满足数据存储安全的最佳实践将有助于减轻网络攻击的威胁,组织首先需要制定全面的纵深防御和分层保护策略。
管理和技术咨询机构Booz Allen Hamilton公司高级副总裁Tony Sharp说,“组织必须识别进入其存储环境的所有逻辑路径和连接,并确保对所有接口都具有适当的权限,其中包括特权和零信任访问模型。”他补充说,这些模型应该得到检测和响应控制的支持,并建议组织监控访问、数据和流量模式的异常情况,以及对已经制定的安全策略的遵守情况。
咨询机构Cybri公司首席执行官兼联合创始人Konstantine Zuckerman说:“加密应该在静止和传输过程中进行,因此即使网络攻击者可以访问数据,也会限制其读取数据的能力。加密措施应该足够强大,以便在数据可以被破解时不再可用。”
不要忽略云中的数据
全球独立的IT审核和认证机构Schellman&Company公司的高级经理Jacob Ansari表示,企业基于云计算的存储节点犯的最大错误之一就是不知道它们存在。他说,建立一个存储节点很容易,让任何拥有相关URL访问权限的人都能访问。
Ansari说:“组织的信息安全团队应该了解其使用的已知云计算服务提供商帐户下存在哪些存储节点,并应尝试了解其他个人或业务部门在何处创建了自己的帐户。识别存储点并使用访问控制措施对其进行保护,可以显著减少数据泄露或丢失的可能性。”
针对网络攻击的一种经过验证的数据存储安全最佳实践是确保将存储资源与网络基础设施隔离开来。
Zuckerman说:“这是通过强大的ACL(访问控制列表)白名单来实现的,只允许进行适当的访问,并确保拥有访问权限的用户只能以受保护的方式进行访问,而无需外部许可。这是有效的,因为人们通常看到的是网络攻击者通过超额许可的用户帐户或应该由防火墙上的ACL阻止的网络服务来获得访问权限。”
组织在将数据放入云平台中时犯下的另一个常见错误是假设数据存储安全性已经得到解决。云存储用户通常会误以为云平台本身就具有固有的安全性。实际上,大多数云计算存储运营商都采用分担责任的概念,在这种概念下,云计算提供商负责云平台的安全,而客户需要自己负责云中内容的安全。
避免随意的数据管理
组织通常会因无法正确控制信息流而使其存储资源容易受到攻击。
Zuckerman说:“这可以允许数据进入任何系统,不一定是需要这些数据的系统,或在停用或重新使用资源时没有正确删除数据。组织可能会让客户处于危险之中,因为他们会保留旧服务器上的数据,比如社会保险号码或信用卡信息。”
随意的数据管理是另一个重要的数据存储安全错误。IT和安全咨询机构Oram Corporate Advisors公司首席执行官Ryan O'Ramsay Barrett说:“组织应该根据所需的安全级别对所有业务数据进行分类,还应该始终知道所有数字和纸质副本数据的存储位置。”
组织可以通过实施3-2-1备份方法来跟踪其数据副本的位置。这意味着在两种不同类型的存储介质上存储三个副本(一个主副本和两个备份),其中一个副本存储在异地。
另一个严重错误是缺乏基本的安全协议。Barrett说:“每个组织都应采用最小特权原则,这意味着只有真正需要它来执行其工作职能的员工才能访问存储的数据。此外,这意味着要使用标准防火墙、防病毒和反恶意软件程序,并随时对其进行更新。”
勒索软件对大多数组织都是一个挑战,但许多组织可以通过实施强大的安全技术、实践和培训方法来保护其存储的数据。正确的备份策略可以在很大程度上保护数据免受勒索软件的攻击。例如,如果磁带备份离线存储并且没有连接到网络,则网络攻击者无法访问这些数据。
Barrett说:“组织可以通过定期备份来保护存储的数据。如果发生最坏的情况,并且存储资源被破坏,组织仍将拥有备份的数据,这可以防止网络攻击者的勒索。”