數(shù)據(jù)依然成為企業(yè)運(yùn)行的血液，其每次互動(dòng)時(shí)從客戶那里收集信息，并以此提高效率、提高敏捷性并提供更高水平的服務(wù)。數(shù)據(jù)收集越多、越重要，大數(shù)據(jù)環(huán)境下，數(shù)據(jù)自然成為黑客眼饞的目標(biāo)。

　　隨著時(shí)間一天天過(guò)去，證據(jù)越來(lái)越多顯示數(shù)據(jù)越來(lái)越重要，對(duì)數(shù)據(jù)的攻擊越來(lái)越頻繁。根據(jù)國(guó)外有關(guān)報(bào)道，在過(guò)去幾個(gè)月中，我們看到了針對(duì)Neiman Marcus、Facebook和Robinhood股票交易應(yīng)用程序的大規(guī)模數(shù)據(jù)泄露。當(dāng)然，這些都不是孤立安全事件，通觀近年來(lái)，全球數(shù)據(jù)泄露事件的數(shù)量平均每天接近 3 起。

　　統(tǒng)計(jì)數(shù)據(jù)表明，一般企業(yè)都沒(méi)有時(shí)間對(duì)其數(shù)據(jù)進(jìn)行防御，但是數(shù)據(jù)又非常重要，根據(jù)國(guó)外安全網(wǎng)站總結(jié)的五個(gè)步驟，我們一起看看如何保護(hù)各類規(guī)模企業(yè)的數(shù)據(jù)。

　　第一步：審查和調(diào)整數(shù)據(jù)收集標(biāo)準(zhǔn)

　　企業(yè)提高客戶數(shù)據(jù)安全性，需要采取的第一步是審查自身收集的數(shù)據(jù)類型以及原因。大多數(shù)進(jìn)行這項(xiàng)工作的公司最終都會(huì)發(fā)現(xiàn)，隨著時(shí)間的推移，收集到的客戶信息的數(shù)量和種類遠(yuǎn)遠(yuǎn)超出了企業(yè)的原始意圖。

　　例如，收集客戶姓名和電子郵件地址等信息是相當(dāng)標(biāo)準(zhǔn)的。如果這就是企業(yè)存檔的全部?jī)?nèi)容，基本上就不會(huì)成為攻擊者的有吸引力的目標(biāo)。但是，如果企業(yè)擁有云呼叫中心或任何類型的高接觸銷售周期或客戶支持，可能會(huì)收集家庭住址、財(cái)務(wù)數(shù)據(jù)和人口統(tǒng)計(jì)信息，然后會(huì)收集一個(gè)非常適合身份盜用的數(shù)據(jù)集到野外。

　　因此，在評(píng)估每個(gè)收集到的數(shù)據(jù)點(diǎn)以確定其價(jià)值時(shí)，企業(yè)應(yīng)該問(wèn)自己：這些數(shù)據(jù)促進(jìn)了哪些關(guān)鍵業(yè)務(wù)功能。如果答案是否定的，應(yīng)該清除數(shù)據(jù)并停止收集。如果有一個(gè)有效的答案，但不是關(guān)鍵的功能，企業(yè)應(yīng)該權(quán)衡數(shù)據(jù)創(chuàng)造的好處與如果數(shù)據(jù)在泄露中暴露可能遭受的損害。

　　第二步：最小化數(shù)據(jù)訪問(wèn)

　　減少要保護(hù)的數(shù)據(jù)量后，下一步是通過(guò)最大限度地減少訪問(wèn)數(shù)據(jù)的人員來(lái)減少數(shù)據(jù)的攻擊面。訪問(wèn)控制在數(shù)據(jù)保護(hù)中發(fā)揮著巨大的作用，因?yàn)楦`取用戶憑據(jù)是惡意行為者進(jìn)入受保護(hù)系統(tǒng)的主要方式。出于這個(gè)原因，企業(yè)需要將最小特權(quán) （PoLP） 原則應(yīng)用于其數(shù)據(jù)存儲(chǔ)庫(kù)以及連接到系統(tǒng)。

　　最小化對(duì)數(shù)據(jù)的訪問(wèn)還有另一個(gè)有益的副作用：它有助于防止內(nèi)部威脅導(dǎo)致數(shù)據(jù)泄露。研究公司 Forrester 預(yù)測(cè)，今年有31% 的數(shù)據(jù)泄露事件是由內(nèi)部威脅導(dǎo)致的，同時(shí)這一數(shù)字只會(huì)在此之后繼續(xù)增長(zhǎng)。因此，首先通過(guò)將敏感的客戶數(shù)據(jù)從大多數(shù)員工手中排除，企業(yè)可以同時(shí)應(yīng)對(duì)內(nèi)部和外部威脅。

　　第三步：盡可能消除密碼

　　即使在減少了可以訪問(wèn)客戶數(shù)據(jù)的人數(shù)之后，企業(yè)仍然可以通過(guò)另一種方式讓黑客更難獲得這些數(shù)據(jù)。為了盡可能避免將密碼作為主要身份驗(yàn)證方法。

