如何在2023年防止数据泄露

在当前的网络安全环境中防止数据泄露的关键是准确了解它们是如何发生的并覆盖您的整个攻击面。剖析数据丢失，并展示可能影响数据安全的具体弱点。

数据泄露数量呈上升趋势

年复一年，数据泄露数量不断增加。根据身份盗窃资源中心的 2021 年度数据泄露报告，2021 年，组织报告了 1862 起数据泄露事件，而 2020 年为 1108 起。

虽然最大的数据泄露事件如 Equifax 或 Yahoo 成为头条新闻，不一定与数字有关。

对于小型企业而言，看似轻微的安全漏洞可能会产生严重后果，甚至导致倒闭。

在不稳定的行业中，丢失的敏感数据类型，例如信用卡号、财务信息或医疗数据，可能会招致巨额罚款，并对此类数据的所有者产生重大影响。

数据泄露事件的增加主要归因于对数据的犯罪兴趣不断增加。我们越是迈向数字社会，数据对犯罪分子的价值就越高。

社会安全号码等机密信息与其他个人数据或个人信息的泄露可能使网络犯罪分子可以轻松地在数字世界中冒充身份。

事实上，大多数数据泄露都是犯罪活动的结果。身份盗窃资源中心将网络钓鱼和勒索软件列为主要的安全威胁和数据泄露的根本原因。

它还指出，2021 年与网络攻击相关的数据泄露事件 (1,603) 多于 2020 年的所有数据泄露事件 (1,108)。

网络攻击剖析

缺乏对网络安全的了解可能是并非所有组织都具有足够的数据泄露预防措施的主要原因之一。

这可能部分归因于媒体，它关注网络钓鱼和勒索软件等流行术语，并让许多人相信，如果他们能够很好地防范这两种类型的网络攻击，他们就可以高枕无忧了。

不幸的是，这与事实相去甚远。

几乎每一次网络攻击都是一系列复杂的活动，不仅涉及计算机，还主要涉及人类及其弱点。历史上最著名的恶意黑客，如凯文·米特尼克，不仅是计算机大师，更重要的是，还是社会工程学大师。

导致数据泄露的网络攻击可能需要很长时间，甚至几个月，并且可能意味着攻击者建立对资源的控制，进行侦察，并在此过程中使用许多不同的技术。

例如，攻击者可能首先在组织拥有的一个小型网站（例如营销网站）中发现跨站点脚本 (XSS) Web 漏洞。

同时，他们会发现组织结构并选择关键用户作为目标。然后，目标用户将受到使用先前发现的 XSS 的鱼叉式网络钓鱼攻击。

缺乏数据丢失防护（DLP）将使用户有可能向攻击者公开他们的登录凭据。然后，攻击者将检查相同的凭据是否适用于不同的系统，并可能发现他们可以获得对组织的主要业务 Web 应用程序的访问权限。

这种未经授权的访问可能会导致攻击者发现更多安全风险、获得更多权限，并最终安装一个Web shell，让攻击者可以使用 Web 服务器的操作系统运行命令。

反过来，这将使安装勒索软件成为可能。

如您所见，勒索软件只是攻击的最后一步，如果攻击者可以执行前面的步骤，那么再多的勒索软件保护软件也无济于事。

媒体，甚至身份盗窃资源中心，都将勒索软件视为数据泄露的根本原因（因为这是一个“性感”的术语），而没有关注勒索软件必须首先以某种方式通过计算机系统和人类行为的弱点以某种方式进入系统这一事实。

全面覆盖预防

为避免出现上述示例的情况，组织必须确保其安全策略侧重于全面保护，而不仅仅是为了满足合规性要求。不幸的是，许多组织只达到通过审计和评估的程度，这导致许多攻击面没有得到充分覆盖。

网络安全的处理方式应与物理安全完全相同，如果窗户很容易被打破，在门上安装额外的锁就没有任何优势。

许多组织面临的挑战是网络安全是一个非常复杂的主题，很难找到所有这些门窗。

而当前的网络安全人才缺口并没有帮助那些努力聘请受过良好教育和经验丰富的安全经理的组织。

以下是一些经常没有得到充分保护的区域：

• 人为因素仍然是网络安全的最大风险。教育有助于减少人为错误、疏忽、诈骗和网络钓鱼，但即使您对员工进行了很好的培训，也无助于防止蓄意的恶意行为。恶意软件保护软件不足以阻止人类通过有意和无意的行为造成伤害。它必须与其他解决方案搭配使用，例如数据丢失防护 (DLP)软件。前者防止在端点上安装恶意软件，而后者防止在企业外部手动共享敏感信息，例如，通过社交媒体以及在没有足够数据保护的情况下将其从笔记本电脑硬盘驱动器转移到便携式媒体（加密）。

• 网络攻击的第一阶段通常侧重于人为因素，但其中一些攻击是从寻找计算机系统的弱点开始的。就在几年前，这主要是网络安全问题，一旦安全补丁可用就更新您的系统，向云的迁移和丰富的 Web 技术不仅在应用程序中而且在 API 和移动技术中转移了重点面向 Web 应用程序安全。许多组织仍然活在过去，专注于网络安全，没有尽职调查处理 Web 漏洞和错误配置，而是认为 VPN 和 Web应用程序防火墙就够了。组织也在努力理解云基础设施的复杂性，并认为 CSPM 和 CWPP 等花哨的名称将保护所有层，而错过了关键的应用程序层。

另一个问题是网络安全专家往往无法理解用户心理。一个明显的例子是网络安全团队经常不了解用户使用密码的方法。

通过强制用户输入包含大写字母、数字和特殊字符的密码，大多数人最终使用类似于“Password1!”的密码，这些密码很容易破解，而且根本不是强密码。

强迫用户每个月左右更改密码也只会让他们更改“Password1！” 进入“密码2！” 并在所有系统中重复使用他们的密码。

相反，组织应该采用更新的技术，如多因素身份验证以及生物识别和硬件密钥，并在用户中推广密码管理器等解决方案。

没有简单的方法可以在 2023 年保持最佳安全态势并防止数据泄露。最好的办法是雇用合适的人，确保你没有生活在过去，并了解要涵盖你需要的所有基础许多不同的技术、解决方案和安全措施，从在营销活动中使用花哨的大词的大型安全提供商那里获得昂贵的软件包是不够的。

也许 10 年前不需要 DLP 或 DAST，您可以依赖防病毒软件和防火墙，但在网络安全领域，情况变化非常快，您必须把握住脉搏。

只要您以开放的心态对待网络安全并确保它永远不会成为您组织中的孤岛，您就比许多人更有机会避免数据泄露。

参考资料：数据丢失防护最佳实践

数据丢失防护 (DLP) 工具是成功的数据保护策略的重要组成部分。对于任何捕获或存储数据的组织，DLP 解决方案有助于防止数据泄露并确保遵守数据保护法规。

下载链接：

https://pan.baidu.com/s/1_5yu6Tioi1te0G8j0HNJCw?pwd=e9jv

提取码：e9jv

原文始发于微信公众号（网络研究院）：如何在2023年防止数据泄露