新一代安全平台如何促进 GDPR 合规性
Palo Alto Networks 平台如何促进 GDPR 合规性
网络安全是保护个人数据和遵守 GDPR 的一项必要投资。
绝大多数 GDPR 要求都围绕着数据管理,即数据收集和处理。在收集个人数据时有义务提供通知,禁止未经授权的数据处理,要求保存数据处理记录,在某些情况下有义务任命一名数据保护官,还有关于向第三方和第三国转移个人数据的规则,等等。
但这不应掩盖数据安全也是 GDPR 的支柱这一事实。GDPR 有特定的安全相关语言,详见下文。此外,保护个人数据的一个关键组成部分是确保其安全 — 防止网络对手的渗透和内部泄漏。因此,在为 GDPR 做前期准备时,企业在合规活动、信息管理流程和技术方面的投资必须辅以适当的网络安全投资。
GDPR 相关条款摘要(全文请参见 GDPR 链接):
主题 |
条款摘要 |
| 数据处理安全性 |
各企业必须采取适当的技术和组织措施,确保安全水平与风险相称。这些措施必须考虑到最先进的技术水平。[第 32 条] 个人数据的处理方式应确保数据的适当安全性和保密性,包括防止未经授权访问或使用个人数据,以及用于处理的设备。[引言,第 39 段] 在评估数据安全风险时,应考虑个人数据处理 |
数据泄露通知 |
---------------------------------------------------------------------------------------------- 如果个人数据丢失、被盗或以其他方式受到损害,必须通知监管机构,除非泄露不太可能对个人造成相关风险。通知不得无故拖延,在可行的情况下,不得晚于知悉泄露后 72 小时。 在某些情况下,必须通知个人。 通知必须描述一系列有关泄露的信息,如泄露的性质、类别和涉及到个人数据记录的数量、可能造成的后果、为解决泄露和减轻其影响而采取的措施,以及其他项目。[第 33 条和第 34 条] |
| 行政罚款 |
---------------------------------------------------------------------------------------------- 监管机构将根据具体情况对违反 GDPR 的行为处以行政罚款。在决定是否处以罚款以及罚款金额时,有关当局应考虑多种因素,包括在落实技术和组织措施方面的责任程度,同时考虑到第 32 条规定的现有技术水平。[第 83 条] |
Palo Alto Networks® 可以通过以下方式协助企业实现与 GDPR 合规性相关的安全和数据保护工作:
1.保护个人数据安全。GDPR 要求数据处理的安全性要符合最新技术水平。我们的新一代安全平台就在应用程序、网络和终端层面提供了这种安全性。
2.数据泄露预防。无论是黑客攻击还是意外泄漏,防止数据泄露对于遵守 GDPR 至关重要。适当的网络安全对于确保企业的个人和业务关键数据以及应用程序受到保护至关重要。我们的新一代安全平台专为预防而设计。
3.数据泄露通知。如果不幸发生数据泄露,必须上报。我们的新一代安全平台可以帮助确定哪些个人数据被泄露,并提供有关为解决泄露所采取措施的关键信息。
我们产品组合的许多部分都有满足这些需求的功能和特性。本文将对此进行介绍。
保护个人数据安全
GDPR 要求数据处理的安全性要符合最新技术水平。Palo Alto Networks 平台就在应用程序、网络和端点级别以及云中保护数据安全。
要真正降低网络风险并保护数据(包括个人数据),就必须采取综合、自动、有效的控制,在攻击生命周期的每个阶段检测并预防已知和未知的威胁。从一开始就为预防而设计,
Palo Alto Networks 新一代安全平台让企业在云中,以及越来越多地在移动网络中实施关键技术举措时,能够满怀信心地推行数字优先战略,保护自己最宝贵的数据资产免遭网络犯罪分子的渗透和意外数据泄漏。
Palo Alto Networks 新一代安全平台将网络和端点安全与威胁情报相结合,提供自动化保护并防止网络攻击 – 而不仅仅是检测网络攻击。 我们的平台原生汇集了所有关键安全功能 – 包括防火墙、URL 过滤、IDS/IPS,以及高级端点和威胁防护。由于这些功能是在考虑到网络威胁预防的情况下特意构建到平台中的,并且在各个领域之间原生共享必要信息,因此我们的平台确保了比传统防火墙和防病毒、UTM 或单点威胁检测产品更好的安全性。简而言之,更好的安全性支持更好的数据保护。
最先进的技术水平
GDPR 要求采取符合最新技术水平的技术和组织安全措施。事实证明,由拼凑起来的单点产品组成的传统安全系统不足以应对数量不断增加、自动化程度和复杂程度不断提高的网络攻击。CISO 应仔细审视这些遗留产品,确定它们是否符合最新技术水平。
