云服务已经成为现代IT系统的关键和集成部分,并且自其出现以来就一直对其安全性进行辩论。诸如Amazon和Salesforce之类的大型云服务提供商争辩说,他们的系统受益于小型最新型安全性功能,小型企业不太可能进行投资,这使得其数据在云中的脆弱性低于在云上自己的服务器。但是,使用云服务可以使数据更容易访问和潜在的破坏。实际上,它是其最大的卖点之一:随时随地进行数据访问。尽管它与当今日益移动,全球化的世界保持一致,但这也意味着公司必须应对更多的漏洞,不一定来自云服务本身,如上所述,它们已经非常认真地考虑了安全问题,但是来自其中一个导致数据泄露的最常见原因:公司自己的员工。

员工的疏忽和不满导致当今许多与业务相关的违规和数据丢失。云的灵活性使他们有机会绕过应用于公司网络和计算机的限制性IT设置,并在办公室内外未经批准的不安全环境中使用敏感数据。在此博客文章中,我们决定关注用户在与云中的敏感数据进行交互时有意或无意地犯下的最常见错误,以及如何避免这些错误:

1.敏感数据和BYOD

和很多 实施自带设备的公司 (BYOD)模型可降低硬件成本,并允许员工使用他们最熟悉的技术,因此不可避免地这些个人设备(无论是手机,平板电脑还是笔记本电脑)都可以在内部和外部访问公司的敏感数据。并可以存储和下载它。

由于此类设备不属于公司,因此很难在这些设备上应用严格的安全策略。这意味着员工也将在闲暇时使用它们,安装任何软件并浏览任何网站,而公司无法阻止他们。这增加了网络钓鱼攻击,恶意软件侵扰和密码黑客攻击的风险。

可以通过使用Data Loss Prevention解决方案保护BYOD来解决这种特定类型的漏洞,该解决方案仅针对特定的预定义敏感数据集,并且不会影响用户的个人文件。因此,在发现敏感数据或阻止其传输时,可以对其进行远程扫描,加密或删除,而不会侵犯员工的所有权。此外,移动设备管理解决方案允许IT管理员应用限制,例如禁用iCloud或强制使用强密码,推送应用程序和其他设置,从而减少BYOD的威胁。

2.与未经授权的第三方共享敏感数据

员工通常仅通过生成可共享的链接即可通过云服务共享大文件,该链接将在组织外部发送给供应商,合作伙伴或客户,而无法跟踪谁查看或转发该文件。共享文件因此对于拥有该链接的任何人都可以使用,甚至可以公开发布。

为了限制对共享文档的访问,重要的是鼓励与他们的电子邮件标识的特定个人共享链接的做法,而不是使用可共享的链接。 信息权限管理 (IRM)工具还可以用于防止敏感信息被未经授权的人打印,转发,保存,编辑或复制。

3.将敏感数据从云转移到高风险的第三方替代方案

轻松访问云中的数据意味着员工可以从公司的云服务下载数据,然后将其重新上传到未经授权的第三方应用程序和服务,例如文件共享网站,聊天,电子邮件服务,论坛等。

可以通过应用程序控制,限制员工在工作中可以访问的应用程序和网站的类型,或者使用基于自定义内容,文件类型,正则表达式和其他条件扫描文件的Data Loss Prevention工具来避免此特定错误。阻止任何符合条件的文件上载或传输。

4.远程工作人员安全

随着越来越多的公司开始采用灵活的工作时间表和远程工作日,它产生了一个新的安全问题:在执行任务时使用未经授权的个人设备。许多员工承认,他们喜欢在家中使用个人设备工作。与BYOD不同,这些设备永远不会与公司的IT部门联系,因此它们无法通过DLP客户端保护,也无法在可能安全或可能不安全的远程网络连接上运行。

为了避免在这种情况下可能造成的数据丢失,请使用 云访问安全代理 (CASBs)建议。他们不仅可以阻止/允许访问云服务,还可以执行策略,允许员工从远程网络上不受管的设备进行远程访问,以查看或编辑云中的数据,但可以阻止对这些设备的下载。

5.将高价值数据上传到云

在许多情况下,员工在将敏感数据上传到云时都未能将其私有化,从而公开了公司最有价值的数据,从健康记录到个人身份信息(PII)。尽管云服务急于为内容隐私提供更好的故障保护,但它们并不能保证员工将来可能不会有意或无意犯类似的错误。

每家公司都有一组高价值数据,它们希望保留在自己网络的范围内,以防止其泄漏或被盗,或者必须保证其安全性,以符合HIPAA,GDPR,GLBA等法规,PCI等。数据丢失防护解决方案,例如 端点保护器 可以根据名称,文件类型,关键字等或合规性配置文件扫描预定义的内容,阻止其传输并记录并报告其他重要文档的传输。

结论

最终,云服务的集成基于共享责任模型,在该模型中,云提供商和公司策略共同工作以确保云中数据的安全性。但是,随着信息安全领域的扩展以包括云中的数据,公司可以选择实施数据丢失防护和其他安全解决方案以增强这些策略并防止员工的疏忽或恶意意图造成不必要的破坏。

通过: 

资源: 端点保护器博客