發(fā)布源:深圳維創(chuàng)信息技術(shù)發(fā)布時(shí)間:2020-10-22 瀏覽次數(shù): 次
研究結(jié)果顯示,IBM Security 和 Ponemon Institute兩家研究機(jī)構(gòu)針對(duì)419家公司進(jìn)行調(diào)研,合計(jì)數(shù)據(jù)泄露總成本達(dá)到362萬美元。
每條包含敏感和機(jī)密信息的丟失或被盜記錄的平均成本達(dá)到141美元。
對(duì)比往年,今年企業(yè)和組織數(shù)據(jù)泄露的規(guī)模較以往更大,平均規(guī)模增長(zhǎng)了1.8%。
近年來,全球各地?zé)o論是政府組織還是知名企業(yè),頻繁被爆出大規(guī)模數(shù)據(jù)泄露事件,尤以信息化程度發(fā)達(dá)的國(guó)家更為嚴(yán)重。
研究結(jié)果來自11個(gè)國(guó)家和2個(gè)區(qū)域,從中選擇了419個(gè)組織參加了今年的研究。
通過對(duì)這些組織中的1900多名專家進(jìn)行訪談,以此了解:數(shù)據(jù)泄露中有多少客戶記錄丟失(即泄露規(guī)模)數(shù)據(jù)泄露后他們失去的客戶的百分比(即客戶流失)數(shù)據(jù)泄露的根本原因檢測(cè)和控制泄露事件的時(shí)間發(fā)現(xiàn)和立即響應(yīng)數(shù)據(jù)泄露的活動(dòng)方面花費(fèi),例如取證和調(diào)查,以及發(fā)現(xiàn)后進(jìn)行的活動(dòng),例如通知受害人和法律方面的費(fèi)用通過這些樣本對(duì)數(shù)據(jù)泄露成本進(jìn)行研究和分析,不僅是為了核算成本和趨勢(shì)預(yù)判,最終目的是通過調(diào)研還原這些數(shù)據(jù)泄露事件全貌,為組織和企業(yè)的數(shù)據(jù)安全保護(hù)提供更有參考價(jià)值的建議,我們將報(bào)告中的一些重要觀點(diǎn)摘錄下來,以此作為重要的參考依據(jù),思考在大數(shù)據(jù)時(shí)代下,如何通過行之有效的手段,規(guī)避未來可能會(huì)發(fā)生的泄露事件,為企業(yè)避免為此類負(fù)面事件付出高昂的成本。
數(shù)據(jù)泄露的主要原因報(bào)告顯示,數(shù)據(jù)泄露事件的主要根源中,47%的事件涉及惡意或犯罪行為,25%是由于員工或承包商疏忽(人為因素),28%涉及系統(tǒng)故障,包括IT和業(yè)務(wù)流程故障。
雖然本次調(diào)查沒有涉及中國(guó)的組織和企業(yè),但這一趨勢(shì)與國(guó)內(nèi)諸多安全研究結(jié)果較為一致。
早期,惡意攻擊者的目標(biāo)是業(yè)務(wù)系統(tǒng),以導(dǎo)致業(yè)務(wù)中斷為目的。
近年伴隨數(shù)據(jù)資產(chǎn)價(jià)值與日俱增,惡意攻擊者的目標(biāo)越來越多的指向數(shù)據(jù)存儲(chǔ)基礎(chǔ)設(shè)施-數(shù)據(jù)庫(kù)系統(tǒng)。
針對(duì)數(shù)據(jù)庫(kù)的漏洞攻擊、SQL注入等手段不斷升級(jí),目的正是對(duì)敏感數(shù)據(jù)的竊取,這些包含個(gè)人隱私或商業(yè)機(jī)密的數(shù)據(jù)流入黑產(chǎn)市場(chǎng),經(jīng)過多手倒賣,流入更多不法分子手中,震驚全球的雅虎5億用戶信息泄露事件正是源于黑客攻擊。
另一方面,與國(guó)內(nèi)情況類似,內(nèi)部員工及承包商(即第三方公司)的人為數(shù)據(jù)泄密比例正在逐年上升。
企業(yè)信息化設(shè)增速逐年提升,除了內(nèi)部人員配備提升,為節(jié)省人力成本,引入第三方外包公司進(jìn)行系統(tǒng)開發(fā)、測(cè)試、分析或代理運(yùn)維等工作是目前常見的解決方式,在此過程中這類人群往往持有數(shù)據(jù)庫(kù)的高權(quán)限賬戶,一面是內(nèi)部人員可能產(chǎn)生的高危操作、誤操作,另一方面是第三方人員引發(fā)的數(shù)據(jù)泄露事件,這成為數(shù)據(jù)泄露的另一主因。
