過去三天我們透過「配置管理不當」、「供應鏈管理」與「資料安全活動」面向，
試著從這兩年發生的著名資料外洩事件了解資料安全的特性，
從雲端環境的管理與資料存取權限、途徑，都與傳統網路環境截然不同，
容易因為相關安全政策、網路存取規則設定的疏忽，而讓安全風險提升。

再者是資料存放的環境供新的應用程式開發團隊使用時，
因開發團隊、環境與資料存取機制防護不足，
進而導致因上下游廠商的供應鏈管理問題而發生資料外洩。

最後則是資料存放本身即有的各式存取活動，
無論是本身三層式架構的傳統資料庫架構，
或是大數據、混合雲環境、應用程式現代化的 API 存取過程，
可能因為直接或間接的安全風險，導致資料外洩，

而這個過程也需要非常多的安全控制項目，
像是網路層保護、資料存取監控、端點安全監控、網路流量監控等等，
都是圍繞在資料安全本身與周圍會投入的資安保護措施。

持續性資料安全威脅

資料安全的威脅從以往到現在都可能因為各式原因發生，
因此從經典的網路攻擊鏈的橫向流程，
從偵查、武裝、遞送、漏洞利用、安裝、控制、行動的過程，
都可以潛入到目標系統、拿到權限帳號後存取相關敏感資料。

最常造成資料安全威脅的手段與途徑，
常會透過網路釣魚或系統漏洞攻擊手段，
獲得最初能獲得系統權限的身份資訊與憑據。
而更流行的手段像是社交工程、商業詐騙郵件等等，
更是透過高度擬真的訊息與關鍵資訊，
吸引到相關人員直接提供出組織的敏感資訊。

最後也是造成資料安全威脅的可能途徑，
也包括內部人員疏失、裝置不當管理導致的意外或故意的事件，
或是透過內部威脅進而導致的資料外洩威脅。

掛一漏萬的資料安全防護

由此可知，資料安全的防護與風險保護其實是方方面面的，
無論是網路的安全保護、身份資訊的管控，以及系統本身的資料存取，
都可能在任一層級的保護疏失或遺漏，導致資料遭非授權存取。
因此在企業環境而言思考資料安全保護時，
而除了技術工具之外，人員安全與流程性的規範，
也同時是很重要的資料安全保護需要考量的維度與角度。
因為有可能完整的防護技術機制下，但因為人員本身的問題，
還是能夠成功通過層層嚴密的技術監控。

主動性的風險檢測手段

綜合實際事件與資料安全保護策略來看，
共通性的是企業都沒有資料安全的持續性監控機制來輔助，
包括持續衡量組織資料安全存取的風險層度，
有無哪些途徑可能遭駭客利用與採用進的主動風險檢測，
提供一個具有「反饋機制」的資料安全偵測機制來協助企業得知風險水平。

因此無論是 Configuration 的配置檢測（設定不當、系統漏洞...)
或是存取資料的途徑 (JDBC / API /...) 的權限與存取監控，
又或是針對供應商的稽核、要求與防護等級確認等，
都可以是在事後精進相關資料安全控制項目的方向與手段。

小結

資訊安全廣度非常廣泛，各個項目後續的縱向發展也可以十分深入，
讓我們先透過這幾篇鐵人文章將近期發生的資安威脅事件，
來了解與資料安全相關可以先關心的幾項核心內容，
明天我們會再來看看資料安全近幾年也很關注的，包括：
個資、隱私與資料使用的同意權管理等相關資料安全的管理項目。