編輯部Progress Software 陳奕佑:強化雲端傳檔管理 機敏資料安全分享 保護智慧財產安全
Strengthen the Visibility of File Transfer Management
「機敏資料的多樣、傳輸管道的多元,一旦出了防火牆,就有可能被盜取或濫用。」Progress Software 技術顧問陳奕佑指出今日企業資安管理的一大痛點。
企業的機敏資料種類繁多,如合法文件、貸款資訊、訂單資訊、客戶資料等,而檔案傳遞的管道也很多,可以是信件附檔、雲端分享,或透過手機 App 傳檔、 FTP 伺服器下載等,導致機敏資料外洩事件層出不窮。
機敏資訊為何會外洩有三個主要原因,發生機率分別是程序與網路故障 (46%) 、意外或人為錯誤 (27%) 以及惡意行為 (27%) 。由此可知,檔案的傳輸需有周全的監督控管方案。
但環顧目前的傳檔方案都各有缺點,若使用 FTP,不僅缺乏加密、自動化,甚至只能小規模使用,無法擴大規模,也不具安全的可視性;其他方案也有缺點,例如缺乏合規性、無法保證檔案的派送分發,或無法限制資料壽命等。
當然企業可以實施很嚴厲嚴密的控管策略,但代價通常是犧牲可用性,員工只會覺得不便,或特有方案可能複雜難用等。對此 Progress 提出可兼顧安全防護與可用性的 EFSS on-premise 。
首先無論在傳輸或儲存狀態上均為加密,且可設定分享存取權限,傳輸時若錯誤、斷線等則會自動重傳,所有傳輸與存取動作都會全程詳實記錄,以利日後企業稽核管理。進一步的,機敏資料必須進行分類,然後依據資安框架設定最低的安全控制基準,在管理上要合乎此一基準。
對於分類,即便企業不對其資料資產實施分類,在攻擊領域也早已對各種可用於施展網路攻擊的漏洞進行分類,甚至有標價,顯示分類勢在必行。其次是框架,包含 NIST 提出的網路安全框架 CSF 、 SANS 提出的資安治理框架 CIS Control V,甚至有 MITRE 提出的 ATT&CK 攻擊框架。
另外陳奕佑也強調企業當評估與採行資料生命週期管理,資料建立後不僅要分類還要保全,保全即是指資安領域的 CIA(機密、完整、可用),而後是監控,即是前述的防護方案。
此外企業可能會遭遇難以預期的災故,對此資料必須能災後復原,而資料一旦過時或不再使用時也當加以封存歸檔。這會是一個循環不止的管理程序,唯有如此企業才能安穩發展。