文章摘要:01 为什么企业越来越关注数据安全数据泄露频繁发生随着数字经济快速发展,DT时代的到来,数据的地位越来越高,数据流动也越来越频繁,给业务发展带来了巨大机遇,但同时数据泄露事件也愈加频繁,尤其近几年事件,泄露数据量都非常惊人,对企业影响深远。图1:数据泄露事件上图盘点了DT时代的部分数据泄露事件,回顾过往数据泄露事件,可以看出数据泄露对企业带来影响颇深,导致监管压力、金钱损失、品牌美誉度受损、用户流
01 为什么企业越来越关注数据安全
数据泄露频繁发生
随着数字经济快速发展,DT时代的到来,数据的地位越来越高,数据流动也越来越频繁,给业务发展带来了巨大机遇,但同时数据泄露事件也愈加频繁,尤其近几年事件,泄露数据量都非常惊人,对企业影响深远。
图1:数据泄露事件
上图盘点了DT时代的部分数据泄露事件,回顾过往数据泄露事件,可以看出数据泄露对企业带来影响颇深,导致监管压力、金钱损失、品牌美誉度受损、用户流失等,比如Facebook数据泄露事件导致市值瞬间蒸发,还面临50亿万美元的巨额罚款,数据泄露成本巨大。笔者过往工作中,也曾遇到过公司高净值用户签约成功,隔些天就会被竞手联系的事件发生,导致此事件发生的原因很多,可能是运营或技术人员蓄意泄露、系统权限配置不当或者黑客利用外部API接口等,但鉴于公司当时安全能力成熟度比较差,导致无法感知风险、无法溯源定位,非常被动,深刻意识到数据安全中抓坏人的必要性。
细分数据安全岗位
图2:数据安全岗位介绍
这是国内某互联网公司的数据安全岗位招聘介绍,设定了多个专职的数据安全岗位,直接反映数据安全建设在互联网公司的重中之重。从岗位要求里可以看出数据安全工程师的基本工作内容,这里简单概括下数据安全岗位关键词:权限管理、数据分析、数据安全产品、风险管理、沟通协调软技能等,如果想要从事数据安全工作的,那么必然至少在权限管理、数据统计分析、数据安全产品、风险管理的细分领域进行聚焦深入与研究。
但很多小公司是没有独设数据安全岗位,绝大数是顶着“安全工程师”title,干着一条龙的安全工作,什么WEB安全、网络安全、系统安全、云安全、安全合规、数据安全、安全攻防、插网线拧螺丝都能做点,虽然技多不压身,但安全细分领域非常多,不投入大量精力聚焦某一块领域研究的话,那么某安全领域的认知深度一定会比较片面。但还是因公司而异,如果在小一点的公司,一个人的安全,面面俱到还是很有竞争力的,但如果在互联网大厂,那么多数情况下会更看重安全子领域的专业能力。
02 新技术推动数据安全变化
随着互联网技术、大数据、AI等新技术飞速发展,企业的业务模式发生巨大的变化,安全建设也从以网络为中心转变为以数据为中心的安全,这里简单罗列下传统IT时代与DT时代的变化:
| 数据来源 | 数据形态 | 血缘特性 | 数据边界 | 数据价值 | 主要技术 | |
| IT时代 | 单一 | 孤岛管理 | 简单 | 清晰 | 信息资产 | FW,安全域,IDS,堡垒机,数据库审计... |
| DT时代 | 多种 | 流动共享 | 复杂 | 模糊 | 生产要素 | IAM,UEBA,CASB... |
IT时代主要以信息资产CIA为核心目标,如图3所示,数据中心会划分各类网络安全边界,限制网络资源非授权访问,严格控制数据流,安全域边界还会堆砌部署如数据库审计产品、网络入侵检测、WAF等安全产品,但大多数还是解决单点问题且独立运维,没有形成一体化建设。
图3:传统网络安全架构图
DT时代则是把数据作为生产要素,用来提升业务生产力,频繁交换共享是基础,以数据使用的安全为核心目标,但DT时代由于复杂的数据流动,导致数据安全风险控制通过传统安全方案无法满足,衍生出了UEBA,CASB,零信任等技术方案,如图4所示,Gartner也炒出了数据安全治理框架,通过业务场景、分级分类、安全策略、技术能力、持续运营监控形成体系化建设。
图4:Gartner数据安全治理图
这里顺便引用一下美国国防部《DoD Data Strategy》内容,DoD提出打造“以数据为中心”的安全目标,数据已经成为重要战略资产,DoD安全目标共包括8个子目标,简单提炼核心思想为:认证与权限管理、数据安全技术、分类标记、风险评估、监控审计,保证可以最大限度的利用数据,也采用严格的安全标准保护数据。
目标1:实现细粒度特权管理(身份,属性,权限等),以管理对数据的访问,使用和处置。
目标2:数据管理员定期评估分类标准并测试合规性,以防止数据聚合引起的安全问题。
目标3:国防部执行批准的安全标记,处理限制和记录管理标准。
