7月初，《2017年全球數(shù)據(jù)泄露成本研究》報告發(fā)布。研究結(jié)果顯示，IBM Security 和 Ponemon Institute兩家研究機構(gòu)針對419家公司進行調(diào)研，合計數(shù)據(jù)泄露總成本達到362萬美元。每條包含敏感和機密信息的丟失或被盜記錄的平均成本達到141美元。對比往年，今年企業(yè)和組織數(shù)據(jù)泄露的規(guī)模較以往更大，平均規(guī)模增長了1.8%。 近年來，全球各地無論是政府組織還是知名企業(yè)，頻繁被爆出大規(guī)模數(shù)據(jù)泄露事件，尤以信息化程度發(fā)達的國家更為嚴重。研究結(jié)果來自11個國家和2個區(qū)域，從中選擇了419個組織參加了今年的研究。通過對這些組織中的1900多名專家進行訪談，以此了解：

數(shù)據(jù)泄露中有多少客戶記錄丟失(即泄露規(guī)模)

數(shù)據(jù)泄露后他們失去的客戶的百分比(即客戶流失)

數(shù)據(jù)泄露的根本原因 

檢測和控制泄露事件的時間

發(fā)現(xiàn)和立即響應數(shù)據(jù)泄露的活動方面花費，例如取證和調(diào)查，以及發(fā)現(xiàn)后進行的活動，例如通知受害人和法律方面的費用

通過這些樣本對數(shù)據(jù)泄露成本進行研究和分析，不僅是為了核算成本和趨勢預判，最終目的是通過調(diào)研還原這些數(shù)據(jù)泄露事件全貌，為組織和企業(yè)的數(shù)據(jù)安全保護提供更有參考價值的建議，我們將報告中的一些重要觀點摘錄下來，以此作為重要的參考依據(jù)，思考在大數(shù)據(jù)時代下，如何通過行之有效的手段，規(guī)避未來可能會發(fā)生的泄露事件，為企業(yè)避免為此類負面事件付出高昂的成本。

數(shù)據(jù)泄露的主要原因

報告顯示，數(shù)據(jù)泄露事件的主要根源中，47%的事件涉及惡意或犯罪行為，25%是由于員工或承包商疏忽(人為因素)，28%涉及系統(tǒng)故障，包括IT和業(yè)務流程故障。

雖然本次調(diào)查沒有涉及中國的組織和企業(yè)，但這一趨勢與國內(nèi)諸多安全研究結(jié)果較為一致。早期，惡意攻擊者的目標是業(yè)務系統(tǒng)，以導致業(yè)務中斷為目的。近年伴隨數(shù)據(jù)資產(chǎn)價值與日俱增，惡意攻擊者的目標越來越多的指向數(shù)據(jù)存儲的基礎設施-數(shù)據(jù)庫系統(tǒng)。針對數(shù)據(jù)庫的漏洞攻擊、SQL注入等手段不斷升級，目的正是對敏感數(shù)據(jù)的竊取，這些包含個人隱私或商業(yè)機密的數(shù)據(jù)流入黑產(chǎn)市場，經(jīng)過多手倒賣，流入更多不法分子手中，震驚全球的雅虎5億用戶信息泄露事件正是源于黑客攻擊。

另一方面，與國內(nèi)情況類似，內(nèi)部員工及承包商(即第三方公司)的人為泄露比例正在逐年上升。企業(yè)信息化建設增速逐年提升，除了內(nèi)部人員配備提升，為節(jié)省人力成本，引入第三方外包公司進行系統(tǒng)開發(fā)、測試、分析或代理運維等工作是目前常見的解決方式，在此過程中這類人群往往持有數(shù)據(jù)庫的高權(quán)限賬戶，一面是內(nèi)部人員可能產(chǎn)生的高危操作、誤操作，另一方面是第三方人員引發(fā)的數(shù)據(jù)泄露事件，這成為數(shù)據(jù)泄露的另一主因。

慶幸的是，國內(nèi)的多數(shù)行業(yè)已經(jīng)意識到內(nèi)部威脅及第三方人員的數(shù)據(jù)泄露風險，會主動尋求技術(shù)手段規(guī)避。數(shù)據(jù)庫脫敏和數(shù)據(jù)庫安全運維產(chǎn)品的出現(xiàn)和應用正是基于此，對敏感數(shù)據(jù)做變形和漂白后可以放心交給第三方公司使用;即使內(nèi)部及第三方運維人員擁有DBA高權(quán)限賬戶，依然可以通過基于審批流機制的數(shù)據(jù)庫安全運維系統(tǒng)，對敏感數(shù)據(jù)的運維操作進行審核和過濾，防止誤操作及高危操作。

外泄規(guī)模的大小以及丟失或被盜記錄的數(shù)量

調(diào)研結(jié)果顯示，數(shù)據(jù)泄露事件將導致客戶信任度下降、企業(yè)也需要投入大量成本進行取證調(diào)查，挽回數(shù)據(jù)，以及相關(guān)客戶的聯(lián)系及法律成本。通過成本分析揭示了數(shù)據(jù)泄露的平均總成本與事件的大小之間的關(guān)系。在今年的研究中，少于10,000個損失記錄的事件的平均總成本190萬美元，超過50,000記錄的時間平均總成本是630萬美元。因此，丟失的記錄越多，數(shù)據(jù)泄露的成本就越高。對于這一情況，報告中提到數(shù)據(jù)分類存儲計劃對于了解敏感和機密信息至關(guān)重要。

這一結(jié)論與安華金和提出的數(shù)據(jù)安全治理思路不謀而合，我們認為要實現(xiàn)數(shù)據(jù)在使用中的安全，首先一步是要了解數(shù)據(jù)，通過對數(shù)據(jù)資產(chǎn)進行梳理，發(fā)現(xiàn)你的敏感數(shù)據(jù)資產(chǎn)有多少、分布在哪里，使用情況和訪問權(quán)限怎樣。對數(shù)據(jù)資產(chǎn)進行分級分類，是為建立定制化的保護策略提供原始依據(jù)。

 1/2    1 2 下一頁 尾頁