三個你應該把資料遮罩納入資料安全策略的原因

三個你應該把資料遮罩納入資料安全策略的原因

什麼是資料遮罩(Data Masking)?

資料遮罩又稱為資料去識別化(data anonymization)或匿名化(pseudonymization),用於減少機敏資料非必要的散佈或揭露,在保護資料同時也維持其可用性。資料遮罩用虛擬資料取代真正的資料,以便在實際資料不需使用的情況下可被安全的運用。Gartner 形容這是”用像真的虛擬資料取代真實資料,避免在不同的使用情況下造成資料遺失,可以動態保護敏感資料的技術”。

資料遮罩可以保護許多形式的機敏資料,包括(但不侷限):

  • 個人身分資料 (Personally identifiable information ,PII)
  • 受保護的醫療資料 (Protected health information ,PHI)
  • 支付卡資料 (Payment card information, 受PCI-DSS規範)
  • 智慧財產 (Intellectual property, 受ITAR和EAR規範)

透過資料遮罩,資料的內容將在格式不變的情況下被變更。例如,信用卡原本的16位卡號是1234-5678-9123-4567,資料遮罩改變了這些數字,但仍然是16位的格式,以這個例子來說,遮罩後的信用卡號可能會變成9876-5432-1987-6543。資料遮罩透過幾種方式變更機敏資料,包括替換符號或數字、符號換序,或是使用演算法產生和原有資料同屬性的隨機資料。

有鑑於保護機敏資料是企業組織的首要考量,這邊列出了三個IT資安人員應該將資料遮罩納入資料安全策略的原因。

1.保護非正式環境(non-production)資料

對許多企業組織來說,將正式環境的資料備份給非生產單位使用是必要的,例如以下資料:

  • 應用程式開發測試
  • 人員培訓
  • 業務分析模擬

只要擁有一份以上的機敏資料備份,就增加資料落入不法份子手中的可能性。
想要安全地分享/複製/使用機敏資料,遮罩能幫助你保護資料、滿足合規需求,同時卻不會影響企業運作。
新的部署或升級可能對非生產用資料進行分割和儲存與測試,如果不加以受保護,非正式環境中的資料可能被承包商或海外工作人員存取,並可能透過雲端或可移除式裝置進行移轉。類似這樣暴露於風險之中的資料集可能有好幾個。
只要資料仍可用於非正式環境,遮罩就能協助控制具有弱點或可能被竊取的真實資料散佈出去,並減少企業組織潛在的攻擊威脅。

2.免於內部威脅

參與周邊防禦的受信任員工(開發人員,訓練人員,業務分析師等)可能有存取資料的必要,但不需要存取正式環境的生產資料。
Camouflage(被Imperva併購的資料保護軟體公司)在一份報告中說:「…實際上,現今企業組織的真正威脅可能來自內部,來自內部人員的威脅等級無法被低估。」來自開放安全基金會的一項研究(2013年)發現,雖然內部人員只造成19.5%的意外事件,卻是66.77%資料外洩的肇事源頭。 1 研究機構 Ponemon 預估有88%的資安漏洞與內部人員疏忽有關。若單就醫護領域來看,創始人Larry Ponemon博士說:「內部問題,如無意的員工行為、第三方破壞、設備被竊等,佔了資料外洩問題的一半成因。」

透過機敏資料的遮罩,企業組織能提供員工完成工作所需的資料,同時降低惡意、粗心或被駭內部人員的資料外洩風險。

3.GDPR合規

歐盟在2016年通過的GDPR資料保護規則,將在2018年5月生效,目的是加強、統一個人資料的保護,也是因應資料外洩影響歐盟公民的反應對策。

不遵守相關規範也可能面臨某些重大罰則。根據國際隱私專家協會(IAPP)的資料,GDPR的制裁包括:

