随着越来越多的第三方办公应用在企业的应用,以及越来越多的企业开始通过云计算、大数据、物联网等数字技术进行数字化转型,一些大企业几乎每秒就能产生上万条数据,这些数据都是企业的资产。
但是,在各种办公软件应用、数字技术给企业带来便利的同时,也带来了更多未知的网络安全威胁和新型攻击,致使企业安全风险不断升级,传统的安全管理技术及方案,早已不足以解决现有的安全困境了。
根据数据科学公司Cyentia Institute的一份分析报告显示,几乎每家公司都跟遭受过数据泄露的第三方有业务往来,或者使用其产品,导致自身风险有所增加。
数据科学公司Cyentia Institute分析了网络安全风险管理公司SecurityScorecard提供的23万家企业的外部安全评估。分析发现,企业平均拥有大约10家第三方关系,而间接第四方关系更是高达数百家,一家企业的第四方数量通常高出第三方数量60到90倍。
分析报告指出,几乎所有公司(98%)都至少与一家遭遇过数据泄露的第三方合作伙伴存在业务往来。
IT行业的第三方数量是最多的,平均25家,而金融行业的第三方数量最少,平均6.5家。如果将第四方关系纳入考量,这些数字就急速膨胀了,风险也随之增加。分析发现,公司平均拥有200家遭遇过数据泄露的间接第四方关系。
Cyentia Institute的创始人兼合伙人Wade Baker表示,这项研究凸显出企业第三方及第四方关系错综复杂的情况,也反映出这种情况可能导致企业面临的风险急剧上升。
除了来自第三方及第四方的安全威胁,企业安全现状还存在着下述问题:
对内网安全过分信任:传统的网络安全默认“外网凶险,内网安全”,对于内网安全并不怎么重视,如缺乏对内部人员的访问管控,访问授权颗粒度粗糙,对共享账号、账号登录异常管控薄弱等。而且,安全事件发生后,部分企业也缺乏事后的追溯手段,人为的有意或无意的信息泄露非常普遍。
设备无人关心:通常情况下,由于企业IT系统的逐步迭代,均存在部分设备版本老旧的情况,部分设备存在漏洞和补丁更新不及时的情况,造成了大量可被远程控制的端口和服务。有些部门系统管理员为方便自身维护,设置弱口令登录,最终造成黑客在内网横向移动的便捷。
不够重视数据安全:因为企业内部对数据不够重视,访问权限未“最小化”,一些重要数据直接“裸露”在员工眼前,这样极易造成数据以各种方式被泄露;文档等数据缺乏过滤,一些恶意文档就在有意无意间被上传到业务系统中;数据访问无记录,对访问行为、访问权限缺少审计、溯源,这些都极易造成重要数据泄露事故。
与此同时,由于当下的数据泄露、勒索攻击、供应链攻击等安全事件持续高发,企业对安全的重视程度也在逐渐提升,企业在安全建设上也不再寄期望于“先发展后治理”,安全活动开始参与到企业产品研发的全生命周期,“从头到尾”的渗透到了企业运行的全流程及产业链各个环节,安全管理工作将纳入核心管理团队,成为企业治理水平的重要度量。
有业内专家认为,虽不同产业领域、不同规模企业的安全建设水平仍有较大差距,但技术与产品的创新,尤其是云原生安全一体化解决方案正在改变现有的安全供给体系,中小微企业也能以较低的成本建立起自适应的全视角安全免疫系统。安全已经从“奢侈品”变成“日用品”,构建安全免疫力逐渐成为业界新共识,安全进入了“寻常百姓家”,且彼此间相互兼容,共筑了免疫屏障。
值得一提的是,在个人隐私信息保护等相关法律条例的施行背景下,企业一改“体验优先”的单一反欺诈风控策略,开始向“动态治理”转变,同时,由于出海企业被当地处罚事件频发,且数据安全等相关法规条例全球趋严,企业在出海时也将愈发重视安全合规。
总之,在企业数据泄露等安全事件频发、政策监管趋严之下,企业安全治理成为必选项!未来,安全治理将会是企业安全建设的重要工作项。另外,未来的数据安全治理,除了要充分考虑数据要素流通中数据交换、数据集成、数据存储、数据资产管理等方面安全风险,还要重点关注数据安全合规治理、数据供应链安全、数据安全保险、新型数据安全产业生态等四个方面的问题。