新的一年才刚刚开始,网络安全世界却已是风起云涌。一个名为“Collection #1”的敏感信息合集被泄露到互联网上,里面包含了超过7亿个独立的电子邮件地址和超过2,100万个的明文密码。令人震惊的是,这些数据已在网络黑市上出售,标价却仅为25美元。而对许多数据被流出的人来说,造成的影响才刚刚开始。

由于Collection #1包含了电子邮件地址和明文密码,当不法分子拥有这些数据后,在线恶意活动可能会跨界成线下的犯罪活动。如果使用者在不同网站使用了相同帐密,那Collection #1将会造成很大的伤害。从社交工程攻击到身份窃盗和勒索邮件,再到常见的撞库攻击,个人甚至于企业的损失都会呈指数级增加。发生数据外泄事件的企业不仅可能因《网络安全法》、GDPR或其他法规而被罚款,还可能会失去客户的信任、收益和商誉。当然,个人也会成为诈骗和网络攻击的目标。

现在越来越多的新科技让人们可以无时无刻的保持联网,也因此制造了大量的数字足迹和数据储存,网络犯罪分子的攻击媒介也在增加。这说明使用者和企业都必须优先考虑网络隐私和数据安全。不然带来的后果将是灾难性的!

企业如何保护数据安全?
企业仍是网络犯罪份子想获取最大利润的首选目标。一次成功的企业系统入侵事件就让黑客有可能存取到数据的宝库:内部服务器、专有数据、公司资产、第三方供应商和客户记录。以下是企业保护数据安全的六个措施:
1、让公司内的每个人都了解所实施的网络安全政策和程序。例如,员工的个人设备应该只能连到专用的BYOD网络,或是只用公司配发的电脑来进行远程工作。进行网络安全意识计划来确保合规性。
2、为需要远程连上公司系统的员工提供VPN(虚拟专用网络)。让他们能够连到办公室,且在使用公司服务器时有多一层的保护。安装双因素身份认证来防止未经授权的设备联机。
3、进行网络分段和数据分类,并且安装防火墙。网络分段意思是为不同的功能或设备类型分配不同的网络。它让IT管理员有更好的能见度来监控网络各元件和流量,同时在必要时启动它们来保护、移除或安装各个网段。数据分类意思是将数据集从价值低到高进行分类,并且限制能够存取不同重要级别的人员。同时也让企业评价哪些数据集需要更多层的保护,最大程度地降低入侵事件所带来的损害。防火墙是典型的第一层防护,可以根据管理员的预先设定来筛选外部系统进入内部网络的数据,分析数据来拒绝恶意数据。
4、遵循数据最少化或是只收集特定目的所需数据的原则。公司应该只收集和处理最少量的客户资料,并且只储存在一定的时间内。在做好定期备份数据及遵守3-2-1备份原则时,数据最少化是有帮助的,它可以提高储存效率,并且更好地保护、管理和组织现有数据。
5、在计划或产品开发的早期阶段,就将隐私设计等安全原则考虑进来。隐私设计(privacy by design)指得是无论在内部或外部处理个人资料,从建立到实作最重要的是安全性,将数位资产的安全防护列为优先,预设就考察到隐私防护。拟匿名化(pseudonymization),一种防止数据所有者被识别的方法,可以用来保护使用者的隐私,能够在设计阶段就建立,直白的说,就是将存储在网站数据库中的帐号、密码、邮件等敏感信息进行加密处理。另一个例子是为使用者加入其他认证机制,例如在网站和应用程序上实作双因素身份认证(2FA)。
6、防护网络、服务器、网关和端点。为网站安装防火墙和WAF,如ShareWAF(http://www.ShareWAf.com/),确保所有系统都有定期下载修补程序,安装提供多层次防护和管理修补程序的安全解决方案。