慶幸的是,國(guó)內(nèi)的多數(shù)行業(yè)已經(jīng)意識(shí)到內(nèi)部威脅及第三方人員的數(shù)據(jù)泄露風(fēng)險(xiǎn),會(huì)主動(dòng)尋求技術(shù)手段規(guī)避。
數(shù)據(jù)庫(kù)脫敏和數(shù)據(jù)庫(kù)安全運(yùn)維產(chǎn)品的出現(xiàn)和應(yīng)用正是基于此,對(duì)敏感數(shù)據(jù)做變形和漂白后可以放心交給第三方公司使用;即使內(nèi)部及第三方運(yùn)維人員擁有DBA高權(quán)限賬戶,依然可以通過基于審批流機(jī)制的數(shù)據(jù)庫(kù)安全運(yùn)維系統(tǒng),對(duì)敏感數(shù)據(jù)的運(yùn)維操作進(jìn)行審核和過濾,防止誤操作及高危操作。
外泄規(guī)模的大小以及丟失或被盜記錄的數(shù)量調(diào)研結(jié)果顯示,數(shù)據(jù)泄露事件將導(dǎo)致客戶信任度下降、企業(yè)也需要投入大量成本進(jìn)行取證調(diào)查,挽回?cái)?shù)據(jù),以及相關(guān)客戶的聯(lián)系及法律成本。
通過成本分析揭示了數(shù)據(jù)泄露的平均總成本與事件的大小之間的關(guān)系。
在今年的研究中,少于10,000個(gè)損失記錄的事件的平均總成本190萬美元,超過50,000記錄的時(shí)間平均總成本是630萬美元。
因此,丟失的記錄越多,數(shù)據(jù)泄露的成本就越高。
對(duì)于這一情況,報(bào)告中提到數(shù)據(jù)分類存儲(chǔ)計(jì)劃對(duì)于了解敏感和機(jī)密信息至關(guān)重要。
這一結(jié)論與安華金和提出的數(shù)據(jù)安全治理思路不謀而合,我們認(rèn)為要實(shí)現(xiàn)數(shù)據(jù)在使用中的安全,首先一步是要了解數(shù)據(jù),通過對(duì)數(shù)據(jù)資產(chǎn)進(jìn)行梳理,發(fā)現(xiàn)你的敏感數(shù)據(jù)資產(chǎn)有多少、分布在哪里,使用情況和訪問權(quán)限怎樣。
對(duì)數(shù)據(jù)資產(chǎn)進(jìn)行分級(jí)分類,是為建立定制化的保護(hù)策略提供原始依據(jù)。
數(shù)據(jù)泄露的平均總成本與419個(gè)組織的事件大小之間的關(guān)系哪些行業(yè)的數(shù)據(jù)泄露更為昂貴每個(gè)丟失或被盜記錄的數(shù)據(jù)泄露的全球平均成本為141美元。
然而,醫(yī)療保健機(jī)構(gòu)的平均成本為380美元,金融服務(wù)平均成本為245美元。
行業(yè)的數(shù)據(jù)特性,全球共通,醫(yī)療及金融行業(yè)的數(shù)據(jù)更多涉及公眾個(gè)人隱私及資產(chǎn)信息,數(shù)據(jù)量龐大;另一方面,從業(yè)務(wù)角度來看,這兩個(gè)行業(yè)與其他行業(yè)的數(shù)據(jù)集中、共享需求更為明顯,從中國(guó)國(guó)情來看,這兩個(gè)行業(yè)除了互相業(yè)務(wù)交叉,還會(huì)與政府、社保、工商、稅務(wù)、財(cái)政等諸多行業(yè)發(fā)生數(shù)據(jù)共享,在數(shù)據(jù)使用和流轉(zhuǎn)的過程中,節(jié)點(diǎn)更多,一旦單點(diǎn)產(chǎn)生安全威脅,可能牽連出跨行業(yè)的極大規(guī)模數(shù)據(jù)泄露,由此產(chǎn)生的惡劣社會(huì)影響難以估計(jì)。
