端點(diǎn)保護(hù)解決方案部署在端點(diǎn)上�,例如員工工作站、移動(dòng)設(shè)備�、服務(wù)器和云虛擬機(jī) (VM)�,以保護(hù)它們免受網(wǎng)絡(luò)威脅�。這些解決方案彌補(bǔ)了傳統(tǒng)防病毒技術(shù)留下的安全漏洞。端點(diǎn)保護(hù)提供多層保護(hù)�,可以應(yīng)對(duì)高級(jí)威脅,例如數(shù)據(jù)泄露�、復(fù)雜的惡意軟件�、高級(jí)持續(xù)性威脅 (APT) 和零日攻擊�。
大多數(shù)合規(guī)標(biāo)準(zhǔn)都有關(guān)于網(wǎng)絡(luò)安全的特定要求。端點(diǎn)是許多組織安全狀況中的薄弱環(huán)節(jié)�。因此�,端點(diǎn)保護(hù)是實(shí)現(xiàn)和展示企業(yè)網(wǎng)絡(luò)足夠安全級(jí)別的重要組成部分�。在本文中,我將介紹幾個(gè)重要的合規(guī)性標(biāo)準(zhǔn)以及端點(diǎn)安全如何幫助您的組織實(shí)現(xiàn)合規(guī)性�。
GDPR 和端點(diǎn)保護(hù)
通用數(shù)據(jù)保護(hù)條例 (GDPR) 是歐盟 (EU) 制定的個(gè)人數(shù)據(jù)保護(hù)法�。它對(duì)所有處理個(gè)人數(shù)據(jù)的實(shí)體施加了某些規(guī)則�,以幫助保護(hù)歐盟公民的隱私。GDPR 適用于處理歐盟個(gè)人數(shù)據(jù)的歐盟和非歐盟實(shí)體�。GDPR 對(duì)違規(guī)行為實(shí)施嚴(yán)厲處罰�,對(duì)違規(guī)行為的行政罰款最高可達(dá) 2000 萬(wàn)歐元或全球年收入的 4%(以較高者為準(zhǔn))�。
端點(diǎn)有助于遵守 GDPR。
端點(diǎn)安全包括各種技術(shù)�,例如安全 Web 網(wǎng)關(guān) (SWG)�、反惡意軟件解決方案和端點(diǎn)管理系統(tǒng)�。這些解決方案有助于確保臺(tái)式機(jī)、移動(dòng)設(shè)備和筆記本電腦不會(huì)受到損害�。
端點(diǎn)設(shè)備可能包含屬于組織客戶或員工的個(gè)人身份信息 (PII)�,受 GDPR 保護(hù)�。因此,實(shí)施端點(diǎn)安全可以在遵守 GDPR 第 32 條方面發(fā)揮重要作用�,該條規(guī)定組織應(yīng)該:
- 確保數(shù)據(jù)處理系統(tǒng)和服務(wù)的持續(xù)機(jī)密性和完整性�;
- 能夠在發(fā)生網(wǎng)絡(luò)安全事件時(shí)迅速恢復(fù)對(duì)個(gè)人數(shù)據(jù)的訪問(wèn)
- 能夠測(cè)試�、評(píng)估和評(píng)估安全控制的有效性
軟件組成分析 (SCA) 的重要性
許多組織在端點(diǎn)上部署他們的專有軟件。這可以是組織內(nèi)部開發(fā)的業(yè)務(wù)軟件�,也可以是內(nèi)部開發(fā)或 IT 團(tuán)隊(duì)大量定制的第三方解決方案�。
這些專有系統(tǒng)通常包含在端點(diǎn)安全解決方案的許可名單中�,并受到安全團(tuán)隊(duì)的隱式信任。然而�,即使組織內(nèi)部開發(fā)�,也不能保證它們沒(méi)有易受攻擊�、配置不安全甚至惡意的組件。
為確保全面保護(hù)�,組織必須實(shí)施軟件組成分析 (SCA) 技術(shù)�,該技術(shù)可以創(chuàng)建軟件物料清單 (SBOM)�,詳細(xì)說(shuō)明專有軟件中包含的所有組件和子組件。這可以保證并為審計(jì)人員提供證據(jù)�,證明軟件系統(tǒng)不包含易受攻擊或惡意的組件�。因此�,SCA 是端點(diǎn)安全性的重要補(bǔ)充。
