3min. read

企業數據安全性的議題總是圍繞在敏感數據的保護上,並且必須確保這些數 據不會落入未獲授權人士的手中。我們必須防範外部攻擊、錯誤設定,甚至 是內部人員所造成的數據外洩。

當所有的數據皆位於企業內部的數據中心時,IT 安全人員可透過集中的位置 來保護這些有限且可預測的資源。不過隨著時代的演進,如今這些數據已不 再只是位於使用者裝置以及企業數據中心的範圍中。由於有越來越多的數據 都已逐漸脫離企業所控制的實體裝置和位置,因此企業數據安全性被迫經歷 重大的轉折也就不讓人感到意外了。

如今企業數據都位於何處?

現今的企業數據橫跨了多個位置,包括一般使用者裝置、內部部署數據中心和多個雲端中。許多的使用者也已不再 使用以桌上型電腦為基礎的應用程式。就以每個顯示在螢幕上的文字來說,唯一可確定是發生在使用者電腦端的就 只有按鍵動作而已,其他所有的數據可能都已存在於雲端中。

因此絕大部分的數據都已不再是一種靜態資料,並存在於受到企業控制的具體位置上。相反地,數據通常會在多個 環境及不同的地理位置之間移動。我們現在可以說數據是存於任何位置及所有位置,因此要保護數據的安全已變得 更加複雜。

只依賴加密並不足以因應現在的威脅

在過去,許多企業皆認為絕大部分的數據遺失都是起因於駭客和惡意第三方,因此他們自然會想要透過數據加密的 方式來降低風險。遺憾的是在現在這個時代,我們很清楚地知道企業中大部分的數據外洩不能只歸咎於外部來源, 也有很大一部分是內部人員所造成。

在這些情況中,由於內部人員可以存取所有數據,甚至是已加密的數據,因此加密方式已無法揮發作用。雖然加密 可以防止第三方的入侵,但卻無法防範企業內部人員或者具有數據存取權限的任何人。

了解哪些是需要保護的重要數據

對於企業數據安全性來說,一個存在已久的挑戰就是識別哪些才是非常重要且必須加以保護的數據。長久以來,公 司解決這類問題的方式就是針對特定格式的數據和檔案來建立規則。隨著時間推移,這些規則可能都已經過調整, 並且企業也會想要建立自己的類別來定義哪些才是重要的資訊。但現在我們可能會在不同的位置建立及共享數據, 因此手動的方式早已跟不上時代的演變。

對於企業數據安全性來說,一個存在已久的挑戰就是識別哪些才是非常重要且必須加以保護的數據。長久以來,公 司解決這類問題的方式就是針對特定格式的數據和檔案來建立規則。隨著時間推移,這些規則可能都已經過調整, 並且企業也會想要建立自己的類別來定義哪些才是重要的資訊。但現在我們可能會在不同的位置建立及共享數據, 因此手動的方式早已跟不上時代的演變。

透過內容感知的檢查,我們不再需要根據內容的來源或者如檔案名稱等一些面向外部的屬性來標記內容,現在的數 據保護技術將會檢視檔案內部來判斷其包含的內容。內容的分析是由機器學習模式提供技術支援,它可判斷內容是 否包含敏感數據而需要加以保護。

雖然手動數據分類仍可發揮作用,但透過內容感知檢查,企業將會因為自動化、準確且可擴充的方式而獲益。

現在的企業數據安全性會採用 DLP 和 SASE

企業數據安全技術的核心元件,也就是所謂的數據遺失防護 (DLP) 如今也已經過數年的演變。現代化的 DLP 應整 合至安全存取服務邊緣 (SASE) 架構來強化企業安全性。

為什麼需要 SASE?

由於數據無處不在,使用者也可能會從任何地點連線,因此 SASE 能夠為企業、使用者與其數據提供更多一層的安 全防護。SASE 連線會經由安全服務來存取雲端中的網路,讓使用者能夠隨時隨地透過企業安全防護進行連線。

SASE 防護包含了威脅防禦、雲端存取安全代理 (CASB) 功能和數據保護。此外,SASE 也會與 SD-WAN 和零信 任網路存取 (ZTNA) 的概念相互交會。因此,對於可在任何位置保護使用者互動的更大型服務套件來說,數據遺失 防護也構成了其中的一部分。

提升企業數據安全性的其他步驟

我們建議安全部門主管可以採取一些行動來協助提升企業數據安全性。

將安全議題提升至最高層級。 在數位時代中,數據安全性對於每個企業來說都必須是最重要的考量。數據安全性和 隱私權等議題應提升至高階主管和董事會層級進行討論。如果這一類的主題尚未排入議程中,應該立即將其排入。

採取多方利益關係人的方式。 若想要成功保護數據安全性,將需要多方利益關係人的共同協力。首先擬定一個數據 保護策略,然後召集來自不同企業的成員組成一個指導委員會,將會是一個具體可行的最佳實務。在透過委員會的 討論制定目標後,就可以收集不同業務部門的意見來決定數據安全性的具體方法。

使用現代化的工具。 在十年前建立及部署的數據保護技術已無法有效因應現今企業數據的實際情況。因此企業需要 重新思考數據防護方式,並充分利用現代化的方法和最新的