标签: 数据安全

文章来源：虹科网络安全 数据安全态势管理 (DSPM) 是一种保护云数据的新方法，强调数据作为组织内最有价值资产的重要性。随着现代多云环境中数据量的不断增加，数据丢失或泄露的风险也越来越高。这使得云数据安全成为安全专业人士最关心的问题。 什么是数据安全态势管理 (DSPM)？ DSPM 可以全面了解影响数据安全的因素，包括数据的位置、有权访问数据的人员及其安全状况。 现代 DSPM 平台可自动执行评估和解决组织云环境中的安全漏洞的过程。 它的工作原理是从现有安全工具和云服务提供商获取数据，使用人工智能/机器学习来分析和识别弱点。通过遵循准则并使用正确的工具，组织可以高效且有效地保护其关键数据。 DSPM 如何工作？ 数据安全态势管理是一个旨在 通过发现和分析数据、检测有风险的数据和修复漏洞来保护云数据的过程 。发现阶段涉及定位和理解数据，这在敏捷环境中可能具有挑战性。检测阶段涉及通过查看访问路径、错误配置和漏洞来识别有风险的数据。修复阶段的重点是通过不同团队之间的协作来解决漏洞并保护数据。由于云环境和数据使用不断变化的性质，DSPM 是一个持续的过程。 数据安全态势管理平台的主要特点 数据安全态势管理平台可自动执行云数据安全的各个方面，包括 评估安全态势、检测风险和确保合规性 。以下是 DSPM 的主要功能： · 无代理且与主要云提供商兼容 · 提供 API 访问以与现有工具集成 · 使用基于角色的访问控制进行安全数据管理 · 使用数据发现工具识别敏感数据并持续监控新数据存储 · 在创建/修改时提供自动数据分类 · 管理对数据存储的访问并有助于检测冗余数据库和过多的权限 · 重点检测影响敏感数据和特权帐户的漏洞 · 支持用于风险检测和修复的自定义规则、查询和工作流程 · 确保遵守 GDPR 和 HIPAA 等行业标准和法规 · 生成报告以证明对相关机构的合规性。 DSPM 如何使用？ 数据安全态势管理主要由优先考虑基于云的基础设施或从混合云/本地设置过渡的组织使用。它有四个主要用例： 1. 跨所有存储库自动发现和分类数据： 数据安全态势管理通过自动识别、分类和验证所有云帐户（包括影子数据存储和废弃数据存储）的数据来帮助安全团队。 2. 防止云数据暴露并减少攻击面： DSPM 允许安全团队通过持续检查数据存储和资源是否存在错误配置和易受攻击的应用程序，最大限度地减少云数据的暴露并减少潜在的攻击面。 3. 跟踪数据访问权限并强制执行最低权限： DSPM 使安全团队能够轻松查看和管理所有云数据存储的访问权限。它可以识别过多的权限和休眠用户，从而允许管理员更正权限并消除潜在风险。 4. 主动监控合规状况： DSPM 平台通过持续检查基准和政策来帮助利益相关者满足合规要求。它有助于识别需要加密的敏感数据，并为合规性审计提供证据。 为什么需要采用数据安全态势管理？ 在当今不断变化的威胁形势下，传统的护城河/城堡网络安全模型不再可靠。这是因为攻击者的目标不再是城堡本身，而是其中的有价值的数据。以下是组织应在其安全策略中优先考虑数据的六个原因： 1. CI/CD 实践中的错误和数据泄漏风险： 持续集成和持续交付（CI/CD）实践导致频繁的代码更改和部署，增加了错误和数据泄漏的风险，尤其是在云环境中。 2. 数据移动中的潜在漏洞 ：机器学习 (ML) 工作负载需要大量数据，从而导致创建新的数据存储以用于测试和训练。将生产数据移动到非生产环境中可能会导致潜在的漏洞利用。 3. 现代应用程序开发中数据安全的复杂性： 现代应用程序开发依赖于微服务，每个服务都有自己的数据存储。随着新功能和微服务的引入，保护数据变得更加复杂，需要自动化来监控和保护数量不断增加的数据存储和访问路径。 4. 对数据副本一致应用安全控制的挑战： 数据副本存在于不同的云存储位置，这使得一致地应用安全控制具有挑战性。在安全策略中确定数据的优先级可以自动跟踪和保护数据（无论数据存储在何处）。 5. 错误配置导致的未经授权访问风险： 云基础设施中的错误配置可能导致未经授权的数据访问。数据优先的方法可确保正确实施访问配置并在所有云数据中一致应用。 