在尊重員工隱私的同時(shí)部署端點(diǎn)保護(hù)
端點(diǎn)安全解決方案在增強(qiáng)安全性的同時(shí)可以成為一把雙刃劍�。它們可用于監(jiān)控私人數(shù)據(jù)和互聯(lián)網(wǎng)活動(dòng)�,因此可能會(huì)影響使用這些端點(diǎn)的員工的隱私�。例如,智能手機(jī)和平板電腦通常用于個(gè)人和商業(yè)目的�,這意味著它們包含屬于公司員工的私人和敏感信息�。
組織必須協(xié)調(diào)保護(hù)公司和客戶數(shù)據(jù)的要求與 GDPR 規(guī)定的員工隱私權(quán)�。如果組織遵循有關(guān)監(jiān)控范圍和處理作為此活動(dòng)的一部分收集的數(shù)據(jù)的某些規(guī)則�,則 GDPR 允許監(jiān)控員工。
如果組織證明安全的好處大大超過(guò)員工和客戶隱私的減少�,則它們可以出于安全目的監(jiān)控?cái)?shù)據(jù)�。如果組織不能證明安全性有實(shí)質(zhì)性的提高�,它就不能合法地實(shí)施數(shù)據(jù)收集和后續(xù)安全協(xié)議。此要求適用于監(jiān)控筆記本電腦�、移動(dòng)設(shè)備和臺(tái)式機(jī)上的設(shè)備使用情況�。
GDPR 規(guī)定了管理組織如何保護(hù)員工的公司擁有的移動(dòng)設(shè)備的要求�。使用企業(yè)移動(dòng)管理 (EMM) 系統(tǒng)等移動(dòng)安全產(chǎn)品的組織必須調(diào)整其解決方案以符合 GDPR 要求,例如:
- 記錄員工如何以及何時(shí)同意存儲(chǔ)和使用他們的個(gè)人數(shù)據(jù)�。
- 記錄數(shù)據(jù)的來(lái)源和共享對(duì)象�。
- 進(jìn)行信息審計(jì)�,以確保在未經(jīng)授權(quán)訪問(wèn)員工數(shù)據(jù)時(shí)的透明度和問(wèn)責(zé)制。
HIPAA 和端點(diǎn)保護(hù)
美國(guó)健康保險(xiǎn)流通與責(zé)任法案 (HIPAA) 于 1996 年頒布,要求醫(yī)療保健提供商保護(hù)患者數(shù)據(jù)免遭未經(jīng)授權(quán)的訪問(wèn)和不當(dāng)使用�。不遵守其指導(dǎo)方針可能會(huì)導(dǎo)致健康提供者及其合作伙伴面臨罰款和其他嚴(yán)重后果�。
HIPAA安全規(guī)則要求組織保持合理的管理、技術(shù)和物理安全控制�,以保護(hù)受保護(hù)的健康信息 (PHI)�。這包括:
- 確保組織創(chuàng)建�、接收、維護(hù)或傳輸?shù)娜魏?PHI 受到保護(hù)�,以確保機(jī)密性�、完整性和可用性�。
- 保護(hù) PHI 和相關(guān)系統(tǒng)免受對(duì)其安全性或完整性的威脅、未經(jīng)授權(quán)的使用或泄露�。
滿足這些要求的一種方法是為存儲(chǔ)或訪問(wèn) PHI 的系統(tǒng)實(shí)施多因素身份驗(yàn)證 (MFA)�。限制醫(yī)療保健組織對(duì)敏感系統(tǒng)的訪問(wèn)不僅可以保護(hù)數(shù)據(jù)免受外部攻擊者的侵害�,還可以確保員工根據(jù)他們的權(quán)限級(jí)別訪問(wèn)數(shù)據(jù)。
