Radware：防止敏感數據泄露對企業(yè)的重要性

　　近年來(lái)，從Target 到Equifax ，再到’Hudsons Bay 公司的Saks和Lord & Taylor ，數據泄露事件成為了各大媒體的頭條新聞。但由數據泄露引發(fā)的訴訟仍呈現出不斷增長(cháng)的趨勢。各種規模的數據泄露事件發(fā)生之后，國際律師事務(wù)所Bryan Cave對日益增長(cháng)的法律訴訟趨勢進(jìn)行了分析。研究發(fā)現，僅2016年就有76起與數據泄露有關(guān)的集體訴訟：

　　Radware的研究也證實(shí)了這些觀(guān)點(diǎn)。Radware的2018年消費者意見(jiàn)研究 發(fā)現，55%的美國消費者表示，他們認為個(gè)人數據比汽車(chē)、手機、錢(qián)包等物理資產(chǎn)更重要。此外，Radware的最高管理層視角 報告也指出，41%的高管表示，客戶(hù)在遭受數據泄露后有采取法律行動(dòng)。數據泄露的后果不僅僅是負面新聞，還包括對股價(jià)、客戶(hù)獲取成本、流動(dòng)性，甚至是最高層高管離職等的持久影響。

　　敏感數據的類(lèi)型因行業(yè)而異，攻擊方法也各不相同。例如，金融和工商業(yè)必須保護姓名、聯(lián)系信息、社保號、賬號和其它金融信息。同樣，醫療記錄中包含相同的個(gè)人數據，除此之外還包含可以進(jìn)行身份欺詐的更多詳細信息，如醫生和處方記錄、醫療保險信息以及身高、體重、血型等個(gè)人健康特征，因此，醫療行業(yè)面臨的數據泄露風(fēng)險也很高。

　　從表面上看，數據泄露屬于CISO、CTO等的管轄范圍，但CEO們現在同樣可能對這些事件負責。2013年數據泄露發(fā)生后，Target當時(shí)就任的CEO被迫辭職。另外，在引人注目的泄露事件發(fā)生后，Sony和Home Depot的CEO被免職6個(gè)月。

　　隨著(zhù)歐盟通用數據保護法規（GDPR）的實(shí)施，以及美國對數據隱私和保護措施的興趣和需求的日益增長(cháng)，為了避免更嚴重的后果發(fā)生，圍繞數據泄露的法律法規正在快速實(shí)施。維持最低限度的數據安全已經(jīng)不再可行，數據安全將變成明智企業(yè)的競爭優(yōu)勢。不審查安全規劃的最高層高管會(huì )讓自己和公司都承擔重大責任。

　　GDPR的目的是為消費者個(gè)人數據的使用提供防護措施。目前，企業(yè)對保護消費者數據的期望越來(lái)越高，進(jìn)一步強調了將網(wǎng)絡(luò )安全作為企業(yè)必需品的發(fā)展趨勢。嚴格來(lái)說(shuō)，準備不足的企業(yè)有可能會(huì )面臨高達2000萬(wàn)歐元或企業(yè)全球年收入4% 的罰款。

　　數據泄露一般來(lái)說(shuō)會(huì )引致數月的負面報道，但消費者的憤怒往往源自于企業(yè)遲遲沒(méi)有通知和回應。當企業(yè)嘗試隱瞞數據泄露事件，從而導致訴訟成本增加時(shí)，他們就會(huì )產(chǎn)生這種憤怒。現在，GDPR要求并鼓勵企業(yè)采取在72小時(shí)內通知到受數據泄露影響消費者 的高標準。

