敏感数据的3个优秀实践

大的响应计划，与企业董事会和执行团队的透明性以及与执法部门之间的合作关系，在数据被利用之前迅速帮助执法机构抓获网络攻击者。

制定应对计划以应对在云平台中放置敏感数据的风险，这应该是任何云安全策略的一部分。要开始制定有关公共云使用的数据保护政策，重要的是要了解攻击者如何窃取来自第三方云服务的数据。

数据在云中如何受到攻击

根据云安全联盟(CSA)发布的2020年度威胁报告，第三方云服务中的数据泄露主要是由于配置错误和变更控制不充分(例如，过多的权限、默认凭据、配置不正确的AWS S3存储桶以及禁用的云安全控制)造成的。这份报告指出，这意味着缺乏云计算的安全策略或架构，是造成数据泄露的另一个常见原因，其次是身份和密钥管理不足，其次是不安全的API、结构故障以及对云计算活动和安全控制的有限可见性。

云安全联盟(CSA)首席执行官Jim Reavis表示：“由于越来越多的企业员工开展远程工作，SaaS在2021年已成为我们关注的重点。公共云采用率出现了惊人的增长，但是很多企业在匆忙中却忘记了对边缘网络的安全保护。例如，人们在多个云服务中重复使用其凭据，因此凭据填充攻击正日益增多。”

根据安全服务商McAfee公司的一项调查，到2020年5月，思科WebEx的使用量增加了600%，Zoom增长了350%，Microsoft Teams增长了300%，Slack增长了200%。Reavis指出，在企业最初支持远程工作的过程中，有许多可能导致数据泄漏的故障：IT团队没有保护云中的存储桶、实施安全的开发人员实践，或协调身份和访问程序。有些甚至是网络攻击者在存储库中发现的硬编码应用程序凭据。他补充说，“这是非常基本的东西。”

企业遵循以下三个最佳实践将显著降低在云中存储或处理数据的风险。

1. 盘点云服务的使用情况

首席信息安全官IanPoynter建议，应对云平台中数据威胁的最佳方法是控制云应用程序的使用，并在涉及公共云服务的任何新举措的规划阶段执行风险评估。

首席信息安全官(CISO)之间的共识是，用户的云计算实例并非总是得到授权，并且很少针对公开数据进行有效监控。Poynter说，“这就是首席信息安全官(CISO)需要成为执行团队成员的原因，他们需要了解正在发生的事情，并且还需要创建一个协作环境，业务部门主管希望与他们共享新项目或产品，然后让他们评估正在寻找的云计算产品以获得支持。”

他表示，他曾向以前任职的一家公司的会计部门发出警告，告知哪些第三方云应用程序和平台的费用报销需要获得批准。如果未经事先批准，在批准服务以外

（编辑：淮安站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!