　　根據(jù) 2021 年 Verizon 數(shù)據(jù)泄露調(diào)查報(bào)告，去年所有數(shù)據(jù)泄露中有 61%涉及使用憑據(jù)、被盜或其他方式。因此，從邏輯上講，需要擔(dān)心的憑據(jù)越少越好。還有一些方法可以減少對(duì)傳統(tǒng)密碼身份驗(yàn)證系統(tǒng)的依賴。

　　一種是使用雙因素身份驗(yàn)證。這意味著賬戶需要密碼和限時(shí)安全令牌，通常通過(guò)應(yīng)用程序或短信提供。但更好的方法是使用硬件安全密鑰。依靠牢不可破的加密憑證來(lái)控制數(shù)據(jù)訪問(wèn)的物理設(shè)備。雙因素身份驗(yàn)證的使用，網(wǎng)絡(luò)釣魚(yú)和其他社會(huì)工程攻擊的威脅大大減少。雙因素身份認(rèn)證是當(dāng)前最好的安全身份驗(yàn)證方法，至少在像 Hushmesh 這樣的解決方案成為主流之前是這樣。

　　第四步：加密靜態(tài)和動(dòng)態(tài)數(shù)據(jù)

　　雖然憑證泄露確實(shí)是造成數(shù)據(jù)泄露的最大威脅，但不是唯一的威脅。攻擊者總是有可能利用軟件缺陷或其他安全漏洞繞過(guò)正常的訪問(wèn)控制方法并訪問(wèn)客戶數(shù)據(jù)。最糟糕的是，此類攻擊既難以檢測(cè)，而且一旦發(fā)生就更難阻止。

　　這就是為什么任何稱職的數(shù)據(jù)保護(hù)計(jì)劃的第四步是確保所有客戶數(shù)據(jù)始終保持加密狀態(tài)。這意味著使用在數(shù)據(jù)通過(guò)時(shí)采用強(qiáng)加密的軟件、采用加密的網(wǎng)絡(luò)硬件和組件，以及允許靜態(tài)數(shù)據(jù)加密的數(shù)據(jù)存儲(chǔ)系統(tǒng)。可以最大限度地減少攻擊者在沒(méi)有憑據(jù)的情況下可以獲得的數(shù)據(jù)訪問(wèn)權(quán)限，并且可以在確實(shí)發(fā)生違規(guī)時(shí)幫助控制損害。

　　第五步：制定數(shù)據(jù)泄露響應(yīng)計(jì)劃

　　不管你怎么看，這世界從來(lái)都不存在完美的網(wǎng)絡(luò)安全。攻擊者總是在努力尋找可以利用的弱點(diǎn)。做好準(zhǔn)備的企業(yè)將消除或減少其中的許多風(fēng)險(xiǎn)。但這并不意味著數(shù)據(jù)安全固若金湯，沒(méi)有泄露的可能性。

　　這就是客戶數(shù)據(jù)保護(hù)框架的最后一步是制定數(shù)據(jù)泄露響應(yīng)計(jì)劃的原因。如果攻擊者確實(shí)獲得了對(duì)客戶數(shù)據(jù)的訪問(wèn)權(quán)限，應(yīng)該為企業(yè)提供路線圖以幫助其做出響應(yīng)。該計(jì)劃應(yīng)不遺余力地詳細(xì)說(shuō)明內(nèi)部 IT 團(tuán)隊(duì)?wèi)?yīng)如何應(yīng)對(duì)、首選的 3rd 方安全顧問(wèn)是誰(shuí)以及如何將違規(guī)通知客戶通知等所有內(nèi)容。

　　最后一部分很可能是最重要的。在數(shù)據(jù)泄露之后，企業(yè)如何讓其客戶變得完整可以決定反彈程度（如果有的話）。例如，與消費(fèi)者安全公司合作，在數(shù)據(jù)泄露后為受影響的客戶提供金融欺詐保護(hù)和身份保護(hù)可能是明智之舉。這將降低任何進(jìn)一步損害企業(yè)聲譽(yù)的后續(xù)事件的風(fēng)險(xiǎn)。

　　底    線

　　一個(gè)簡(jiǎn)單的事實(shí)是，尚未遭受數(shù)據(jù)泄露的企業(yè)可以說(shuō)是正在用借來(lái)的時(shí)間運(yùn)營(yíng)。而且他們的數(shù)據(jù)泄露的可能性很大。但應(yīng)用框架將大大有助于將賠率轉(zhuǎn)回對(duì)他們有利的局面。將最大程度地降低數(shù)據(jù)泄露的風(fēng)險(xiǎn)，限制確實(shí)發(fā)生的損害，并幫助公司處理后果。在網(wǎng)絡(luò)安全這個(gè)不完美的世界中，沒(méi)有任何企業(yè)可以要求更多。