　　2013年，最引人注目的頭條新聞之一是總部位于明尼蘇達州的零售巨頭Target公司發(fā)生的數據泄露事件。在假日購物季期間，Target披露了大量的個(gè)人信息泄露事件，其中，4000萬(wàn)客戶(hù)的個(gè)人財務(wù)數據被盜，7000萬(wàn)客戶(hù)的個(gè)人信息（如電子郵件和地址）被泄露 。攻擊者可以利用惡意軟件作為武器，通過(guò)第三方供應商竊取的憑證入侵企業(yè)的客戶(hù)數據庫；隨后，同一惡意軟件還可以用來(lái)攻擊Home Depot等其他零售商。在金融和零售行業(yè)之后，黑客仍在利用像Target的2013年數據泄露這樣的惡意軟件來(lái)創(chuàng )建從幾乎未被保護的第三方進(jìn)入更復雜系統的路徑。

　　調查結束時(shí)，Target除了支付累積高達2.02億美元的法律費用外，還不得不在全美范圍內支付了1850萬(wàn)美元的罰款。然而，數據泄露導致的客戶(hù)流失和品牌聲譽(yù)受損更無(wú)法明確計算。該公司還必須遵從各州檢察總長(cháng)提出的新協(xié)議條款，除了其他相關(guān)指導方針，還要求Target雇傭一名安全主管，負責創(chuàng )建并管理全面的信息安全項目。

　　Target事件已成為在企業(yè)架構和業(yè)務(wù)流程中必需實(shí)施網(wǎng)絡(luò )安全的例子。不單只是技術(shù)行業(yè)，保護客戶(hù)數據這個(gè)話(huà)題在各行業(yè)都備受矚目。能夠積極主動(dòng)地處理與公司產(chǎn)品/服務(wù)相關(guān)的安全問(wèn)題，并保護好采集的數據，將成為企業(yè)未來(lái)的競爭優(yōu)勢。

　　Radware研究發(fā)現，全球66%的最高層高管認為黑客可以入侵企業(yè)網(wǎng)絡(luò ) ，但在實(shí)施如下圖所示的防護措施方面，幾乎沒(méi)有什么變化。

　　所有行業(yè)的敏感數據都很有價(jià)值，在Darknet市場(chǎng)的價(jià)格各不相同。由于數據泄露越來(lái)越常見(jiàn)，各行業(yè)不得不采取不同程度的預防措施，來(lái)保護消費者的個(gè)人數據。例如，醫療行業(yè)大量使用加密技術(shù)來(lái)保護數據，如醫療技術(shù)和處方歷史記錄等。然而，攻擊者也在利用加密攻擊工具來(lái)訪(fǎng)問(wèn)這些信息。為了防止數據泄露，對這些企業(yè)的網(wǎng)絡(luò )安全系統而言，能夠區分合法加密流量與利用SSL加密的攻擊信息 至關(guān)重要。全面設計的網(wǎng)絡(luò )基礎架構可以通過(guò)安全系統持續管理并監控SSL和加密技術(shù)，確保網(wǎng)絡(luò )和數據隱私得到保護。

　　將網(wǎng)絡(luò )安全從IT轉移出來(lái)并嵌入到企業(yè)運營(yíng)的基礎中，可以幫助企業(yè)擴大規模并專(zhuān)注于安全創(chuàng )新，而不是在新威脅發(fā)展或惡化時(shí)倉促緩解，這會(huì )引發(fā)代價(jià)高昂的集體訴訟。此外，這種主動(dòng)方法還可以通過(guò)提高信任和忠誠度，進(jìn)一步建立客戶(hù)關(guān)系。了解網(wǎng)絡(luò )安全是企業(yè)和CEO的首要任務(wù)將有助于提高客戶(hù)對潛在合作伙伴的認可度，并增強客戶(hù)之間的信任。

　　Radware是為物理數據中心、云數據中心和軟件定義數據中心提供網(wǎng)絡(luò )安全和應用交付解決方案的全球領(lǐng)導者。Radware屢獲殊榮的解決方案為全球企業(yè)提供了基礎架構、應用以及企業(yè)IT防護和可用性服務(wù)，確保企業(yè)的數字體驗。Radware解決方案幫助全球12,500家以上的企業(yè)和運營(yíng)商客戶(hù)快速應對市場(chǎng)挑戰，保持業(yè)務(wù)連續性，在實(shí)現最高生產(chǎn)效率的同時(shí)有效降低成本。