企业如何才能解决数据隐私问题?法规和客户的期望推动数据隐私保护需求,但关于数据隐私保护失败的报道却屡见不鲜。勒索软件依然是全社会的灾难,不仅在支付赎金之前造成企业数据(包括个人身份信息)无法访问,还威胁称如果不支付赎金,数据将被公开。知名网络安全新闻网站Dark Reading的一项调查显示,只有不到四分之一的企业认为自己已完全做好勒索软件攻击的防御准备,而其余四分之三的企业极易受到攻击,最终导致数据隐私泄露。
Omdia 观点
为简单起见,本研究中提及的国际数据隐私保护日也包括数据保护日这一简称。设置该节日的目的是为了加强数据隐私保护意识,推广保护信息的良好实践。
随着转型项目持续快速发展,如今企业经常陷入一种无法摆脱的困境,这为攻击者创造了更多可被破坏或渗漏的数据。根据Omdia的安全漏洞跟踪统计,三分之二以上的已报告安全漏洞将会最终导致数据泄露。数据泄露的主要手段包括黑客攻击、供应链攻击和勒索软件。大部分泄露的数据都属于数据隐私法规的范畴,这意味着企业必须根据适用的法规启动漏洞报告程序。
勒索软件仍然是一种极为成功的攻击手段,企业必须对此采取防御措施,而数据隐私法规是其中的重要组成部分。关注信息生命周期(创建、处理、存储、传输、销毁)将有助于企业了解哪些数据需要保护以及这些数据的所在位置。此外,对数据适当分类也很重要,因为数据是不平等的:某些数据需要强有力的保护,而其他数据则不需要。在了解这些细微差别后,企业可探索更先进的方法来应对勒索软件,例如通过人工智能(AI)查看数据中可能指向未被察觉的潜在入侵或威胁手段的线索。
关键信息
- 企业意识到数据隐私的重要性,但仍未采取充分的防御措施。
- 面对勒索软件的持续威胁,企业必须在保护客户数据方面发挥更大作用。
- 人工智能可在解决勒索软件问题时发挥作用。
- 打击勒索软件从数据开始。
建议
- 制订策略 — 将保护数据的计划全面转化为行动。企业了解数据保护的重要性,但仍在努力将其转化为行动。控制信息足迹对提供适当的保护至关重要。
- 审核并改进计划,以保护企业免受勒索软件攻击。不要成为四分之三以上未制订完善的勒索软件防御计划的企业。事先预防比事后纠正更重要,不论是否支付赎金,“事后纠正”会带来惩罚性的后果,更何况恢复和补救也将付出代价。深度防御措施可保护和备份企业的数据。
- 投资人工智能专业知识。如果企业有志于保护数据隐私,特别是保护自己免受勒索软件侵害,绝对应该考虑购买人工智能工具,将其作为识别和应对勒索软件带来的数据隐私风险的一种手段。然而,不论是人工智能还是受保护的数据,这些工具都需要高度的技术专业知识。因此,企业应寻找所有产品中人工智能透明度高的技术合作伙伴。这样做带来的额外好处包括可享受专业服务。潜在的购买者也应该直接投资内部人工智能专业知识,以确保软件长期正常运行。
- 采取多管齐下的方法。企业从业者可采取不同的手段应对勒索软件。例如,大量的安全服务商提供人工智能辅助异常检测和响应服务;相对而言,某些备份和恢复服务商也在各自的解决方案中提供人工智能功能,专门用于识别风险和方便恢复。Omdia建议IT购买者考虑同时采用上述两种方法。例如,备份解决方案增加对数据使用模式的可见性可以极大地改善安全任务的效率(如网络入侵)。
企业已经意识到数据隐私保护的重要性,但仍未采取充分的防御措施
安全、身份和隐私管理是2022年的主要IT趋势
Omdia的年度IT企业洞察力调查(2021-2022)发现,安全、身份和隐私管理是近20%企业的主要IT趋势, 14%以上企业的第二趋势,15%的企业的第三趋势(详见图1)。
图1:IT企业洞察力调查2021–2022 – 技术趋势的重要性
Source: Omdia
世界在新冠疫情期间发生了变化,企业也不得不顺应潮流,改变/更新开展业务的方式。转型项目持续快速发展 — 在上图中,数字能力的构建显然是第二大技术领域 — 但维持这些新能力和保护数据隐私是明显需要优先考虑的事项。世界各地的企业都意识到,安全、身份和隐私管理对自身的完好极为重要。
许多企业未对网络安全和数字风险采取积极举措
意识到必须重视与实际发生是完全不同的情形。Omdia的IT企业洞察力调查每年都会提出同一个问题,企业在对网络安全和数字风险采取积极举措方面做得怎么样。结果表明,在全球所有行业中,约17%的企业对网络安全和数字风险完全采取积极举措,另有31%的企业认为自己进展良好,不同地区存在一些差异(详见图2)。
图2:IT企业洞察力调查2021-2022 – 对网络安全和数字风险采取积极举措
Source: Omdia
