防止数据泄露的最佳实践
随着数据泄露事件频发,以及此类事件愈发复杂,人们通常会觉得因数据泄露而造成业务损失是不可避免的。但事实并非如此,您可以采取一些措施来预防数据泄露,或者可以实施一些最佳实践,以便在发生泄露时将数据损失降到最低。
通过零信任的安全方法保护资产
零信任安全方法采用了最低特权访问、强制执行策略和强加密等策略,确保对用户及其设备保持控制和可见性。
放眼密码之外的保护措施
黑客可以通过多种方法获取用户名和密码:在暗网上购买,在员工工位找到记录相关信息的便签,或者使用密码生成软件进行猜测。这就是为什么 81% 的数据泄露是由凭据泄露造成的。这也是 Entrust 提出通过免密解决方案保护 PII、知识产权和其他敏感信息的原因。Entrust 身份平台可以为您提供一种与时俱进的方法,预防数据泄露。
利用多重身份验证
多重身份验证可以为预防数据泄露计划提供诸多益处,而不是仅仅依赖一种形式的身份验证。这将使组织能够从基本的身份验证过渡到高度安全的身份验证。在选择多重身份验证时,请考虑是否希望身份验证方法对用户透明,以及身份验证该线上进行还是通过物理设备进行。
不能只依靠加密
加密是数据安全的黄金标准,这一点有充分的依据作为支撑,但加密不应该成为保护组织计算机生态系统中 PII 的唯一手段。许多立法(包括《通用数据保护条例》和《健康保险携带和责任法案》)要求仅在违规导致未加密数据丢失时才需要通知,但网络犯罪分子可以也确实能够突破加密防线。Entrust nShield HSM 可以提供额外的保护层,防止数据泄露。
清点 PII 和其他敏感数据
防止数据泄露的最有效方法之一是仔细盘点存储在企业 IT 生态系统中的个人身份信息 (PII)、知识产权和其他敏感数据。有多种方法可以增强云中的 PII 和 IP 数据安全性。了解网络犯罪分子会针对哪类数据有助于更好地保护数据。
考虑透明身份验证
透明身份验证器无需日常参与即可验证用户。这些身份验证器可以采用数字证书、IP 地理位置和设备身份验证的形式。数字证书可以利用从托管数字证书服务或第三方服务签发的现有 X.509 数字证书。IP 地理位置身份验证可以注册经常访问的位置(公司网络或其他资产)。经身份验证的用户注册了常用设备后,设备身份验证便可创建加密配置文件。
探索物理形态因素身份验证
物理形态因素指用户携带并用于身份验证的设备。此类因素的形式可以是一次性实时密码令牌、可视卡或网格身份验证。一次性实时密码令牌有两种选择。一种是 OATH 兼容迷你令牌,可生成安全的八位数密码。 另一种是具有更多功能的 OATH 兼容口袋令牌,例如 PIN 解锁和质询响应模式。可视卡身份验证器类似于信用卡中的令牌。网格身份验证使用网格卡身份验证器,其中包含行列格式的数字和字符。
评估非物理形态因素身份验证
这种防止数据泄露的方法可以在人们不携带物理设备时验证用户身份。身份验证可以采用基于知识的身份验证、带外身份验证和移动身份验证形式。基于知识的身份验证会要求用户提供攻击者不了解的信息。带外身份验证会生成一次性确认号码,这些号码将与交易摘要一起传输给用户。移动身份验证适用于消费者、政府或企业环境,并通过移动身份验证、交易验证、移动智能证书和透明身份验证技术提供安全保护。
持续监控用户和资产
通过持续监控用户和资产,IT 团队将更轻松地发现可能发生的可疑活动。
采用自动更新的解决方案
通常,当软件和解决方案没有及时应用补丁和更新时,便会发生泄露。通过采用自动执行补丁和更新的解决方案,您就不会因用户错误而使系统容易遭受攻击。
让供应商恪守贵公司的标准
您可能要对供应商或合作伙伴的数据泄露负责。为了缓解此类风险,请确保贵组织保持对 PII、知识产权和其他敏感数据的控制,并要求供应商和合作伙伴遵守与内部用户相同的标准。
考虑行业特定的立法和标准
对于某些行业,PII、知识产权和其他敏感数据是组织的命脉。对于医疗保健等其他领域,访问数据和病历可能攸关生死。深入了解如何防止医疗保健领域发生数据泄露。