新世代安全平台如何促進 GDPR 合規性

Palo Alto Networks 平台如何促進 GDPR 合規性

網路安全性是保護個人數據和遵守 GDPR 的一項必要投資。

絕大多數 GDPR 要求都圍繞著數據管理,也就是數據收集和處理。此外,收集個人數據時有義務提供通知、禁止未經授權的數據處理、保留數據處理記錄的要求、任命數據保護官員的義務以及有關將個人數據傳輸到第三方和第三國的規則等。

 

但這不應掩蓋數據安全性也是 GDPR 的支柱。GDPR 有特定的安全相關語言,如下詳細描述。此外,保護個人數據的關鍵組成部分是確保其安全 — 防止網路攻擊者的滲透和內部洩露。因此,在為 GDPR 做準備時,企業在合規活動、資訊管理程序和技術方面的投資必須在網路安全性方面進行適當投資以作為補充。

 

GDPR 相關條款摘要 (點選此連結參閱 GDPR 全文)

 

主題

條款摘要

數據處理安全性

 

企業必須實施適當的技術和組織措施,以確保適合風險的安全層級。這些措施必須考慮到最先進的技術水準。[第 32 條]

個人數據的處理方式應確保數據的適當安全性和機密性,包括防止未經授權的存取或使用個人數據以及用於處理的設備。[陳述,第 39 段]

在評估數據安全風險時,應考慮個人數據處理所構成的風險
。應考慮的風險包括個人數據的意外或非法破壞、遺失、變更以及未經授權的揭露或存取。[陳述,第 83 段]

 

數據洩露通知

----------------------------------------------------------------------------------------------

如果個人數據遺失、遭竊或受到其他形式的損害,則必須通知監管機構,除非入侵不太可能對個人造成相關風險。通知必須適時發出,不得無故拖延,而且在可行的情況下,不得晚於發現入侵後 72 小時內發出。  在某些情況下,必須通知個人。  通知必須描述有關入侵的一系列資訊,例如其性質、相關個人數據記錄的類別和數量、可能的後果、為解決違規行為並減輕其影響而採取的措施以及其他項目。[第 33 條與第 34 條]

行政罰款

----------------------------------------------------------------------------------------------

監管機構將根據具體情況對 GDPR 違規行為處以行政罰款。在決定是否處以罰款和金額時,當局應該考慮許多因素,包括實施技術和組織措施的責任程度,並且考慮第 32 條規定的現有技術水準。[第 83 條]
---------------------------------------------------------------------------------------------

 

 

Palo Alto Networks® 可以透過協助下列方面來幫助企業進行與 GDPR 合規性相關的安全性和數據保護工作:

 1.保護個人數據。GDPR 要求數據處理的安全性,應該考慮到最先進的技術。我們的新世代安全平台提供下列功能:應用程式、網路和端點層級以及

 2.數據洩露防禦。防止數據洩露 (無論是由於駭客攻擊還是意外外洩) 對於遵守 GDPR 至關重要。適當的網路安全性對於確保企業的個人和業務關鍵數據及應用程式受到保護至關重要。我們新世代安全平台的建構目的是用來預防

3.數據洩露通知。萬一發生數據洩露,必須加以報告。我們的新世代安全平台可以幫助確定哪些個人數據遭到洩露,並提供有關解決入侵問題所採取措施的關鍵事實。

 

我們產品組合的許多部分都具有滿足這些需求的功能和特性。本文將說明這些功能和特性。

 保護個人數據

GDPR 要求數據處理的安全性,應該考慮到最先進的技術。Palo Alto Networks 平台可以保護應用程式、網路和端點層級以及雲端中的數據。

 真正降低網路風險並保護數據 (包括個人數據) 需要整合、自動化和有效的控制措施,以便在攻擊生命週期的每個階段偵測和防禦已知和未知的威脅。從一開始就以防禦為目的

Palo Alto Networks 新世代安全平台促使企業在雲端和越來越多的行動網路中實施關鍵技術舉措時自信地推行數位優先策略,以保護其最有價值的數據資產免遭網路罪犯的滲透和意外數據洩露。

