網(wǎng)絡(luò)數(shù)據(jù)隱私的理想與現(xiàn)實(shí)-2023.10

Click

here

or

press

enter

for

the

accessibility

optimised

version網(wǎng)絡(luò)數(shù)據(jù)隱私的理想狀態(tài)與現(xiàn)實(shí)企業(yè)是否能滿足消費(fèi)者對(duì)數(shù)據(jù)隱私保護(hù)的期望呢？Click

here

or

press

enter

for

the

accessibility

optimised

version簡介網(wǎng)絡(luò)安全技術(shù)正在快速迭代，但企業(yè)仍會(huì)不斷遭受安全漏洞的困擾。

Omdia

的網(wǎng)絡(luò)安全漏洞跟蹤器顯示，大約三分之二的安全漏洞會(huì)導(dǎo)致數(shù)據(jù)泄露。盡管網(wǎng)絡(luò)安全技術(shù)正在迅速迭代，但企業(yè)仍然會(huì)遭受安全漏洞的困擾。這兩個(gè)案例并不罕見，而且很可能只是冰山一角，許多數(shù)據(jù)隱私侵犯行為并未被媒體報(bào)道。

不幸的是，企業(yè)將繼續(xù)遭受安全漏洞的困擾，令客戶失望。許多此類故障本來

可以通過更好的網(wǎng)絡(luò)防御預(yù)案來

預(yù)防，但由于網(wǎng)絡(luò)安全的復(fù)雜性，這并非簡單直達(dá)的問題。

此外，隨著數(shù)據(jù)隱私侵犯行為案例的增加，監(jiān)管機(jī)構(gòu)的要求也越來

越嚴(yán)格。令人擔(dān)憂的是，如此大比例（三分之二）的企業(yè)安全漏洞會(huì)導(dǎo)致數(shù)據(jù)泄露，其中許多還涉及個(gè)人身份信息

(PII)

的泄露（見圖

10）。圖

X：2022

年按結(jié)果劃分的違規(guī)百分比最終，企業(yè)必須具有靈活性，并具有良好且一致的網(wǎng)絡(luò)完全預(yù)防措施。

他們必須在運(yùn)營和數(shù)據(jù)隱私方面具有一定的靈活性，才能為客戶和公民提供服務(wù)。

保護(hù)那些信任您企業(yè)數(shù)據(jù)的客戶隱私，對(duì)于維持這種信任并與數(shù)據(jù)隱私監(jiān)管機(jī)構(gòu)保持正確的立場至關(guān)

重要。Maxine

Holt,

網(wǎng)絡(luò)安全高級(jí)總監(jiān)來源：Omdia版權(quán)所有

?

2023Maxine.Holt@這個(gè)三分之二的數(shù)字幾乎同樣適用于所有地區(qū)，包括亞太地區(qū)。

例如，2022

年

9

月，新加坡電信集團(tuán)子公司

Optus

發(fā)生安全漏洞，導(dǎo)致近

1000萬條包含個(gè)人身份信息

(PII)

的記錄被泄露。

同年11月，亞航遭受勒索軟件攻擊，導(dǎo)致500萬唯一乘客和所有員工的個(gè)人數(shù)據(jù)泄露。Click

here

or

press

enter

for

the

accessibility

optimised

version企業(yè)數(shù)據(jù)安全的驅(qū)動(dòng)因素最令人擔(dān)憂的反應(yīng)是，39%

的企業(yè)在事件發(fā)生時(shí)根據(jù)具體情況解決數(shù)據(jù)安全問題。

這有點(diǎn)像馬逃走后關(guān)

上馬廄的門。

你可能抓不到馬，但它可以防止其他人逃跑。網(wǎng)絡(luò)安全是信息安全的一個(gè)子集，專注于保護(hù)