我們?cè)谂c這些行業(yè)的用戶接觸時(shí),發(fā)現(xiàn)他們對(duì)于數(shù)據(jù)安全防護(hù)的意識(shí)也更為強(qiáng)烈,但同時(shí)又有另一點(diǎn)考慮,由于業(yè)務(wù)復(fù)雜度高且應(yīng)用繁多,用戶希望能夠在實(shí)現(xiàn)安全保障的基礎(chǔ)上不影響業(yè)務(wù)穩(wěn)定性及連續(xù)性,這對(duì)于諸如數(shù)據(jù)庫(kù)防火墻、數(shù)據(jù)庫(kù)加密等技術(shù)手段的要求更高,這些必備的產(chǎn)品需要具備大型項(xiàng)目的實(shí)施基礎(chǔ),以確保復(fù)雜場(chǎng)景下的性能要求。
今年綜合樣本平均成本按行業(yè)分類與四年平均水平大量使用加密技術(shù)可降低成本報(bào)告中指出,廣泛使用加密技術(shù)可以節(jié)省平均費(fèi)用16美元,平均每筆記錄費(fèi)用為125美元(141-16美元)。
在安華金和提出的數(shù)據(jù)庫(kù)安全防護(hù)體系中,數(shù)據(jù)庫(kù)加密技術(shù)被定義為底線防守。
技術(shù)效果是將數(shù)據(jù)庫(kù)存儲(chǔ)層的明文數(shù)據(jù)替換為密文,并設(shè)置嚴(yán)格的權(quán)限校驗(yàn)機(jī)制,即使退一萬步,數(shù)據(jù)庫(kù)文件已經(jīng)泄露,沒有密鑰和最高權(quán)限,任何人都無法破解。
如果按照每筆節(jié)省16美元的成本來算,一個(gè)技術(shù)手段的實(shí)施,可以讓一次大規(guī)模過萬條記錄的數(shù)據(jù)泄露事件成本直接下降數(shù)十萬美元,乃至更高。
借助事件響應(yīng)小組識(shí)別并控制數(shù)據(jù)泄漏的時(shí)間在今年的研究中,事件響應(yīng)(IR)團(tuán)隊(duì)降低了每個(gè)泄露記錄19美元成本。
因此,具有強(qiáng)大的IR能力的公司預(yù)計(jì)調(diào)整后的成本為122美元(每筆記錄141-19美元)。
國(guó)內(nèi)的少數(shù)大型企業(yè)會(huì)成立專門的安全應(yīng)急團(tuán)隊(duì),此外,專業(yè)的安全企業(yè)也應(yīng)當(dāng)具備安全攻防的研究能力,能夠?yàn)橛脩籼峁┘皶r(shí)有效的安全事件響應(yīng),通過審計(jì)追查等技術(shù)手段及人工分析快速定位泄露源,在最短時(shí)間內(nèi)控制泄露規(guī)模和態(tài)勢(shì),并能夠通過分析攻擊樣本,提供有效的安全加固策略。
無法快速識(shí)別數(shù)據(jù)泄露而增加的成本通過了解報(bào)告中的觀點(diǎn)和分析,這些精確的數(shù)學(xué)核算讓我們對(duì)數(shù)據(jù)泄露的后果和影響有了更感性的認(rèn)識(shí)。
這些有價(jià)值的安全建議和技術(shù)手段并不會(huì)花費(fèi)太大的成本,然而卻可以讓企業(yè)和組織不再為此類負(fù)面事件付出數(shù)百甚至數(shù)千倍的高昂成本,這其中的性價(jià)比應(yīng)該是相當(dāng)劃算的。
文件加密軟件——為企業(yè)數(shù)據(jù)安全保駕護(hù)航!輕松實(shí)現(xiàn)企業(yè)內(nèi)部文件自動(dòng)加密,加密后的文件在企業(yè)內(nèi)部正常使用,未經(jīng)許可私自拷貝外發(fā)出去,都將無法打開使用!對(duì)于發(fā)送給第三方的文件可實(shí)現(xiàn)控制打開時(shí)間,打開次數(shù)等防泄密參數(shù)!同時(shí)可設(shè)置對(duì)員工電腦文件自動(dòng)備份,防止惡意刪除造成核心數(shù)據(jù)的遺失!從源頭防止企業(yè)核心文件被外泄!
【本文關(guān)鍵詞】:文件加密軟件,圖紙加密軟件,防泄密軟件,加密軟件,文件外發(fā)加密
Copyright © 2021 深圳市維創(chuàng)信息技術(shù)有限公司 版權(quán)所有