本文来自商务密邮。
2023年的数据泄露报告统计数据表明,人的因素是数据泄露的主要威胁。
攻击者们大量利用被盗凭据、特权滥用、人为错误、精心策划的社会工程学攻击、商业电子邮件欺诈(BEC),开展攻击活动。因此企业不能仅依靠员工安全意识培训作为唯一管理手段,应该通过“管理制度+技术防护”的管理策略来提升整体安全性。
以下是DBIR 2023年数据泄露报告中的发现:
1、95%的攻击都是为了获取经济利益,通常涉及窃取客户敏感数据,勒索软件是首选武器。金融服务和制造业是攻击者的首选,因为这些企业通常留存了详细的客户信息。
2、74%的数据泄露始于人为错误、社会工程或权限滥用导致。2022年是82%,2023年虽有下降但仍然占比较高。
3、五分之一的数据泄露来自内部。内部攻击是CISO的噩梦,因为识别和阻止此类数据泄漏行为非常具有挑战性。
据调查,中国企业员工离职拷贝资料达到70%以上。在离职的时候,研发人员带走研发成果,销售人员带走企业客户资料,甚至是财务人员也会把企业的核心财务信息拷贝带走。
4、系统入侵、基本Web应用程序攻击和社会工程学是主要的攻击策略。2023年的DBIR报告发现系统入侵、基本Web应用程序攻击和社会工程攻击占比迅速提高,占数据泄漏事件的77%。
企业内部人员在上网时候不小心中了病毒或木马,电脑上存储的重要资料被流失的情况也非常多。由于病毒和木马泛滥,使得企业泄密的风险越来越大。而部分不良员工明知是企业机密信息,还通过QQ、MSN、邮件、博客或者是其他网络形式,把信息发到企业外部,这种有针对性的泄密行为,导致的危害也相当严重。
5、社会工程攻击的复杂性正在快速增长。研究表明,91%的网络攻击是通过社会工程手段完成的。据调查统计,企业平均每年要遭遇700次社会工程攻击,平均拥有1000个员工的机构每月收到116封电子邮件,其中有60%的邮件附带可疑链接被标记。
6、勒索软件攻击导致的平均损失增加了一倍多,达到2.6万美元,其中95%的事件造成的损失在1-225万美元之间。
企业保护数据安全的策略有哪些?
1、对敏感且涉密数据进行加密授权保护
企业机构应加密传输和储存敏感数据,对数据加密可有效防控数据泄露,密文数据对黑客来说不具有利用价值。此外,对数据应有授权访问保护,无关人员无法打开浏览内容,更无法拷贝数据。
2、部署数据防泄漏系统(DLP)
政企等涉密机构,可部署数据防泄漏系统,可有效避免内部人员无意或恶意的数据外泄。数据防泄漏系统会对内容进行识别,通过识别可扩展到对数据泄漏的防控,可定位敏感数据位置、监控敏感数据的使用情况以及采取阻断和审批加密的策略,防护敏感数据外泄。
3、数据管控
数据管控策略可有效避免“内鬼”将机密外泄。常见的管控技术有:访问权限管控、水印溯源管控、离职管控、加密管控、上传管控等。
企业级用户应与专业的安全机构开展合作,制定符合企业需求的网络安全措施和策略,才能有效避免系统漏洞、软件漏洞和人员管理缺失等安全问题导致的敏感数据泄露。