6. 精确控制和监控隐私法规合规性： 遵守 GDPR、PCI DSS 和 HIPAA 等隐私法规，需要对敏感数据进行精确控制和跟踪。数据优先的安全策略可以自动发现、分类和监控云中受保护的数据。 如何开始数据安全态势管理 首先，您需要确定正在使用的现有云提供商，例如 AWS、Azure、Google Cloud 等。收集有关云帐户的详细信息（例如帐户 ID 和昵称）也是必要的。此外，应列出将操作 DSPM 软件的授权用户，包括他们的姓名、职务、电子邮件地址和其他相关信息。建议安全团队在开始试用之前获取组织云基础设施中数据存储的已知清单。该清单将作为基准，将组织数据的已知信息与数据安全态势管理发现的信息进行比较。 虹科数据安全与合规解决方案 虹科Lepide主要提供数据安全与合规性解决方案，旨在帮助组织保护其敏感数据、监控数据活动并满足合规性要求。以下是Lepide产品的一些关键特点和功能： - 数据审计： 用于实时监控和审计整个IT基础设施，包括Windows文件服务器、Active Directory、Exchange、SQL Server、SharePoint等等。它可以帮助您追踪用户活动、检测潜在威胁、生成合规性报告和警报。 - 数据安全平台： 该平台集成了Lepide Auditor以及其他数据安全工具，为组织提供综合的数据安全解决方案。它包括数据分类、敏感数据发现、风险评估和数据流程分析。 - 数据分类： Lepide的数据分类工具帮助组织识别和分类其数据，以便更好地管理和保护敏感信息。 - 数据发现与保护： 该产品可以帮助您发现并防止敏感数据泄漏，包括监视和保护云中的数据。 - 合规性监控： Lepide Auditor支持多种合规性标准，包括HIPAA、GDPR、PCI DSS等等，并生成相应的合规性报告。 - 安全事件响应： 该产品提供实时警报，以帮助组织快速识别并响应潜在的安全威胁。 - 数据流程分析： 通过分析数据的流向，Lepide帮助组织识别潜在的风险和非法数据活动。 - 权限分析和管理： 该工具可帮助您审查和管理用户权限，以减少潜在的风险 虹科网络安全 虹科是在各细分专业技术领域内的资源整合及技术服务落地供应商。虹科网络安全事业部的宗旨是： 让网络安全更简单 。凭借深厚的行业经验和技术积累，近几年来与世界行业内顶级供应商Morphisec，DataLocker，Allegro，SSC，Mend，Apposite，Profitap，Cubro，Elproma等建立了紧密的合作关系。我们的解决方案包括 终端安全、数据安全、网络安全评级、应用安全分析、网络流量监控、网络仿真测试等 行业领先的解决方案。虹科的工程师积极参与国内外专业协会和联盟的活动，重视技术培训和积累。 此外，我们积极参与工业互联网产业联盟、中国通信企业协会等行业协会的工作，为推广先进技术的普及做出了重要贡献。我们在不断创新和实践中总结可持续和可信赖的方案，坚持与客户一起思考，从工程师角度发现问题，解决问题，为客户提供完美的解决方案。

统计数据显示， 60%的备份从未完成，50%的数据恢复并不成功 。因此，数据恢复对终端用户来说是一个巨大的挑战，而他们的IT部门却不知道如何解决这个问题。 这反过来又增加了停机时间，影响了生产力。事实上，公司也可能遭受相当大的经济损失。因此，最重要的是帮助你的员工使恢复过程更容易管理，最终节省时间，最大限度地提高生产力，并减少财务风险。 继续阅读，了解如何使终端用户和IT人员参与定期的备份和恢复实践。 鼓励用户经常备份数据 教育你的员工在便携式系统或桌面上定期备份关键数据。你可以通过宣传和教育项目来做到这一点。IT业务部门也可以考虑通过网络备份技术为主要用户执行自动PC备份。 异地存储备份 有必要将备份介质异地存储在一个环境受控的安全设施中。如果用户在独立系统上备份他们的数据，而不是将数据保存在网络上，这就提供了一种在其他地点存储介质的方法。 提供存储数据的指导 建议所有用户为敏感和机密数据建立一个单独的文件夹。这样做将帮助你在每天做服务器备份时提高数据保护能力，并帮助技术团队加快个人桌面恢复。 