幾十年來,數據安全的“M & M”模型(硬殼、軟內)一直是大多數企業的標準,基於以下一些假設:
- 我們所有的關鍵任務和一級應用程序都在我們的安全網絡內維護。
- 壞人就在防火牆之外。
- 我們對 IT 組織進行了良好的培訓,以便他們最大限度地減少錯誤。
只要快速瀏覽一下最近的頭條新聞和分析報告,就可以看出世界已經發生了多麼巨大的變化。
1) 組織不再有明確的邊界。
防火牆無法再完全保護公司資產,防火牆旨在保護位於上鎖房間中的離散物理服務器。虛擬化的發展使得服務器、應用程序和數據變得流動和移動。組織正在公共雲上運行應用程序和服務器,將數據完全置於傳統安全方法的範圍之外,並將其置於您的直接控制之外。即使您沒有正式的雲策略,員工也很可能使用基於雲的工具進行協作、文件共享以及測試和開發,這通常與公司安全策略直接衝突。
現實是雲將繼續存在。因此,我們在這個複雜且動態的環境中用來保護數據的方法必須適應。
2) 壞人已經在裡面了:內部威脅的典型代表愛德華·斯諾登明確表示,組織需要對特權用戶進行更好的控制。成功的魚叉式網絡釣魚計劃通常會允許惡意的外部人員訪問受信任的網絡,從而導致可能需要數月時間才能發現的漏洞並需要數百萬美元才能修復。根據 Verizon 數據洩露調查報告,62% 的違規行為數月都未被發現,這大大增加了造成損害的可能性。
虛擬化使這個問題變得更加嚴重,因為它集中了風險。應用程序和數據混合在一起,管理員幾乎可以訪問所有內容。只需複製或刪除虛擬機文件,即可立即造成損壞或盜竊。
員工培訓(或缺乏培訓)也是一個因素。在最近的 Forrester 報告“了解數據安全和隱私狀況:2013 年至 2014 年”中,Heidi Shey 指出,
“Forrester 最近對北美和歐洲中小型企業和企業的信息員工進行的研究顯示,只有 42% 的員工表示他們接受過如何確保工作安全的培訓,只有 57% 的員工表示他們了解組織當前的安全策略。
至少,請確保 a) 您有安全策略,並且 b) 將其傳達給您的員工。更進一步,不僅僅是發送將這些政策包含在您的新員工手冊中(此時他們不知所措,即使他們簽署了它,他們也不太可能真正閱讀它)。如果您沒有內部專業知識,有許多公司可以提供培訓,教員工如何避免網絡釣魚和其他高級持續威脅。
3) 簡單的錯誤比惡意攻擊造成更多的安全漏洞。即使是訓練有素的 IT 員工也是人。雖然大多數組織正確地擔心黑客會竊取數據以獲取利潤,但事實上,簡單的配置錯誤也可能會暴露敏感或受監管的數據。違規通知法並不關心誰有過錯:如果暴露的是您的未加密數據,則您需要承擔通知客戶或客戶的費用和責任。
同樣,在虛擬化環境中,發生更大的漏洞或災難性數據中心災難的可能性要高得多。雲是為敏捷性而構建的,這意味著整個應用程序可以在幾秒鐘內啟動、克隆、暫停或刪除。實施控制和策略以確保特權用戶(或獲得其憑據的用戶)免受損害至關重要。
違規成本正在增加
波奈蒙研究所關於數據洩露成本和數量的研究指出他們調查的 56 家公司經歷了 102成功的每週發生的攻擊,年化成本中位數為 890 萬美元。攻擊的數量和成本每年都呈上升趨勢。
違規的定義也在發生變化。確定集體訴訟原因的法官也擴大了對損害賠償的定義。信息安全雜誌評論了與數據洩露相關的法律損失和律師費的飆升,以及這對公司的影響。
那麼,當您展望明年時,您的 2014 年“邊界”是什麼樣的呢?如果它看起來更像瑞士奶酪而不是混凝土堡壘,那麼是時候改進組織的安全方法了。