避免網絡攻擊的數據存儲安全優秀實踐
數據存儲安全性的最大挑戰之一是阻止網絡入侵者訪問關鍵的存儲資源。為確保數據安全,組織必須跟蹤其數據的位置以及可以訪問的人員。此外,也需要定期更新安全策略。
滿足數據存儲安全的最佳實踐將有助于減輕網絡攻擊的威脅,組織首先需要制定全面的縱深防御和分層保護策略。
管理和技術咨詢機構Booz Allen Hamilton公司高級副總裁Tony Sharp說,“組織必須識別進入其存儲環境的所有邏輯路徑和連接,并確保對所有接口都具有適當的權限,其中包括特權和零信任訪問模型。”他補充說,這些模型應該得到檢測和響應控制的支持,并建議組織監控訪問、數據和流量模式的異常情況,以及對已經制定的安全策略的遵守情況。
咨詢機構Cybri公司首席執行官兼聯合創始人Konstantine Zuckerman說:“加密應該在靜止和傳輸過程中進行,因此即使網絡攻擊者可以訪問數據,也會限制其讀取數據的能力。加密措施應該足夠強大,以便在數據可以被破解時不再可用。”
不要忽略云中的數據
全球獨立的IT審核和認證機構Schellman&Company公司的高級經理Jacob Ansari表示,企業基于云計算的存儲節點犯的最大錯誤之一就是不知道它們存在。他說,建立一個存儲節點很容易,讓任何擁有相關URL訪問權限的人都能訪問。
Ansari說:“組織的信息安全團隊應該了解其使用的已知云計算服務提供商帳戶下存在哪些存儲節點,并應嘗試了解其他個人或業務部門在何處創建了自己的帳戶。識別存儲點并使用訪問控制措施對其進行保護,可以顯著減少數據泄露或丟失的可能性。”
針對網絡攻擊的一種經過驗證的數據存儲安全最佳實踐是確保將存儲資源與網絡基礎設施隔離開來。
Zuckerman說:“這是通過強大的ACL(訪問控制列表)白名單來實現的,只允許進行適當的訪問,并確保擁有訪問權限的用戶只能以受保護的方式進行訪問,而無需外部許可。這是有效的,因為人們通常看到的是網絡攻擊者通過超額許可的用戶帳戶或應該由防火墻上的ACL阻止的網絡服務來獲得訪問權限。”
組織在將數據放入云平臺中時犯下的另一個常見錯誤是假設數據存儲安全性已經得到解決。云存儲用戶通常會誤以為云平臺本身就具有固有的安全性。實際上,大多數云計算存儲運營商都采用分擔責任的概念,在這種概念下,云計算提供商負責云平臺的安全,而客戶需要自己負責云中內容的安全。
避免隨意的數據管理
組織通常會因無法正確控制信息流而使其存儲資源容易受到攻擊。
Zuckerman說:“這可以允許數據進入任何系統,不一定是需要這些數據的系統,或在停用或重新使用資源時沒有正確刪除數據。組織可能會讓客戶處于危險之中,因為他們會保留舊服務器上的數據,比如社會保險號碼或信用卡信息。”
隨意的數據管理是另一個重要的數據存儲安全錯誤。IT和安全咨詢機構Oram Corporate Advisors公司首席執行官Ryan O'Ramsay Barrett說:“組織應該根據所需的安全級別對所有業務數據進行分類,還應該始終知道所有數字和紙質副本數據的存儲位置。”
組織可以通過實施3-2-1備份方法來跟蹤其數據副本的位置。這意味著在兩種不同類型的存儲介質上存儲三個副本(一個主副本和兩個備份),其中一個副本存儲在異地。
另一個嚴重錯誤是缺乏基本的安全協議。Barrett說:“每個組織都應采用最小特權原則,這意味著只有真正需要它來執行其工作職能的員工才能訪問存儲的數據。此外,這意味著要使用標準防火墻、防病毒和反惡意軟件程序,并隨時對其進行更新。”
勒索軟件對大多數組織都是一個挑戰,但許多組織可以通過實施強大的安全技術、實踐和培訓方法來保護其存儲的數據。正確的備份策略可以在很大程度上保護數據免受勒索軟件的攻擊。例如,如果磁帶備份離線存儲并且沒有連接到網絡,則網絡攻擊者無法訪問這些數據。
Barrett說:“組織可以通過定期備份來保護存儲的數據。如果發生最壞的情況,并且存儲資源被破壞,組織仍將擁有備份的數據,這可以防止網絡攻擊者的勒索。”
