“醉汉在路灯下找钥匙”故事中的「数据安全」隐喻

故事脚本

醉汉在路灯下不停地转来转去找东西,一名路过的警察问他丢了什么,他说家里的钥匙丢了。

警察帮他一起寻找,但在周围来回搜索了几遍都没找到。

警察就问:你的钥匙是在哪里丢的?

醉汉回答说:我出了家门就发现钥匙丢了。

警察大怒,说到:那你为什么在这里寻找?

醉汉振振有辞地说:因为只有这里有光线啊!

从数据安全层面进行解读

“醉汉在路灯下找钥匙”的故事,是人们在遇到问题时的一种常规的反应,这就是所谓的路灯的效果,我们要寻找一个问题的答案,而这里有灯光,于是我们的思维就局限在这里地方。

如今,各大企业或机构数据泄漏事件频繁的发生,企业或机构在应对这类网络安全事件时,大部分也犹如在灯光下找钥匙的“醉汉”:试图在有灯光(明显坐标)的地方寻找答案,即使这个地方是错误的。典型的表现是:企业或机构通常会把注意力集中在输入指标上(例如网络中的恶意软件、系统漏洞),却对输出指标或者网络技术之外的内容视而不见。

当发生数据泄露事件之后,企业或机构应当有一个度量指标,这个指标比其他的因素更重要,但却容易被忽视/无视;你的敏感数据是从你的系统或网络中渗漏到一个恶意攻击者(或者黑客)手中的吗?

这一点非常值得反思。考虑到现实环境中各行业的企业或机构在收集数据时,常常“违背”基本的安全规范,像一条贪婪的蛇,试图吞没一头名为“大数据”的大象。殊不知,这样做也会给自己招来数据泄漏的威胁。安全行业对“数据渗漏”的通常解读是别有用心的攻击者突破企业的网络防线,窃取到企业的敏感数据。但实际上“数据渗漏”只是一个将企业陷入危险境地或困境的结果,甚至有些时候,是企业跳入了自己挖出的坑里。

这里简单的举一个最近遇到的真实例子,假期旅游之前进行酒店预定时,我被要求提供信用卡信息。处理流程中有一个不太引人注目的用户协议,其中有一条阐明会把这些信息同步给一个第三方公司。作为一名在安全行业工作多年的专业人士,我很清楚PCI-DSS(支付卡行业数据安全标准)的相关规范,以这种方式共享敏感信息显然是违反PCI-DSS标准的,所以我停止了预定酒店的行为。如果企业在实际操作中惯于无视数据安全标准规范的话,很可能使公司或个人处于危险之中。因此,诸如业内安全专家都强调,对于一个组织而言,培训员工了解如何保管或监管可能被滥用的敏感数据,是一件非常重要的事。

最近几年,由于数据泄漏导致企业高管引咎辞职的案例屡见不鲜,受殃及的不只是信息泄漏的直接受害人,以及涉事企业的CEO、CIO和CISOs们,还会侵害到各大股东的利益,甚至产生影响到地缘政治的后果。

启迪

为了防止数据渗漏事件的发生,建议企业扩大安全意识的培训范围,在传统的网络安全意识培训外,积极的培养员工的数据安全意识,着眼于“输出”指标,明确企业最具价值的数据的确切位置以及它们可能的渗漏途径。人们通常对所掌握的数据的认识和思考不足,难以区分哪些是敏感的和良性的。

在解决实际问题的时候,先要清楚钥匙丢失的地点,而不是在错误的地方寻找答案。

原创文章,作者:猫小编,如若转载,请注明出处:http://www.mottoin.com/106389.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code