  • 對於首次和非故意的不合規給予書面警告
  • 一般定期資料保護稽核
  • 最高1000萬歐元或2%全球年營業額的罰金,以前一個會計年度為準,兩者取較大者。
  • 最高2000萬歐元或4%全球年營業額的罰金,以前一個會計年度為準,兩者取較大者。

GDPR導入了兩個關鍵概念來保護公民的隱私權:資訊最少化(Data minimization)和匿名化(Pseudonymization),同時讓資料管控人員可將收集來的資料用於其他目的。

GDPR要求企業組織實施資訊最少化,也就是只能收集和使用限於特定目的所需的資料,保留資料不再是必要的,而且不能提供給不確定的人數。舉例來說2,如果保險公司為了發佈政策而收集個人資料,同時又想分析這些從客戶收集來的資料以改進定價策略,這種作法是不被允許的,因為為了某個目的(如發布策略)收集來的個人資料不能用於新目的(如建立定價分析用的資料庫)。然而,如果資料透過遮罩進行匿名化或去識別化,那麼遮罩過的資料庫就可以用於定價分析。

匿名化同時也能滿足GDPR的資料安全要求。

第32條條例制定了企業組織在保護個人資料上必須做的主要規範,其中也特別提到個人資料加密和匿名化。資料遮罩是資料匿名化的一種方式,特別是在非正式的資料環境中,例如應用程式開發測試、人員培訓和分析。透過以虛擬資料替換機敏資料的方式,資料遮罩解決方案可幫助企業組織滿足GDPR主要條例的合規要求。 

Camouflage型錄下載

了解更多資料遮罩相關內容,請下載 IMPERVA資料遮罩導覽白皮書

 

[1] Report Data Breach Quick View, Open Security Foundation, 2015
[2] Blog Chapter 6: Data Protection Principles – Unlocking the EU General Data Protection Regulation, White & Case, July 2016

2017 IT安全專家需要思考並採取行動的三個趨勢

2017 IT安全專家需要思考並採取行動的三個趨勢

Imperva在過去14年的網路安全產業經驗中看到許多趨勢。2016年,我們看到了DDos攻擊、資料外洩問題、內部威脅等,各方證據都顯示威脅變得多,駭客們升級了他們的遊戲。透過自身的研究、顧客參與回饋以及遍布全球的豐富眾包資料分析,Imperva彙整出一些IT安全專家可在2017年看到的顯著趨勢。

以下是2017三個最主要的預測,以及你能做什麼來解決:

1.物聯網的殭屍網路(Bonet)

從我們去年的預測中可看到,大多數的連結成長都與務聯網相關:監視攝影機、可穿戴設備、各種智能設備,以及其他連接設備等。雖然有計算和通信能力以及高度的移動性,卻缺乏專業的系統或軟體管理。加上使用者很少會改變預設密碼,所以設備都處於準備被駭的狀態。被Mirai病毒所控制的監視攝影機和輔助記錄設備去年就提供了這樣的機會。

根據物聯網的採用速度,我們預期會看到兩種不同類型的趨勢。首先,我們將看到殭屍網路的數量和規模激增。從研究的角度來看,我們認為殭屍網路的產生與民眾家裡的路由器有關,因為大多數IoT設備都位於家庭網路中,不會直接暴露在網際網路中。也就是說,我們很可能會看到一些內部事件,最終將追踪到被駭區域網路裡其中一個不小心被駭的物聯網設備。

其次,我們將看到更多殭屍網路的租借活動。複雜的殭屍網路比以往更容易租借:價格下跌但規模卻越來越大。在這種隨時可用的情況下,任何人都可以發起複雜的攻擊,無需任何駭客經驗。哪裡有機會能製造混亂,它就可能發生。我們不預期會看到物聯網設備的安全性能有所提高,因此無論何種類型的物聯網設備在2017年進入市場,都有可能成為下一個殭屍網路平台。

