今年五月歐盟將實施史上最嚴格的個人資料保護規則（GDPR），受影響的企業無不開始著手檢視內部個資處理流程，希望能提早因應，以降低因個資不當處理所引發的鉅額裁罰與商譽影響。由此可見，「資料保護」已是企業必然要走的重要道路。 然而目前仍有不少企業對資料保護心存觀望，認為不僅要花錢，而且會增加營運的壓力與束縛，因此在資安防護上較為消極被動，加上多駭客入侵管道日趨多元，使得資料庫安全事件不斷發生，甚至形成支出增加，但資料遭受的攻擊卻有增無減的矛盾狀況。 展望2018年，IMPERVA 認為在資安上有五個重要趨勢值得企業提早因應防範：

• 大量的雲端資料外洩－企業移轉至雲端的速度比預期更快，但卻未充分意識到雲端資料保護的複雜性。多數企業都缺乏管理雲端環境所需的可見性，也沒有管控工具檢測、彙整資安狀態和合規性，加上使用者設定錯誤等情形頻傳，雲端資料外洩事件恐將有增無減。

• 挖礦惡意程式增加－隨著加密貨幣價值水漲船高，利用企業資源進行挖礦的惡意程式也將逐漸增加，而高流量的網站可能成為首要目標，因為越多網站使用者也代表越多的潛在利益。

• AI的惡意攻擊或濫用－資安界已經看到一些利用AI來模仿正常行為的攻擊徵兆，企圖躲避使用者行為分析（UEBA）解決方案，因此除了AI和IoT等系統可能遭受攻擊外，以機器學習為基礎的資安方案也應持續更新辨別不當使用行為的分析方法。

• 阻斷企業營運的網路勒索－雖然加密、破壞和滲透仍是主要的網路勒索型態，但像DDoS等癱瘓、中斷企業內外網或服務等阻斷企業營運的勒索方式預期將在今年大幅成長。企業應盤點評估各項系統的重要性、功能、程序及存取的資料，以擬定風險控管計畫，將營運中斷的可能降至最低。
• 內部威脅的增加－隨著企業對資料運用的倚賴，接觸機敏資料的內部人員也越來越多，無論是惡意、粗心或是權限被盜用，內部人員儼然已成為企業最大的資安威脅。企業可以採取最小化權限、存取控管、使用者行為分析、稽核等方式減少內部威脅的發生。

「資料」是企業的核心資產，而資料保護策略需要能因應當前的威脅。如果從資料庫著手，做好資料庫稽核與管控，搭配應用程式防護及網路防禦，便能減少資料外洩等安全事件發生之機會，同時降低處理事件所需耗費的人力、時間及損失的機會成本，並幫助企業維持正常營運。因此企業主動採取行動，做好資料保護，將完善的資安規劃視為企業助力，而非壓力。

資料來源：iThome