Clickhereorpressenterfortheaccessibilityoptimisedversion 网络数据隐私的理想状态与现实 企业是否能满足消费者对数据隐私保护的期望呢? Clickhereorpressenterfortheaccessibilityoptimisedversion 简介 网络安全技术正在快速迭代, 但企业仍会不断遭受安全漏洞的困扰。Omdia的网络安全漏洞跟踪器显示,大约三分之二的安全漏洞会导致数据泄露。 尽管网络安全技术正在迅速迭代,但企业仍然会遭受安全漏洞的困扰。 令人担忧的是,如此大比例(三分之二)的企业安全漏洞会导致数据泄露,其中许多还涉及个人身份信息(PII)的泄露(见图10)。 图X:2022年按结果划分的违规百分比 来源:Omdia版权所有©2023 这个三分之二的数字几乎同样适用于所有地区,包括亚太地区。例如,2022年9月,新加坡电信集团子公司Optus发生安全漏洞,导致近1000万条包含个人身份信息(PII)的记录被泄露。同年11月,亚航遭受勒索软件攻击,导致500万唯一乘客和所有员工的个人数据泄露。 这两个案例并不罕见,而且很可能只是冰山一角,许多数据隐私侵犯行为并未被媒体报道。不幸的是,企业将继续遭受安全漏洞的困扰,令客户失望。许多此类故障本来可以通过更好的网络防御预案来预防,但由于网络安全的复杂性,这并非简单直达的问题。此外,随着数据隐私侵犯行为案例的增加,监管机构的要求也越来越严格。 最终,企业必须具有灵活性,并具有良好且一致的网络完全预防措施。他们必须在运营和数据隐私方面具有一定的灵活性,才能为客户和公民提供服务。保护那些信任您企业数据的客户隐私,对于维持这种信任并与数据隐私监管机构保持正确的立场至关重要。 MaxineHolt,网络安全高级总监 Maxine.Holt@omdia.com Clickhereorpressenterfortheaccessibilityoptimisedversion 企业数据安全的 驱动因素 网络安全是信息安全的一个子集,专注于保护CIA的数字信息。因此,数据安全是网络安全的核心,确保企业用于运营其产品和服务的数据始终保持适当的机密性和可用性,同时保持其完整性。 Omdia的2022年网络安全决策者调查显示,近一半的企业组织将CIA三巨头作为其数据安全战略的核心。另外14%的人会在事件发生之前关注具体情况。 企业数据安全策略 最令人担忧的反应是,39%的企业在事件发生时根据具体情况解决数据安全问题。这有点像马逃走后关上马厩的门。你可能抓不到马,但它可以防止其他人逃跑。 数据隐私——中央情报局三巨头机密部分的一部分——可能是网络安全中最著名的方面。侵犯数据隐私可能会上头条新闻,消费者普遍意识到企业组织应根据各种法规保护其个人身份信息(PII),例如欧盟通用数据保护条例(GDPR)、加州消费者隐私法(CCPA)和新加坡个人数据保护法(PDPA)。 然而,根据Omdia的安全决策者调查,只有大约五分之一的企业组织对其遵守相关数据隐私法规的能力“非常有信心”。 尽管还有53%的人“合理的有信心”,但这确实让这些企业需要做更多的工作 来改善其网络卫生安全并进入“非常有信心”的范围。 维护相关数据隐私法规的信心水平 此外,五分之一的组织没有信心,所有这些组织都将受益于对相关数据隐私法规的全面审查并围绕这些要求改进安全控制措施。尽管合规性并不是直接的安全责任,但部署控制措施以支持数据隐私方面的要求通常是安全功能的责任。 决定购买数据安全解决方案的主要驱动因素 保持对法规的遵守是存在的,但排在安全功能面临的一系列挑战之后的第五位。并非所有数据都是平等的——有些数据是关键任务,有些数据不太重要,适当保护所有类型的数据显然是购买数据安全技术的驱动力。勒索软件继续在各种企业中肆虐,因此保护数据安全至关重要,包括防止数据被盗和 /或财务损失。 