已更新 2025/1/14
Claroty 實施並維護穩健的多層資料保護和資訊安全計劃。 我們的資料保護計畫涉及實施各種技術、組織和程序控制措施, Claroty 認為這些控制措施對於保護客戶資料、保護 Clarory 環境免受網路安全威脅,以及遵守法規要求(ISO 27001、ISO 27701、 SOC2 Type 2、GDPR、HIPAA 和當地隱私法律,以及最佳實務條款)是必要的。
Claroty的資訊保護和資料保護策略包括以下關鍵要素:
治理、風險和合規 (GRC)
公司安全政策
組織安全
安全風險管理計劃
資產分類和控制
人員/人力資源安全管理
資訊安全意識
密碼編譯
通訊安全
供應商安全風險管理
變更管理
實體和環境安全
營運安全性
資安漏洞管理
存取控制
安全的系統開發和維護
災難復原和業務連續性
矯正措施計畫
監管合規
資訊安全政策:制定並執行資料保護、安全以及遵守 HIPAA、GDPR、SOC 2 和 ISO 27001 等標準的政策。
資料分類:根據敏感性(例如機密、內部、公開)對資料進行分類,並對每個類別應用適當的安全控制。
風險管理架構:實施正式的風險管理流程,以識別、評估和減輕安全風險。
合規監控:持續監控法規架構的合規性,例如 GDPR、HIPAA 和產業標準。
內部稽核:定期稽核內部安全流程和控制措施,以確保遵守既定政策和標準。
事件回應計畫:制定並維護事件回應計畫,其中包括處理安全漏洞的角色、責任和程序。
身分識別與存取管理 (IAM):實施 IAM 解決方案以管理和控制使用者對系統、應用程式和資料的存取。
角色型存取控制 (RBAC):確保使用者只能存取其工作角色所需的資源。
多重要素驗證 (MFA):強制 MFA 存取員工和客戶的關鍵系統和資料。
最低權限:應用最低權限原則,將使用者的存取權限限制在最低必要範圍內。
單一登入 (SSO):實施 SSO 以簡化驗證並改善安全性。
帳戶審查和重新認證:定期審查使用者存取權限,確保其為最新且適當。
靜態加密:使用強大的加密演算法 (例如 AES-256) 加密資料庫、檔案系統和備份的所有靜態資料。
傳輸中加密:使用 TLS/SSL 加密 SaaS 平台和客戶之間傳輸的資料。
端對端加密:對於高度敏感的資料,實施端對端加密,以確保從來源到目的地的資料保持加密。
加密金鑰管理:安全管理加密金鑰,包括金鑰輪替、儲存和存取控制。
防火牆:部署防火牆以控制傳入和傳出的網路流量,並防止未經授權的存取。
入侵偵測與防禦系統 (IDPS):使用 IDPS 來監控網路流量是否有可疑活動,並攔截惡意行為。
網路分割:將網路分割為不同的區域(例如生產、開發、測試),以限制攻擊的傳播。
虛擬私人網路 (VPN):使用 VPN 安全遠端存取內部系統,尤其是在現場工作的員工。
DDoS 防護:實施分散式阻斷服務 (DDoS) 防護機制來防範大規模的網路可用性攻擊。
防毒與反惡意程式碼:在所有端點上安裝並維護最新的防毒與反惡意程式碼軟體。
Endpoint Detection and Response (EDR):實施 EDR 解決方案來偵測及回應端點裝置上的惡意活動。
修補程式管理:確保所有端點裝置定期更新安全性修補程式和軟體更新。
行動裝置管理 (MDM):應用 MDM 解決方案來管理、保護和監控員工使用的行動裝置。
安全軟體開發生命週期 (SDLC):整合整個開發過程的安全性,包括安全編碼實務、程式碼審查和漏洞評估。
靜態和動態應用程式安全測試 (SAST & DAST):執行自動測試,在開發期間和之後識別程式碼和應用程式的漏洞。
滲透測試:定期執行滲透測試,以識別應用程式的安全性漏洞。
