过去十年,数据创建和数据管理取得了前所未有的增长。消费者每天使用的产品和服务,以及大大小小的企业所依赖的系统,全都围绕着数据。备受关注的数据泄露和黑客攻击的频率日益上升,这一情况令所有人担忧。未来几年,数据安全可能还会恶化。根据希捷科技赞助、国际数据公司(IDC)发布的白皮书《数字化世界—从边缘到核心》预测,到2025年,全球数据圈将可能增至175ZB。90%的数据需要一定程度的安全性,但实际上得到安全保护的数据将不到一半。
嵌入式系统、物联网、实时数据和以人工智能为基础的认知系统的快速发展,以及欧盟《通用数据保护条例(GDPR)》等新法规的颁布,意味着数据安全必须前所未有地成为企业优先考虑的事项。随着数据在硬件和软件级别得到使用、存储和分析,我们需要一种全新的、更细致的数据安全保护方式。
安全问题是一个圆圈,而非一条直线。数据处理过程中的每个参与者都有责任确保数据安全。在实践中,这意味着重新关注硬件和软件保护领域,此前,这些领域并非首要考虑因素,或者没有从企业获得大量投资。硬盘级别的数据安全就是一个最好的例子。
静态数据加密的重要性
在数据无处不在的世界中,企业需要始终进行数据保护。数据以多种方式存储在存储介质之中,而静态数据加密有助于确保数据在存储介质级别就得到保护。硬件级加密、硬盘固件保护和即时、安全的擦除技术使设备能够以最低的数据滥用风险退役。
Thales Data Threat最近的一份报告发现,一旦攻击者侵入防火墙,静态数据安全工具一向被认为是最佳的数据保护方式。静态数据加密是最后一道防线:如果恶意攻击者通过使用被侵入的或欺诈性的证书,设法突破了其他保护防线,进入了安全设施,硬件级加密可以保护该组织免遭数据窃取。
然而,尽管好处明显,这种加密目前得到的投资仍落后于其他领域,如网络安全和终端安全领域等。根据上述Thales Data Threat报告,2016年,静态数据安全支出增长的水平最低(44%),而网络安全支出增长率为62%,终端安全支出增长率为56%。
为确保其存储尽可能安全,任何企业都可以做一项简单的测试检查硬盘是否符合通用标准(Common Criteria)。通用标准(Common Criteria)是计算机安全认证的一个国际标准,符合此标准的硬盘拥有基础级别的保护,用户可以在此基础上进行构建。
正在发挥作用的静态数据加密
美国的零售行业曾出现大量的安全漏洞,在去年繁忙的复活节周末,几个主要的美国品牌遭遇袭击。零售商需要频繁处理消费者的银行卡信息,极易受到攻击。
零售商所面临的高级威胁往往可以未经察觉地避开安全防御。这种漏洞可能会令攻击者在几个月内不受限制地访问敏感信息——有些漏洞只有在消费者付款细节出现在暗网上之后才被察觉。这些未经发现的攻击对于零售商而言非常危险,一旦他们的防御被突破,零售商就无法保护消费者信息。
静态数据加密可以显著增强这些实例的安全性,在客户记录和攻击者之间提供一道额外的安全保护。通过适当级别的加密,静态数据安全可确保任何被盗数据对网络罪犯基本毫无价值。
哪里最需要静态数据?
医疗保健机构拥有高度敏感的客户信息和患者信息,非常需要静态数据加密。随着电子患者健康档案的广泛应用,该数据越来越容易受到攻击。美国医学协会和埃森哲(Accenture)公司最近的调查研究表明,74%的医生担心未来的袭击可能会泄露患者记录。
根据Thales的数据威胁报告,鉴于全球78%的金融服务公司正计划增加对关键数据的支出,金融业也将受益于对静态数据加密的进一步投资。各种规模的企业都无法免于安全威胁——随着越来越多的人通勤或远程工作,敏感业务数据因设备被盗而暴露的风险也提高了。如果窃贼偷走未加密的硬盘并复制数据,用户名和密码就几乎没有用处了。
技术供应商通常关注处于其控制范围内的硬件和应用程序的安全。这是可以理解的,但这可能会让数据安全也出现孤岛问题。数据安全不是单独的一条直线——相反,将数据安全视为一个圈,让其中处理数据的每个硬件和软件都发挥其作用,是很有帮助的。显然,需要更多地进行行业对话和协作,以确保数据安全在整个“安全圈”和价值链中得到有效的部署和贯通。