企業(yè)組織機(jī)構(gòu)的受攻擊面正在持續(xù)不斷的擴(kuò)大。而隨著數(shù)據(jù)信息越來越被分散到跨云服務(wù)、移動(dòng)設(shè)備、遠(yuǎn)程設(shè)備、合作伙伴及其他第三方環(huán)境,使得網(wǎng)絡(luò)邊界也正在消失。進(jìn)入網(wǎng)絡(luò)的多入口點(diǎn)已經(jīng)出現(xiàn),使得原本就已經(jīng)相當(dāng)復(fù)雜的數(shù)據(jù)盜竊者在全球范圍內(nèi)團(tuán)結(jié)起來,創(chuàng)造出了專業(yè)的列表數(shù)據(jù)盜竊業(yè)務(wù)。那么,企業(yè)組織機(jī)構(gòu)要如何應(yīng)對(duì)這一狀況呢?根據(jù)IDG研究服務(wù)在2016年3月所進(jìn)行的一項(xiàng)調(diào)查顯示,企業(yè)的IT領(lǐng)導(dǎo)者們都已經(jīng)意識(shí)到了這一新的數(shù)據(jù)安全風(fēng)險(xiǎn)以及以數(shù)據(jù)為中心的加密技術(shù)在減緩這些相關(guān)風(fēng)險(xiǎn)方面所發(fā)揮的作用。然而,與此同時(shí),許多企業(yè)組織機(jī)構(gòu)似乎已經(jīng)被迅速轉(zhuǎn)變的安全環(huán)境搞得不堪重負(fù)。他們承認(rèn),他們?cè)诔浞植捎脭?shù)據(jù)級(jí)保護(hù)作為通往實(shí)現(xiàn)對(duì)各種狀態(tài)的數(shù)據(jù)(包括靜態(tài)、傳輸過程中、使用中的數(shù)據(jù))的安全保護(hù)的一個(gè)路徑方面并沒有取得足夠的進(jìn)展。
這項(xiàng)最新的調(diào)查發(fā)現(xiàn),大多數(shù)企業(yè)組織機(jī)構(gòu)的安全部署都遵循了容器級(jí)別的加密方法,而不是更安全的數(shù)據(jù)級(jí)別的加密方法。但其實(shí)企業(yè)組織對(duì)于在最高水平確保數(shù)據(jù)的安全性的重要性是非常了解的。采取積極主動(dòng)的數(shù)據(jù)安全保護(hù)戰(zhàn)略,將降低企業(yè)風(fēng)險(xiǎn),也有助于保護(hù)企業(yè)的品牌和聲譽(yù)。
保護(hù)靜態(tài)數(shù)據(jù)是最重要的
據(jù)IDG的受訪者表示,企業(yè)組織機(jī)構(gòu)將其大部分的精力和預(yù)算用在于基于容器的數(shù)據(jù)安全性和靜止數(shù)據(jù)保護(hù)方面,例如存儲(chǔ)在數(shù)據(jù)庫(kù)中的的數(shù)據(jù)(見下圖1)。
有近四分之三(72%)的受訪者表示,其所在的企業(yè)組織將靜態(tài)數(shù)據(jù)的安全性排在最為 關(guān)鍵 的位置。相比之下,只有約一半(50%)的受訪者表示,他們所在的企業(yè)組織將跨網(wǎng)絡(luò)傳輸過程中的數(shù)據(jù)的安全性視為最關(guān)鍵的,而較高比例( 57%)的受訪者表示,保護(hù)正在使用的數(shù)據(jù)(應(yīng)用程序數(shù)據(jù))的安全性是其所在企業(yè)的重中之重。
問題在于,敏感數(shù)據(jù)是未受保護(hù)的,且正在被應(yīng)用程序、分析師、業(yè)務(wù)流程用戶和數(shù)據(jù)科學(xué)家所使用,故而是非常脆弱的,極易受到網(wǎng)絡(luò)攻擊。業(yè)內(nèi)專家顯示,在一個(gè)應(yīng)用程序中的數(shù)據(jù)或跨一個(gè)網(wǎng)絡(luò)正在傳輸過程中的數(shù)據(jù)更容易被外部盜竊。一些報(bào)告顯示,超過80%的數(shù)據(jù)泄露事件均發(fā)生在應(yīng)用程序級(jí)別。
圖1、企業(yè)數(shù)據(jù)安全保護(hù)優(yōu)先級(jí):
數(shù)據(jù)資料來源:IDG研究服務(wù);基于對(duì)54家受訪企業(yè)的問卷調(diào)查
而一個(gè)好消息則是:該項(xiàng)調(diào)查的結(jié)果描繪了一副企業(yè)的安全管理愿景正朝著爭(zhēng)相打造數(shù)據(jù)安全,以推動(dòng)業(yè)務(wù)目標(biāo)轉(zhuǎn)型,并遵守日益嚴(yán)格的數(shù)據(jù)隱私保密監(jiān)管要求方向過渡。
