制定全面的数据保护策略应该包括通过安全最佳实践和相关的具体数据保护案例重点支持业务。本质上,保护今天的所有数据,同时为未来制定和实施整体数据保护计划。本文重点介绍三个可以作为整体策略的一部分实施的特定数据保护用例。首先简单介绍一下这些典型案例:1)InsiderThreat:检测并防止恶意内部人员的数据泄露2)PhishingAttack:通过多因素身份验证减轻模拟3)DataLeakage:检测和缓解过度暴露的资源和资产A数据保护的一般方法数据保护是所有使用云计算存储数据的企业的关键问题。因此,建立全面的数据保护策略的目标是确保组织数据的安全性和机密性,同时最大限度地减少数据泄露的影响。对于存储在云端的数据,企业可以采用多种技术和措施来保护数据。通常,这些措施包括数据加密、数据备份和恢复、访问控制和用户教育。1)数据加密是使用密钥或密码将可读数据转换为不可读格式数据的过程,防止未经授权的数据访问,防止数据在传输过程中被截获时被读取。2)数据备份与恢复是指在与主数据存储不同的位置创建和维护数据副本,可以保证在主数据存储发生故障时能够快速恢复数据。3)访问控制措施主要限制只有授权用户才能访问数据。4)保护数据资产的网络安全措施(如防火墙)和入侵防御与检测系统。5)用户教育主要包括对用户进行数据安全最佳实践方面的培训。企业还应制定应对数据泄露的政策和程序,包括通知受影响的个人、调查泄露并采取纠正措施以防止未来泄露的步骤。此外,组织应根据组织及其数据的特定需求定制全面的数据保护策略,并定期审查和更新该策略以响应组织数据和安全环境的变化。数据保护用例除了总体数据保护策略之外,关注当前公司和/或行业特定用例,可以为数据保护之旅提供有意义的见解和指导。企业和组织可以使用不同的安全策略来保护他们的数据,这取决于风险的类型和与业务的相关性。例如,为了降低内部威胁的风险,企业可能会限制少数授权用户访问敏感数据。为防止网络钓鱼攻击,企业可以对其基于云的应用程序使用双因素身份验证。为了防止数据泄露,组织可以根据行业标准和公司政策评估他们当前的部署。1)内部威胁内部威胁是对组织的恶意威胁,它源自组织内部,来自有权访问组织系统和数据的人员。内部威胁可能来自各种来源,包括心怀不满的员工、想要访问敏感数据的恶意内部人员,甚至是不小心泄露数据的粗心内部人员。为了发现和缓解内部威胁,组织需要监控其系统和数据上的活动。这包括监视用户活动、跟踪数据和配置文件的更改以及监视网络流量。组织还可以使用数据丢失防护(DLP)工具通过防止敏感数据传输到组织外部来检测和防止数据泄露。要使用DLP查找内部威胁,组织可以使用监控员工电子邮件和Web活动、跟踪文件传输和分析数据使用模式等方法。DLP程序还可以包括允许识别异常行为的功能,这些行为也可能表示恶意。例如,Exabeam是一家DLP供应商,它对收集的日志使用机器学习来开发用户行为的基线模式,包括活动类型、位置和其他规则。当活动偏离基线时,系统会为该特定用户分配一个风险评分以供进一步调查,同时创建一个总体用户监视列表以了解公司范围内的模式。使用Exabeam和监视列表的另一种方法是将表现出不断变化的行为(例如突然辞职)的用户添加到监视列表中以进行主动监控。2)网络钓鱼攻击由于内部威胁源自公司内部,网络钓鱼攻击通常来自公司外部,恶意行为者伪装成受信任的实体并试图诱骗用户点击恶意链接或下载以窃取敏感信息或感染他们的带有恶意软件的系统。网络钓鱼攻击可以通过电子邮件、社交媒体或短信进行,并且通常涉及伪造的网站或附件,这些网站或附件看起来像是来自合法来源。网络钓鱼攻击可用于以多种不同方式利用易受攻击的虚拟机:1)通过诱使用户单击恶意链接或附件,攻击者可以在可用于植入恶意软件或窃取敏感数据的代码。2)攻击者还可以使用虚拟机创建一个看起来与合法网站完全相同的钓鱼网站。当用户访问此网站并输入他们的登录凭据时,攻击者可以窃取此信息。3)如果虚拟机没有得到适当的保护,攻击者还可以访问可用于启用C2服务器的底层基础设施和工厂代码。这将允许攻击者远程控制虚拟机并执行进一步的攻击。网络钓鱼攻击变得越来越复杂且难以检测,使它们成为对企业和个人的严重威胁。由于它们越来越难以检测,多因素身份验证(MFA)是一种有效防御网络钓鱼攻击的方法,因为它要求用户提供多种形式的身份验证才能访问系统或服务。这使得攻击者更难成功冒充合法用户,因为他们需要获取并正确使用多条信息,并且通过要求多种形式的身份验证,MFA使攻击者更难访问系统和数据,显着减少网络钓鱼攻击和其他类型网络攻击的影响。例如,像Okta这样的身份提供者可以要求MFA访问公司资源的用户。虽然MFA不是完美的解决方案,但它是防止网络钓鱼和其他类型的网络攻击的重要一步。企业和个人应考虑实施MFA以帮助抵御这些威胁。3)数据泄露云数据泄露被定义为未经授权访问或泄露存储在云中的机密信息。由于内部威胁和网络钓鱼攻击,可能会发生数据泄露。此外,由于数据泄露,攻击者可能会发现过度暴露和可利用的敏感数据,从而可能发生数据泄露。数据泄露要么是未知的数据泄露,要么是尚未缓解的已知风险,要么是治理、风险和合规(GRC)团队和企业所有者已“接受”的风险。数据泄露是由多种因素造成的,包括:i)配置错误的设置:不受信任的实体可以访问数据b)软件漏洞:未修补的系统可能允许不良行为者访问敏感数据c)弱密码:由于易于猜测密码或缺少MFA,数据可能会泄露为了识别数据泄露,在与行业标准或公司政策进行比较时,使用Tenable、PaloAltoNetworks或Wiz等公司的漏洞扫描器溢出风险。一旦发现数据泄露,就可以通过Terraform和Ansible等自动化工具开发和实施缓解措施。总结数据保护用例可能因公司独特的业务需求而异。但是,任何数据保护策略的目标都是根据需要满足各个业务部门和利益相关者的数据保护需求,并在继续实施全面数据保护策略的过程中将这些用例用作构建块和组件。本文来源:https://dzone.com/articles/the-journey-to-a-cloud-data-protection-strategy本文作者:JakeHowering
