每次数据泄露使美国企业平均损失860万美元,仅今年一年,勒索软件攻击在美国就增加了近140%,首席信息官(CIO)面临着保持数据安全以保持与客户的信任并避免经济损失。
至关重要的CIO会询问以下四个数据存储安全问题,以确保数据免受威胁且不会受到损害。
1. 我们的数据可以不可变吗?
FBI已将勒索软件视为增长最快的恶意软件威胁,会造成重大的收入损失、运营停机和声誉损失。由于勒索软件会在存储层对数据进行加密,因此备份数据副本存在成为攻击目标的风险。为了避免支付赎金来解密数据,组织必须确保他们有一个不可变的数据备份副本,可以在发生攻击时恢复。
磁带存储允许物理删除备份副本并单独存储,从而使副本免受勒索软件攻击。然而,虽然是一种有效的防御措施,但磁带存储的恢复速度很慢,并且需要大量的时间和资源来管理。
还可以利用对象存储使数据不可变,而没有磁带的缺点。特定对象存储系统支持称为“对象锁定”的功能,并使用一次写入多次读取(WORM)技术使备份数据副本在设定的时间范围内不可变。备份数据一旦写入,在时间到之前无法更改或删除,这意味着黑客无法对数据进行加密,并且可以在发生攻击时快速轻松地恢复数据。对象锁定在本地、私有云或公共云中的工作方式相同。
2. 我们如何保护静态数据?
如今,数据盗窃越来越普遍。黑客威胁要公开公司的专有信息,除非支付赎金。为了保护您的数据免遭盗窃,必须在存储设备上对其进行加密。CIO最好使用系统生成的加密密钥(常规服务器端加密[SSE])或客户提供的和托管加密密钥(SSE-C)。这允许使用HTTPS安全地提交上传和下载请求,并且系统不会存储加密密钥的副本。
3. 我们如何保护飞行中的数据?
数据通过“窃听”被破坏是很常见的,黑客“窃听”数据通信,寻找密码或其他以明文形式传输的信息。CIO必须确保数据在传输过程中和存储系统中的安全。
利用数据加密和安全传输协议是防止窃听的最佳方法。CIO应确保其存储系统支持以下功能:
- 上证所
- 亚马逊网络服务密钥管理服务(AWSKMS)
- OASIS密钥管理互操作性协议(KMIP)
- 传输层安全/安全套接字层(TLS/SSL)
4. 我们的存储基础设施是否完全合规?
正如CIO所知,存储系统必须符合行业法规。CIO应确保其存储基础架构具有以下安全认证/验证,以节省评估企业存储系统是否满足行业要求的时间。
- 信息技术安全评估的通用标准:该标准(简称为通用标准(CC))是国际开发的计算机安全标准(ISO/IEC15408),可证明存储是防篡改的。
- 联邦信息处理标准(FIPS):FIPS是由NIST制定的美国标准。它为技术解决方案建立了一套要求,并被美国政府机构在评估产品和解决方案时使用。
- SEC规则17a-4:这是美国证券交易委员会发布的一项法规,规定(除其他外)对存储系统的WORM分类的要求。
由于存储供应商必须投入大量时间和资源才能通过大多数第三方安全验证,因此拥有这些认证是确认存储系统安全的好方法。
结论
询问这四个问题是CIO保护数据的第一步。通过这样做,他们然后可以采取建议的措施来确保他们的数据在运行中和静止时得到保护,以数据不变性进行备份,并存储在满足严格安全认证要求的系统中。