IT:忘记设备,保护数据

渔网
托马斯·法诺 (知识共享BY或BY-SA)

去年六月 怀斯盖特一家来自大众的IT研究公司,对数百名IT专业人士进行了调查,以评估当今业务中安全风险和控制措施的现状。受访者认为恶意软件和敏感数据泄露是主要的安全风险/威胁,其次是恶意的外部风险。

正如4月与CSO的读者分享的那样, BYOD和云采用是推动这些担忧的主要技术趋势。在这里,我们更深入地研究了一种新趋势:信息安全专业人员如何朝着保护数据本身而不是保护设备的实践发展。这些做法是什么,它们的长处和陷阱是什么?

从BYOD策略到云采用,许多因素都在金库中开了小孔,企业可以在其中存储有价值的敏感数据。由于许多组织现在缺乏保护敏感信息的物理参数,而对于数据实际所在的位置知之甚少,因此IT专业人员已将他们的工作转向保护数据本身。

由于无法保证其设备和网络的完整性,CISO正在使用一种称为信息保护和控制(IPC)的新型安全控制。广义上讲,数据保护是由加密技术提供的,而控制则是由数据泄漏预防(DLP)技术提供的。

防止数据泄漏

简单的说, DLP 可以检测带有敏感数据的文件何时离开受保护的服务器。大多数DLP机制很难配置,并且会产生大量噪声。结果,大多数企业选择使用DLP技术来监视功能,警告和报告潜在威胁,而不关闭系统。纯监视器模式的问题在于,当安全团队看到警报并做出相应反应时,黑客已经逃脱了有价值的数据。尽管阻止数据移动会中断工作流并减慢业务流程,但监视方式DLP本身并不是一个足够的安全控制。为了真正保护数据,DLP技术必须混合使用分层防御,包括防御数据本身。

加密

与DLP技术不同,可以使用加密来保护数据。理论上讲,具有足够密钥长度的强大算法将永远保护数据,无论它在哪里,无论谁访问。如果使用正确的密钥管理,则已加密的数据被视为符合法规。

成功的密钥管理是加密的主要弱点之一。管理所有解密密钥并确保只有合适的人才能拥有密钥,并且在密钥过期时进行更新是组织加密中最具挑战性的方面之一。此外,加密也会带来实际问题。尽管可以对固定数据进行加密和存储,但对于动态应用程序数据而言,此过程过于繁琐,因此难以执行操作。

代理服务器和内部密钥存储是一些组织用来提高数据安全性的另外两个步骤。两种系统都降低了攻击者访问数据的能力,但是,这两种方法都不能解决操纵加密数据的问题。同态加密已被视为圣杯,它将弥补我们使用动态但加密数据的需求。但是,此解决方案仍处于测试阶段,还不是功能正常的安全产品。

正如安全机制变得更加复杂一样,恶意攻击者部署的策略也是如此。如果没有健全的多方面安全系统,即使是受保护最多的数据也容易受到黑客的攻击。如今,关于数据黑客的问题不是如何,而是何时。实施不仅可以使组织做好准备,进行保护和做出反应的战略,而且还可以增加可能成为黑客的机会成本,这将是数据防御不可或缺的部分。

Elden Nelson是Wisegate的总编辑,Wisegate是一个私人人群,为高级IT专业人员(包括CSO和CISO)提供IT研究服务。

有关:

版权© 2015 IDG通讯,Inc.