另一個(gè)重要方面是主動(dòng)預(yù)防�。端點(diǎn)安全解決方案可以保護(hù)與連接到網(wǎng)絡(luò)的各個(gè)設(shè)備相關(guān)的數(shù)據(jù)和工作流�,并在文件進(jìn)入網(wǎng)絡(luò)時(shí)對(duì)其進(jìn)行檢查�。在所有有權(quán)訪問(wèn) PHI 的設(shè)備上部署端點(diǎn)保護(hù)可以幫助防止各種威脅,包括惡意軟件和勒索軟件�。
PCI DSS 和端點(diǎn)保護(hù)
支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn) (PCI DSS) 是一套政策和程序�,旨在確保信用卡�、借記卡和現(xiàn)金卡交易的安全,并保護(hù)持卡人的個(gè)人信息免遭濫用�。借助端點(diǎn)安全技術(shù)�,可以滿足三個(gè)關(guān)鍵的 PCI DSS 要求�。
安裝防火墻軟件
PCI DSS 要求之一是在連接到 Internet 并用于訪問(wèn)持卡人數(shù)據(jù)環(huán)境 (CDE) 的任何計(jì)算設(shè)備上安裝防火墻軟件或等效功能。端點(diǎn)保護(hù)解決方案通常包括設(shè)備防火墻�,可以阻止或檢測(cè)端點(diǎn)上的惡意活動(dòng)�。它們提供對(duì)整個(gè)組織的入站/出站網(wǎng)絡(luò)連接的實(shí)時(shí)可見性�。上下文分析允許安全團(tuán)隊(duì)檢查端點(diǎn)上的每個(gè)文件,并確定未知或惡意文件是否與未經(jīng)授權(quán)的網(wǎng)絡(luò)連接有關(guān)�。
解決安全漏洞的配置標(biāo)準(zhǔn)
PCI DSS 的另一項(xiàng)要求是為所有系統(tǒng)組件制定配置標(biāo)準(zhǔn)�,根據(jù)系統(tǒng)加固標(biāo)準(zhǔn)解決所有已知的安全漏洞�。端點(diǎn)保護(hù)解決方案可以通過(guò)定義組織范圍的策略來(lái)支持這一點(diǎn),這些策略可以完全控制每個(gè)端點(diǎn)上的安全配置�。
部署反惡意軟件
在端點(diǎn)安全的幫助下可以滿足的其他 PCI DSS 要求是在端點(diǎn)上部署反惡意軟件解決方案�,驗(yàn)證反惡意軟件是最新的�,并生成反惡意軟件的審計(jì)日志。端點(diǎn)安全在所有端點(diǎn)上一致地部署反惡意軟件功能�,并且可以提供滿足PCI 要求的審計(jì)跟蹤。
結(jié)論
在本文中,我解釋了端點(diǎn)保護(hù)的基礎(chǔ)知識(shí)�,并展示了端點(diǎn)保護(hù)如何幫助滿足三個(gè)合規(guī)性標(biāo)準(zhǔn)的重要要求:
- GDPR——端點(diǎn)保護(hù)有助于確保數(shù)據(jù)處理系統(tǒng)和服務(wù)的機(jī)密性和完整性�,并更容易及時(shí)恢復(fù)對(duì)個(gè)人數(shù)據(jù)的訪問(wèn)�。
- HIPAA——端點(diǎn)保護(hù)可以確保 PHI 受到保護(hù)以確保機(jī)密性、完整性和可用性,并確保相關(guān)系統(tǒng)得到適當(dāng)防御以抵御合理預(yù)期的威脅。
- PCI DSS – 端點(diǎn)保護(hù)可以幫助滿足三個(gè) PCI DSS 網(wǎng)絡(luò)安全要求:部署防火墻、實(shí)施配置標(biāo)準(zhǔn)和部署反惡意軟件�。
我希望這對(duì)您利用現(xiàn)代安全技術(shù)來(lái)簡(jiǎn)化組織的合規(guī)性工作很有用�。
網(wǎng)站資訊
解決方案
關(guān)于我們
