網(wǎng)絡(luò)數(shù)據(jù)隱私的理想與現(xiàn)實-2023.10

Click

here

or

press

enter

for

the

accessibility

optimised

version網(wǎng)絡(luò)數(shù)據(jù)隱私的理想狀態(tài)與現(xiàn)實企業(yè)是否能滿足消費者對數(shù)據(jù)隱私保護的期望呢？Click

here

or

press

enter

for

the

accessibility

optimised

version簡介網(wǎng)絡(luò)安全技術(shù)正在快速迭代，但企業(yè)仍會不斷遭受安全漏洞的困擾。

Omdia

的網(wǎng)絡(luò)安全漏洞跟蹤器顯示，大約三分之二的安全漏洞會導致數(shù)據(jù)泄露。盡管網(wǎng)絡(luò)安全技術(shù)正在迅速迭代，但企業(yè)仍然會遭受安全漏洞的困擾。這兩個案例并不罕見，而且很可能只是冰山一角，許多數(shù)據(jù)隱私侵犯行為并未被媒體報道。

不幸的是，企業(yè)將繼續(xù)遭受安全漏洞的困擾，令客戶失望。許多此類故障本來

可以通過更好的網(wǎng)絡(luò)防御預(yù)案來

預(yù)防，但由于網(wǎng)絡(luò)安全的復雜性，這并非簡單直達的問題。

此外，隨著數(shù)據(jù)隱私侵犯行為案例的增加，監(jiān)管機構(gòu)的要求也越來

越嚴格。令人擔憂的是，如此大比例（三分之二）的企業(yè)安全漏洞會導致數(shù)據(jù)泄露，其中許多還涉及個人身份信息

(PII)

的泄露（見圖

10）。圖

X：2022

年按結(jié)果劃分的違規(guī)百分比最終，企業(yè)必須具有靈活性，并具有良好且一致的網(wǎng)絡(luò)完全預(yù)防措施。

他們必須在運營和數(shù)據(jù)隱私方面具有一定的靈活性，才能為客戶和公民提供服務(wù)。

保護那些信任您企業(yè)數(shù)據(jù)的客戶隱私，對于維持這種信任并與數(shù)據(jù)隱私監(jiān)管機構(gòu)保持正確的立場至關(guān)

重要。Maxine

Holt,

網(wǎng)絡(luò)安全高級總監(jiān)來源：Omdia版權(quán)所有

?

2023Maxine.Holt@這個三分之二的數(shù)字幾乎同樣適用于所有地區(qū)，包括亞太地區(qū)。

例如，2022

年

9

月，新加坡電信集團子公司

Optus

發(fā)生安全漏洞，導致近

1000萬條包含個人身份信息

(PII)

的記錄被泄露。

同年11月，亞航遭受勒索軟件攻擊，導致500萬唯一乘客和所有員工的個人數(shù)據(jù)泄露。Click

here

or

press

enter

for

the

accessibility

optimised

version企業(yè)數(shù)據(jù)安全的驅(qū)動因素最令人擔憂的反應(yīng)是，39%

的企業(yè)在事件發(fā)生時根據(jù)具體情況解決數(shù)據(jù)安全問題。

這有點像馬逃走后關(guān)

上馬廄的門。

你可能抓不到馬，但它可以防止其他人逃跑。網(wǎng)絡(luò)安全是信息安全的一個子集，專注于保護

CIA

的數(shù)字信息。因此，數(shù)據(jù)安全是網(wǎng)絡(luò)安全的核心，確保企業(yè)用于運營其產(chǎn)品和服務(wù)的數(shù)據(jù)始終保持適當?shù)臋C密性和可用性，同時保持其完整性。數(shù)據(jù)隱私??中央情報局三巨頭機密部分的一部分??可能是網(wǎng)絡(luò)安全中最著名的方面。

侵犯數(shù)據(jù)隱私可能會上頭條新聞，消費者普遍意識到企業(yè)組織應(yīng)根據(jù)各種法規(guī)保護其個人身份信息

(PII)，例如歐盟通用數(shù)據(jù)保護條例(GDPR)、加州消費者隱私法

(CCPA)

和新加坡個人數(shù)據(jù)保護法

(PDPA)。Omdia

的

2022

年網(wǎng)絡(luò)安全決策者調(diào)查顯示，近一半的企業(yè)組織將

CIA

三巨頭作為其數(shù)據(jù)安全戰(zhàn)略的核心。

另外

14%

的人會在事件發(fā)生之前關(guān)

