Michelle Drolet

很多企業(yè)采取措施以防止數(shù)據(jù)泄露，并采用新的政策、工具和策略，這使得他們自己感覺受到了保護(hù)，但他們的防御未必有自己想象的那么強(qiáng)大。不幸的是，他們很容易產(chǎn)生虛假的安全感。

數(shù)據(jù)泄露事件現(xiàn)在已經(jīng)司空見慣了，人們越來越認(rèn)識到企業(yè)應(yīng)采取更多的措施來打擊這類事件，做好善后工作。被盜數(shù)據(jù)的潛在成本遠(yuǎn)遠(yuǎn)不止清理操作，還可能受到監(jiān)管部門的罰款，名譽(yù)上受損。盡管現(xiàn)在人們對風(fēng)險(xiǎn)的認(rèn)識有所提高，但是采取正確、全面的措施來保護(hù)數(shù)據(jù)比人們想象的要難。

對于企業(yè)來說，一開始時(shí)能朝著正確的方向發(fā)展，但是由于忽略了某個(gè)特殊的領(lǐng)域，他們的努力往往付諸東流——這并不罕見。實(shí)現(xiàn)高標(biāo)準(zhǔn)的網(wǎng)絡(luò)安全需要從整體上全面地看待風(fēng)險(xiǎn)，而且要穩(wěn)步、持續(xù)地付出努力。事實(shí)是，很多企業(yè)只是做對了一兩件事情，然后就裹足不前了，沉浸于舒適但卻錯(cuò)誤的感覺中，覺得自己是安全的。

本文介紹代表這些虛假安全感的四種常見觀點(diǎn)。

風(fēng)險(xiǎn)并沒有那么大

規(guī)模較小的企業(yè)尤其有這種一廂情愿的想法。他們可能認(rèn)為大企業(yè)才是更有吸引力的目標(biāo)，但事實(shí)是，網(wǎng)絡(luò)犯罪分子更喜歡走捷徑。如果你逃避安全問題，那就可能成為唾手可得的攻擊目標(biāo)。在基本的安全環(huán)境建設(shè)方面，最令人震驚的是有很多企業(yè)完全沒有安全意識。

認(rèn)為自己的數(shù)據(jù)對黑客來說不是很有價(jià)值或者沒什么用的想法也是一種危險(xiǎn)的思考方式。漏洞可能導(dǎo)致資源被劫持，攻擊者利用你的服務(wù)器來托管色情內(nèi)容，甚至可能破壞工作負(fù)載來挖掘加密貨幣。如果你覺得自己不會(huì)成為被攻擊的目標(biāo)，那就是在拿自己開玩笑。

其實(shí)未必是某個(gè)大的犯罪團(tuán)伙決定攻擊你，一個(gè)孤獨(dú)的黑客新手就能在暗網(wǎng)上購買或者租用成熟的工具，并高效地使用這些工具，而不必了解工具是怎樣工作的。

我們已經(jīng)合規(guī)了

顯然，確保遵守GDPR和即將發(fā)布的CCPA等法規(guī)是非常重要的，而且很多行業(yè)都有自己的一套規(guī)則和規(guī)章來保護(hù)不同類型的數(shù)據(jù)。不遵守這些規(guī)定會(huì)導(dǎo)致懲罰性的罰款。盡管有人懷疑監(jiān)管機(jī)構(gòu)到底會(huì)不會(huì)開出大筆罰單，但對你來說不應(yīng)該去以身試法。

遵守這些規(guī)章制度會(huì)促使你采用更好的安全標(biāo)準(zhǔn)和更全面、更健壯的事件響應(yīng)計(jì)劃，但并不能保證不會(huì)發(fā)生數(shù)據(jù)泄露事件。合規(guī)無疑是一件好事，但不要將其與安全等同起來。同樣重要的是要記住，合規(guī)不是勾選某些表格然后就束之高閣了;這是對標(biāo)準(zhǔn)的承諾，需要不斷地更新和思考。

太多的企業(yè)花錢請顧問來，讓自己在最后期限前及時(shí)達(dá)到合規(guī)要求，然后就認(rèn)為以后不用再考慮這些事情了。但他們錯(cuò)了。

我們已經(jīng)培訓(xùn)了自己的員工

我們已經(jīng)討論過建立良好的安全意識培訓(xùn)計(jì)劃并關(guān)注員工行為是多么的重要，但是很多人都認(rèn)為這一安全步驟也是一次性做好就夠了。一個(gè)合適的培訓(xùn)項(xiàng)目應(yīng)隨著時(shí)間的推移而不斷發(fā)展，并成為員工日程安排不可或缺的部分。

很多企業(yè)在這一領(lǐng)域犯的另一重大錯(cuò)誤是，他們沒有測試所提供的培訓(xùn)是否有效。用模擬釣魚電子郵件或者社交媒體信息來測試自己的員工，看看他們的反應(yīng)是否正確——這是非常重要的。結(jié)果一定要促使采取一些行動(dòng)。如果失敗，那就應(yīng)該進(jìn)一步加強(qiáng)培訓(xùn)，但一再的失敗則應(yīng)進(jìn)行紀(jì)律處分，如果出現(xiàn)了嚴(yán)重的情況，則應(yīng)解雇。

不能對員工一再違反安全標(biāo)準(zhǔn)視而不見。只有最薄弱的環(huán)節(jié)強(qiáng)大起來，企業(yè)的安全策略才算強(qiáng)大，只要有一名員工犯錯(cuò)，你的努力就會(huì)付諸東流。

我們有網(wǎng)絡(luò)保險(xiǎn)

這是一種常見的說法，讓人們覺得自己應(yīng)該很安全，但有幾個(gè)原因解釋了為什么這是危險(xiǎn)的。這是一個(gè)新的保險(xiǎn)領(lǐng)域，很多買賣這些保單的人并不真正理解自己需要什么樣的保險(xiǎn)。他們很容易覺得自己的保險(xiǎn)很全面，但只有在索賠過程中才發(fā)現(xiàn)其實(shí)并非如此。

最好的保險(xiǎn)應(yīng)該是促使人們通過良好的行為來降低風(fēng)險(xiǎn)，但在網(wǎng)絡(luò)安全領(lǐng)域，目前的深度還達(dá)不到。例如，保險(xiǎn)條款可能會(huì)要求你擁有防火墻，但并不告訴你怎樣配置防火墻。錯(cuò)誤配置是攻擊者常見的切入點(diǎn)，因此，這確實(shí)應(yīng)成為這一領(lǐng)域要考慮的問題。

就目前的情況而言，不應(yīng)僅僅因?yàn)橛辛吮ｋU(xiǎn)就認(rèn)為自己是安全的。

總結(jié)

本文并沒有面面俱到地列出了可能導(dǎo)致對數(shù)據(jù)泄露事件產(chǎn)生虛假安全感的因素，但是企業(yè)一定要注意以上四個(gè)方面。關(guān)鍵的一點(diǎn)是，要想成功地防范數(shù)據(jù)泄露事件，需要做出承諾和持續(xù)的努力。