例如,已經(jīng)意識(shí)到數(shù)據(jù)保護(hù)和加密的益處的企業(yè)所占的比例是相當(dāng)高的(見下圖2)。但是,盡管有超過四分之三(76%)的受訪者表示數(shù)據(jù)加密有助于減輕數(shù)據(jù)泄露的風(fēng)險(xiǎn),超過一半(52%)的受訪者也將其歸結(jié)為在新的平臺(tái)(云服務(wù)、移動(dòng)設(shè)備、大數(shù)據(jù))的數(shù)據(jù)保護(hù),并恰好有一半(50%)的受訪者將其歸結(jié)為行業(yè)安全合規(guī)性。
簡(jiǎn)而言之,在數(shù)據(jù)級(jí)別的加密(要比容器級(jí)別的加密方法更具細(xì)粒度)是對(duì)靜態(tài)數(shù)據(jù)、及傳輸和使用中的數(shù)據(jù)進(jìn)行安全保護(hù)的關(guān)鍵。
圖2、企業(yè)組織機(jī)構(gòu)實(shí)施數(shù)據(jù)保護(hù)和加密的益處:
數(shù)據(jù)資料來源:IDG研究服務(wù);基于對(duì)54家受訪企業(yè)的問卷調(diào)查
企業(yè)如何保護(hù)他們的數(shù)據(jù)
那么,企業(yè)組織機(jī)構(gòu)在今天如何保護(hù)他們的數(shù)據(jù)安全呢?大部分受訪者表示,他們保護(hù)數(shù)據(jù)是在整個(gè)磁盤級(jí)別(56%)和數(shù)據(jù)庫(kù)級(jí)別(50%)和文件級(jí)別(48%)。然而,所有這些都是采用的容器級(jí)別的方法,并沒有考慮數(shù)據(jù)不會(huì)停留在一個(gè)地方的事實(shí)。當(dāng)數(shù)據(jù)移動(dòng)時(shí),受保護(hù)的數(shù)據(jù)容器之間的間隙會(huì)突然出現(xiàn)。與之相反,在數(shù)據(jù)級(jí)別的加密保護(hù)的數(shù)據(jù),無(wú)論數(shù)據(jù)是什么狀態(tài)、位于何處,都是受保護(hù)的。
調(diào)查受訪者喬爾 羅森布拉特,紐約哥倫比亞大學(xué)信息安全辦公室(CISO)網(wǎng)絡(luò)和計(jì)算機(jī)安全主管這樣解釋道:
幾乎所有的網(wǎng)絡(luò)安全事故都是以某種形式的網(wǎng)絡(luò)釣魚開始的 獲得某人的網(wǎng)絡(luò)訪問憑據(jù)并使用該憑據(jù)來訪問數(shù)據(jù)。對(duì)于企業(yè)數(shù)據(jù)的盜竊行為迫使企業(yè)需要對(duì)其數(shù)據(jù)庫(kù)實(shí)施加密,同時(shí)也妨礙了企業(yè)自己也用戶訪問數(shù)據(jù)庫(kù)。 他說。 但是,如果數(shù)據(jù)是字段加密的,那么,即使有人盜走了整個(gè)數(shù)據(jù)庫(kù),也將無(wú)法讀取(因?yàn)槟阋呀?jīng)加密了字段)。這是不容易做到的,但它會(huì)為你的數(shù)據(jù)提供真正的安全。
解釋和建議
一些企業(yè)可能會(huì)堅(jiān)持采用那些熟悉的安全方法,但這卻是以可能面臨新的風(fēng)險(xiǎn)為代價(jià)的。這一點(diǎn)已經(jīng)被調(diào)查結(jié)果所證實(shí),調(diào)查顯示,當(dāng)前企業(yè)組織重點(diǎn)都是采用基于容器的方法。
然而, 支持不斷變化的環(huán)境的能力 卻是受訪者們所列出的對(duì)于安全的第二大障礙(46%),而排名第一的障礙則是長(zhǎng)期的安全管理的困難(57%)。今天的安全形勢(shì)要求更新的技術(shù),能夠通過借助加密數(shù)值或隨機(jī)token,更換原始數(shù)據(jù),來屏蔽敏感的信息。
標(biāo)記化(Tokenization)和格式保留加密(format-preserving encryption,F(xiàn)PE)就是這樣的兩種方法。兩種方法都涉及到借助加密數(shù)值或隨機(jī)token來替換原始數(shù)據(jù)。例如,AES-FPE采用傳統(tǒng)的高級(jí)加密標(biāo)準(zhǔn)(Advanced Encryption Standard,AES)加密,但卻能夠保持?jǐn)?shù)據(jù)格式不變;數(shù)據(jù)庫(kù)模式和應(yīng)用程序很少或沒有改變是必需的,當(dāng)加密的數(shù)值從大型機(jī)遷移到開放系統(tǒng)時(shí),沒有格式轉(zhuǎn)換是必要的。只有15%的受訪者表示他們所在的企業(yè)組織機(jī)構(gòu)正在使用FPE,不過,也許是因?yàn)檫@種方法太新了。