注具體情況。企業(yè)數(shù)據(jù)安全策略然而，根據(jù)

Omdia

的安全決策者調(diào)查，只有大約五分之一的企業(yè)組織對其遵守相關(guān)

數(shù)據(jù)隱私法規(guī)的能力ò非常有信心ó。盡管還有

53%

的人ò合理的有信心ó，但這確實讓這些企業(yè)需要做更多的工作來

改善其網(wǎng)絡(luò)衛(wèi)生安全并進入ò非常有信心ó的范圍。維護相關(guān)

數(shù)據(jù)隱私法規(guī)的信心水平?jīng)Q定購買數(shù)據(jù)安全解決方案的主要驅(qū)動因素保持對法規(guī)的遵守是存在的，但排在安全功能面臨的一系列挑戰(zhàn)之后的第五位。

并非所有數(shù)據(jù)都是平等的??有些數(shù)據(jù)是關(guān)

鍵任務(wù)，有些數(shù)據(jù)不太重要，適當保護所有類型的數(shù)據(jù)顯然是購買數(shù)據(jù)安全技術(shù)的驅(qū)動力。

勒索軟件繼續(xù)在各種企業(yè)中肆虐，因此保護數(shù)據(jù)安全至關(guān)

重要，包括防止數(shù)據(jù)被盜和/或財務(wù)損失。此外，五分之一的組織沒有信心，所有這些組織都將受益于對相關(guān)

數(shù)據(jù)隱私法規(guī)的全面審查并圍繞這些要求改進安全控制措施。

盡管合規(guī)性并不是直接的安全責任，但部署控制措施以支持數(shù)據(jù)隱私方面的要求通常是安全功能的責任。這里的關(guān)

鍵要點是數(shù)據(jù)安全有很多方面。

了解必須保護哪些數(shù)據(jù)、這些數(shù)據(jù)在哪里以及如何管理這些數(shù)據(jù)是管理公司信息的機密性、完整性和可用性的所有重要組成部分。Maxine

Holt,

網(wǎng)絡(luò)安全高級總監(jiān)Maxine.Holt@Click

here

or

press

enter

for

the

accessibility

optimised

version數(shù)據(jù)安全案列我們可以從

Optus

網(wǎng)絡(luò)攻擊中學到什么？總部位于澳大利亞的

Optus

是新加坡電信集團的子公司，最近遭遇安全漏洞，近

1000

萬條包含個人身份信息

(PII)

的記錄被泄露。Omdia的安全漏洞跟蹤器捕獲了

2019-22

年間公開

發(fā)布的公告（英文），并指出，電信行業(yè)的安全漏洞僅占該期間近

5,000

個公告中的

2.4%。盡管同期目標行業(yè)所占份額相對較大，即：醫(yī)療保健

(18%)

、政府

(15.3%)

和信息技術(shù)服務(wù)

(11.8%)

，但電信行業(yè)受到的損害足以波及其他行業(yè)影響其交付和安全的服務(wù)。電信公司運營的基礎(chǔ)設(shè)施是一個國家重要的國家基礎(chǔ)設(shè)施這一引人注目的泄露事件引起了人們對電信公司網(wǎng)絡(luò)安全的警惕，并不可避免地對組織針對網(wǎng)絡(luò)攻擊的準備情況提出了疑問。

該安全漏洞于

2022

年

9月

21

日被發(fā)現(xiàn)，并于次日公開

宣布。

Optus安全漏洞是過去三年來

澳大利亞電信行業(yè)最大的安全漏洞之一。(CNI)了。的一部分，因此該行業(yè)的違規(guī)行為引發(fā)的不安和警報也就不足為奇數(shù)據(jù)泄露的影響Optus

泄露事件中泄露的記錄數(shù)量很高：總共

980

萬條，其中

280

萬條被Optus

表示，被泄露的信息包括ò客戶的姓名、出生日期、電話號碼、電子郵件地址，以及部分客戶的地址、身份證件號碼，例如駕駛執(zhí)照或護照號碼ó。

這通常被稱為個人身份信息（PII），它是直接或間接識別個人身份并可被不法分子用來

實施欺詐活動的任何信息。描述為ò大量數(shù)據(jù)ó被泄露。

Optus

的困境并不僅僅限于處理與客戶的違規(guī)事件的后果。

據(jù)報道，受影響的

Optus

客戶正在準備一項潛在的集體訴訟。這顯示了

PII

數(shù)據(jù)泄露的影響

-

信任喪失、聲譽受損、恢復時間和成本、補救時間和成本以及公關(guān)

