毫无疑问,很多企业如今都在认真对待数据安全。有些企业甚至可能拥有强大的防火墙、完善的数据治理规则、专业的安全团队以及加密等数据保护名单,因此在安全方面感觉良好。 但是确实安全吗?事实上,大多数企业都忽略了三个主要的数据保护风险,这可能是有些安全和十分安全之间的区别。 这三个安全挑战是不受信任的计算程序、未经验证的输入以及未经授权的数据移动。
(1)不受信任的计算程序
因此,企业已授予人员和团队访问其第一方数据的权限。有人可以进来并开始处理吗? 那么怎么知道这些人是可信任的,无论他们是内部员工还是外部的人员?他们正在使用的程序和算法是不是更具风险?如果没有注册,如果没有一些证据证明是同一人员,那么就不知道到底发生了什么。这纯粹是信任——在数据方面,人们将生活在一个零信任的世界。 在证明自己之前,每个网络、每台设备、每个人和每个服务都需要不受信任。企业需要的是适合零信任世界的零信任技术。 零信任技术是什么?怎么知道某人的计算机程序、算法或分析程序是安全的?零信任技术可以完全自信地验证,例如使用指纹,可以将商定的代码与正在执行的代码进行实时比较。否则,无法对企业的合规团队或法律团队说:“我们的数据始终以正确的方式使用。”
(2)未经验证的输入
当企业处理第一方数据(或敏感数据)时,需要绝对确定只有允许访问的数据才会被访问。 有一些工具可以做到这一点。例如,无论是在内部部署还是在基于云的仓库(如Snowflake)中,基于访问控制的工具都会有所帮助。但在许多情况下,即使使用最好的传统工具,也可以访问整个数据集,而不一定只访问其需要的数据。在大数据世界中,安全真正需要的创新是能够限制对特定数据的访问。 企业需要一种绝对可靠的验证技术,不仅在最初,而且在整个数据的处理和使用过程中,这样不仅可以了解某人是如何获得的,还可以了解发生了什么。 例如,如果一位数据科学家想要尝试对另一列进行交叉索引或排序怎么办?在每个人都有善意的世界里,这似乎没问题,但如果数据科学家并不那么善良怎么办?如果突然之间关于社会安全号码、信用卡号码、种族、性别、家庭收入和性取向的敏感数据被故意或无意地用于更邪恶的目的怎么办? 这些都是真实发生的事情。至关重要的是,在安全优先的世界中,不仅能够降低发生的可能性,而且能够消除发生这种情况的可能。
(3)未经授权的数据移动或挖掘
数据科学家一直在利用数据集提高创造力;它是工作描述的一部分。但是如果没有适当的控制,事情就会变得一团糟。 就像金融服务行业的某个人说:“我只是错误地将这笔钱转到某人账户上几天的时间,为了进行弥补。我保证稍后会把这笔钱转到正确的账户,而那位客户可能永远不会知道这一错误。”但这种做法行不通,在当今的监管环境中,这是违法的行为,也会让企业在安全运营上陷入困境。在数据科学领域中,当没有适当的控制措施时,这种违规的行为总是会发生。 企业需要的是能够控制对非正式调用和数据查询的访问。这对数据分析师来说是一个额外的步骤,但它也是需要的保护。它带来了更多的管控,可以说是更好的流程和更多的责任。对于企业来说,无论是在广告技术领域还是其他领域,都需要能够明确、一致、永久地解决这个问题。
有效的解决方案
好消息是,采用技术可以解决所有这三个问题。现在有多种方法可以在不影响业务正常运营的情况下化解这三种安全风险,而且如今的数据使用量仍然在增长。机器学习等新技术可以识别计算程序。支持信任的安全飞地(也称为“机密计算”)可以保证数据处理的安全。 数字合同等新的控制和处理监控技术可以提取更好的法律合同和技术参数,包括算法的“指纹”,并通过全天候监控处理和报告异常情况,以及实时停止数据使用,使输入验证和数据移动更加安全。 增加提供审计质量数据的能力,最终能够消除数据风险,并向企业的法规团队和合规性监督员证明这一点。更好的是,所有这些措施都消除了将高度管理和高度安全的数据投入工作所带来的风险。
转载请注明:IT运维空间 » 安全防护 » 数据安全:大多数企业忽略的三件事
发表评论