Лучшие практики защиты данных
Кража корпоративных данных растет, поскольку злоумышленники стремятся монетизировать доступ посредством вымогательства и других средств. В 2022 году 40% вторжений, над которыми работали эксперты Mandiant, привели к потере данных, что на 11% больше, чем в предыдущем году. Только в этом году серьезная уязвимость в программном обеспечении для передачи файлов привела к крупномасштабной потере данных в организациях по всему миру (читайте наше исследование об уязвимости нулевого дня MOVEit).
Чтобы эффективно защитить конфиденциальные корпоративные данные, организациям следует разработать программы защиты данных, включающие выделенное финансирование, инструменты безопасности и определенные команды. Комплексная программа защиты данных может ограничить воздействие атаки и снизить вероятность кражи данных в случае успешного взлома.
В таблице 1 показаны примеры распространенных типов событий потери данных, с которыми сталкиваются организации, а также потенциальные средства защиты, которые можно реализовать для защиты.
Типы потери данных
Защитный контроль
Общедоступный сегмент облачного хранилища
Эксфильтрация данных из корпоративной сети
Доступ злоумышленника к облачному почтовому ящику/синхронизация входящих сообщений
Потеря или кража корпоративного устройства
Кража данных у доверенного инсайдера
В таблице 2 представлен неисчерпывающий общий список примеров предупреждений о защите данных и соответствующих сценариев использования обнаружения, которые организации часто используют для выявления аномальной кражи данных на разных платформах.
Активность
Примеры использования обнаружения
Массовые загрузки в Azure
Большой исходящий трафик
Загрузки на GitHub
Идентификация утилит передачи файлов
Подозрительные запросы к базе данных
Несанкционированный доступ к данным AWS
Раскрытие данных Google Workspace
Потеря данных облачной платформы Google
Кража данных M365
В этом сообщении блога излагаются общие стратегии, которые организации могут использовать для защиты от кражи или потери конфиденциальных внутренних данных. В целом эффективная программа защиты данных может быть реализована в следующие этапы:
Программа классификации и защиты данных помогает обеспечить применение соответствующих мер защиты к системам и приложениям, обрабатывающим ключевые данные. Это также позволяет организациям лучше оценить, какие системы будут представлять наибольший интерес для злоумышленника. Должны быть разработаны ключевые политики и процедуры для управления защитой данных во всей организации. Они должны включать следующее:
Разработка программы может потребовать от организации:
Организациям следует разрабатывать свою программу защиты данных с использованием подхода, основанного на оценке рисков, и проводить оценку рисков для определения угроз данным, потенциальных уязвимостей, толерантности к риску и вероятности атак, специфичных для организации.
Чтобы правильно идентифицировать критически важные данные, необходимо провести формальный проект по обнаружению данных:
Оценка «Королевских регалий» может помочь организациям лучше расставить приоритеты, какие данные требуют наибольшего внимания и защиты. В качестве передового опыта следует предусмотреть процесс проведения оценки драгоценных камней короны для каждого нового набора данных, поступающего в среду.
Следует уделить внимание анализу потоков данных и тому, как различные типы данных перемещаются внутри организации, с целью понять, как данные получаются, обрабатываются, используются, передаются, совместно используются и хранятся. После завершения этого можно сделать определение критичности данных.
Решения по предотвращению потери данных (DLP) должны быть интегрированы в шлюзы и конечные точки, чтобы позволить группам безопасности эффективно отслеживать перемещение критической или конфиденциальной информации как внутри, так и снаружи.
Необходимо использовать инструменты и возможности для обнаружения потенциальных событий потери данных. Технические механизмы защиты, которые могут помочь в защите данных, включают:
Для организации, которая в первую очередь использует экосистему Microsoft, Microsoft Purview может быть развернут как решение DLP, которое объединяет инструменты управления данными, управления рисками и обеспечения соответствия требованиям в одном унифицированном решении. Purview, предназначенный для защиты данных организации, может использоваться для автоматизации обнаружения данных, каталогизации данных, классификации данных и управления данными. Специально для предотвращения потери данных Purview предлагает «Адаптивную защиту», которая использует машинное обучение для создания контекстно-зависимого обнаружения и автоматического устранения событий DLP.