數(shù)據(jù)依然成為企業(yè)運行的血液，其每次互動時從客戶那里收集信息，并以此提高效率、提高敏捷性并提供更高水平的服務。數(shù)據(jù)收集越多、越重要，大數(shù)據(jù)環(huán)境下，數(shù)據(jù)自然成為黑客眼饞的目標。

　　隨著時間一天天過去，證據(jù)越來越多顯示數(shù)據(jù)越來越重要，對數(shù)據(jù)的攻擊越來越頻繁。根據(jù)國外有關(guān)報道，在過去幾個月中，我們看到了針對Neiman Marcus、Facebook和Robinhood股票交易應用程序的大規(guī)模數(shù)據(jù)泄露。當然，這些都不是孤立安全事件，通觀近年來，全球數(shù)據(jù)泄露事件的數(shù)量平均每天接近 3 起。

　　統(tǒng)計數(shù)據(jù)表明，一般企業(yè)都沒有時間對其數(shù)據(jù)進行防御，但是數(shù)據(jù)又非常重要，根據(jù)國外安全網(wǎng)站總結(jié)的五個步驟，我們一起看看如何保護各類規(guī)模企業(yè)的數(shù)據(jù)。

　　第一步：審查和調(diào)整數(shù)據(jù)收集標準

　　企業(yè)提高客戶數(shù)據(jù)安全性，需要采取的第一步是審查自身收集的數(shù)據(jù)類型以及原因。大多數(shù)進行這項工作的公司最終都會發(fā)現(xiàn)，隨著時間的推移，收集到的客戶信息的數(shù)量和種類遠遠超出了企業(yè)的原始意圖。

　　例如，收集客戶姓名和電子郵件地址等信息是相當標準的。如果這就是企業(yè)存檔的全部內(nèi)容，基本上就不會成為攻擊者的有吸引力的目標。但是，如果企業(yè)擁有云呼叫中心或任何類型的高接觸銷售周期或客戶支持，可能會收集家庭住址、財務數(shù)據(jù)和人口統(tǒng)計信息，然后會收集一個非常適合身份盜用的數(shù)據(jù)集到野外。

　　因此，在評估每個收集到的數(shù)據(jù)點以確定其價值時，企業(yè)應該問自己：這些數(shù)據(jù)促進了哪些關(guān)鍵業(yè)務功能。如果答案是否定的，應該清除數(shù)據(jù)并停止收集。如果有一個有效的答案，但不是關(guān)鍵的功能，企業(yè)應該權(quán)衡數(shù)據(jù)創(chuàng)造的好處與如果數(shù)據(jù)在泄露中暴露可能遭受的損害。

　　第二步：最小化數(shù)據(jù)訪問

　　減少要保護的數(shù)據(jù)量后，下一步是通過最大限度地減少訪問數(shù)據(jù)的人員來減少數(shù)據(jù)的攻擊面。訪問控制在數(shù)據(jù)保護中發(fā)揮著巨大的作用，因為竊取用戶憑據(jù)是惡意行為者進入受保護系統(tǒng)的主要方式。出于這個原因，企業(yè)需要將最小特權(quán) （PoLP） 原則應用于其數(shù)據(jù)存儲庫以及連接到系統(tǒng)。

　　最小化對數(shù)據(jù)的訪問還有另一個有益的副作用：它有助于防止內(nèi)部威脅導致數(shù)據(jù)泄露。研究公司 Forrester 預測，今年有31% 的數(shù)據(jù)泄露事件是由內(nèi)部威脅導致的，同時這一數(shù)字只會在此之后繼續(xù)增長。因此，首先通過將敏感的客戶數(shù)據(jù)從大多數(shù)員工手中排除，企業(yè)可以同時應對內(nèi)部和外部威脅。

　　第三步：盡可能消除密碼

　　即使在減少了可以訪問客戶數(shù)據(jù)的人數(shù)之后，企業(yè)仍然可以通過另一種方式讓黑客更難獲得這些數(shù)據(jù)。為了盡可能避免將密碼作為主要身份驗證方法。