活動不應(yīng)被低估。據(jù)領(lǐng)先的安全出版物《Dark

Reading》報道，此次泄露事件之后的事件發(fā)生了各種曲折。

其中包括，在暴露

10,200

條記錄后，攻擊者撤回了

100

萬美元的贖金要求，據(jù)稱刪除了泄露的數(shù)據(jù)，并向

Optus

的客戶道歉。

然而，這些都不能否認泄露事件已經(jīng)發(fā)生的事實，也不能保證贖金要求不會再次出現(xiàn)，也不能保證泄露的數(shù)據(jù)實際上已被刪除。例如，澳大利亞內(nèi)政部長克萊

爾á奧尼爾

(Claire

O?Neil)

對

Medicare

號碼的暴露（Medicare

是澳大利亞公共資助的全民醫(yī)療保險計劃，由國家社會保障部門運營）和身份盜竊風險加大表示擔憂，特別是在大量數(shù)據(jù)被泄露的280

萬數(shù)據(jù)池中。

Optus

為ò受影響最大ó的客戶提供免費

12

個月訂閱Equifax

Protect（一項信用監(jiān)控服務(wù)及其身份保護服務(wù)）的選項，說明了所涉及的成本。人為因素在安全漏洞中發(fā)揮作用先前未識別的數(shù)據(jù)的解決方案ó。）據(jù)

ABC

新聞報道，來

自

Optus

一位匿名高級官員的消息來

源透露，Optus的漏洞源于未經(jīng)身份驗證的應(yīng)用程序編程接口

(API)

暴露在互聯(lián)網(wǎng)上。人為錯誤被認為是此次泄露的根源??假設(shè)該

API

只能由授權(quán)的公司系統(tǒng)訪問，Optus

客戶身份數(shù)據(jù)庫通過

API

向其他系統(tǒng)開

放。最終，其中一個接口通過測試網(wǎng)絡(luò)開

放，該接口又可以訪問互聯(lián)網(wǎng)，從而提供對

Optus

網(wǎng)絡(luò)的外部訪問。數(shù)據(jù)發(fā)現(xiàn)遠不是

Optus

安全控制中唯一缺失的元素，多因素身份驗證(MFA)、漏洞管理以及解決人為因素在安全漏洞中的作用等功能也是值得研究的領(lǐng)域的其他示例。Maxine

Holt,

網(wǎng)絡(luò)安全高級總監(jiān)Maxine.Holt@威脅行為者本質(zhì)上是使用

API

下載客戶記錄。

前澳大利亞聯(lián)邦警察奈杰爾á菲爾

(Nigel

Phair)

承認，雖然

Optus

在防火墻和入侵檢測方面設(shè)有安全控制措施，但測試網(wǎng)絡(luò)不太可能擁有與其他網(wǎng)絡(luò)相同水平的安全控制措施。Omdia

的安全漏洞跟蹤器顯示，疏忽和意外故障占

2019-22

年跟蹤安全攻擊背后因素的

21.4%。盡管復雜的外部力量也可能促成了

Optus

的攻擊，但很可能存在疏忽或意外故障。公司可以通過實施適當?shù)陌踩刂苼?/p>

預(yù)防，以最大限度地減少損害（包括人員、流程和技術(shù)這些疏忽和意外故障），降低系統(tǒng)風險方面發(fā)揮著至關(guān)

重要的作用。根據(jù)

Omdia

的數(shù)據(jù)安全市場跟蹤報告，數(shù)據(jù)發(fā)現(xiàn)市場目前價值約為

114

億美元，預(yù)計到

2026

年將增長至

214

億美元，Optus

等組織可能會為該市場增長做出貢獻，因為他們試圖了解必須保護的數(shù)據(jù)是哪些。

（Omdia

將數(shù)據(jù)發(fā)現(xiàn)定義為ò出于安全目的，專注于在組織控制范圍內(nèi)成功發(fā)現(xiàn)和分類任Click

here

or

press

enter

for

the

accessibility

optimised

version企業(yè)是否能滿足對客戶數(shù)據(jù)隱私的期許？各種報告表明，安全控制失敗是造成數(shù)據(jù)泄露的主要的、但可預(yù)防的一個原因。