CIA

的數(shù)字信息。因此，數(shù)據(jù)安全是網(wǎng)絡(luò)安全的核心，確保企業(yè)用于運(yùn)營其產(chǎn)品和服務(wù)的數(shù)據(jù)始終保持適當(dāng)?shù)臋C(jī)密性和可用性，同時(shí)保持其完整性。數(shù)據(jù)隱私??中央情報(bào)局三巨頭機(jī)密部分的一部分??可能是網(wǎng)絡(luò)安全中最著名的方面。

侵犯數(shù)據(jù)隱私可能會(huì)上頭條新聞，消費(fèi)者普遍意識(shí)到企業(yè)組織應(yīng)根據(jù)各種法規(guī)保護(hù)其個(gè)人身份信息

(PII)，例如歐盟通用數(shù)據(jù)保護(hù)條例(GDPR)、加州消費(fèi)者隱私法

(CCPA)

和新加坡個(gè)人數(shù)據(jù)保護(hù)法

(PDPA)。Omdia

的

2022

年網(wǎng)絡(luò)安全決策者調(diào)查顯示，近一半的企業(yè)組織將

CIA

三巨頭作為其數(shù)據(jù)安全戰(zhàn)略的核心。

另外

14%

的人會(huì)在事件發(fā)生之前關(guān)

注具體情況。企業(yè)數(shù)據(jù)安全策略然而，根據(jù)

Omdia

的安全決策者調(diào)查，只有大約五分之一的企業(yè)組織對(duì)其遵守相關(guān)

數(shù)據(jù)隱私法規(guī)的能力ò非常有信心ó。盡管還有

53%

的人ò合理的有信心ó，但這確實(shí)讓這些企業(yè)需要做更多的工作來

改善其網(wǎng)絡(luò)衛(wèi)生安全并進(jìn)入ò非常有信心ó的范圍。維護(hù)相關(guān)

數(shù)據(jù)隱私法規(guī)的信心水平?jīng)Q定購買數(shù)據(jù)安全解決方案的主要驅(qū)動(dòng)因素保持對(duì)法規(guī)的遵守是存在的，但排在安全功能面臨的一系列挑戰(zhàn)之后的第五位。

并非所有數(shù)據(jù)都是平等的??有些數(shù)據(jù)是關(guān)

鍵任務(wù)，有些數(shù)據(jù)不太重要，適當(dāng)保護(hù)所有類型的數(shù)據(jù)顯然是購買數(shù)據(jù)安全技術(shù)的驅(qū)動(dòng)力。

勒索軟件繼續(xù)在各種企業(yè)中肆虐，因此保護(hù)數(shù)據(jù)安全至關(guān)

重要，包括防止數(shù)據(jù)被盜和/或財(cái)務(wù)損失。此外，五分之一的組織沒有信心，所有這些組織都將受益于對(duì)相關(guān)

數(shù)據(jù)隱私法規(guī)的全面審查并圍繞這些要求改進(jìn)安全控制措施。

盡管合規(guī)性并不是直接的安全責(zé)任，但部署控制措施以支持?jǐn)?shù)據(jù)隱私方面的要求通常是安全功能的責(zé)任。這里的關(guān)

鍵要點(diǎn)是數(shù)據(jù)安全有很多方面。

了解必須保護(hù)哪些數(shù)據(jù)、這些數(shù)據(jù)在哪里以及如何管理這些數(shù)據(jù)是管理公司信息的機(jī)密性、完整性和可用性的所有重要組成部分。Maxine

Holt,

網(wǎng)絡(luò)安全高級(jí)總監(jiān)Maxine.Holt@Click

here

or

press

enter

for

the

accessibility

optimised

version數(shù)據(jù)安全案列我們可以從

Optus

網(wǎng)絡(luò)攻擊中學(xué)到什么？總部位于澳大利亞的

Optus

是新加坡電信集團(tuán)的子公司，最近遭遇安全漏洞，近

1000

萬條包含個(gè)人身份信息

(PII)