对于如今的企业而言,这意味着尽管48%的企业采取全面或先进的网络安全和数字风险防御手段,但仍有52%的企业并未采取充分的措施。与2020–2021年调查结果相比进步明显,当时全球58%的企业未采取充分的措施(15%的企业防御手段“完备”,27%的企业的方法“先进”)。
这是朝着正确的方向前进一小步,但还有很长的路要走。私密数据的安全漏洞将继续存在,原因是企业未能适当确保数据安全性,类似的案例数不胜数,而且经常发生。
面对勒索软件的持续威胁,企业必须在保护客户数据方面发挥更大作用
勒索软件依然是企业的灾难
Omdia的安全漏洞跟踪统计记录公开的安全漏洞通知,目前包含2019年、 2020年和2021年上半年的数据。按攻击手段排名,勒索软件一直在安全事件中排名前三,占2021年上半年安全事件发生数量的20%,而在2020年几乎占到四分之一(详见图3 — 注意,2021年数据只包括上半年,而并非全年)。
图3:Omdia安全漏洞跟踪统计 – 安全事件按攻击手段排名
Source: Omdia
勒索软件作为一个贬义词已进入日常用语。大多数企业都可能遭受过至少一次成功或未遂的勒索软件攻击—某些成功的勒索案件被报道出来,但更多的没有被报道,失败的攻击也很少被记录下来。2021年最引人注目(也是“最成功”)的勒索案件之一是美国的Colonial Pipeline攻击,攻击者似乎对造成的破坏感到惊讶并表示道歉,而且勒索的数额低至450万美元,部分已被追回。
攻击者已提高勒索攻击的赎金,遭受此类攻击的许多企业将遭受“双重打击”。第一重“打击”是攻击者锁定赎回的数据,受害者不支付赎金就无法访问数据。即使支付了赎金,也不能保证数据会被解锁。部分企业拒绝支付赎金,因而招致第二重“打击”,即如果未支付赎金,数据将被泄露或出售。当然,这意味着受害者企业通常会违反数据隐私法规,因为用于勒索的数据往往包括个人身份信息。
此外,法律禁止某些企业(包括纽约证券交易所(NYSE)上市企业)支付赎金。美国财政部海外资产控制办公室(OFAC)于2020年10月1日发布一份指导意见,特别强调“支付恶意网络活动相关的勒索赎金的制裁风险”。该指导意见指出,“为支付勒索赎金提供便利的企业......不仅鼓励未来的勒索赎金支付要求,还会违反OFAC法规。”
勒索软件不仅在2020年和2021年(以及之前)一直在造成破坏,而且在2022年及以后还会继续破坏。在整个2021年,Dark Reading对企业防御勒索软件攻击的能力进行调查,网络安全专业人士反馈的结果表明,只有不到四分之一的受访者对企业防御勒索软件攻击和维持正常运营的能力有信心(详见图4)。
图4:企业普遍缺乏勒索软件防御手段
Source: Dark Reading
超过四分之三的企业未制订完善的勒索软件防御计划。大量的企业不重视数据和数据隐私保护,而勒索软件攻击正好利用这一点。企业必须主动发现、识别和界定自身的数据,进行适当的分类,并提供适当的保护以防御勒索软件的攻击。
数据隐私、安全、质量投资计划
根据Omdia IT企业洞察力调查2021-2022,数据和分析的主要投资领域是数据隐私、安全和质量,三分之一的企业计划进行战略投资,另有30%的企业计划进行小规模投资,这也反映在区域分类中(详见图5)。
图5:IT企业洞察力调查2021-2022 – 数据隐私、安全和质量投资计划
Source: Omdia
然而,只投资技术还不够。人员和流程在数据保护和数据隐私方面也起着极为关键的作用,全面的信息生命周期管理对提供充分和适当的数据保护至关重要。
企业必须了解哪些数据需要保护;不可能去保护未知的东西。然而,企业几乎做不到完全了解其数据环境,因此重点在于尽可能地控制数据,使其得到适当的保护。在数据的整个生命周期中,数据处理需要更为精细的控制:创建、处理、存储、传输和销毁,同时还需要了解数据生命周期活动如何影响企业内的整体数据足迹。
随着数据足迹增加,对数据生命周期中的每个阶段实施适当的保护性控制的需求也在增加。企业必须对此加以重视,以保护数据免受勒索和/或渗漏的影响。通过这种方式,企业可了解哪些数据需要保护,遵照数据隐私法规保障数据安全。
人工智能可在解决勒索软件问题时发挥作用
勒索软件给企业IT从业者带来一个挑战性的问题,因为它可以采取多种形式,例如攻击一台机器或整个公司、提供众所周知的可下载恶意软件或仅依赖于攻击者的灵活操作。恶意软件攻击者可阻止数据和/或系统访问,对数据进行加密和锁定,甚至将公司数据转移到其他地点。透过键盘发起的攻击(未借助于可下载的恶意软件,例如Bad Rabbit或WannaCry)特别难以检测和缓解。它们可随着时间的推移而停留,起初看起来无害,因为攻击者在横向渗透目标网络时可能会使用受信任的入口路径。无监督深度学习(DL)等人工智能技术鼓励观察整个数据生命周期,以帮助企业了解攻击目标和载体。
