard и Triple DES. Асимметричный имеет , среди прочего, обмен ключами Диффи-Хеллмана и RSA. Компании, которые не хотят шифровать всю свою информацию, должны определять приоритет данных посредством классификации.
Защита периметра
Системы обнаружения вторжений и системы предотвращения вторжений, а также списки контроля доступа укрепляют периметр безопасности организации и снижают серьезность проникающих атак. Между тем, управление безопасностью конечных точек может отслеживать сигнатуры вредоносных программ и предотвращать причинение ими вреда. Эксперт по сетям Кевин Толли объяснил необходимость комплексного подхода к безопасности данных , а также уникальные черты быстрых и лобовых атак по сравнению с низкими и медленными атаками.
Защита от потери данных (DLP)
DLP не позволяет пользователям передавать конфиденциальные данные, и организации могут развернуть его как корпоративное программное обеспечение для обеспечения безопасности. Инструменты DLP могут быть развернуты как агенты на конечных точках или без агентов на сетевом уровне. Узнайте , как выбрать продукты DLP, а также рекомендации по развертыванию DLP.
Программное обеспечение DLP часто включает в себя шаблоны для обеспечения соответствия определенным требованиям, таким как HIPAA и PCI DSS.
Брокер безопасности доступа к облаку ( CASB ) также выполняет задачи защиты от потери данных и может помочь уменьшить угрозу для данных в облаке . CASB активно вмешиваются в сеансы связи между пользователем и облачными приложениями, перехватывая трафик сеанса, помогая отслеживать и применять корпоративные политики безопасности. CASB сканируют объекты данных, такие как файлы и документы, чтобы убедиться, что они соответствуют корпоративным стандартам и государственным нормам.
Лучшие практики для разработки стратегии безопасности данныхБезопасность данных, которую часто считают средствами предотвращения, обнаружения и смягчения последствий, которые использует организация, в такой же степени связана со стратегией и внедрением передового опыта. Хорошим началом разработки стратегии является сосредоточение внимания на следующих областях.
Управление, риски и соответствие требованиям (GRC)
Некоторые компании используют GRC в качестве основы для обеспечения безопасности данных и соблюдения конфиденциальности. Управление относится к тому, как компания использует системы управления информацией и иерархический контроль для обеспечения соблюдения. Управление рисками – это идентификация, анализ и реагирование на потенциальные риски. Соблюдение — это гарантия соблюдения правил и корпоративных политик при обработке данных. Интегрированное управление рисками выводит GRC на новый уровень, ускоряя принятие решений и повышая производительность.
Внутренние угрозы
Человеческий фактор или внутренняя угроза часто недооценивается или даже упускается из виду, когда компании разрабатывают стратегию защиты данных. Эксперт по конфиденциальности и управлению рисками Судип Венкатеш сказал, что целевые фишинговые атаки и компрометация деловой электронной почты, нацеленные на руководителей организации, наносят наибольший ущерб с точки зрения потери данных. Чтобы бороться с этой тенденцией, компании должны внедрить передовой опыт, сочетающий профилактику и защиту, чтобы общение было безопасным и доставлялось соответствующему лицу. Если не предпринимать никаких действий, компании остаются уязвимыми для взломов, инициированных действиями, предпринятыми инсайдерами, будь то злонамеренными или случайными.
Социальные сети
Социальные сети — еще один вектор, жертвой которого становятся пользователи, когда дело доходит до приглашения вредоносных программ на предприятие. Например, хакеры будут использовать пользователей, которые ищут «чит-коды», для бесплатного доступа к сторонним приложениям, таким как игры на таких платформах, как Facebook. Чит-коды могут быть троянами, которые позволяют злоумышленнику управлять устройством, устанавливать программы-вымогатели, активировать камеру или микрофон и записывать нажатия клавиш для кражи паролей. Сторонние приложения — это лишь один из многих корпоративных рисков, связанных с социальными сетями, которые следует отслеживать и снижать.
Наблюдение и обнаружение
Организации также сталкиваются с проблемой управления данными , когда они не могут найти важные данные, хранящиеся в укромных уголках по всему предприятию. Например, защита данных — это геркулесова задача, когда пользователи могут загружать конфиденциальную информацию на свои жесткие диски и вне поля зрения инструментов соответствия. Государственные постановления и корпоративные стандарты заставляют компании лучше понимать, как они обрабатывают, хранят и обрабатывают данные.
Облачные данные также требуют механизма обнаружения для обеспечения управления . Перед развертыванием любого проекта в облаке ИТ-специалисты и специалисты по безопасности должны понимать, какие типы данных будут задействованы, и каждый из них должен быть классифицирован и оценен на предмет риска.
Гигиена паролей
Один из наиболее простых способов обеспечения безопасности данных сосредоточен на паролях, которые являются универсальной точкой уязвимости для организаций. Отчет Verizon Data Breach Investigations за 2019 год показал, что 80% нарушений, связанных со взломом, могут быть связаны с украденными и повторно используемыми учетными данными. Распыление паролей, атаки с помощью кейлоггеров и другие методы взлома методом грубой силы в полной мере демонстрируют слабость традиционных паролей. Кроме того, у большинства пользователей слишком много паролей бизнес-приложений, которые трудно запомнить, что приводит к плохой гигиене паролей, что означает, что они недостаточно уникальны или меняются достаточно часто.
Удлинение паролей не обязательно является решением. Они должны быть более сложными или использоваться в сочетании с токенами, биометрическими данными или другими типами аутентификации. Пользователи также могут развернуть корпоративные менеджеры паролей, в которых хранятся зашифрованные пароли, которые они используют для разных приложений, чтобы упростить запоминание каждого входа в приложение.
Защита
базы данных Базы данных также требуют передовых методов для защиты данных в них. Четыре простых шага могут обеспечить защиту конфиденциальной информации:
- Применять принцип наименьших привилегий, когда доступ ограничен тем, что необходимо для выполнения должностных функций.
- Проводите регулярные проверки доступа для выявления старых и ненужных разрешений, которые могут быть скомпрометированы.
- Мониторинг активности базы данных для обнаружения необычной активности пользователей.
- Шифруйте конфиденциальные данные, чтобы защитить их при передаче и хранении, чтобы предотвратить отслеживание.