 Palo Alto Networks 新世代安全平台將網路和端點安全性與威脅情報相互結合,提供自動化保護並防止網路攻擊,而不只於偵測網路攻擊。  我們的平台本身匯集所有的關鍵安全功能,包括防火牆、URL 篩選、IDS/IPS 以及進階端點和威脅防護。由於這些功能是在考慮到網路威脅防禦的情況下刻意建構到平台中,並且本身在各個學科之間共用基本資訊,因此我們的平台可以確保比傳統防火牆和防毒軟體、UTM 或單點威脅偵測產品更好的安全性。簡而言之,更好的安全性支援更好的數據保護。


 最先進的技術

 GDPR 要求採用最先進的技術和組織安全措施。事實證明,由拼湊在一起的單點產品所組成的傳統安全系統不足以防止網路攻擊數量、自動化和複雜度不斷地增加。CISO 應該仔細審查這些舊型產品,以確定其是否符合最新的技術水準。

威脅形勢不斷地發展,因此,最先進的技術必須不斷發展以防止新的威脅。Palo Alto Networks 新世代安全平台將網路和端點安全性與威脅情報相互結合,提供自動化保護並防止網路攻擊,而不只於偵測網路攻擊。不同於傳統單點產品,我們的平台利用數千名客戶、技術合作夥伴和研究人員共用威脅訊息的網路效能。我們建構的技術可以防止網路攻擊者需要採取行動才能成功的關鍵戰術和戰略位置的攻擊,並且我們可以在短短五分鐘內讓我們的全球客戶群更新最新的保護措施。從範圍上來說,我們發現全新或「零時差」網路威脅時,我們每週都會制定超過一百萬個新的預防措施。藉由我們的平台,企業可以安全地使用對其業務營運至關重要的所有應用程式,自信地推行新技術計劃,並且保護企業免受基本和複雜的多面向網路攻擊。對於那些認為已經掌握最先進技術的 CISO 來說,Palo Alto Networks 應該是考慮的安全要素之一。

 

GDPR 合規性

數據洩露防禦

防止數據洩露 (無論是由於駭客攻擊還是意外外洩) 對於遵守 GDPR 至關重要。適當的網路安全性對於確保企業的個人和業務關鍵數據及應用程式受到保護至關重要。

 我們的平台支援與數據安全性相關的四種關鍵防禦技術,同時有助於 GDPR 合規性。

  • 完整的可視性。我們的平台提供所有流量的可視性 (跨網路、端點和雲端) 按應用程式、使用者和內容進行分類。您無法封鎖或防範您看不到的事物。完整的可視性提供實施動態安全政策的環境。
  • 縮小攻擊範圍。隨著公司對應用程式和裝置 (例如 SaaS、雲端和 IoT) 的使用量激增,攻擊範圍正在迅速擴大。滲透企業的途徑越多,網路攻擊者竊取個人數據的機會就越多。我們實施積極的安全模型,只為正確的使用者啟用允許的應用程式並拒絕其他一切流量來縮小攻擊範圍。
  • 防禦已知威脅。許多數據洩露都是由已知威脅所造成,例如竊取商品資訊的木馬程式、惡意軟體和應用程式入侵。在周邊,我們的平台透過對所有類型應用程式的精細管理來控制威脅途徑本身。這會立即縮小網路的攻擊範圍,然後對所有允許的流量進行漏洞、惡意軟體、惡意 URL 以及危險或受限檔案或內容的分析。在端點上,Palo Alto Networks 將來自全球客戶社群的威脅情報與我們獨特的多重防禦方法相互結合,在已知惡意軟體和漏洞入侵端點之前予以阻止。
  • 防範未知威脅。我們的平台不僅能阻止已知威脅,也能主動識別和阻止未知惡意軟體和入侵,這通常用於複雜的針對性攻擊。  發現新的惡意軟體或入侵時,WildFire® 雲端型威脅分析服務會在短短五分鐘內自動建立新的控制並將其共用到您的防禦裝置,例如新世代防火牆和 Traps™ 進階端點保護,完全不需要任何人為介入。此外,Traps 也部署獨特的多重方法來阻止零時差入侵所使用的核心技術,並且識別和阻止來自遭入侵端點的未知惡意軟體。