标准化的软件、外围设备和硬件 如果外围设备、软件和硬件在整个组织内都是标准化的，那么系统恢复会更快。如果组织内部不可能有标准的配置，如果可能的话，你应该按机器类型、型号或业务部门进行标准化配置。 此外，确保关键的硬件组件与现成的计算机组件兼容，以便在灾难发生时立即恢复，使恢复更容易。这种兼容性也将有助于防止延误。 调整系统访问策略和网络安全 将桌面恢复需求与安全控制和网络相一致，可以帮助用户防止恶意攻击或破坏计算机系统可用性的代码。 在选择适当的技术灾难和恢复解决方案时，还应该考虑数据的敏感性和保密性要求，以确保恢复解决方案不会泄露或损害专有、机密或敏感数据。 总结 随着数字化转型风靡全球，人们对能力越来越强、价格合理、可扩展的恢复和备份解决方案的需求从未如此之大。 Datalocker提供各种解决方案，并使最终用户的备份和恢复更容易，同时为您的关键数据提供确定性和控制。 Datalocker 数据加密解决方案 DataLocker 是高级加密解决方案的领先供应商。凭借一整套硬件加密产品、加密虚拟驱动器和中央管理平台，DataLocker 为政府、军队和 70% 的财富 100 强公司保护敏感数据和知识产权。 DataLocker 产品将卓越的便利性和可用性与最先进的安全性相结合。从加密的外部驱动器和光学媒体到托管 DLP 解决方案，DataLocker 产品使控制、传输和共享敏感数据变得容易。 加密硬盘驱动器 ​ H300是一款经济实惠的加密硬盘，也可以远程管理。 DataLocker(IronKey)H300硬盘可保护数据、文件和目录，因此您可以放心地保护敏感数据。提供用于独立实施的基本版或允许远程管理的企业版。 特点：简单安全 ，强大的密码保护，多语言支持 ，USB 3.0 性能，多种容量选项，坚固耐用…… 加密USB驱动器 ​ K350是一款受密码保护、经过FIPS 140-2 3级认证的加密USB驱动器，其屏幕可简化设置和操作。满足最严格的要求，在任何有USB大容量存储的地方轻松工作。 K350是DataLocker完整的安全管理解决方案组合中轻薄而强大的补充，此外，它还拥有3年有限保修支持。 特点：FIPS 140-2 3 级认证，管理策略和数据恢复，无需安装，完全可管理的设备，暴力破解密码保护，防尘，防水，防震，抗震。 虹科是在各细分专业技术领域内的资源整合及技术服务落地供应商。虹科网络可视化与安全事业部，凭借深厚的行业经验和技术积累，近几年来与世界行业内顶级供应商Morphisec，Apposite，IoT Inspector，LiveAction，Profitap，Cubro，Elproma等建立了紧密的合作关系。我们的解决方案包括 网络流量监控，网络流量采集和优化，端到端网络性能可视化，网络仿真，网络终端安全（动态防御），物联网设备漏洞扫描，安全网络时间同步 等解决方案。虹科的工程师积极参与国内外专业协会和联盟的活动，重视技术培训和积累。 此外，我们积极参与 工业互联网产业联盟 、中国通信企业协会等行业协会的工作，为推广先进技术的普及做出了重要贡献。我们在不断创新和实践中总结可持续和可信赖的方案，坚持与客户一起思考，从工程师角度发现问题，解决问题，为客户提供完美的解决方案。 ​

一、背景介绍 近年来，勒索软件攻击越来越频繁。从石油管道被关闭和汽车公司的数据被锁定，到警察部门和医疗保健组织的计算机和数据被“扣为人质”，攻击者瞄准了几乎所有行业的组织，并造成重大、代价高昂的破坏操作。美国联邦调查局 (FBI)最近报告称，组织损失超过69亿美元。 到2021年的勒索软件攻击——比2020年增长7%。可以肯定的是一个惊人的数字，但当您考虑到企业的真实成本时更是如此，虽然难以量化，但肯定要高得多。 勒索软件攻击通常以多种方式影响企业，包括持续的运营停机时间，这可能会减慢甚至停止创收，破坏生产力并削弱客户信心，以及知识产权的损失、声誉的损害，就医疗保健系统而言，甚至会造成人命损失 。 二、HK-WEKA概括 数据安全是一个多层次的挑战。