人工智能技术可帮助实时识别和应对潜在入侵相关的异常活动
正统的防病毒和端点保护工具(如贝叶斯防病毒软件)可通过统计方法寻找已知的攻击载体和已知的恶意软件来保护敏感数据资产。相对而言,透过键盘发起的攻击要求防御者采取一种手段看透没有实质性的东西—意图。或许并非不良行为者的实际意图。若企业可检测到潜在不法分子的活动轨迹,就有很大机会在系统被锁定或数据被加密之前阻止或避开入侵行为。
因此,人工智能提供了许多可帮助企业防御恶意软件的有用工具。例如,统计和数学机器学习(ML)算法(如K-近邻和决策树)可以识别恶意软件的工作负载和已知攻击模式。然而,深度学习(DL)神经网络才是真正吸引关注的人工智能技术。与使用已知规则(例如,“这是不是一个恶意软件”)识别潜在攻击的统计和数学ML技术不同, DL技术实际上可自行推导出这些规则。流行的DL算法包括卷积神经网络(CNN)、循环神经网络(RNN)和长短期记忆(LSTM),它们可解析大量不同的数据,以便于理解数据中可能表示攻击的模式。
例如,查看原始网络流量、文件访问日志和其他用户活动措施的DL算法可以挑出与正常操作不符的活动模式。换言之,DL可识别数据中的任何远端异常信号。这些信号实际上在很大程度缩短安全专家在搜索和缓解潜在恶意软件入侵时必经的路径。
这种识别异常值的能力在防御恶意软件时至关重要,因为透过键盘发起的攻击往往分为多个阶段,随着时间的推移而发生,通常会利用受信任的软件和用户行为。由于通常没有“恶意代码”迹象可寻,安全从业者需要寻找常规突破口,例如用户通过新的地点或在异常的时间访问系统或数据资源。具备DL功能的恶意软件识别工具可采取一系列的手段,从用户、资源和活动之间建立的诸多关系中识别任何异常模式。
日益增加的图分析与DL技术结合在揭示用户、系统和资源之间的微妙关系方面拥有广阔的前景
与信用卡欺诈检测的用例相似,恶意软件检测都基于模式和关系。大多数金融机构依赖于图分析来发现信用卡持有人、所在位置、购物偏好/历史记录等关系的异常模式。图分析在一个非常基础的层面上是对事物(例如节点)之间关系(例如边缘)的探索。鉴于图分析在发现错误关系模式方面取得的成功,许多企业IT研究人员和技术提供商开始尝试在防御恶意软件时将DL与图分析技术结合。图神经网络(GNN),例如图卷积网络(GCN),具有独特的能力,能够学习在跨用户、行动和资源的结构化和非结构化数据之间的关系中出现的规则/模式。
打击勒索软件从数据开始
丰富多样的技术提供商的生态系统
鉴于人工智能的多样性和快速发展,已然建立起一个丰富多样的技术提供商生态系统,这些提供商积极提供可用来打击恶意软件的人工智能工具。大量的安全服务提供商在运用人工智能方面处于有利地位,因为扫描日志文件是它们的本职工作。传统的反病毒软件提供商能够检测出隐藏在电子邮件和其他通信形式中的已知恶意软件工作负载,而数据备份和恢复服务提供商正借助于人工智能工具参与其中,从而可在恶意软件攻击的检测和恢复方面发挥积极作用。备份和恢复工具实际上是数据安全的关键贡献者,因为恶意软件攻击和攻击者通常会在加密目标数据之前寻求破坏备份程序。
数据既是防御恶意软件的最大机会,也是最大威胁
由于人工智能的加入,许多解决方案即开即用,客户不需要在部署前拥有人工智能专业知识,即可检测潜在的恶意软件入侵。然而,各种类型的恶意软件识别、缓解和应对手段都依赖于一个共同因素—数据。无论是否应用人工智能技术,数据既是防御恶意软件的最大机会,也是最大威胁。大多数企业从业者已发现,通过任何性能的人工智能取得成功并不取决于向问题抛出的数据量,而是取决于质量,最重要的是对这些数据的理解。
因此,考虑投资人工智能作为勒索软件防御手段的企业IT从业者必须首先理解整个数据场景,因为它将涉及到数据安全和隐私。这意味着必须构建可用于确定所有权、访问、隐私暴露、位置等的可靠元数据。在此基础上,企业必须建立一套跨越整个信息生命周期(创建、处理、存储、传输、销毁)的治理要求。幸运的是,在安全行业内部和外部,技术提供商目前正专注于帮助企业通过数据结构概念建立一致的企业运营、系统和分析数据场景。
随时间推移,Omdia预计这些元数据将会更为密切地支持安全和商业实践。届时,企业可通过配置任何云原生服务的方式来配置AI赋能的恶意软件工具,即指定数据源并打开 “开关”。到那时,未投资数据结构的企业可能会发现自己遇到障碍,不能够“观察”它们正在寻求保护的整个资源系统。换言之,恶意软件防御与数据隐私风险保护类似,二者都需要很高程度的数据素养、领域专业知识和治理。