五种导致数据丢失的常见用户行为

2016-11-29 07:59:00 作者:陈峻编译 分类 : 比特网

  在过去的几年中,很多引人注目的来自云提供商的数据泄露事件影响了数百万的用户,其中包括LastPass的700万用户,LinkedIn的1.17亿用户,VK的1亿用户,和Yahoo !的5亿用户。这些部分漏洞事件所暴露出的安全残留问题已成为了企业采用云服务的顾虑中的头等障碍。虽然黑客获得云提供商后端系统的访问权限的案例屡上头条,但绝大多数公司的那些在云端数据丢失事件还是可以追溯为恶意或粗心的内部人士所为。这里列出五大导致云服务中数据丢失的用户行为,供大家参考。

五种导致数据丢失的常见用户行为

  针对IT组织和用户2016年及以后的发展,Gartner曾预测并揭示说:“到2020年,95%的云安全缺失都将来自客户自身的错误。”

  1.恶意或粗心的内部人员从企业管控的安全云服务中下载数据,然后将数据上传到一个高风险的影子云服务中。

  这是最常见的通过云服务导致数据丢失的来源。企业级云提供商,如Box、微软和Salesforce都对他们的平台安全性进行了大量的投资。他们也根据企业的要求提供了完备的法律条款。换句话说,他们并不对客户上传至其平台的数据持有所有权,一旦帐户终止,他们将删除其所有数据,而不会与第三方共享客户的数据。然而,只有8.1%的云提供商提供这样的企业级安全性与合规性。员工为了方便而使用高风险服务,却往往没有意识到他们已将公司的数据置于风险之中。

  2.企业员工从企业云服务中下载数据到一个缺乏适当的端点安全控制的个人设备上。

  Skyhigh公司根据使用数据的观察发现:企业云服务中15.8%的文件包含着敏感数据。因此需要关心的问题已不是这些信息是否该存储在企业级云服务里,而是如何防止数据离开企业IT的管控。企业的BYOD(Bring Your Own Device)方案通过允许员工运用个人电脑和移动设备来远程登录到企业云服务,从而促进了用户的更多生产力。然而,当企业数据被下载到那些缺乏适当的端点安全控制(如远程擦除和复杂的设备PIN码)的个人设备时,这些数据就已处于风险之中了。如果用户把目光移出咖啡店一会儿,设备伴随着里面的企业数据就可能会被盗走。

  3.云服务里的特权用户无意中以降低安全的方式改变安全的相关配置,或者是超出其角色范围去访问企业数据。

  虽然比起普通用户的威胁来是并不太常见,但是由于特权用户在企业云服务中有高级别的权限,他们的威胁其实更具破坏性。略超过一半(55.6%)的企业经历过至少每个月有一个特权用户制造了威胁的经验。这些威胁包括:管理员更改安全设置,从而无意中削弱了安全,但实际上他们还可能包括有其他的恶意活动。爱德华·斯诺登(Edward Snowden)也许算是特权用户访问其角色范围之外的数据的一个最为臭名昭著的例子。更常见的例子还包括:IT管理员窥探高管的数据以使股票交易获取内幕信息,等。

  4.员工通过个人电子邮件帐户或共享链接的方式将数据分享给诸如供应商、合作伙伴之类的第三方,进而能以不被跟踪的方式转发给更多的其他人。

  基于云的协作服务作为与同事或商业伙伴共享文件的高效方法已经取代了传统的电子邮件方式,而且特别体现在无法用邮件发送大文件的场景中。虽然大多数的此类合作是通过邀请特定企业内部的个人或商业伙伴实现的,但对于一些内部或授权用户的共享仍然无法实现可追溯性。这包括通过个人的电子邮件帐号(例如Gmail、雅虎等)以云的方式所共享的6.0%的文件,难以确定其接收方是否为合法用户。另外5.4%的在云中的文件是以链接的形式共享,但可以转发给任何其他人。此类链接就更难判断是谁正在访问敏感数据了。

  5.受控的云服务中的数据被不安全的和缺乏管控的云服务通过API进行连接并造成丢失

  像Salesforce和谷歌G套件(Google G Suite)这样的云平台都包含有许多企业级安全特性。在蓬勃发展的市场上也有第三方的应用程序可以连接到他们的平台,以提高其服务的价值。但是并不是所有这些第三方应用程序都是安全的。用户的一个常见错误是:添加一个应用程序连接到安全的云环境内来获取企业敏感数据的权限,这使得第三方应用的云网络安全中最薄弱的一环被传递了过去。有时,这些应用程序使用您现有的云账户进行登录,从而实现对那些已被定义了不同级别的数据的访问。比如,在口袋精灵(Pokemon Go)最初被推出的时候,用户就可以用其谷歌帐号的全部权限来登录到Pokemon的应用程序中。

最近更新
科普

科普图集
带着朋友和机器人上月亮散步

带着朋友和机器人上月亮散步>>详情

邮件订阅

软件信息化周刊
比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯,最新的软件技巧,最新的软件与服务业内动态来为IT用户找到软捷径。
商务办公周刊
比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中,与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊!
网络周刊
比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧,帮助网管答疑解惑,成为网管好帮手。
服务器周刊
比特服务器周刊作为比特网的重点频道之一,主要关注x86服务器,RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析,让您第一时间了解服务器行业的趋势。
存储周刊
比特存储周刊长期以来,为读者提供企业存储领域高质量的原创内容,及时、全面的资讯、技术、方案以及案例文章,力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。
安全周刊
比特安全周刊通过专业的信息安全内容建设,为企业级用户打造最具商业价值的信息沟通平台,并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比,比特安全周刊运作模式更加独立,对信息安全界的动态新闻更新更快。
新闻中心热点推荐
新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事,为企业级用户打造重点突出,可读性强,商业价值高的信息共享平台;同时为互联网、IT业界及通信厂商提供一条精准快捷,渗透力强,覆盖面广的媒体传播途径。
云计算周刊
比特云计算周刊关注云计算产业热点技术应用与趋势发展,全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。
CIO俱乐部周刊
比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托,汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台,并持续提供丰富的资讯和服务,探讨信息化建设,推动中国信息化发展引领CIO未来职业发展。
IT专家网
IT专家新闻邮件长期以来,以定向、分众、整合的商业模式,为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容,包括IT新闻、评论、专家答疑、技巧和白皮书。此外,IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。
X周刊
X周刊是一份IT人的技术娱乐周刊,给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍,同时用户还能参与我们推荐的互动游戏,给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。