用戶視角下的數據安全需求、挑戰與演進
隨著公共云、私有云、混合云和多云平臺的加速發展與應用,企業關鍵和敏感數據資產的數量也在激增,隨之而來的安全風險不斷加劇。為進一步了解當今企業用戶在數據安全方面的需求、挑戰與發展趨勢,數據隱私保護企業BigID日前對400多名企業安全管理人員進行了調查,調查發現:
- 大部分受訪用戶表示,目前已經開始重視對企業中非結構化數據(Unstructured data)和暗數據(dark data)的發現與管理,但是現有的技術能力難以支撐。
- 絕大多數受訪用戶不能確定是否已經對企業內部的關鍵/敏感數據進行了全面清點和分類管理,同時,對云上數據的安全管理比本地數據更具有挑戰性。
- 體系化防護已經成為企業數據安全防護的主要演進趨勢,良好的互操作性(Interoperability)是目前大多數企業進行安全投資規劃時所考慮的關鍵因素之一。
- 近3成受訪用戶對其現有的數據防泄漏(DLP)工具應用效果并不滿意,新一代DLP技術發展要滯后于用戶對數據保護需求的增長。
- 實現數據安全管理需要企業內部多部門有效協同,跨部門合作對于數據資產保護意義重大。
增強對暗數據和非結構化數據的防護
暗數據常常不為企業所知,但通常卻占據企業所有數據的一半以上,且多為高敏感數據,包含諸如信用卡信息、知識產權、財務數據、需要被高度監管的數據等類別。本次調查數據顯示,有84%的受訪者表示十分重視企業暗數據的防護管理。更重要的是大多數暗數據都是非結構化的,非結構化數據是指未以常見數據庫格式結構化的數據,包括文件、文檔、電子表格、文本等,非結構化數據可能會在整個數據生態系統中快速擴散。
【企業對暗數據的重視程度調查】
傳統的數據管理工具通常采用基于規則的檢測原理對數據進行發現和管理,且被檢測的數據源覆蓋范圍不能過大。通過傳統的檢測規則如正則表達式 (RegEx)、關鍵字和模式匹配對非結構化數據的關鍵特征和敏感信息的識別難以實現,而且基于傳統數據的發現和管理規則來管理非結構化數據,可能會產生很多干擾信息,導致高誤報率或數據分類不準確。
據研究機構IDC預測,到2025年,全球將有163 ZB的數據,其中80%將是非結構化的。本報告在調查中也發現,超8成的受訪者認為非結構化數據是最難發現和管理的數據類型。其次是半結構化(Semi-structured)數據。而企業如果想要加強對非結構化數據的發現與管理,需要通過先進的機器學習(ML)和人工智能(AI)技術來增強傳統數據安全方法,以此來解決非結構化數據處理過程中的復雜性。
數據資產發現水平有待提升
本次調查發現,大部分企業缺乏對數據發現、分類和管理的綜合能力。數據發現是實現數據安全防護的基礎,企業必須實現對內部數據的完整發現覆蓋,并對所有類型的文件類型和數據環境進行防護。調查顯示,只有8%的受訪者對自身發現所有敏感/關鍵數據的能力充滿信心。
【數據發現能力滿意度調查】
此外,雖然企業云化在不斷加深,但很多企業在過去多年里已經建立了龐大的線下數據庫,在向云上遷移的過程中,很多企業正處于“云上”+“非云”的混合環境中。對于云上、本地、混合環境的數據發現和安全實踐同樣重要。調查顯示,當今大多數的數據發現方案都主要針對云環境,并不支持本地和混合環境,幾乎所有的受訪者都表示跨云發現數據與跨本地發現數據一樣具有挑戰性。39%的受訪者認為在本地環境中發現數據具有挑戰;38%的受訪者認為在云環境中發現數據具有挑戰;22%的受訪者表示在端點設備等發現數據具有挑戰。
【數據發現挑戰性調查】
對數據的分類與發現數據同樣重要。只有6%的受訪者自信的認為可以根據數據的敏感性和重要性進行分類,當然這一調查結果在意料之中,因為通過上述內容我們知道非結構化數據因為其固有的復雜性非常難以進行分類和管理。
【企業對數據的理解和分類能力水平調查】
不同行業對于數據分類的標準就是不同的,比如醫療行業、零售行業等對不同數據的分類要求都是不同的,沒有統一的標準,因此不同的企業在進行數據分類管理的時候,需要建立針對性的數據分類標簽框架。
自動化技術對開展數據保護意義重大
