后疫情時代,五大步驟教你應對內部風險
根據相關統計數據顯示,與新冠疫情爆發之前相比,員工泄露文件的可能性增加了85%。事實是,在新冠疫情之前,數據安全風險正在增長,因為公司通過云計算優先考慮速度和協作。但是,當我們通過新的方式上傳、下載、發送電子郵件、聊天和同步共享時,這些充滿力量和希望的新工作方式現在也成為了企業最大的數據安全風險。
真正的問題是,數據安全范式還沒有跟上,讓數據安全團隊從后面追趕,對日益增長的內部風險視而不見。同時,由于阻礙了速度、獨創性和創新,使用戶感到沮喪。
內部風險管理:基于風險、以數據為中心的方法
內部風險是任何數據暴露事件(安全、合規或競爭性質)危及公司及其員工、客戶和合作伙伴的財務、聲譽或運營福祉。雖然內部風險聽起來像是內部威脅的同義詞,但事實并非如此;必須做出重要區分。內部威脅關注的是一個特定的人或實體,而內部風險則關注的是數據。
內部風險的核心是一個數據保護問題。傳統的、基于政策的方法,如DLP、CASB和UEBA,側重于合規性,最多只能提供一種保護的感覺。當封鎖被作為事實上的反應時,組織在員工的生產力和安全團隊的內部聲譽方面受到影響。不可避免的是,這些方法導致風險被安全團隊的噪音所淹沒--他們試圖維持分類和政策,但卻永遠無法真正達到只阻止威脅而不阻止其他的目標。相比之下,內部風險管理提供了一個以數據為中心的方法,它確保了對數據使用政策的遵守,建立了一個更具風險意識的文化,并加快了安全價值的實現時間。
管理內部風險的框架
越來越多的企業組織認識到,內部風險是一個普遍存在的問題,傳統的方法無法解決。事實上,根據Forrester的數據顯示,71%的安全決策者認為傳統的數據損失處理方法是行不通的。內部風險是一個復雜而微妙的問題,這就是為什么基于政策的方法,需要絕對的知識來標記所有有價值的數據和對所有威脅載體的準確預測,根本無法跟上步伐。你不能明確地阻止內部風險,你也不希望這樣做。相反,一個更聰明的方法旨在通過五個基本步驟了解、衡量和管理內部風險。
(1) 識別:組織的數據在哪里和什么時候暴露在內部人員的風險之下?
你不能管理你看不到的東西。但是,傳統的基于政策的數據安全工具只能尋找你告訴他們要尋找的東西,從而留下巨大且不斷增長的盲點。內部風險管理的第一步是將正確的工具和技術落實到位。至關重要的是,你可以在風險的三個維度上監控所有的數據活動:所有的文件(不僅僅是受管制的或分類的文件),所有的載體(網絡上和網絡下的設備,云應用程序等),以及所有的用戶。
(2) 界定:什么數據風險是組織不能接受的?
直到最近,風險容忍度的概念在數據安全領域幾乎是異端邪說。現在,幾乎所有的組織都承認他們必須容忍某種程度的內部風險,以實現在當今商業環境中生存和發展所需的敏捷性、速度和創新。一旦你對你的數據暴露的地方有了全面的可見性和背景,你就需要對整個組織的內部風險容忍度進行調整--這樣你的安全團隊就可以開始定義一個受信任與不受信任的活動和場景的清單。同樣,你不能希望定義所有的可能性--而是要專注于代表內部風險領先指標的常見內部人員行動。
(3)優先排序:組織最關心的數據在什么時候風險最大?
界定內部人員風險容忍度的藝術為確定風險指標的優先次序的科學鋪平了道路。也就是說,利用圍繞數據活動的豐富背景,對內部人員風險的領先指標進行三角測量。有了正確的數據安全技術,你的安全團隊將擁有上下文的可視性,使他們能夠使用這些內部風險指標來優先考慮某些類型的風險--如源代碼外泄、可疑的文件類型不匹配、同步到個人云存儲和離職的員工--而不是較低嚴重性的事件。
(4)自動化:如何最好地應對內部人員風險?
正如一攬子封鎖政策不能適用于所有用戶和所有數據一樣,對內部風險也沒有一個放之四海而皆準的回應。你的安全團隊應該與業務線領導合作,為你優先考慮的內部風險事件創建適當規模的反應。也許同樣重要的是,你需要將技術落實到位,使你能夠建立高度自動化的內部風險響應工作流程,結合一系列與事件嚴重性相適應的人力和技術響應,而不給安全團隊帶來過多負擔。
(5)改進:正在做的事情是否真的有效?
這最后一步在傳統的基于政策的方法中顯然是缺乏的。內部風險范式承認內部風險是不斷發展的,將永遠存在,并且不能(不應該)被完全阻止。這使得將工具和流程落實到位,以衡量(定性和定量)、完善和優化你的整體內幕風險態勢--利用風險情報和學習,隨著時間的推移變得更聰明和更好,這一點至關重要。
新范式:毫不妥協的數據安全
隨著數字化的不斷加速,內部數據風險也在不斷增加。我們不能忽視對新的數據安全范式的需求,以適應未來的工作需求。安全團隊需要有能力優先處理最重要的風險,同時在網絡內外查看所有數據活動,跨所有載體和所有用戶。為了實現這一目標,他們需要看到更深層次的背景,以便從合法工作中分辨出風險活動。他們需要有能力協調高度自動化、規模適當的反應。而且,最重要的是他們需要致力于不折不扣地完成這一切,在保護業務的同時,不犧牲用戶的速度、協作和創新。