對現(xiàn)有安全控制過度自信的進一步證據(jù)可以在網(wǎng)絡(luò)安全決策者調(diào)查中找到，該調(diào)查顯示

77%

的企業(yè)組織遭受過大量安全事件和漏洞，其中一些對企業(yè)造成了嚴重影響。企業(yè)可能將繼續(xù)再數(shù)據(jù)隱私方面令客戶失望。

各種報告表明，安全控制失敗是造成數(shù)據(jù)泄露的主要的、但可預(yù)防的一個原因。Omdia

于

2022

年進行的網(wǎng)絡(luò)安全決策者調(diào)查發(fā)現(xiàn)，32%

的組織對其組織的安全控制ò非常有信心ó，另有

58%

的組織稱自己ò合理的有信心ó。其中一些安全漏洞將包含在

Omdia

的安全漏洞跟蹤器中。

該數(shù)據(jù)著眼于安全漏洞的主要結(jié)果，在

2022

年安全漏洞報告中，65%

的漏洞被跟蹤為數(shù)據(jù)泄露。Omdia

網(wǎng)絡(luò)安全決策者調(diào)查：安全信心Omdia

安全漏洞追蹤器：按結(jié)果劃分的漏洞份額Source:

OmdiaCopyright

?

2023Source:

OmdiaCopyright

?

2023回顧

2019

年的歷史數(shù)據(jù)，我們發(fā)現(xiàn)大約三分之二的違規(guī)行為始終導致數(shù)據(jù)泄露：2021

年為

68%，2020

年為

67%，2019

年為

64%。因此，可以毫不夸張地說，企業(yè)可能將繼續(xù)在數(shù)據(jù)隱私方面讓客戶失望。Maxine

Holt,

網(wǎng)絡(luò)安全高級總監(jiān)Maxine.Holt@Click

here

or

press

enter

for

the

accessibility

optimised

version數(shù)據(jù)是安全態(tài)勢管理的最新領(lǐng)域安全態(tài)勢管理

(SPM)

已成為云時代主動安全的增長趨勢。

它從云安全態(tài)勢管理

(CSPM)

開

始，它尋找基礎(chǔ)設(shè)施和平臺即服務(wù)（IaaS

和

PaaS）環(huán)境中可能導致漏洞的錯誤配置。在過去幾年中，它已擴展到

SaaS（軟件即服務(wù)）安全態(tài)勢管理，為

SaaS

應(yīng)用程序做基本上相同的事情。

現(xiàn)在，我們看到數(shù)據(jù)安全態(tài)勢管理

(DSPM)

的出現(xiàn)，Cyera、Laminar、Uptycs、Veza

和

Xage

等公司都在爭奪這一不斷擴大的細分市場的知名度。DSPM

最初以觀察模式運行，映射客戶在云中的所有數(shù)據(jù)存儲，包括

IaaS、PaaS

和

SaaS

環(huán)境中的結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)。該過程完成后，它會對這些數(shù)據(jù)（包括個人身份信息或

PII

和其他敏感類型的數(shù)據(jù)）進行解析和分類，并顯示需要修復的最高優(yōu)先級風險，并為此目的建議采取行動。數(shù)據(jù)安全態(tài)勢管理

(DSPM)為什么企業(yè)現(xiàn)在要考慮

DSPM

技術(shù)？

在

IaaS、PaaS

和

SaaS

環(huán)境中定位數(shù)據(jù)、檢測訪問權(quán)限的任何錯誤配置并在適當?shù)那闆r下限制它們，將是其他云安全措施的有用輔助，甚至可能成為高度監(jiān)管行業(yè)的法律要求。組織應(yīng)熟悉

DSPM

領(lǐng)域的可用產(chǎn)品，并考慮如何將它們納入安全控制中。DSPM

還處于早期階段，但隨著越來

越多的公司認識到需要對其云中的數(shù)據(jù)進行控制，它將與

CSPM

和

SSPM

等其他主動功能一起在市場上獲得知名度。

對于在此領(lǐng)域運營的供應(yīng)商，他們需要更好地闡明

DSPM

的明顯優(yōu)勢。Rik

Turner,

高級首席分析師Rik.Turner@此外，云安全是另一個領(lǐng)域的供應(yīng)商可能會考慮通過內(nèi)部開

發(fā)或收購該領(lǐng)域現(xiàn)