的記錄被泄露。Omdia的安全漏洞跟蹤器捕獲了

2019-22

年間公開

發(fā)布的公告（英文），并指出，電信行業(yè)的安全漏洞僅占該期間近

5,000

個(gè)公告中的

2.4%。盡管同期目標(biāo)行業(yè)所占份額相對(duì)較大，即：醫(yī)療保健

(18%)

、政府

(15.3%)

和信息技術(shù)服務(wù)

(11.8%)

，但電信行業(yè)受到的損害足以波及其他行業(yè)影響其交付和安全的服務(wù)。電信公司運(yùn)營的基礎(chǔ)設(shè)施是一個(gè)國家重要的國家基礎(chǔ)設(shè)施這一引人注目的泄露事件引起了人們對(duì)電信公司網(wǎng)絡(luò)安全的警惕，并不可避免地對(duì)組織針對(duì)網(wǎng)絡(luò)攻擊的準(zhǔn)備情況提出了疑問。

該安全漏洞于

2022

年

9月

21

日被發(fā)現(xiàn)，并于次日公開

宣布。

Optus安全漏洞是過去三年來

澳大利亞電信行業(yè)最大的安全漏洞之一。(CNI)了。的一部分，因此該行業(yè)的違規(guī)行為引發(fā)的不安和警報(bào)也就不足為奇數(shù)據(jù)泄露的影響Optus

泄露事件中泄露的記錄數(shù)量很高：總共

980

萬條，其中

280

萬條被Optus

表示，被泄露的信息包括ò客戶的姓名、出生日期、電話號(hào)碼、電子郵件地址，以及部分客戶的地址、身份證件號(hào)碼，例如駕駛執(zhí)照或護(hù)照號(hào)碼ó。

這通常被稱為個(gè)人身份信息（PII），它是直接或間接識(shí)別個(gè)人身份并可被不法分子用來

實(shí)施欺詐活動(dòng)的任何信息。描述為ò大量數(shù)據(jù)ó被泄露。

Optus

的困境并不僅僅限于處理與客戶的違規(guī)事件的后果。

據(jù)報(bào)道，受影響的

Optus

客戶正在準(zhǔn)備一項(xiàng)潛在的集體訴訟。這顯示了

PII

數(shù)據(jù)泄露的影響

-

信任喪失、聲譽(yù)受損、恢復(fù)時(shí)間和成本、補(bǔ)救時(shí)間和成本以及公關(guān)

活動(dòng)不應(yīng)被低估。據(jù)領(lǐng)先的安全出版物《Dark

Reading》報(bào)道，此次泄露事件之后的事件發(fā)生了各種曲折。

其中包括，在暴露

10,200

條記錄后，攻擊者撤回了

100

萬美元的贖金要求，據(jù)稱刪除了泄露的數(shù)據(jù)，并向

Optus

的客戶道歉。

然而，這些都不能否認(rèn)泄露事件已經(jīng)發(fā)生的事實(shí)，也不能保證贖金要求不會(huì)再次出現(xiàn)，也不能保證泄露的數(shù)據(jù)實(shí)際上已被刪除。例如，澳大利亞內(nèi)政部長克萊

爾á奧尼爾

(Claire

O?Neil)

對(duì)

Medicare

號(hào)碼的暴露（Medicare

是澳大利亞公共資助的全民醫(yī)療保險(xiǎn)計(jì)劃，由國家社會(huì)保障部門運(yùn)營）和身份盜竊風(fēng)險(xiǎn)加大表示擔(dān)憂，特別是在大量數(shù)據(jù)被泄露的280

萬數(shù)據(jù)池中。

Optus

為ò受影響最大ó的客戶提供免費(fèi)

12

個(gè)月訂閱Equifax

Protect（一項(xiàng)信用監(jiān)控服務(wù)及其身份保護(hù)服務(wù)）的選項(xiàng)，說明了所涉及的成本。人為因素在安全漏洞中發(fā)揮作用先前未識(shí)別的數(shù)據(jù)的解決方案ó。）據(jù)