一些企業通過“廣撒網”的安全管理策略,希望通過盡可能多的安全產品或工具,以實現對所有數據資產的覆蓋管理是一種“賭運氣”的做法,而且十分低效。由于不能實現對所有數據資產的清點和可視化管理,他們就是在盲目地執行自認為正確的數據防護策略。調查顯示,有7%的受訪者非常堅信他們正在執行有效的數據防護方案,另外73%的受訪者對正在實行的方案表示認可;而僅有8%的受訪者對現有的數據安全能力表示懷疑或者非常不認同。
【數據防護方案認可度調查】
研究人員表示,企業安全管理人員需要對其執行數據安全策略的能力有更準確的認知和了解,這才能夠保證他們有效開展所有類型(結構化、非結構化…)、所有平臺上(本地、云端…)的數據防護方案,同時能夠針對不同的數據采取正確的執行策略。此外,當防護策略執行后,安全人員還要對防護效果進行驗證和評估。
在安全事件發生后,迅速地采取有效的補救措施來降低影響和損失,也是實現數據安全防護的重要因素,但遺憾的是,本次調查發現,50%以上的受訪者對其企業的數據修復能力并不滿意。
【企業修復數據能力滿意度調查】
數據修復要從查找數據開始,進而創建當前現有的和完整的數據資產清單,接下來無論要對數據進行最小化、隔離、刪除、屏蔽或采取其他措施都需要具備對數據的可視化管理能力。
受訪者表示,要想保證數據修復工作的高效簡便,就需要將修復工作準確地分配給合適的人員,但不幸的是,現階段大多數企業內部都是將傳統的數據管理和安全單點工具“堆積”起來,這些拼湊起來的工具很“脆弱”,相互之間缺乏關聯性,并沒有對整個企業環境形成覆蓋,且容易出現故障,不支持對海量數據的拓展和修復。
目前應用的數據安全工具大多缺乏人工智能和機器學習能力,自動化能力對提升安全團隊準確性,減少無誤具有重要意義。調查顯示:54%的受訪者對企業數據管理工具的自動化能力水平不滿意。他們表示數據防泄漏(DLP)等傳統工具均需要手動部署、配置、調整和維護,這使得效率低下并增加了人為錯誤的風險。
【企業數據安全防護自動化方案滿意度調查】
數據防泄漏(DLP)是業界應對敏感或關鍵數據挑戰的有效方法。但是,本次調查發現,與多數傳統安全解決方案一樣,數據防泄漏技術的發展速度無法跟上當今環境的發展步伐,更不用說與未來的數據應用環境保持同步了。有22%受訪者表示對其目前使用的數據防泄漏工具不滿意,認為其無法充分滿足企業的數據防護需求。
【數據防泄漏工具滿意度調查】
傳統的數據防泄漏工具主要通過安全控制點來保護本地環境,且大多數基于策略匹配模式,這限制了對非結構化數據分類發現的能力。雖然現階段數據防泄漏工具在安全防護方案中仍不可或缺,但卻無法對企業提供完整的安全防護,因此企業需要采取一些新型的防護手段(如上述提及的自動化技術)來對傳統的DLP進行補充和提升,進而滿足新場景下企業對數據泄漏防護的需求。
企業需要基于自動化技術的靈活數據修復方案,安全團隊需要根據自動化編排方案對團隊人員進行合理的工作分配。自動化技術對于企業數據安全管理意義重大。
數據安全與隱私保護不可分割
調查發現,80%的受訪者認為,企業團隊之間共享完整的數據資產清單對安全防護策略的制定至關重要。很多時候,數據安全和隱私保護在很大程度上被視為兩種不同類型的工作,負責數據安全的團隊和負責數據隱私的團隊都有一套獨立的工作流程或工具。但現如今,數據安全團隊需要對所有數據進行保護控制,而數據隱私則要重點關注與這些數據有關的個人或消費者權利,協同合作才是達成共贏的有效方法。
【數據共享認同度調查】
隨著安全和隱私團隊的需求開始融合,企業必須通過一套雙方都可以依賴的共享工具和流程來支持這種協作關系,為兩個團隊提供敏感數據資產發現和修復相關的信息,以滿足隱私和安全計劃,這種共享可以解決多方的需求,同時為企業節省了時間和資金。
在對受訪者的未來安全防護重點方向的調查中,大多數受訪者都認為,系統化、可聯動的數據安全整體解決方案才能實現更好的防護效果,因此會將安全產品的互操作性(Interoperability)作為安全投資規劃時的重要考慮因素。有92%的受訪者認為在采購安全產品時,其互操作性會是關鍵選型因素之一。
【互操作性關注度調查】
在考慮未來的安全產品供應商時,多數大型企業組織更愿意不斷增強現有的數據安全能力而非直接替換或重建。增強現有工具可以盡可能避免直接進行工具替換可能導致的IT中斷問題。同時對于新技術的引入,企業表示更希望安全廠商可以提供通過API主導的無縫集成方案,且能夠盡可能豐富和增強現有的安全能力,進而讓用戶自身能從現有的投資中獲取更多價值。