目标4:定义和实施分类和控制标记; 制定和实施内容和记录保留规则。
目标5:国防部采用数据丢失防护技术来防止意外的数据发布和泄露。
目标6:只有授权用户才能访问和共享数据。
目标7:访问和处理限制元数据以不变的方式绑定到数据。
目标8:对数据的访问,使用和处置进行全面审计。
03 数据安全建设方法论
业界内有分享很多数据安全建设方法,安全论坛搜索一下“数据安全”也有很多相关文章,但通常都是以数据安全生命周期为核心,行业也有发布相关数据安全建设标准,但对中小企业来说如果完全按照生命周期来建设,团队规模有限,安全需求会有很多,资源会不会冲突?业务会不会买单?ROI可想而知,当走出挪威的森林后,留下的可能不是梦想的足迹而是血影。
本文会把安全建设方法论分为两大类:“数据安全全生命周期方法论”和“IPDRR数据安全风险控制方法论”,可以根据公司实际情况适配或者个性化融合形成公司自身理论,从而保证数据安全建设效果。
数据安全生命周期方法论
图5:数据安全生命周期之knock,knock
优点:全面 缺点:完全落地难
业界分享的全生命周期的数据安全建设文章有很多,但这里推荐大家可以看一下美团大佬分享的”互联网企业:如何建设数据安全体系?“,会对数据安全技术措施有一个相对全面的了解,这里就不过多赘述了。
IPDRR数据安全风险控制方法论
优点:针对性强 缺点:不够全面
此方法论主要思想是将数据安全建设分为5个阶段:Identify、Protect、Detect、Respond、Recover,以识别检测为核心能力,实现风险主动控制。
Identify:主要包括资产管理、数据分级分类、风险管理。
Protect:主要包括身份安全、访问控制、数据加密、数据脱敏等安全保护技术。
Detect:主要包括安全监控、行为分析、安全检测。
Response:主要包括安全事件的应急响应、分析、处置等。
Recovery:主要包括数据恢复计划、复盘改进。
常见的数据安全风险场景有哪些?
内部场景:运维人员、开发人员、测试人员、数据分析人员的舞弊、滥用、操作失误、蓄意攻击等。
特权场景:数据滥用、操作失误、权限滥用、数据窃听等风险。
外部场景:黑客攻击、恶意爬取、SQL注入、数据泄露等风险。
合规场景:GDPR/网络安全法/CCPA等法律、行业监管、产品准入、数据跨境等风险。
第三方合作场景:数据合理性、权限滥用、API接口攻击等风险。
数据安全风险评估
数据安全日常工作中,风险评估一定少不了,可以快速识别当前风险、级别等,能直观看出数据安全现状,也为数据安全整改提供依据。如图6所示,是一个基于IPDRR数据安全风险评估样例,仅供参考,实际执行时,应该根据实际的业务情况确定评估方案。
图6:数据安全风险评估样例
这里特别提醒下,开展数据安全工作不能技术先入为主,不过度追求零风险,比如公司疫情冲击下,业务想要破局,哪些数据安全风险是暂时可接受的,哪些是必须要修复的,需要适度权衡一下,结合公司实际情况,应重点关注解决主要风险、优先推进ROI高的任务,否则任务难度一定升级,执行效果也无法保证。
04 数据安全能力指导框架
数据安全能力建设通常会覆盖场景类别、管理组织、流程控制、技术工具来达成一体化的数据安全体系,如下图7为"偷工减料"版的指导框架,汇总了企业里常见的数据安全技术措施和控制流程。
图7:数据安全能力指导框架
图7指导框架是为了更直观的明确数据安全建设的IPDRR各阶段活动或成果,这里举例简单说明下一些措施实际开展,便于理解。
A.第三方准入流程
第三方数据合作场景,通常都会执行准入控制,此活动主要目标是,评估合作伙伴并了解合作伙伴所带来的风险,然后识别、减轻和管理第三方合作的数据安全风险。实际工作会填写数据安全评估checklist、第三方数据安全尽职调查表(如图8所示),综合分析结果评估第三方是否允许接入。另外,调查过程中有些场景会让提供渗透测试报告,如果对方无法提供有效期内的渗透测试报告,比如半年之内的,那么会酌情考虑进行一次渗透测试,确认有没有高危漏洞。
如果第三方准入评估工作量比较多,那么强烈建议把线下工作转到线上系统化管理,如图9所示。
图8:数据安全DD样例图
图9:第三方线上准入样例图
B.敏感数据扫描
相信很多企业都面临这样的难题,随着数据越来越多,系统越来越复杂,只是通过手工方式(如业务访谈、业务报备)识别敏感数据,然后确认数据防护策略会变得复杂耗时,尤其互联网行业,数据每秒都是在发生巨大变化,这种方法也无法客观保证敏感数据准确识别、敏感数据准确分布,那么如何保证安全工作有效呢?