 為了進一步緩解數據傳輸和隱私問題,WildFire EU (一種本地化雲端部署) 可用於分析數據,而無需從區域邊界傳輸數據。

這些防禦技術由 WildFire 提供支援,WildFire 是業界最先進的分析和防禦引擎,適用於高迴避性零時差惡意軟體和入侵。雲端式的服務會採用獨特的多技術方式,結合多項動態與靜態分析、創新的機器學習技術以及深具開拓性的裸機虛擬化環境,以偵測並防範高迴避性的威脅。WildFire 突破偵測未知威脅的傳統做法,結合 4 種獨立的技術進行高擬真度防迴避發現,其中包括:

 

  • 動態分析:在特別建置的防迴避虛擬環境中觀察觸發的檔案,以便使用數百種行為特性偵測零時差惡意軟體和入侵。
  • 靜態分析:有效偵測試圖規避動態分析的惡意軟體和入侵,並且立即識別現有惡意軟體的變體。 
  • 機器學習:從每個檔案中擷取數千個獨特特徵,訓練預測機器學習分類器,以僅透過靜態或動態分析無法達到的方式識別新的惡意軟體和入侵。

 

  • 裸機分析:自動將迴避性威脅傳送到真實的硬體環境以進行觸發,藉此完全消除攻擊者部署反虛擬機器分析技術的能力。 

這些技術能夠讓 WildFire 有效發現並防禦未知的惡意軟體和入侵,達到近乎零誤判的成效。

 

集中管理安全程序

GDPR 適用於處理歐盟居民個人數據的任何企業,無論該企業位於何處。對於許多大型或跨國企業來說,個人數據處理可能在多個地點進行,所有這些地點都必須合規。Panorama™ 網路安全管理讓企業能夠為新世代防火牆建立和管理易於實施的統一政策。透過 Panorama,您可以實施集中式和區域性政策,並且根據需要或偏好輕鬆委託給區域管理員。關鍵是根據業務需求和具體地區法律靈活實施政策。例如,Panorama 管理員可以對位於新加坡或巴西分公司的防火牆實施安全政策,即使這些地點的區域管理員可能不知道保護受 GDPR 約束的數據所需的合規性需求。

 

防止數據外洩或洩露

數據外洩或洩漏可能導致數據洩露,我們的平台可以幫助防止這兩種情況。

藉由我們的新世代安全平台,攻擊生命週期中的每個關鍵階段都配備防禦模型以防止數據外洩 - 從攻擊者最初嘗試入侵周邊,到傳播惡意軟體或入侵端點,再到透過網路橫向移動直到攻擊者到達主要目標並嘗試竊取個人和敏感數據。

 為了保持 GDPR 合規性,防止整個基礎結構中的內部和合作夥伴使用者社群意外數據洩露/共用至關重要。使用者是最常見的風險之一,尤其是在使用 SaaS 應用程式時。他們的行為通常未經訓練且不了解其帶來的風險,可能會導致個人數據意外洩露。我們的安全平台透過多種方式防止數據外洩和洩露:

  • 網路安全性。為了保護企業內的數據,新世代防火牆的內建數據篩選設定檔有助於防止網路層的意外數據洩露。系統管理員可以套用政策來檢查和控制網路上的內容,以協助限制敏感數據 (例如信用卡號碼) 的未經授權傳輸。
  • SaaS 層級安全性。企業需要控制對 SaaS 應用程式的存取,對資訊共用實施政策控制並阻止數據洩露。