威胁形势在不断演变,因此,最先进的技术必须与时俱进才能防范新的威胁。Palo Alto Networks 新一代安全平台将网络和端点安全与威胁情报相结合,提供自动化保护并防止网络攻击,而不仅仅是检测网络攻击。与传统的单点产品不同,我们的平台利用了成千上万的客户、技术合作伙伴和研究人员共享威胁信息的网络效应。我们构建的技术可以在网络攻击者需要采取行动才能成功的关键战术和战略位置上防止攻击,我们还能在短短五分钟内向全球客户群更新最新的保护。就范围而言,我们每周都会在发现新的网络攻击或“零日”网络威胁时生成超过一百万个新的预防措施。借助我们的平台,企业可以安全地使用对其业务运营至关重要的所有应用程序,自信地推行新技术举措,并保护企业免受基本和复杂的多方面网络攻击。对于那些想说自己已经掌握了最新技术的 CISO 来说,Palo Alto Networks 应该是纳入考虑的安全要素之一。
数据泄露预防
无论是黑客攻击还是意外泄漏,防止数据泄露对于遵守 GDPR 至关重要。适当的网络安全对于确保企业的个人和业务关键数据以及应用程序受到保护至关重要。
我们的平台支持与数据安全相关的四种关键防御技术,同时有助于遵守 GDPR。
- 全面可视性。我们的平台提供了对所有流量的可视性 – 跨越网络、终端和云 – 按应用程序、用户和内容进行分类。如果看不见,就无法阻止或防范。完整的可视性提供了实施动态安全策略的情境。
- 减少攻击面。随着公司对应用程序和设备(例如 SaaS、云和物联网)的使用激增,攻击面正在迅速扩大。渗透企业的途径越多,网络对手外泄个人数据的机会就越多。我们实施积极的安全模型,只为正确的用户启用允许的应用程序,拒绝其他一切,从而减少攻击面。
- 防御已知威胁。许多数据泄露都是由已知威胁造成的,例如窃取商品信息的木马、恶意软件和应用程序漏洞利用。在外围,我们的平台通过对所有类型应用程序的精细管理来控制威胁载体本身。这会立即减少网络的攻击面,然后分析所有允许的流量是否有漏洞利用、恶意软件、恶意 URL 以及危险或受限的文件或内容。在端点上,Palo Alto Networks 将来自全球客户社区的威胁情报与我们独特的多重预防方法相结合,在已知恶意软件和漏洞入侵端点之前对其进行拦截。
- 防御未知威胁。我们的平台不仅能阻止已知的威胁,还能主动识别和阻止未知的恶意软件和漏洞利用,这些恶意软件和漏洞经常被用于狡猾的针对性攻击。 当发现新奇的恶意软件或漏洞利用时,WildFire® 基于云的威胁分析服务会自动创建新的控制,并分享给您的防御设备,比如新一代防火墙和 Traps™ 高级端点防护,最快只需要五分钟,无需人工干预。此外,Traps 还部署了一种独特的多重方法来阻止零日漏洞利用所使用的核心技术,并识别和阻止未知恶意软件入侵端点。
为了进一步减轻数据传输和隐私方面的担忧,WildFire EU(一种本地化云部署)可用于分析数据,而无需将数据传输出地区边界。
这些防御技术由 WildFire 提供支持,WildFire 是业界最先进的分析和防御引擎,适用于高度规避的零日恶意软件和漏洞利用。这种基于云的服务采用了一种多重技术方法,结合动态和静态分析、创新的机器学习技术以及突破性的裸机分析环境,即使是应对最隐蔽的威胁,也能成功检测并加以预防。WildFire 超越了用于检测未知威胁的传统方法,汇集了四种独立技术的优势,可实现高保真和防规避的发现:
- 动态分析:在定制的防规避虚拟环境中观察文件引爆过程,利用数百种行为特征检测零日恶意软件和漏洞利用。
- 静态分析:有效检测试图逃避动态分析的恶意软件和漏洞利用,即时识别现有恶意软件的变体。
- 机器学习:从每个文件中提取数以千计的独特特征,训练预测性机器学习分类器,识别新的恶意软件和漏洞利用,而这是单独进行静态或动态分析无法实现的。
- 裸机分析:自动将规避性威胁发送到真实硬件环境中引爆,彻底消除对手部署反虚拟机分析技术的能力。
这些技术结合在一起,使 WildFire 能够发现并阻止未知恶意软件和漏洞利用,而且效率极高,误报率几乎为零。
集中管理安全流程
GDPR 适用于任何处理欧盟居民个人数据的企业,无论企业实际位于何处。对于许多大型或跨国企业来说,个人数据处理可能会在多个地点进行,所有地点都必须遵守规定。Panorama™ 网络安全管理让企业能够为新一代防火墙创建和管理易于实施的综合策略。借助 Panorama,您可以实施集中式和区域性策略,并可根据需要或偏好轻松委派给区域管理员。关键在于根据业务需求和具体地区法律灵活实施策略。例如,Panorama 管理员可以对位于新加坡或巴西分支的防火墙执行安全策略,即使这些地方的区域管理员可能不知道有保护受 GDPR 约束的数据的合规需求。