你能做什麼: 消費者:更改物聯網設備的預設密碼!使用預設密碼不單只是像門沒鎖,而是門戶全然大開! 組織:方便租借的殭屍網路無疑增加了對DDoS防護的需求。各種規模和垂直整合的組織都可能面臨勒索要求或網路中斷問題,除非他們主動採取正確的措施。此外,被駭的物聯網設備還將成為內部遭駭的新成因,進而提高對內部威脅防護策略的需求。

2.來自過去的鬼魂

雖然物聯網是和新的事物,但其他可能的潛在威脅仍被放在滿佈灰塵的櫃子裡。如果去年有什麼事是每個人都學到的,那就是資料外洩事件可能好幾年都不會被發現,即使是最大的外洩事件。大量的個資早在2012年就被駭外洩,卻到2016年才從黑市曝光。這意味著那些資料已經流通了好幾年,就像最近超過10億Yahoo用戶資料在2013年被竊事件一樣,過了三年Yahoo才知道這個資料外洩事件,而且是在執法機構被一個駭客告知之後。

2016年11月下旬所報導的麥迪遜廣場花園劇院支付資料外洩是另一個例子,只有在持卡人姓名、信用卡號碼、到期日和內部驗證碼等資料被不法份子利用時,才能確認資料是否遭竊。雖然被盜的帳戶密碼不是明碼顯示,但資料外洩和事件確認完成之間有長達一年的時間,入侵者已有足夠的時間破解大多數密碼。

LinkedIn,Dropbox和Yahoo用戶資料相關的事件告訴我們,關於資料竊取領域,不法份子還是比企業來的更高竿。所謂的資料外洩通常只有在資料已經在網路上流通時才會被發現,而發現的時間是一個主要因素。如果企業能夠及時發現資料外洩情形,就能避免許多潛在損失。

我們可以預期,前幾年被攻擊的事件仍可能如鬼魂般繼續在2017年糾纏我們-可能比目前為止所發生的數量還多(事件數,而非資料筆數)。2016年若有新的資料外洩事件,我們很有可能到2018年或是更久以後才會知道。

你能做什麼: 雖然企業應該保持警戒,防止敏感資料洩漏,但若他們能在即時事件檢測上投入更多資源,可能會獲益更多。採取新的技術,不要讓”更好”成為”好”的敵人,組織不用強迫進行實時檢測也能縮短發現威脅的時間。

3.結束無效的深度防禦

過去五年對資安人員而言是一個巨大的挑戰,即便他們不斷部署許多系統和技術,但仍不斷面臨新的風險和攻擊媒介威脅。

2016年之初,我們發覺資安人員間瀰漫著滿足的氣氛,前幾年的投資終於有所回報-他們沒有遭遇重大資料洩漏事件;而且他們發現許多安全計畫的施行往往只是為了學習怎麼針對新的威脅部署另一種技術,許多小型、新興的資安公司藉此推出不同解決方案,配合世界末日般的情節劇本,讓他們沉浸在業績成長的榮光之中,就連某些”怪胎方案”也跟著沾光。

許多單位組織一直在購買趨勢而非降低風險的工具,繼續使用過時的解決方案,因而使得原本的深度防禦戰略失效。防毒軟體就是一個很好的例子。自從三年前Imperva的研究被紐約時報引述後,資安專家們已公開表示,防毒軟體失效了

此外,還有威脅警報的疲勞轟炸。2016年12月的”McAfee Labs威脅報告”中顯示,400名安全專業人員裡有93%認為,他們無法將所有相關的威脅警報進行分類。就像大海撈針一樣,這些威脅警報讓他們筋疲力盡。

我們預期企業將在2017年改善其現有安全方案的運用,而更聰明的組織則將重新評估其整體戰略。

你能做什麼: 制定一個全面性的計畫來解決具體的業務威脅,而非針對當前所有的攻擊媒介,最後只部屬了過時的技術。策略先行者在2016年已開始這些流程,並將在2017年進行新的購買模式。

原文請見:https://goo.gl/DnneGj