    • 在歐洲境內運作的企業可以選擇位於歐盟的區域 Prisma™ SaaS 數據中心來滿足其數據位置偏好。

◦   這些功能是透過我們的平台使用新世代防火牆 (例如 User-ID™App-ID™Content-ID™ 技術) 和 Prisma™ SaaS 安全服務提供。新世代防火牆會分析從網路到 SaaS 應用程式並傳回的所有流量。然而,某些雲端型活動對於內嵌安全服務來說可能並非可見,例如數據共用權限或從網路外部 (無需 VPN) 存取雲端式數據。在這種情況下,Prisma SaaS 是新世代防火牆的補充,其使用 SaaS API 直接連接到 SaaS 應用程式本身。如此即可查看使用者上傳或共用的所有內容。透過 Prisma SaaS,使用者可以查看和監控企業 SaaS 應用程式中所有資產的檔案上傳,例如 Box、Microsoft® Office、Dropbox®、Salesforce®、Secure Data Space 等。然後可以套用政策來監控和強制負責任地使用資產 (包括個人數據),並防止因人為錯誤導致的意外數據洩露,例如混雜或無意的共用,以及使用可能暴露在網際網路上的連結共用內容。如果偵測到政策違規,系統會產生警示。如果已配置,Prisma SaaS 會採取自動操作來補救風險。

  • 端點安全性。Traps 高階端點防護採用多重方法來先發制人地阻止來自遭入侵端點的已知和未知威脅,包括零時差入侵和未知惡意軟體。
  • 阻止憑證竊取。鑑於竊取密碼並獲得所需的存取層級相對簡單,憑證遭竊是數據洩露的常見威脅途徑。

 

◦   我們的平台提供在整個攻擊生命週期中分解憑證型攻擊的功能。

通常,攻擊者會使用透過電子郵件或社交媒體傳送的憑證網路釣魚嘗試來誘騙使用者以詐騙形式提交公司憑證。我們的平台透過阻止使用者對未知和未經授權的網站提交憑證來阻止憑證洩露。由於遭竊的憑證通常用於存取企業內部的關鍵系統,因此我們也透過實施多因素身份驗證 (MFA) 政策,對這些包含敏感數據的關鍵應用程式的存取進行管理,進而建立針對橫向移動的保護。

此外,我們的脈絡式威脅情報服務 AutoFocus™ 可以獲得第三方威脅情報來源,並且透過我們的 MineMeld™ 應用程式將其轉化為我們安全平台上的預防措施。收集到入侵指標後,MineMeld 就可以篩選、刪除重複數據並整合所有來源的中繼數據,讓安全團隊能夠分析來自多個來源的更可行數據集,以便更輕鬆地執行。

數據洩露通知

不過萬一發生數據洩露,必須報告。

萬一發生個人數據洩露,GDPR 要求通知監管機構,除非該事件不太可能對個人權利或自由造成風險。通知必須包含一系列訊息,包括哪些數據受到影響以及採取哪些措施。 

在發生入侵時,我們的平台可以幫助維持對 GDPR 要求的遵守。  例如,AutoFocus 提供補救所需的分析詳細資訊,幫助了解使用者是誰、威脅是什麼、影響和風險層級。所有這些動作都有助於滿足通知要求。

此外,新世代防火牆可用於透過自訂通知頁面來告知使用者。系統管理員可以將所需的告知訊息新增至通知頁面,以便每當防止意外數據洩露時,使用者都會收到該訊息。例如,該訊息可以包括

公司數據政策和最佳實務的連結。這有助於整體防禦以及支援通知的告知工作。

 

  1.  GDPR 第 4 (1) 條:「『個人數據』係指與已識別或可識別的自然人 (『數據主體』) 相關的任何資訊;可識別的自然人係指可以直接或間接識別的自然人,特別是透過參考諸如姓名、身分證號碼、位置數據、線上識別碼等識別碼或某自然人的身體、生理、遺傳、精神、經濟、文化或社會認同特定的一個或多個因素而識別的自然人。」