防止数据外流或泄漏
数据外流或渗透都可能导致数据泄露,而我们的平台可以帮助防止这两种情况的发生。
利用我们的新一代安全平台,攻击生命周期内的每个关键阶段都配备了一个防御模型来防止数据外泄 – 从攻击者最初试图入侵外围,到投放恶意软件或利用端点,再到通过网络横向移动,直至攻击者到达主要目标并试图外泄个人数据和敏感数据。
为了保持 GDPR 合规性,防止内部和合作伙伴用户社群在整个基础设施中意外泄漏/共享数据至关重要。最终用户代表着最常见的风险之一,尤其是在使用 SaaS 应用程序时。他们通常未经培训,也没有意识到自己带来的风险,行为可能导致个人数据意外泄漏。我们的安全平台通过多种方式防止数据渗透和泄漏:
- 网络安全。为了保护企业内的数据,新一代防火墙上的内置数据过滤配置文件有助于防止网络层的意外数据泄露。系统管理员可以应用策略来检查和控制穿越网络的内容,帮助限制未经授权的敏感数据(例如信用卡号)传输。
- SaaS 层面的安全。企业需要控制对 SaaS 应用程序的访问,对信息共享实施策略控制并阻止数据泄露。
- 在欧洲境内经营的企业可选择位于欧盟地区的 Prisma™ SaaS 数据中心,以满足其数据位置偏好。
这些功能通过我们的平台使用新一代防火墙(如 User-ID™、App-ID™ 和 Content-ID™ 技术)和 Prisma™ SaaS 安全服务提供。新一代防火墙会分析从网络到 SaaS 应用程序并返回的所有流量。然而,某些基于云的活动对于内联安全服务来说是不可见的,例如数据共享权限或从网络外部访问基于云的数据(无 VPN)。在这种情况下,Prisma SaaS 是对新一代防火墙的补充,它使用 SaaS API 直接连接到 SaaS 应用程序本身。这样就可以看到用户上传或共享的一切。借助 Prisma SaaS,用户可以查看和监控企业 SaaS 应用程序中所有资产的文件上传,例如 Box、Microsoft® Office、Dropbox®、Salesforce®、Secure Data Space 等等。然后可以应用策略来监控和强制负责任地使用资产(包括个人数据),并防止人为错误导致的意外数据泄露,例如混杂或无意的共享,以及使用可能暴露在互联网上的链接共享内容。如果检测到违反策略,则会生成警报。配置后,Prisma SaaS 会采取自动操作来补救风险。
- 端点安全。Traps 高级端点保护采用一种多重方法来先发制人地阻止来自受入侵端点的已知和未知威胁,包括零日攻击和未知恶意软件。
- 阻止凭据窃取。鉴于窃取密码并获得所需的访问级别相对简单,因此凭据被盗是数据泄露的常见威胁载体。
我们的平台能够在整个攻击生命周期内瓦解基于凭据的攻击。
通常,攻击者会使用通过电子邮件或社交媒体发送的凭据网络钓鱼尝试,以欺诈形式来诱骗用户提交公司凭据。我们的平台通过阻止用户向未知和未经授权的网站提交凭据来阻止凭据泄漏。由于被盗的凭据通常用于访问企业内部的关键系统,因此我们还通过实施多因素身份验证 (MFA) 策略,对访问这些包含敏感数据的关键应用程序进行管理,从而建立防止横向移动的保护。
此外,我们的情境式威胁情报服务 AutoFocus™ 可以获取第三方威胁情报源,并通过我们的 MineMeld™ 应用程序将其转化为我们安全平台上的防御。一旦收集到入侵指标,MineMeld 就可以对所有来源的元数据进行过滤、去重和整合,使安全团队能够分析从多个来源丰富而来的更具可操作性的数据集,从而更易于执行。
数据泄露通知
如果不幸发生数据泄露,必须上报。
如果不幸发生个人数据泄露,GDPR 要求通知监管机构,除非事件不太可能对个人权利或自由造成风险。通知必须包含一系列信息,比如哪些数据受到影响以及采取了哪些措施。
我们的平台可在发生泄露时帮助遵守 GDPR 要求。 例如,AutoFocus 提供补救所需的分析详细信息,帮助了解用户是谁,威胁是什么,影响和风险级别。所有这些都有助于满足通知要求。
此外,新一代防火墙可用于通过自定义通知页面来告知用户。系统管理员可以在通知页面上添加所需的告知消息,这样每当意外数据泄漏被阻止时,终端用户就会收到消息。例如,消息可以包括
公司数据政策和最佳实践的链接。这有助于整体预防,以及支持通知的告知工作。
- GDPR 第 4 (1) 条:“‘个人数据’是指与已识别或可识别的自然人(‘数据主体’)相关的任何信息;可识别的自然人是指可以直接或间接识别的自然人,特别是通过姓名、身份证号码、位置数据、线上标识符等标识符或与自然人的身体、生理、遗传、精神、经济、文化或社会身份有关的一个或多个特定因素来识别的自然人。”