　　根據(jù) 2021 年 Verizon 數(shù)據(jù)泄露調(diào)查報告，去年所有數(shù)據(jù)泄露中有 61%涉及使用憑據(jù)、被盜或其他方式。因此，從邏輯上講，需要擔心的憑據(jù)越少越好。還有一些方法可以減少對傳統(tǒng)密碼身份驗證系統(tǒng)的依賴。

　　一種是使用雙因素身份驗證。這意味著賬戶需要密碼和限時安全令牌，通常通過應用程序或短信提供。但更好的方法是使用硬件安全密鑰。依靠牢不可破的加密憑證來控制數(shù)據(jù)訪問的物理設備。雙因素身份驗證的使用，網(wǎng)絡釣魚和其他社會工程攻擊的威脅大大減少。雙因素身份認證是當前最好的安全身份驗證方法，至少在像 Hushmesh 這樣的解決方案成為主流之前是這樣。

　　第四步：加密靜態(tài)和動態(tài)數(shù)據(jù)

　　雖然憑證泄露確實是造成數(shù)據(jù)泄露的最大威脅，但不是唯一的威脅。攻擊者總是有可能利用軟件缺陷或其他安全漏洞繞過正常的訪問控制方法并訪問客戶數(shù)據(jù)。最糟糕的是，此類攻擊既難以檢測，而且一旦發(fā)生就更難阻止。

　　這就是為什么任何稱職的數(shù)據(jù)保護計劃的第四步是確保所有客戶數(shù)據(jù)始終保持加密狀態(tài)。這意味著使用在數(shù)據(jù)通過時采用強加密的軟件、采用加密的網(wǎng)絡硬件和組件，以及允許靜態(tài)數(shù)據(jù)加密的數(shù)據(jù)存儲系統(tǒng)。可以最大限度地減少攻擊者在沒有憑據(jù)的情況下可以獲得的數(shù)據(jù)訪問權(quán)限，并且可以在確實發(fā)生違規(guī)時幫助控制損害。

　　第五步：制定數(shù)據(jù)泄露響應計劃

　　不管你怎么看，這世界從來都不存在完美的網(wǎng)絡安全。攻擊者總是在努力尋找可以利用的弱點。做好準備的企業(yè)將消除或減少其中的許多風險。但這并不意味著數(shù)據(jù)安全固若金湯，沒有泄露的可能性。

　　這就是客戶數(shù)據(jù)保護框架的最后一步是制定數(shù)據(jù)泄露響應計劃的原因。如果攻擊者確實獲得了對客戶數(shù)據(jù)的訪問權(quán)限，應該為企業(yè)提供路線圖以幫助其做出響應。該計劃應不遺余力地詳細說明內(nèi)部 IT 團隊應如何應對、首選的 3rd 方安全顧問是誰以及如何將違規(guī)通知客戶通知等所有內(nèi)容。

　　最后一部分很可能是最重要的。在數(shù)據(jù)泄露之后，企業(yè)如何讓其客戶變得完整可以決定反彈程度（如果有的話）。例如，與消費者安全公司合作，在數(shù)據(jù)泄露后為受影響的客戶提供金融欺詐保護和身份保護可能是明智之舉。這將降低任何進一步損害企業(yè)聲譽的后續(xù)事件的風險。

　　底    線

　　一個簡單的事實是，尚未遭受數(shù)據(jù)泄露的企業(yè)可以說是正在用借來的時間運營。而且他們的數(shù)據(jù)泄露的可能性很大。但應用框架將大大有助于將賠率轉(zhuǎn)回對他們有利的局面。將最大程度地降低數(shù)據(jù)泄露的風險，限制確實發(fā)生的損害，并幫助公司處理后果。在網(wǎng)絡安全這個不完美的世界中，沒有任何企業(yè)可以要求更多。