这里的关键要点是数据安全有很多方面。了解必须保护哪些数据、这些数据在哪里以及如何管理这些数据是管理公司信息的机密性、完整性和可用性的所有重要组成部分。 MaxineHolt,网络安全高级总监 Maxine.Holt@omdia.com Clickhereorpressenterfortheaccessibilityoptimisedversion 数据安全案列 我们可以从Optus网络攻击中 学到什么? 总部位于澳大利亚的Optus是新加坡电信集团的子公司,最近遭遇安全漏洞,近1000万条包含个人身份信息(PII)的记录被泄露。 这一引人注目的泄露事件引起了人们对电信公司网络安全的警惕,并不可避免地对组织针对网络攻击的准备情况提出了疑问。该安全漏洞于2022年9月21日被发现,并于次日公开宣布。Optus安全漏洞是过去三年来澳大利亚电信行业最大的安全漏洞之一。 数据泄露的影响 Optus表示,被泄露的信息包括“客户的姓名、出生日期、电话号码、电子邮件地址,以及部分客户的地址、身份证件号码,例如驾驶执照或护照号码”。这通常被称为个人身份信息(PII),它是直接或间接识别个人身份并可被不法分子用来实施欺诈活动的任何信息。 据领先的安全出版物《DarkReading》报道,此次泄露事件之后的事件发生了各种曲折。其中包括,在暴露10,200条记录后,攻击者撤回了100万美元的赎金要求,据称删除了泄露的数据,并向Optus的客户道歉。然而,这些都不能否认泄露事件已经发生的事实,也不能保证赎金要求不会再次出现,也不能保证泄露的数据实际上已被删除。 Omdia的安全漏洞跟踪器捕获了2019-22年间公开发布的公告(英文),并指出,电信行业的安全漏洞仅占该期间近5,000个公告中的2.4%。尽管同 期目标行业所占份额相对较大,即:医疗保健(18%)、政府(15.3%)和信 息技术服务(11.8%),但电信行业受到的损害足以波及其他行业影响其交付 和安全的服务。电信公司运营的基础设施是一个国家重要的国家基础设施(CNI)的一部分,因此该行业的违规行为引发的不安和警报也就不足为奇了。 Optus泄露事件中泄露的记录数量很高:总共980万条,其中280万条被描述为“大量数据”被泄露。Optus的困境并不仅仅限于处理与客户的违规事件的后果。据报道,受影响的Optus客户正在准备一项潜在的集体诉讼。这显示了PII数据泄露的影响-信任丧失、声誉受损、恢复时间和成本、补救时间和成本以及公关活动不应被低估。 例如,澳大利亚内政部长克莱尔·奥尼尔(ClaireO’Neil)对Medicare号码的暴露(Medicare是澳大利亚公共资助的全民医疗保险计划,由国家社会保障部门运营)和身份盗窃风险加大表示担忧,特别是在大量数据被泄露的280万数据池中。Optus为“受影响最大”的客户提供免费12个月订阅EquifaxProtect(一项信用监控服务及其身份保护服务)的选项,说明了所涉及的成本。 人为因素在安全漏洞中发挥作用 据ABC新闻报道,来自Optus一位匿名高级官员的消息来源透露,Optus的漏洞源于未经身份验证的应用程序编程接口(API)暴露在互联网上。人为错误被认为是此次泄露的根源——假设该API只能由授权的公司系统访问,Optus客户身份数据库通过API向其他系统开放。最终,其中一个接口通过测试网络开放,该接口又可以访问互联网,从而提供对Optus网络的外部访问。 威胁行为者本质上是使用API下载客户记录。前澳大利亚联邦警察奈杰尔·菲尔(NigelPhair)承认,虽然Optus在防火墙和入侵检测方面设有安全控制措施,但测试网络不太可能拥有与其他网络相同水平的安全控制措施。 Omdia的安全漏洞跟踪器显示,疏忽和意外故障占2019-22年跟踪安全攻击背后因素的21.4%。尽管复杂的外部力量也可能促成了Optus的攻击,但很可能存在疏忽或意外故障。