实验室的网络安全风险以及如何减轻风险

通过|05.10.2021|实验室数字化

阅读时间:9分钟

2020年,数据泄露的平均成本为386万美元,自2014年以来,这一成本一直在稳步增长10%。通常被泄露的记录是客户的个人身份信息(PII)和知识产权(IP)。医疗保健、能源、金融、制药和技术是数据泄露成本最高的行业。在医疗保健领域,每一次恶意网络攻击的损失高达713万美元(IBM).

数字革命和互联网的普及赋予了数据不同于过去的意义。数据已经成为一种商业资产,数据处理已经成为所有类型的公司和组织运作的关键部分。

数据也可以代表组织中的一项责任。这就是为什么了解网络安全以及如何实施网络安全措施能够降低网络攻击风险是很重要的。

什么是网络安全

网络安全用于防止未经授权访问公司的数字资源,以保护公司或组织的网络资产。它包括组织中使用的员工、策略、流程和技术。

网络安全领域在不断变化,因为网络威胁行动者(黑客或黑客团体)总是试图找到新的方法来闯入硬件或软件系统。这就是为什么不断更新和改进你的网络安全系统和小心处理你的数据是很重要的。

网络安全涉及保护软件、硬件和数字数据不受未经授权的使用和/或访问。另一方面,数据安全(网络安全的一个分支学科)只关注数字数据的保护。

不良数据处理和缺乏网络安全的一些常见不良后果是:

  • 网络攻击
  • 破坏数据
  • 公司声誉的丧失
  • 直接经济损失
  • 停机时间(当公司不能运行时)
  • 数据丢失
  • 窃取商业秘密
  • 失去客户和业务伙伴的信任

类型的网络攻击

恶意网络攻击主要有两种类型:

没有针对性/机会攻击

这些网络攻击并不是针对某个特定的公司或组织。在大多数情况下,非目标攻击的受害者是中小型企业,但也有在空闲时间使用互联网的个人。

CNBC声明称,超过43%的攻击针对小企业,只有14%采取了适当的网络安全措施来击退攻击。

非目标攻击通常以恶意软件(恶意软件)蠕虫和病毒的形式出现,这些攻击大多是通过互联网连接传播的。

与有针对性的攻击相比,机会性攻击通常风险较小,但仍然会对组织造成重大的业务损害。它们相对容易缓解,因为它们通常针对计算机系统中众所周知的弱点和数据安全方面的人为错误。

有针对性的攻击

有针对性的攻击是针对一个特定的组织或公司,造成严重的损害。损害可能是泄露国家/商业秘密,获得金钱,窃取知识产权,以及其他。

这些攻击通常是由恶意的参与者组织的,很难防止。面临有针对性的网络攻击风险的组织需要将其网络安全范围从计算机系统扩展到员工。

网络安全风险

计算机系统和基础设施由许多不同的层组成,并且在不断变化。这意味着几乎不可能列出所有的网络安全风险。然而,了解网络安全中最常见的弱点并采取措施降低风险是至关重要的。在下面的图表(图1)中,您可以看到恶意行为者通常用来获得未经授权访问的一些路径。

文章的照片
图1:恶意攻击者通常使用未经授权访问计算机系统的路径和界面的图示(来源:实验室数字化转型:互联实验室实用指南).

物理访问

所有的数字数据都存储在物理硬件上,无论是组织场所、备份地点还是大型云服务数据中心。因此,攻击者获得组织数字资源访问权的最简单方法是物理入侵组织或数据中心。

另一个与物理访问相关的安全风险与移动设备有关,如笔记本电脑、平板电脑、手机。这些设备在很多情况下都是在旅途中使用的,特别是销售人员、业务开发人员和项目经理经常出差。最大的安全风险是设备被盗或丢失。

软件访问

软件访问风险来自于(几乎)没有计算机是完全独立运行的这一事实。大多数计算机通过互联网连接或内部组织网络与其他计算机交互,这对网络安全构成了风险。

特权用户

在一个组织中,员工或团队拥有访问计算机基础设施的特权。他们有必要对组织的计算机系统进行物理和软件访问,以完成他们的工作并维护组织的软件和硬件系统的正常运行。由于他们拥有特权地位,这些人必须在网络安全问题上接受良好的培训。

数据在运输途中

由于计算机之间相互作用,重要的数据正通过网络传送。

当使用组织内部网络时,攻击者需要获得对网络的物理访问权限,才能进行恶意攻击。如果该组织正在使用无线网络,比如Wi-Fi,恶意的参与者就可以侵入它并通过这种方式获得未经授权的访问。一旦恶意的行动者连接到网络,他/她可以进入所有的计算机网络流量。

随着企业开始使用云服务,了解互联网对传输中的数据安全是一个巨大的威胁是至关重要的。我们甚至可以假设任何人都可以访问通过互联网发送的数据。为了降低这种风险,需要实施额外的安全措施,以防止未经授权的数据访问。

社会工程

在网络安全领域,社会工程是一个日益严重的问题。它本质上意味着恶意的对手在心理上操纵人们进行操作,使攻击者能够获得未经授权的访问该组织的计算机系统和数字数据。社会工程的通常目标是被攻击的组织的雇员。

物理和软件访问、特权用户、传输中的数据和社会工程是网络安全的几个最常见风险。有趣的是,超过一半的网络攻击是由于不同的软件访问事件而发生的(图2)。

文章的照片
图2:恶意数据泄露的根本原因百分比(IBM).