ABC

新聞報(bào)道，來

自

Optus

一位匿名高級(jí)官員的消息來

源透露，Optus的漏洞源于未經(jīng)身份驗(yàn)證的應(yīng)用程序編程接口

(API)

暴露在互聯(lián)網(wǎng)上。人為錯(cuò)誤被認(rèn)為是此次泄露的根源??假設(shè)該

API

只能由授權(quán)的公司系統(tǒng)訪問，Optus

客戶身份數(shù)據(jù)庫通過

API

向其他系統(tǒng)開

放。最終，其中一個(gè)接口通過測試網(wǎng)絡(luò)開

放，該接口又可以訪問互聯(lián)網(wǎng)，從而提供對(duì)

Optus

網(wǎng)絡(luò)的外部訪問。數(shù)據(jù)發(fā)現(xiàn)遠(yuǎn)不是

Optus

安全控制中唯一缺失的元素，多因素身份驗(yàn)證(MFA)、漏洞管理以及解決人為因素在安全漏洞中的作用等功能也是值得研究的領(lǐng)域的其他示例。Maxine

Holt,

網(wǎng)絡(luò)安全高級(jí)總監(jiān)Maxine.Holt@威脅行為者本質(zhì)上是使用

API

下載客戶記錄。

前澳大利亞聯(lián)邦警察奈杰爾á菲爾

(Nigel

Phair)

承認(rèn)，雖然

Optus

在防火墻和入侵檢測方面設(shè)有安全控制措施，但測試網(wǎng)絡(luò)不太可能擁有與其他網(wǎng)絡(luò)相同水平的安全控制措施。Omdia

的安全漏洞跟蹤器顯示，疏忽和意外故障占

2019-22

年跟蹤安全攻擊背后因素的

21.4%。盡管復(fù)雜的外部力量也可能促成了

Optus

的攻擊，但很可能存在疏忽或意外故障。公司可以通過實(shí)施適當(dāng)?shù)陌踩刂苼?/p>

預(yù)防，以最大限度地減少損害（包括人員、流程和技術(shù)這些疏忽和意外故障），降低系統(tǒng)風(fēng)險(xiǎn)方面發(fā)揮著至關(guān)

重要的作用。根據(jù)

Omdia

的數(shù)據(jù)安全市場跟蹤報(bào)告，數(shù)據(jù)發(fā)現(xiàn)市場目前價(jià)值約為

114

億美元，預(yù)計(jì)到

2026

年將增長至

214

億美元，Optus

等組織可能會(huì)為該市場增長做出貢獻(xiàn)，因?yàn)樗麄冊噲D了解必須保護(hù)的數(shù)據(jù)是哪些。

（Omdia

將數(shù)據(jù)發(fā)現(xiàn)定義為ò出于安全目的，專注于在組織控制范圍內(nèi)成功發(fā)現(xiàn)和分類任Click

here

or

press

enter

for

the

accessibility

optimised

version企業(yè)是否能滿足對(duì)客戶數(shù)據(jù)隱私的期許？各種報(bào)告表明，安全控制失敗是造成數(shù)據(jù)泄露的主要的、但可預(yù)防的一個(gè)原因。

對(duì)現(xiàn)有安全控制過度自信的進(jìn)一步證據(jù)可以在網(wǎng)絡(luò)安全決策者調(diào)查中找到，該調(diào)查顯示

77%

的企業(yè)組織遭受過大量安全事件和漏洞，其中一些對(duì)企業(yè)造成了嚴(yán)重影響。企業(yè)可能將繼續(xù)再數(shù)據(jù)隱私方面令客戶失望。

各種報(bào)告表明，安全控制失敗是造成數(shù)據(jù)泄露的主要的、但可預(yù)防的一個(gè)原因。Omdia

于

2022

年進(jìn)行的網(wǎng)絡(luò)安全決策者調(diào)查發(fā)現(xiàn)，32%

的組織對(duì)其組織的安全控制ò非常有信心ó，另有

58%

的組織稱自己ò合理的有信心ó。其中一些安全漏洞將包含在

Omdia

的安全漏洞跟蹤器中。

該數(shù)據(jù)著眼于安全漏洞的主要結(jié)果，在

2022

年安全漏洞報(bào)告中，65%

的漏洞被跟蹤為數(shù)據(jù)泄露。Omdia

網(wǎng)絡(luò)安全決策者調(diào)查：安全信心Omdia

安全漏洞追蹤器：按結(jié)果劃分的漏洞份額Source:

OmdiaCopyright

?