组织必须警惕添加有效的保护层以防止勒索软件攻击，并采取措施确保在发生攻击时恢复备份数据。 虹科WEKA数据平台提供增强的安全性，以降低勒索软件攻击的风险和潜在范围，具有高级安全功能，例如多租户隔离、经过身份验证的挂载和内联加密，以及受保护的备份，即使在最坏的情况下也能简化恢复 。WEKA通过我们的快照到对象功能简化了备份和恢复过程，定期将数据副本发送到不同数据中心或云中的远程 WORM 存储桶（并定期验证它仍然是好的）。 与其他类型的网络威胁一样，仔细规划、正确的工具、员工教育和多层保护都是打击勒索软件攻击的关键——而虹 科WEKA的安全和数据保护功能可以在帮助保护组织数据方面发挥重要作用 。 三、HK-WEKA勒索软件问题解决方案 勒索软件攻击者通常 使用恶意软件 来加密组织的数据，其中可能包括运营数据、财务数据、人员或客户数据；在被攻击者解密之前，组织无法访问加密的数据。在某些情况下，攻击者可能会在目标组织之外制作副本并删除原始数据，直到支付赎金，然后他们会恢复全部或部分数据。该组织面临的挑战是检测他们的数据何时被泄露，这很麻烦，因为这些攻击通常需要数周时间才能完全加密和删除数据。另一个挑战是在复杂的攻击中，确定一旦发现漏洞，组织可以使用哪些备份（如果有）从磁带或近线恢复数据。 组织现在正在实施严格的流程和程序来挫败和防止这些类型的攻击，例如 频繁的密码更改、双因素身份验证、病毒、恶意软件和网络钓鱼检测机制 等等，但在许多情况下，威胁行为者仍然比他们更聪明.。 HK-WEKA 数据平台为组织提供了额外的安全层，使潜在的攻击者更难将用户锁定在他们的数据之外，并有助于确保可以快速轻松地恢复数据，包括： 1.多租户隔离 HK-WEKA数据平台使管理员能够在单个系统上创建多个单独的组织 。子组织只允许管理他们自己提供的命名空间 ；子组织的管理员无法访问整个组织的其他文件系统，从而限制潜在的攻击范围，即使子组织受到威胁。 2.经认证的挂载 Admin可以生成在挂载文件系统之前必须提供的令牌 。这些令牌确定客户端是否具有读/写权限以及在验证文件系统上的权限模型之前撤销访问多长时间，这提供了额外的保护层。即使攻击者确实设法以经过批准的用户身份访问客户端系统，没有这些令牌，您将无法挂载任何文件系统。 3.加密 HK-WEKA数据平台支持在线加密和静态加密 ，因为它落在NVME存储上以及发送到后端对象存储桶时。冒充中间人窃听流量的攻击者将无法破译文件数据。此外， HK-WEKA系统与组织的 Key Management Service 相连，该服务会根据需要不断生成新的密钥 ，因此没有单一的密钥可以使用解锁所有组织的数据。然后在它登陆对象存储时对其进行加密以实现完全安全。 4.瞬时快照 HK-WEKA支持其所有文件系统的瞬时快照，这在Exabyte规模上是独一无二的 。这些快照是不可变的，并且始终可用于在几秒钟内将文件系统即时回滚到之前的状态——甚至无需卸载或重新安装客户端。 5.对齐对象 HK-WEKA数据平台还支持向本地和远程对象存储桶发送不可变快照 。这些快照可用于将副本发送到远程版本或一次写入多次读取 ( WORM )存储桶，其中加密或删除数据几乎是不可能的。WORM 存储桶是一个对象存储桶，它是配置使其包含的每个数据集都有一个保留期，一旦将数据集放入存储桶中，在其保留期到期之前就无法删除或更改它。定期挂载这些WORM 远程数据副本并验证数据是否正确以在攻击中捕获威胁参与者非常简单。例如，每周一次，配置一个可以挂载 WORM 远程数据副本并确认其可访问性和有效性的短期HK-WEKA系统。 图 A ：HK-WEKA系统将数据发送到另一个云中的远程 WORM 存储桶 名词解释： 近线：所谓近线存储(Nearline storage)，是随着客户存储环境的细化所提出的一个概念 ，所谓的近线存储，外延相对较广泛， 主要定位于客户在线存储和离线存储之间的应用 。就是指将那些并不是经常用到，或者说数据的访问量并不大的数据存放在性能较低的存储设备上。但同时对这些的设备要求是寻址迅速、传输率高。

