電子郵件安全公司Egress對美國和英國的500名IT領導者和3,000名員工進行的一項新調查顯示，在過去一年中，94%的企業(yè)都經(jīng)歷了內部數(shù)據(jù)泄漏。

84%受訪的IT領導層工作者表示，人為錯誤是導致嚴重事故的首要原因。然而，受訪者更關心內部人員的惡意行為，28%的受訪者表示故意惡意行為是他們最大的恐懼。

盡管造成的事故最多，但人為錯誤在IT領導層的擔心列表里依然排名墊底，只有21%的受訪者表示人為錯誤是他們最擔心的問題。不過56%的受訪者認為遠程/混合工作將使防止人為錯誤或網(wǎng)絡釣魚造成的數(shù)據(jù)泄漏變得更加困難，但61%的員工認為他們在家工作時造成違規(guī)的可能性與在公司并無區(qū)別甚至更小。

從漏洞的原因來看，74%的企業(yè)因員工違反安全規(guī)則而遭到利用，73%的企業(yè)成為網(wǎng)絡釣魚攻擊的受害者。

在調查員工是否會如實上報觸犯了違規(guī)行為時，97%的員工表示會如實上報，這對55%要依靠員工提醒他們是否發(fā)生了安全事件的IT領導者來說是個好消息。但誠實可能并不會有回報，因為89%的事件都會對涉事員工產(chǎn)生消極影響。

報告指出：內部風險是每個企業(yè)最復雜的漏洞——它具有深遠的影響，從遭遇勒索軟件攻擊到失去客戶信任。企業(yè)必須立即采取行動，以減輕其員工帶來的風險。

該報告強調了賦予員工權力的重要性，企業(yè)希望員工保護雇主的數(shù)據(jù)，同時也有責任確保他們正在建立一種積極的企業(yè)安全文化。有了正確的技術和戰(zhàn)略，企業(yè)才可以將員工從最大的安全漏洞觸發(fā)者轉變?yōu)樽顝姶蟮陌踩谰€。

重視內部風險，防止數(shù)據(jù)泄露

一、應用零信任安全理念，構建縱深防御體系

傳統(tǒng)的訪問驗證方式只需要知道IP或主機信息，便可通過驗證，而零信任默認不相信任何人，需要明確用戶身份、訪問來源、授權途徑等信息，否則訪問請求則會被立即拒絕。零信任的主流技術SDP，（Software Defined Perimeter, 軟件定義邊界）。SDP建立虛擬邊界，利用基于身份的訪問控制和權限認證機制，讓應用和服務“隱身”，具有相應權限的用戶才能看見。智行零信任訪問控制系統(tǒng)以身份為基石，遵循“網(wǎng)絡無特權化、信任最小化、權限動態(tài)化”原則，采用軟件定義邊界技術，強化身份治理與訪問控制，充分利用態(tài)勢感知、流量分析、資產(chǎn)監(jiān)測、行為畫像，并結合應用隱身和終端準入與管控，持續(xù)、動態(tài)的構建企業(yè)核心資產(chǎn)的安全防護壁壘。

二、強調以身份為主軸，動態(tài)訪問控制授權

智行零信任訪問控制系統(tǒng)強調身份與授權的關系，所有訪問均建立在身份的基礎上，針對“誰可以訪問誰”的控制，任何用戶都必須先進行認證后再接入，對于接入的授權用戶，根據(jù)最小權限原則只允許用戶訪問其允許訪問的業(yè)務系統(tǒng)。系統(tǒng)可為不同用戶配置不同的安全策略，并且基于來自終端環(huán)境、身份信息、審計日志等多源數(shù)據(jù)建立用戶的信任模型，對用戶的訪問風險進行實時評估，根據(jù)結果動態(tài)調整其安全策略。同時，通過對“什么數(shù)據(jù)可以被調用”的控制，來確保數(shù)據(jù)流轉過程中的安全，實現(xiàn)資產(chǎn)動態(tài)防御的目的。 

三、重視網(wǎng)絡安全系統(tǒng)建設，提升安全防范意識

面對復雜多變的各類網(wǎng)絡威脅，僅僅依靠被動攔截是不夠的，零信任安全架構作為一種主動防御安全理念，將責任與安全治理深度融合，是企業(yè)作為網(wǎng)絡安全防護與數(shù)據(jù)安全治理的最佳踐行利器，讓企業(yè)內部訪問行為與網(wǎng)絡流量可視可控、智能。從而從而更加有效地防御黑客或病毒持續(xù)性大面積的滲透和破壞。也能有效的解決內部人員責任與身份相結合的去對數(shù)據(jù)進行合理應用等問題，防止數(shù)據(jù)濫用或非法泄露。同時，各行業(yè)用戶及企事業(yè)人員需要提升網(wǎng)絡安全防范意識，及時做好漏洞修復，提高密碼強度，養(yǎng)成定期備份重要資料、加強保密意識及內部人員對數(shù)據(jù)保護的敏感性等行為習慣，共筑數(shù)字化轉型時期的安全基石。