安全修補程式:在發現應用程式漏洞時立即套用修補程式。
Web Application Firewalls (WAF):使用 WAF 保護 Web 應用程式免受諸如 SQL 插入、跨網站指令碼 (XSS) 和其他攻擊的威脅。
資料匿名化和假名化:使用匿名化和假名化等技術來保護個人識別資訊 (PII) 和其他敏感資料。
資料最小化:將個人資料的收集和處理僅限於業務目的所需的內容。
資料保留和刪除:實施遵循隱私法規的客戶資料保留和安全刪除政策。
資料主體權利管理:根據 GDPR 和類似法規的要求,提供符合客戶資料存取、更正、刪除和可攜性要求的機制。
雲端存取安全代理程式 (CASB):使用 CASB 來強制實施雲端使用的安全性政策、監控雲端服務的存取,並保護雲端託管的資料。
容器防護:針對容器 (例如:Docker、Kubernetes) 實施資安控管,包括映像掃瞄與執行時期防護。
Infrastructure-as-Code (IaC) 安全性:使用 Terraform 或 AWS CloudFormation 等 IaC 工具部署的安全基礎架構設定,藉由驗證設定檔案來防止安全錯誤設定。
雲端資源隔離:使用雲端資源隔離技術(例如 VPC)確保客戶資料在多租用戶環境中被隔離和隔離。
定期備份:定期備份關鍵資料,確保備份加密並安全地儲存在地理上不同的位置。
災難恢復計劃 (DRP):制定和維護災難恢復計劃,概述在發生災難時恢復系統和資料的程序。
備份測試:定期測試備份和還原程序,以確保資料可以有效復原。
安全資訊和事件管理 (SIEM):使用 SIEM 系統即時收集和分析安全記錄,以偵測和回應安全事件。
持續監控:對系統、網路和應用程式進行可疑活動的持續監控。
記錄保留:將安全記錄保留一段由監管要求和業務需求定義的期間,以促進稽核和鑑識。
稽核軌跡:維護使用者和系統活動的詳細稽核軌跡,包括對資料、配置和存取控制設定的變更。
定期弱點掃描:定期掃描網路、應用程式和系統弱點,以識別潛在的安全問題。
修補程式管理:實施正式的修補程式管理流程,以確保及時修補所有關鍵弱點。
Bug Bounty 程式:考慮執行一個 Bug Bounty 程式,以鼓勵外部安全研究人員尋找弱點。
資料中心安全:確保資料中心的實體安全,包括生物識別存取控制、 24/7 監控和環境控制(例如滅火、氣候控制)。
辦公室出入管制:使用辦公室大樓的門禁管制機制,例如識別證、生物識別特徵和 CCTV,以防止未經授權的出入。
事件回應計畫 (Invent Response Plan, ILP):建立一份記錄的 IRP,定義發生安全事件時應採取的步驟。
事件偵測與報告:實施即時偵測、報告與管理安全事件的流程。
事後審查:執行事後審查,以分析事件的根本原因,並改善未來的回應工作。
安全意識訓練:持續為員工提供有關網路釣魚、社交工程和適當資料處理等主題的安全意識訓練。
網路釣魚模擬:定期進行網路釣魚模擬,測試並改善員工對社交工程攻擊的認知。
安全政策教育:確保所有員工都接受有關公司安全政策和程序的教育。
供應商風險評估:對第三方供應商進行安全評估,以確保他們遵守與公司相同的安全和隱私標準。
第三方稽核:要求關鍵供應商定期進行安全稽核(例如:SOC 2、ISO 27001)並提供報告以供審查。
資料處理協議:確保與第三方處理者的合約包含符合 GDPR 和 HIPAA 等監管標準的資料保護條款。
業務連續性計劃:制定和維護 BCP,確保在長時間停電或中斷的情況下,關鍵營運的連續性。
業務影響分析 (BIA):進行 BIA,以確定中斷期間持續營運所需的關鍵業務職能和資源。
