博客

如何确保数据隐私和组织安全

Jay Kelley 缩略图
杰伊·凱利
2021 年 1 月 28 日发布

今天——1 月 28——被美国、加拿大、以色列和 47 个欧盟国家称为数据隐私日(在欧盟则称为数据保护日)。

隐私——尤其是数据隐私——至关重要。 许多国家的宪法(事实上超过 150 部)都提到了“隐私权”。 它也被列入联合国《世界人权宣言》,并受到《欧洲人权公约》的保护。 许多国家、地区和州都颁布了多项隐私法规,包括欧盟的《通用数据保护条例》(GDPR)和《加州消费者隐私法案》(CCPA)。

数据隐私日的重点是提高企业和消费者对保护用户隐私和个人信息重要性的认识。 其目的是教育和鼓励企业和消费者开发工具,以便更好地管理和控制用户个人信息。 它还旨在推动提高或增强对现有隐私法律和法规(如 GDPR 和 CCPA)的遵守。 许多国际和国家机构、部委和委员会以及教育机构和行业联盟都将数据隐私日视为开始或继续讨论如何更好地保护消费者和用户数据隐私的时间。

付诸实践

无论是静态数据还是传输中数据,增强消费者和用户数据隐私的最流行且最佳的方法之一是加密。 加密消费者和用户数据以及传输这些数据的方法对于保护私人个人身份信息至关重要。

如今,加密已无处不在。 对用户和数据隐私的关注推动了加密流量的爆炸式增长。 此外,现在有许多供应商提供免费或低成本的证书,以提高在线安全性,这将使用户、消费者和企业受益。 本质上,他们正在试图加密整个网络! 据F5 实验室称,86% 的网页加载都是使用 SSL 或 TLS 加密的。 高级加密标准 (AES) 密码占当今加密网络流量的 96% 以上。 上述隐私法规和要求(例如 GDPR、CCPA 等)正在推动加密的采用,即使其中大多数法规和要求并未强制要求对用户和个人数据进行加密。 但是,许多组织会对用户数据和通信使用加密,以免侵犯相同的法规和要求。

不可避免的缺点

虽然加密可以很好地保护用户及其数据的隐私,但加密同时也存在一个问题,给用户和企业都带来了严重的难题: 攻击者和黑客也喜欢使用加密来掩盖恶意软件、勒索软件和其他攻击媒介。 不幸的是,加密会导致安全盲点。

例如,用于网络钓鱼和鱼叉式网络钓鱼活动的欺诈性网站越来越多地使用 HTTPS 来伪装成真实的网站,以诱骗毫无戒心的用户点击受恶意软件感染的链接,或将其用户名和密码插入令人信服但虚假的登录页面 - 他们甚至欺骗那些已经接受地址栏中的小挂锁标志作为网站安全标志的用户。 据F5 实验室称,目前 72% 的网络钓鱼网站都使用加密技术。 但更糟糕的是,攻击者、黑客和其他不良行为者不仅使用加密技术来隐藏威胁;他们还利用隐私加密技术,只需对每个受害者使用一次包含恶意软件和网络钓鱼网站的特定威胁活动,即可逃避事后取证检测。

网络钓鱼是一种很难防御的攻击,因为它利用人类心理、社会工程学以及错误和虚假信息。 网络钓鱼利用了人性和情感,例如恐惧。 在冠状病毒大流行期间尤其如此。 攻击者知道这一点并利用它来获取优势。 F5 实验室发现,随着 COVID-19 病例激增,包含“covid”或“corona”字样的新 HTTPS 证书数量也在增加。 即使是世界卫生组织 (WHO) 和美国等知名医疗保健机构 美国疾病控制与预防中心 (CDC) 曾经并将继续被攻击者冒充,进行有针对性的网络钓鱼活动,试图将受害者引诱到恶意域名并下载恶意软件或其他恶意攻击,或诱骗他们在虚假的登录页面中输入用户凭据。

您能做什么

那么,当今组织如何才能捍卫用户和消费者数据以及个人信息的隐私,同时保护自己免受各种攻击和破坏?

组织应该采用一种解决方案,可以大规模解密每天传入传出流量所需的大量加密流量。 鉴于当今加密流量的级别、确保用户和消费者数据隐私的需求以及解密和重新加密的计算密集型任务,利用现有的安全解决方案承担双重职责来提供安全性以及解密和重新加密流量是一个坏主意。 超载、过度劳累的安全设备可能会开始绕过加密流量或不执行部署它的安全职责。

为了确保用户和消费者数据的隐私和安全,并且为了不侵犯隐私法规和要求,组织应该采用一种解决方案,智能地使私人用户和消费者流量(例如财务或医疗保健数据)绕过解密。 但是,这些流量不应该得到免费通行,而应该通过安全堆栈中一组有限的解决方案进行检查。 然而,只有当安全堆栈中的解决方案不处于静态菊花链中,而是被允许参与动态安全服务链时,才能实现这一点,利用上下文感知策略将解密后的传入加密流量路由到适当的安全服务链。

这被称为 SSL 编排,上面的描述(希望)说明了为什么它在今天如此必要,不仅可以确保组织安全,还可以确认用户和消费者信息受到保护并保持私密。

有关 F5 SSL Orchestrator 的更多信息,请点击此处