网络安全措施

网络安全涵盖了各种各样的主题,恶意对手不断地寻找新方法,以获得对组织的计算机系统和数字数据的未经授权访问。

我们列出了最常见的网络安全风险,并提出了一些措施,帮助您提高网络安全水平(表1)。

文章的照片
表1:常见的网络安全风险以及您可以采取的防范恶意网络攻击的措施

数据安全

数据安全是网络安全的一部分,旨在防止数据丢失、损坏、被盗或滥用。这通常涉及安全存储数据和执行定期数据备份。

数据安全风险

为了确保数据的安全,了解导致数据丢失的风险是至关重要的。这一步骤可以实现成功的缓解策略并防止数据丢失。

一些常见的风险是:

  • 手动错误:在许多情况下,公司中的IT管理员或其他特权用户手动执行数据缓解策略。这通常意味着他们正在复制和/或复制数据,以确保数据安全。然而,每一个手动执行的任务,包括这些,都容易出现人为错误。在不希望发生的情况下,特权用户犯了一个错误,整个数据段可能被损坏或丢失。
  • 软件故障或故障:在任何时候,软件系统都有可能出现故障。如果您正在使用更多的软件系统来处理数据,那么您所使用的每一个软件系统都会增加其中一个失败的可能性,并可能损害您的数据。即使只有一个软件系统发生故障,也可能导致在故障时处理的数据被损坏或删除或丢失。
  • 硬件故障:与软件故障类似,硬件部件故障对数据安全也是一个持续的风险。如果发生故障,硬件部件可能导致处理过的数据丢失,最常见的是硬盘驱动器。
  • 3.理查德·道金斯party vendor bankruptcy:许多组织都在使用party vendor bankruptcy理查德·道金斯政党供应商的服务来处理他们的数据,但我们很少认为这是一种责任。但是,我们需要知道,企业会破产,数据处理企业也不例外。
  • 电力短缺:在电力损失的情况下,可能会破坏计算机系统,导致数据丢失。在许多情况下,在电力短缺之前处理的数据也被损坏、删除和丢失。
  • 自然灾害:由于自然灾害物理破坏存储数据的设备,导致数据丢失。

数据安全措施

有不同的缓解策略可以提高数据安全性。然而,其中最常用和最普遍接受的是备份数据。

1.备份

备份是指数据在某一时间点的副本或副本。由于备份是在一定的时间内进行的,所以它们也可以称为快照。

使用更多备份,可以减少由于上述风险因素而丢失所有数字数据的风险。如果数据收集损坏或丢失,您可以回到上一次备份,并将其恢复到发生数据安全事件之前的状态。

备份过程通常是部分手动和部分自动化的。

虽然备份是明智之举,但它需要额外的存储空间并带来额外的成本。为了确保平衡风险和不必要的开支,您可以定义与备份相关的流程。这包括关于如何执行备份以及在数据丢失时如何恢复数据的说明。

2.数据复制

数据复制本质上是备份的一个额外步骤。这意味着您正在将数据复制到不同的物理位置(可能是国家,甚至是大陆)。

3.3.理查德·道金斯方供应商保证

如前所述,3理查德·道金斯从事数据处理业务的政党供应商可能会破产。重要的是要事先为最坏的情况做好准备。您可以通过关注定义供应商倒闭情况的步骤的契约和协议条款来实现这一点。这称为业务连续性,应该(最低限度)允许供应商的客户在合理的时间框架内将其数字数据导出到不同的存储位置。

数据存储

显然,我们需要保存数据,备份和复制是必要的,以确保数据尽可能安全。现在我们来讨论一个合乎逻辑的问题:在哪里保存所有这些数据?

1.磁存储

这是最常见的物理介质类型——硬盘驱动器和磁带。它的优点是可以在断电后存储和检索数据。

  • 硬盘驱动器是一种数据存储组件,它可以记录数据并以非顺序的方式回放它们。HDD的一个例子是数据存储在你的笔记本电脑或台式电脑,以及许多视听设备。
  • 磁带:是一种数据存储部件,需要按顺序读取数据,而不是像硬盘那样按随机顺序读取数据。由于它们是存储数据的一种更便宜的选择,所以通常用作备份介质。

值得注意的是,磁存储器也有寿命,为了确保数据安全,您需要在故障发生之前更换它们。虽然(现代的)磁带可以持续15年或更长时间,硬盘驱动器的寿命较短,并且在使用3年后发生故障的几率会增加。

2.固态硬盘

固态硬盘固态硬盘(SSD)是一种用于替代硬盘驱动器的非磁性存储技术。它们被用作计算机和移动设备中的数据存储,并根据终端用户的需求进行定义。SSD相对于HDD的优势在于它更能抵抗物理压力,并且有更好的阅读时间。然而,它比HDD更贵。

3.DNA存储

目前,在DNA中存储数据并不是一个广泛使用的选项。然而,这是一项很有前途的技术,可以解决磁存储面临的挑战。在DNA中存储数据将节省大量空间,因为理论上,一克物质可以存储450拍字节。DNA也更耐用,对外部物理环境以及电磁辐射更有抵抗力。在DNA中存储数据的另一个好处是,存储数据不需要任何电力来保存数据。

DNA数据存储是一种相当新的数据存储方法,我们正在进行一个项目,以改进它的技术。你可以阅读更多关于我们的DNA数据存储项目在这里

回家的消息

  • 网络安全和数据安全对每个公司或组织来说都是非常重要的话题。
  • 网络安全涉及防止未经授权访问公司的数字资源,以保护公司或组织的网络资产。
  • 网络攻击会造成巨大的商业损失。其中大多数都是非针对性的/机会主义的,我们可以(在一定程度上)采取措施防止这些情况的发生。
  • 最常见的网络安全风险是物理和软件访问、特权用户、传输中的数据和社会工程。
  • 数据安全是指防止数据丢失的措施。
  • 最有用的数据安全措施是备份你的数据。


你可以在我们的新书中阅读更多关于网络安全的话题:

实验室数字化转型:互联实验室实用指南


Baidu