無(wú)狀態(tài)的密鑰管理是一個(gè)FPE相關(guān)的技術(shù),安全地提取導(dǎo)出了在傳輸過程中的密鑰。這種方法降低了IT成本,并通過消除對(duì)關(guān)鍵數(shù)據(jù)庫(kù)和相應(yīng)的硬件、軟件的需要;以及對(duì)于不斷保護(hù)數(shù)據(jù)庫(kù)的IT流程的需要或從站點(diǎn)到站點(diǎn)復(fù)制或備份密鑰的需要,而簡(jiǎn)化了管理負(fù)擔(dān)。
標(biāo)記化被支付卡行業(yè)(PCI)所廣泛采用,因?yàn)槠溆兄鴩?yán)格的客戶信息保護(hù)要求。30%的受訪者表示說,他們使用了這種方法。一個(gè)較新的形式,稱為無(wú)狀態(tài)的標(biāo)記化,阻止企業(yè)將高度敏感的客戶數(shù)據(jù)和其他數(shù)據(jù)存儲(chǔ)在數(shù)據(jù)庫(kù)中,隨機(jī)產(chǎn)生的token與實(shí)際的個(gè)人賬戶沒有任何關(guān)系。PCI認(rèn)為標(biāo)記化的數(shù)據(jù)系統(tǒng)超出了掌控范圍之外;而沒有通過PCI審核的標(biāo)記化系統(tǒng)降低了合規(guī)性要求,復(fù)雜性和企業(yè)的成本。
結(jié)論
安全風(fēng)險(xiǎn)和解決方案已經(jīng)從多個(gè)維度方面獲得了增長(zhǎng),而隨著企業(yè)組織的數(shù)據(jù)溢出企業(yè)邊界,到達(dá)云服務(wù)和數(shù)據(jù)湖、以及移動(dòng)網(wǎng)絡(luò)和公共互聯(lián)網(wǎng)連接,則應(yīng)該適用新的規(guī)則。在數(shù)據(jù)級(jí)別上的數(shù)據(jù)加密有助于對(duì)數(shù)據(jù)信息的安全保護(hù),無(wú)論其是處在什么狀態(tài),也不論其是遷移到何處。
對(duì)于那些建立和實(shí)施了新的加密流程的企業(yè)組織機(jī)構(gòu)而言,這一任務(wù)無(wú)疑是相當(dāng)艱巨的,所以業(yè)界專家建議企業(yè)組織不妨從最敏感的數(shù)據(jù)開始,然后將是最有價(jià)值的數(shù)據(jù)。這將幫助你企業(yè)制定一個(gè)框架,來解決你企業(yè)所有的數(shù)據(jù)平臺(tái)、應(yīng)用程序、大數(shù)據(jù)和物聯(lián)網(wǎng)(IoT)網(wǎng)絡(luò)、支付處理設(shè)備和預(yù)服務(wù)加密的云服務(wù)格式和標(biāo)記化技術(shù)。
關(guān)于本調(diào)研
IDG研究服務(wù)于2016年3月進(jìn)行了一次快速調(diào)查,以了解當(dāng)前的企業(yè)組織機(jī)構(gòu)是如何應(yīng)對(duì)他們的數(shù)據(jù)安全挑戰(zhàn)的,以及他們的數(shù)據(jù)保護(hù)優(yōu)先級(jí)順序及其相關(guān)安全保護(hù)解決方案采用計(jì)劃。這項(xiàng)調(diào)查研究涉及到跨多個(gè)行業(yè)和公司規(guī)模的54名IT專業(yè)人士。
加密術(shù)語(yǔ)表
數(shù)據(jù)庫(kù)級(jí)別的加密 在關(guān)系數(shù)據(jù)庫(kù)中的元素級(jí)別的粒度加密,如數(shù)據(jù)庫(kù)中的列(column)或字段(field)。
數(shù)據(jù)級(jí)別,格式保留加密(format-preserving encryption,F(xiàn)PE) 在字段或子字段級(jí)別的加密方法,用來通過將某些特定的明文格式轉(zhuǎn)換成密文格式進(jìn)行加密,來護(hù)結(jié)構(gòu)化和半結(jié)構(gòu)化的數(shù)據(jù)。某些FPE方法也將保留數(shù)據(jù)的邏輯值,如參照完整性和日期范圍。
Data Masking(數(shù)據(jù)屏蔽) 利用隨機(jī)字符隱藏原始數(shù)據(jù);或在字段中的數(shù)據(jù)保護(hù)敏感數(shù)據(jù)。
文件級(jí)別的加密 由一個(gè)文件系統(tǒng)對(duì)單個(gè)文件或目錄進(jìn)行加密保護(hù)。
標(biāo)記化(Tokenization) 用等效的、沒有外在或利用意義和價(jià)值的非敏感數(shù)據(jù)替換一個(gè)敏感數(shù)據(jù)元素的過程,例如信用卡號(hào),簡(jiǎn)稱為 token 。
