每次數(shù)據(jù)泄露使美國(guó)企業(yè)平均損失860萬美元，僅今年一年，勒索軟件攻擊在美國(guó)就增加了近140%，首席信息官(CIO)面臨著保持?jǐn)?shù)據(jù)安全以保持與客戶的信任并避免經(jīng)濟(jì)損失。

至關(guān)重要的CIO會(huì)詢問以下四個(gè)數(shù)據(jù)存儲(chǔ)安全問題，以確保數(shù)據(jù)免受威脅且不會(huì)受到損害。

[[438376]]

1. 我們的數(shù)據(jù)可以不可變嗎?

FBI已將勒索軟件視為增長(zhǎng)最快的惡意軟件威脅，會(huì)造成重大的收入損失、運(yùn)營(yíng)停機(jī)和聲譽(yù)損失。由于勒索軟件會(huì)在存儲(chǔ)層對(duì)數(shù)據(jù)進(jìn)行加密，因此備份數(shù)據(jù)副本存在成為攻擊目標(biāo)的風(fēng)險(xiǎn)。為了避免支付贖金來解密數(shù)據(jù)，組織必須確保他們有一個(gè)不可變的數(shù)據(jù)備份副本，可以在發(fā)生攻擊時(shí)恢復(fù)。

磁帶存儲(chǔ)允許物理刪除備份副本并單獨(dú)存儲(chǔ)，從而使副本免受勒索軟件攻擊。然而，雖然是一種有效的防御措施，但磁帶存儲(chǔ)的恢復(fù)速度很慢，并且需要大量的時(shí)間和資源來管理。

還可以利用對(duì)象存儲(chǔ)使數(shù)據(jù)不可變，而沒有磁帶的缺點(diǎn)。特定對(duì)象存儲(chǔ)系統(tǒng)支持稱為“對(duì)象鎖定”的功能，并使用一次寫入多次讀取(WORM)技術(shù)使備份數(shù)據(jù)副本在設(shè)定的時(shí)間范圍內(nèi)不可變。備份數(shù)據(jù)一旦寫入，在時(shí)間到之前無法更改或刪除，這意味著黑客無法對(duì)數(shù)據(jù)進(jìn)行加密，并且可以在發(fā)生攻擊時(shí)快速輕松地恢復(fù)數(shù)據(jù)。對(duì)象鎖定在本地、私有云或公共云中的工作方式相同。

2. 我們?nèi)绾伪Ｗo(hù)靜態(tài)數(shù)據(jù)?

如今，數(shù)據(jù)盜竊越來越普遍。黑客威脅要公開公司的專有信息，除非支付贖金。為了保護(hù)您的數(shù)據(jù)免遭盜竊，必須在存儲(chǔ)設(shè)備上對(duì)其進(jìn)行加密。CIO最好使用系統(tǒng)生成的加密密鑰(常規(guī)服務(wù)器端加密[SSE])或客戶提供的和托管加密密鑰(SSE-C)。這允許使用HTTPS安全地提交上傳和下載請(qǐng)求，并且系統(tǒng)不會(huì)存儲(chǔ)加密密鑰的副本。

3. 我們?nèi)绾伪Ｗo(hù)飛行中的數(shù)據(jù)?

數(shù)據(jù)通過“竊聽”被破壞是很常見的，黑客“竊聽”數(shù)據(jù)通信，尋找密碼或其他以明文形式傳輸?shù)男畔?。CIO必須確保數(shù)據(jù)在傳輸過程中和存儲(chǔ)系統(tǒng)中的安全。

利用數(shù)據(jù)加密和安全傳輸協(xié)議是防止竊聽的最佳方法。CIO應(yīng)確保其存儲(chǔ)系統(tǒng)支持以下功能：

• 上證所
• 亞馬遜網(wǎng)絡(luò)服務(wù)密鑰管理服務(wù)(AWSKMS)
• OASIS密鑰管理互操作性協(xié)議(KMIP)
• 傳輸層安全/安全套接字層(TLS/SSL)

4. 我們的存儲(chǔ)基礎(chǔ)設(shè)施是否完全合規(guī)?

正如CIO所知，存儲(chǔ)系統(tǒng)必須符合行業(yè)法規(guī)。CIO應(yīng)確保其存儲(chǔ)基礎(chǔ)架構(gòu)具有以下安全認(rèn)證/驗(yàn)證，以節(jié)省評(píng)估企業(yè)存儲(chǔ)系統(tǒng)是否滿足行業(yè)要求的時(shí)間。

• 信息技術(shù)安全評(píng)估的通用標(biāo)準(zhǔn)：該標(biāo)準(zhǔn)(簡(jiǎn)稱為通用標(biāo)準(zhǔn)(CC))是國(guó)際開發(fā)的計(jì)算機(jī)安全標(biāo)準(zhǔn)(ISO/IEC15408)，可證明存儲(chǔ)是防篡改的。
• 聯(lián)邦信息處理標(biāo)準(zhǔn)(FIPS)：FIPS是由NIST制定的美國(guó)標(biāo)準(zhǔn)。它為技術(shù)解決方案建立了一套要求，并被美國(guó)政府機(jī)構(gòu)在評(píng)估產(chǎn)品和解決方案時(shí)使用。
• SEC規(guī)則17a-4：這是美國(guó)證券交易委員會(huì)發(fā)布的一項(xiàng)法規(guī)，規(guī)定(除其他外)對(duì)存儲(chǔ)系統(tǒng)的WORM分類的要求。

由于存儲(chǔ)供應(yīng)商必須投入大量時(shí)間和資源才能通過大多數(shù)第三方安全驗(yàn)證，因此擁有這些認(rèn)證是確認(rèn)存儲(chǔ)系統(tǒng)安全的好方法。

結(jié)論

詢問這四個(gè)問題是CIO保護(hù)數(shù)據(jù)的第一步。通過這樣做，他們?nèi)缓罂梢圆扇〗ㄗh的措施來確保他們的數(shù)據(jù)在運(yùn)行中和靜止時(shí)得到保護(hù)，以數(shù)據(jù)不變性進(jìn)行備份，并存儲(chǔ)在滿足嚴(yán)格安全認(rèn)證要求的系統(tǒng)中。