資料保護的需求不斷增加
全球金融服務公司的 Contoso Ltd.看到其雲端服務中散佈的敏感數據數量不斷增加,包括員工檔案、財務記錄,以及來自 Microsoft 365 Copilot 等工具的 AI 產生的內容。 雖然這些技術支援更快速的決策和彈性的工作環境,但也會產生安全性風險。 敏感數據會跨雲端平臺、遠端端點、AI 應用程式和非Microsoft服務移動。 隨著數據量增加,管理和保護數據量的挑戰也是如此。
訪問控制有助於,但保護敏感數據取決於知道其儲存位置、誰可以存取它,以及其使用方式。
數據外泄和內部威脅的後果
當組織無法保護敏感數據時,後果可能十分嚴重。 缺口可能會導致外部攻擊、內部威脅或意外數據外洩。 無論原因為何,組織都面臨財務損失、法規處罰、信譽損害和作業中斷。
安全機構繼續報告這些威脅的規模不斷增加。 根據ENISA的2024 年威脅環境 報告,數據相關威脅激增,影響公共管理(12%)、數位基礎設施(10%)、金融(9%)和商務服務(8%)。 數據洩露事件在 2023 年和 2024 年有所上升,強化了強式數據保護措施的需求。
網路安全與基礎結構安全機構(CISA)在其 內部威脅 101 事實報告中報告,2023年內部風險事件的平均成本達到每個組織 1620 萬美元,平均 86 天來識別並包含這些事件。 內部威脅可能會導致意外暴露、憑證被入侵或惡意意圖,使主動資料保護至關重要。
組織必須考慮風險,例如:
- 未經授權存取的數據外泄:攻擊者會利用弱式訪問控制、遭入侵的認證或不安全的數據記憶體來竊取機密資訊。 強制執行強身份驗證、最低許可權存取和加密有助於降低暴露程度。
- 社交工程攻擊:威脅執行者會使用網路釣魚、商務電子郵件入侵或其他作技術來欺騙員工公開敏感數據。 員工訓練、電子郵件安全性控制及驗證程式有助於防止這些攻擊。
- 數據外泄和設定錯誤:不當保護的雲端記憶體、意外共用和存取錯誤設定不小心會公開數據。 安全性稽核、自動化訪問控制和明確的資料治理政策可降低暴露的可能性。
如果沒有結構化的安全性方法,這些風險會導致廣泛的數據暴露和長期商務挑戰。
組織面臨的風險
組織必須保護敏感數據免於外部和內部威脅,同時符合法規需求。 主要風險包括:
- 外部威脅:以敏感數據為目標的網路攻擊、網路釣魚和惡意活動,以取得財務收益或間諜活動。
- 內部風險:意外或故意公開數據的員工或承包商。
- 合規性挑戰:需要一致數據控管和報告的複雜且不斷演進的法規需求。
- AI 安全性風險:如果無法正確控制,存取或處理敏感數據的 AI 工具可能會帶來風險。
主動式方法的需求
反應式安全性措施往往太晚,無法防止損壞。 組織需要主動式數據保護策略,包括:
- 數據分類和標籤:識別和標記敏感數據以套用一致的安全策略。
- 數據外洩防護 (DLP) 和保留原則:控制數據共用、防止外洩,以及符合合規性需求。
- 測試人員風險管理工具:偵測有風險的行為,並在數據遭到入侵之前調查安全性事件。
- 動態安全性控制:根據實時風險訊號套用保護,以隨著用戶風險變更而調整安全性強制執行。
- AI 安全性措施:控制 AI 模型中使用或處理敏感數據的方式,以防止暴露。
藉由採取預防性方法,組織會保護敏感性資訊、維護合規性,並減少安全性事件的財務和作業後果。