在近几年,几乎所有企业,无论行业、规模或者类型,都将大部分数据保护力量放在“内部威胁”上,也就是,那些已经具有访问权限的员工或者临时雇员,他们可以误用或者滥用这些企业给予的特权。这确实是事实,内部威胁需要加以解决和得到重视,但是似乎很多企业太过于关注内部威胁,而根本无视于企业外部的风险。
这里需要考虑的问题时:“自主地发送到外部的关键数据资产?”
例如,银行需要与审计员、监管机构、供应商以及合作伙伴共享信息,与这些外部阻止相关的数据传输绝对是影响持续经营的关键因素。然而,这种信息共享同时也是相当危险的活动,数据丢失的几率非常高,如果没有适当控制的话,将对银行的声誉产生很大的负面影响。
信息共享的必要性和数据传输的载体和形式的增加,需要考虑的要点包括以下:
必须考虑威胁
— 什么或者谁让数据处于危险之中?
— 当数据从企业环境流到外部环境时,数据将受到各种类型的威胁,包括传输过程中可能遇到的中间人攻击,以及存储在第三方网络中时的社会工程学攻击等。
应该考虑的可能遇到的风险
— 上述的威胁将对企业的关键数据资产造成严重威胁,这些风险无疑将造成数据丢失或者保密性破坏。如果公司没有适当的数据传输控制,例如TLS、SSL或者sFTP,中间人威胁将乘机窃取关键数据。
— 这种损失将对企业造成严重影响,包括收入损失、负面影响、恢复成本、客户通知费用和失去客户信任
必须部署适当的安全控制来解决这些威胁和降低风险
— 需要考虑部署的控制不仅仅是与电子数据保护有关的控制,例如软件/硬件加密
— 这超越了技术的范畴,上升到社交、管理、运营和过程控制,以避免社会工程序攻击,并确保部署了其他保护因素,例如密码政策、用户访问/权利控制和数据保护意识活动等。
一旦企业信息离开内部环境,你部署的大部分控制都失效了。数据现在位于第三方基础设施,依赖于第三方的数据安全控制和程序。这不只是关于数据传输到第三方过程中的加密,而是关于数据在其整个生命周期进行保护的问题。
以下相关问题可以帮助确保对外部数据流的适当控制:
— 与接收数据的第三方具有适当的保密协议或者不披露协议?
— 数据如何被传输到这些外部合作伙伴?对于电子传输是否有适当的加密(例如SSL、PGP、TLS)以及媒介传输具有充足的物理控制(例如加密磁带、安全车)?
— 当数据存储在第三方或者在第三方处理时,会有多少人会访问你的数据?是哪些人?
— 你是否知道第三方对只限制环境内有限的必要的人来访问你的数据的程序?
— 对于企业外部的人(例如第三方的合作伙伴或者供应商,也就是,你的合作伙伴的合作伙伴)的访问权限控制时怎样?第三方是否会审查外部承包商、供应商的安全控制以确保传输给他们的数据将会得到很好的控制?
— 第三方的服务器和防火墙如何?
— 外部第三方的通信机房和数据中心是否部署了适当的物理控制,包括适当的徽章访问和环境因素等?
— 接收数据的第三方是否部署了技术和过程控制以应对和调查数据丢失事件?
— 部署了哪些技术和过程控制来防止数据从第三方的便携式媒体、移动设备和电子邮件通信的数据泄漏?
— 第三方是否进行了内部/外部审计(例如SAS-70、ISO27001认证)?
— 存储在第三方的数据当不再需要时,将如何被销毁或者归还?
— 第三方是否有意识培训和教育计划以确保其员工遵守协议保护其客户的敏感信息?
— 很显然你对业务合作伙伴的质疑必须从技术、运营和过程控制方面来考虑,让我们来从一个现实世界实例来说明为什么:
一名银行业务经理有一天决定通过文本邮件的形式将公司的税务数据发送给他们的注册会计师,而不是通过sFTP或者PGP加密电子邮件传输。结果是该电子邮件被注册会计师的ISP电子邮件服务器拦截,注册会计师方面的电子邮件ISP服务器的恶意管理员看到这封电子邮件具有重要数据,并使用这些数据得到120万美元。
Open Security Foundation的2011年(到目前为止)DataLossDB数据丢失统计数据显示:“平均来看,涉及第三方的数据丢失事件比那些不涉及第三方的事件造成的数据丢失损失更大。这可能是因为第三方处理的数据类型的结果,在企业间传输数据的过程,或者其他假设,这种趋势很令人担忧。”
最后,对于数据而言,最具风险的环境就是没有受拥有这些数据的企业所控制。具有访问权限和意图的内部人员可能造成严重破坏,但是数据在企业内部,企业应该能够部署适当的技术、程序和操作/人员控制来保护自己的数据。当数据离开我们信任的环境时,只有尽可能的借助审计、审讯和测试来缓解风险。