數據依然成為企業運行的血液，其每次互動時從客戶那里收集信息，并以此提高效率、提高敏捷性并提供更高水平的服務。數據收集越多、越重要，大數據環境下，數據自然成為黑客眼饞的目標。

[[436810]]

隨著時間一天天過去，證據越來越多顯示數據越來越重要，對數據的攻擊越來越頻繁。根據國外有關報道，在過去幾個月中，我們看到了針對Neiman Marcus、Facebook和Robinhood股票交易應用程序的大規模數據泄露。當然，這些都不是孤立安全事件，通觀近年來，全球數據泄露事件的數量平均每天接近 3 起。統計數據表明，一般企業都沒有時間對其數據進行防御，但是數據又非常重要，根據國外安全網站總結的五個步驟，我們一起看看如何保護各類規模企業的數據。

第一步：審查和調整數據收集標準

企業提高客戶數據安全性，需要采取的第一步是審查自身收集的數據類型以及原因。大多數進行這項工作的公司最終都會發現，隨著時間的推移，收集到的客戶信息的數量和種類遠遠超出了企業的原始意圖。例如，收集客戶姓名和電子郵件地址等信息是相當標準的。如果這就是企業存檔的全部內容，基本上就不會成為攻擊者的有吸引力的目標。但是，如果企業擁有云呼叫中心或任何類型的高接觸銷售周期或客戶支持，可能會收集家庭住址、財務數據和人口統計信息，然后會收集一個非常適合身份盜用的數據集到野外。因此，在評估每個收集到的數據點以確定其價值時，企業應該問自己：這些數據促進了哪些關鍵業務功能。如果答案是否定的，應該清除數據并停止收集。如果有一個有效的答案，但不是關鍵的功能，企業應該權衡數據創造的好處與如果數據在泄露中暴露可能遭受的損害。

第二步：最小化數據訪問

減少要保護的數據量后，下一步是通過最大限度地減少訪問數據的人員來減少數據的攻擊面。訪問控制在數據保護中發揮著巨大的作用，因為竊取用戶憑據是惡意行為者進入受保護系統的主要方式。出于這個原因，企業需要將最小特權 (PoLP) 原則應用于其數據存儲庫以及連接到系統。最小化對數據的訪問還有另一個有益的副作用：它有助于防止內部威脅導致數據泄露。研究公司 Forrester 預測，今年有31% 的數據泄露事件是由內部威脅導致的，同時這一數字只會在此之后繼續增長。因此，首先通過將敏感的客戶數據從大多數員工手中排除，企業可以同時應對內部和外部威脅。

第三步：盡可能消除密碼

即使在減少了可以訪問客戶數據的人數之后，企業仍然可以通過另一種方式讓黑客更難獲得這些數據。為了盡可能避免將密碼作為主要身份驗證方法。根據 2021 年 Verizon 數據泄露調查報告，去年所有數據泄露中有 61%涉及使用憑據、被盜或其他方式。因此，從邏輯上講，需要擔心的憑據越少越好。還有一些方法可以減少對傳統密碼身份驗證系統的依賴。一種是使用雙因素身份驗證。這意味著賬戶需要密碼和限時安全令牌，通常通過應用程序或短信提供。但更好的方法是使用硬件安全密鑰。依靠牢不可破的加密憑證來控制數據訪問的物理設備。雙因素身份驗證的使用，網絡釣魚和其他社會工程攻擊的威脅大大減少。雙因素身份認證是當前最好的安全身份驗證方法，至少在像 Hushmesh 這樣的解決方案成為主流之前是這樣。

第四步：加密靜態和動態數據

雖然憑證泄露確實是造成數據泄露的最大威脅，但不是唯一的威脅。攻擊者總是有可能利用軟件缺陷或其他安全漏洞繞過正常的訪問控制方法并訪問客戶數據。最糟糕的是，此類攻擊既難以檢測，而且一旦發生就更難阻止。這就是為什么任何稱職的數據保護計劃的第四步是確保所有客戶數據始終保持加密狀態。這意味著使用在數據通過時采用強加密的軟件、采用加密的網絡硬件和組件，以及允許靜態數據加密的數據存儲系統?？梢宰畲笙薅鹊販p少攻擊者在沒有憑據的情況下可以獲得的數據訪問權限，并且可以在確實發生違規時幫助控制損害。

第五步：制定數據泄露響應計劃

不管你怎么看，這世界從來都不存在完美的網絡安全。攻擊者總是在努力尋找可以利用的弱點。做好準備的企業將消除或減少其中的許多風險。但這并不意味著數據安全固若金湯，沒有泄露的可能性。這就是客戶數據保護框架的最后一步是制定數據泄露響應計劃的原因。如果攻擊者確實獲得了對客戶數據的訪問權限，應該為企業提供路線圖以幫助其做出響應。該計劃應不遺余力地詳細說明內部 IT 團隊應如何應對、首選的 3rd 方安全顧問是誰以及如何將違規通知客戶通知等所有內容。最后一部分很可能是最重要的。在數據泄露之后，企業如何讓其客戶變得完整可以決定反彈程度(如果有的話)。例如，與消費者安全公司合作，在數據泄露后為受影響的客戶提供金融欺詐保護和身份保護可能是明智之舉。這將降低任何進一步損害企業聲譽的后續事件的風險。

底線

一個簡單的事實是，尚未遭受數據泄露的企業可以說是正在用借來的時間運營。而且他們的數據泄露的可能性很大。但應用框架將大大有助于將賠率轉回對他們有利的局面。將最大程度地降低數據泄露的風險，限制確實發生的損害，并幫助公司處理后果。在網絡安全這個不完美的世界中，沒有任何企業可以要求更多。

參考來源：The hacker news