2023Source:

OmdiaCopyright

?

2023回顧

2019

年的歷史數(shù)據(jù)，我們發(fā)現(xiàn)大約三分之二的違規(guī)行為始終導(dǎo)致數(shù)據(jù)泄露：2021

年為

68%，2020

年為

67%，2019

年為

64%。因此，可以毫不夸張地說，企業(yè)可能將繼續(xù)在數(shù)據(jù)隱私方面讓客戶失望。Maxine

Holt,

網(wǎng)絡(luò)安全高級(jí)總監(jiān)Maxine.Holt@Click

here

or

press

enter

for

the

accessibility

optimised

version數(shù)據(jù)是安全態(tài)勢管理的最新領(lǐng)域安全態(tài)勢管理

(SPM)

已成為云時(shí)代主動(dòng)安全的增長趨勢。

它從云安全態(tài)勢管理

(CSPM)

開

始，它尋找基礎(chǔ)設(shè)施和平臺(tái)即服務(wù)（IaaS

和

PaaS）環(huán)境中可能導(dǎo)致漏洞的錯(cuò)誤配置。在過去幾年中，它已擴(kuò)展到

SaaS（軟件即服務(wù)）安全態(tài)勢管理，為

SaaS

應(yīng)用程序做基本上相同的事情。

現(xiàn)在，我們看到數(shù)據(jù)安全態(tài)勢管理

(DSPM)

的出現(xiàn)，Cyera、Laminar、Uptycs、Veza

和

Xage

等公司都在爭奪這一不斷擴(kuò)大的細(xì)分市場的知名度。DSPM

最初以觀察模式運(yùn)行，映射客戶在云中的所有數(shù)據(jù)存儲(chǔ)，包括

IaaS、PaaS

和

SaaS

環(huán)境中的結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)。該過程完成后，它會(huì)對(duì)這些數(shù)據(jù)（包括個(gè)人身份信息或

PII

和其他敏感類型的數(shù)據(jù)）進(jìn)行解析和分類，并顯示需要修復(fù)的最高優(yōu)先級(jí)風(fēng)險(xiǎn)，并為此目的建議采取行動(dòng)。數(shù)據(jù)安全態(tài)勢管理

(DSPM)為什么企業(yè)現(xiàn)在要考慮

DSPM

技術(shù)？

在

IaaS、PaaS

和

SaaS

環(huán)境中定位數(shù)據(jù)、檢測訪問權(quán)限的任何錯(cuò)誤配置并在適當(dāng)?shù)那闆r下限制它們，將是其他云安全措施的有用輔助，甚至可能成為高度監(jiān)管行業(yè)的法律要求。組織應(yīng)熟悉

DSPM

領(lǐng)域的可用產(chǎn)品，并考慮如何將它們納入安全控制中。DSPM

還處于早期階段，但隨著越來

越多的公司認(rèn)識(shí)到需要對(duì)其云中的數(shù)據(jù)進(jìn)行控制，它將與

CSPM

和

SSPM

等其他主動(dòng)功能一起在市場上獲得知名度。

對(duì)于在此領(lǐng)域運(yùn)營的供應(yīng)商，他們需要更好地闡明

DSPM

的明顯優(yōu)勢。Rik

Turner,

高級(jí)首席分析師Rik.Turner@此外，云安全是另一個(gè)領(lǐng)域的供應(yīng)商可能會(huì)考慮通過內(nèi)部開

發(fā)或收購該領(lǐng)域現(xiàn)