图10:敏感数据扫描
面对这样的难题,通过敏感数据扫描服务能节省大量的人工成本,通过规则引擎,自动识别关键位置的敏感数据类型、敏感数据分布,业务线自动关联等,从而更高效的帮助确定差异化且有效的安全防护策略,例如发现哪些数据未加密或未脱敏?哪些业务线的敏感数据未做备案等,安全运营人员根据识别结果确认防护重点,也可以有理有据的推进安全风险整改。
但是并没有一劳永逸的安全解决方案,敏感数据扫描服务也只是辅助工具和技术手段,为了保证敏感数据识别分析的有效,产品服务会是一个持续迭代的过程,比如敏感数据发现存在漏报或误报,分析发现是由于正则或脚本导致,那么后续产品迭代,是否要考虑运用NLP来优化解决?
05 数据安全运营体系
图11:数据安全运营模型
安全工作做到最后一公里,就会进入运营阶段,安全运营能直接验证数据安全建设工作的效果,能否满足内部预期价值?能否匹配外部合规要求?数据安全运营同理,不是追求绝对安全,而是基于各方反馈和实际效果,不断迭代、收敛风险的过程。另外运营做得好,能树立内部安全口碑和影响力,安全工作开展会变得舒服很多。
这里重点提两个方面:一是工单管理平台,二是运营指标。
1、闭环管理的工单平台,提高运营和协同效率。
通过类似于安全工单平台,协同安全人员、业务人员执行相关风险收敛工作,跟踪全链路风险状态或整改状态,风险处置是否延期?要不要督促升级?工单平台可以对接IM或邮件通道,第一时间下发工单通知,可以让业务及时了解风险并跟进处理,业务可以通过平台进行风险事件的操作:确认修复、误报反馈等,这样通过平台会形成一个相对整体的闭环流程。
工单通知样例:
| 工单号 | 风险等级 | 安全类型 | 责任人 | 部门 | 业务 | 详情 | 修复建议 |
2、数据埋点、数据分析,数据安全运营指标化
说到数据埋点,先要知道后续工作效果的衡量需要哪些指标、哪些合理的指标?这里没有绝对通用的一个量化标准,可以根据企业自身的威胁场景、数据风险来设计合适的、有价值的指标,而且这些指标故事要能说的清楚工作现状,有些指标其实没有太大价值,比如每月处理工单数,我们也不用过度关注。假设已经清楚需要哪些指标,重回到数据埋点,如何埋点?例如通过工单平台数据埋点,就可以简单实现风险误报率、已知风险主动发现率、已知风险漏报率、MTTR等。
通过数据运营提炼的数据指标,可以客观量化安全工作现状,不管向上工作汇报的时候,还是自我衡量,都可以很轻松的阐述和展示安全建设的工作成果,便于对方理解,也能辅助指导下一步工作方向。
06 小结
相信很多企业的数据安全建设工作正处于起步和灭火阶段,数据安全建设一定会面临着巨多的风险问题和难点,数据安全工作如何正常开展也是至关重要。虽然对于不同企业的数据安全建设工作思路会有差异,但如下几条思路在实际数据安全工作开展可以借鉴:
1、认知风险:应该根据业务特点进行较为全面风险评估,哪些是合规风险、哪些是内控风险、哪些业务自身风险,对业务有一个全面的风险认知。
2、抓大放小:数据安全建设工作是一个庞大的工程概念,每个阶段企业发展目标、资源分配也会有差异,那么应当根据公司实际情况,抓大放小,找出亟需解决的主要风险。
3、切忌自嗨:数据安全建设不是技术的自嗨,需要理解业务特点,不要自我满足的解决一些问题,结果老板不买单。[来源:Freebuf]