医疗数据安全面临严峻挑战 01 医疗数据泄露事件愈演愈烈 最近的统计数据 表明：近 三年内，在数据泄露中暴露的 个 人 医疗 信息数量 增加 了 300%。在暗网上， 个 人 医疗 信息（ PHI）的售价高达每条1000美元。根据Critical Insight的一份报告，2021年有超过4500万份 患者资料 在数据泄露中被曝光。这意味着去年约有七分之一 的 美国人 被盗取了 姓名、家庭住址、社会安全号码，甚至生物识别数据等信息。现在，仅 医疗信息泄露 就占了所有大型数据泄露事件的 30%。 20世纪90年代 以来，医疗信息数据化 技术 不断发展， 《 健康保险流通与责任法案 》 ( 下称 HIPAA) 正式立法 ， 最大程度地降低患者信息泄露风险成为医疗服务机构工作的重中之重 。 02网络威胁变得越来越难以发现 2 021年1月23日 ， 克罗格药房的高管接到布洛克团伙入侵的通知 。 一周后，克罗格 又 收到了 500万美元的赎金要求 和 超过 500,000名克罗格客户的 个 人健康信息被盗的证据。 尽管 他们所有系统都是在线的，网络 也 没有 出现 恶意 攻击 的迹象 ， 但 还是发生了这起 规模巨大 的 数据泄露事件。 这场网络攻击到底是如何进行的？ CLOP用了一个已知的Accellion文件共享漏洞作为攻击媒介 ， 来攻击 克罗格制药公司的 网络 。 CLOP使用零日攻击获得入口，然后在设备内存中部署DEWMODE Web外壳来访问和渗透数十万条 个 人健康信息， 但 不会引发任何终端安全解决方案警报。这种情况正变得越来越普遍。随着医疗 服务行业 攻击面的不断扩大，医疗零日攻击达到历史最高水平， 攻击者 有更多的 地方 进入网络， 并在 进入网络 后 就隐藏起来。 根据 IBM的数据，一个医疗机构平均需要329天的时间来检测和控制一 次 数据泄露。 然而 ，威胁者正越来越多地使用不产生签名或依赖磁盘可执行文件的恶意软件。去年，使用 Cobalt Strike beacons等无签名工具的无文件攻击率飙升了900%。这类威胁可能会绕过EDR或AV 等通过 签名和识别已知威胁 行为的工具 。 03 网络攻击 对 医疗机构 造成严重损失 对于小型的医疗机构来说，网络攻击造成的停机成本可能较低。但对一家中等规模的医疗机构来说，一个完整的漏洞所造成的停机时间的平均成本是 45,700美元/h。在这种威胁环境下，医疗服务机构继续依赖反应性策略是极不可取的。 显然，为了应对不断增加的医疗网络攻击，医疗领域的数据安全需要探索新的发展方向。 如何保障医疗领域的数据安全？ 01医疗领域网络安全防御亟待转变方向 改善医疗网络的安全状况需要向零信任环境和深度防御（ DiD）战略迈进。然而，即使是基本的零信任要求，如强制要求多因素认证（MFA）或在特定时间限制后禁用账户，也很难执行。医疗保健人员对影响其生产力或影响生活的安全控制措施的容忍度很小。对安全团队来说，克服这些障碍面临着程序和政治上的挑战。 02 保障医疗数据安全的有效措施 现在，加强零信任和深化 DiD在技术上和经济上都是可行的。Morphisec轻量级、革命性的移动目标防御（MTD）技术可以主动阻止下一代反病毒（NGAV）、终端检测和响应（EDR）无法持续检测的高级无文件和运行时攻击。移动目标防御（MTD）技术在不影响用户体验的同时，为医疗保健服务器和终端带来零信任保护。 03 移动目标防御(MTD)技术如何实现零信任保护？ 移动目标防御（ MTD）技术将应用程序内存变成一个无信任的环境，随机变化受信任的运行时应用程序代码并自动阻止未经授权的代码。它会不断改变真正的入口，留下假的入口，但不会影响任何授权的应用程序和进程。如果未经授权的代码试图在目标上执行，它就会打开一扇“假门”，将其困住，以便进行取证分析。不用先行识别或分析，MTD能在它们部署和造成破坏之前，主动阻止最先进的破坏性攻击。另外，MTD增加了一个超轻量级的主动防御层，填补了其他安全解决方案无法有效弥补的运行时漏洞的安全缺口。因此，MTD对设备性能没有影响，也不需要监控。这对医疗机构网络安全环境来说是非常重要的。 获取更多资讯 敬请联系我们