公司可以通过实施适当的安全控制来预防, 以最大限度地减少损害(包括人员、流程和技术这些疏忽和意外故障),降低系统风险方面发挥着至关重要的作用。 根据Omdia的数据安全市场跟踪报告,数据发现市场目前价值约为114亿美元,预计到2026年将增长至214亿美元,Optus等组织可能会为该市场增长做出贡献,因为他们试图了解必须保护的数据是哪些。(Omdia将数据发现定义为“出于安全目的,专注于在组织控制范围内成功发现和分类任 先前未识别的数据的解决方案”。) 数据发现远不是Optus安全控制中唯一缺失的元素,多因素身份验证(MFA)、漏洞管理以及解决人为因素在安全漏洞中的作用等功能也是值得研究的领域的其他示例。 MaxineHolt,网络安全高级总监 Maxine.Holt@omdia.com Clickhereorpressenterfortheaccessibilityoptimisedversion 企业是否能满足对客户数据隐私的期许? 企业可能将继续再数据隐私方面令客户失望。各种报告表明,安全控制失败是造成数据泄露的主要的、但可预防的一个原因。 Omdia于2022年进行的网络安全决策者调查发现,32%的组织对其组织的安全控制“非常有信心”,另有58%的组织称自己“合理的有信心”。 Omdia网络安全决策者调查:安全信心 Source:OmdiaCopyright©2023 各种报告表明,安全控制失败是造成数据泄露的主要的、但可预防的一个原因。对现有安全控制过度自信的进一步证据可以在网络安全决策者调查中找到,该调查显示77%的企业组织遭受过大量安全事件和漏洞,其中一些对企业造成了严重影响。 其中一些安全漏洞将包含在Omdia的安全漏洞跟踪器中。该数据着眼于安全漏洞的主要结果,在2022年安全漏洞报告中,65%的漏洞被跟踪为数据泄露。 Omdia安全漏洞追踪器:按结果划分的漏洞份额 Source:OmdiaCopyright©2023 回顾2019年的历史数据,我们发现大约三分之二的违规行为始终导致数据泄露:2021年为68%,2020年为67%,2019年为64%。因此,可以毫不夸张地说,企业可能将继续在数据隐私方面让客户失望。 MaxineHolt,网络安全高级总监 Maxine.Holt@omdia.com Clickhereorpressenterfortheaccessibilityoptimisedversion 数据是安全态势管理的最新领域 安全态势管理(SPM)已成为云时代主动安全的增长趋势。它从云安全态势管理(CSPM)开始,它寻找基础设施和平台即服务(IaaS和PaaS)环境中可能导致漏洞的错误配置。 在过去几年中,它已扩展到SaaS(软件即服务)安全态势管理,为SaaS应用程序做基本上相同的事情。现在,我们看到数据安全态势管理(DSPM)的出现,Cyera、Laminar、Uptycs、Veza和Xage等公司都在争夺这一不断扩大的细分市场的知名度。 DSPM最初以观察模式运行,映射客户在云中的所有数据存储,包括IaaS、PaaS和SaaS环境中的结构化和非结构化数据。 该过程完成后,它会对这些数据(包括个人身份信息或PII和其他敏感类型的数据)进行解析和分类,并显示需要修复的最高优先级风险,并为此目的建议采取行动。 数据安全态势管理(DSPM) DSPM还处于早期阶段,但随着越来越多的公司认识到需要对其云中的数据进行控制,它将与CSPM和SSPM等其他主动功能一起在市场上获得知名度。对于在此领域运营的供应商,他们需要更好地阐明DSPM的明显优势。 此外,云安全是另一个领域的供应商可能会考虑通过内部开发或收购该领域 现有的初创公司之一将其添加到他们的产品组合中。 为什么企业现在要考虑DSPM技术?在IaaS、PaaS和SaaS环境中定位数据、检测访问权限的任何错误配置并在适当的情况下限制