01为什么企业越来越关心数据安全
数据泄露频繁发生随着数字经济的快速发展,随着滴滴涕时代的到来,数据地位越来越高,数据流越来越频繁,给业务发展带来了巨大机遇,但同时数据泄露事件也越来越频繁
图1 :数据泄露事件
上图盘点了滴滴涕时代的部分数据泄露事件,回顾过去的数据泄露事件,可以发现数据泄露对企业产生了巨大的影响,造成了监管压力、金钱损失、品牌美誉度下降、用户流失等。 例如,脸书数据泄露事件导致市值瞬间蒸发,面临50亿美元的巨额罚款,数据泄露成本巨大。 笔者过去的工作中,也曾发生过公司净利润用户签约成功,隔几天就联系竞争对手的事件。 此事件的原因可能是运营、技术人员故意流失、系统权限配置不当或外部API界面黑客攻击等,但由于公司当时安全能力成熟度较低,无法感知风险、无法跟踪、非常被动、数据安全
细分数据安全岗位
图2 :数据安全工作场所介绍
这是国内某互联网公司数据安全岗位的招聘介绍,设有多个专职数据安全岗位,直接反映了数据安全建设是互联网公司的重中之重。 从职场要求中可以看出数据安全工程师的基本工作内容。 这里简要概括一下数据安全工作场所的关键词。 权限管理、数据分析、数据安全产品、风险管理、沟通协调软件技能等。 如果想从事数据安全工作,至少要集中在权限管理、数据统计分析、数据安全产品和风险管理细分领域进行深入研究。
但是,许多小公司没有自己的数据安全部门,大多数都承载着“安全工程师”的title,进行着一致的安全工作。 WEB安全、网络安全、系统安全、云安全、安全合规、数据安全、安全攻防、网线螺丝拧紧都可以做到。 虽然掌握不了技术,但安全领域非常多,必须集中于某个领域的研究,才能集中于某个领域,但因公司而异。 在mldwn点公司,一个人的安全、片面有竞争力,但在互联网大工厂,往往重视安全子领域的专业能力。
02新技术推动数据安全变化
互联网技术、大数据、AI等新技术快速发展,企业商业模式发生深刻变化,安全建设也从以网络为中心转变为以数据为中心的安全。 这里简单列举传统的IT时代和DT时代的变化。
IT时代主要以信息资产中情局为核心目标,如图3所示,数据中心划分各类网络安全边界,限制网络资源的非法访问,严格控制数据流,安全域边界为数据库审计产品、
图3 :传统网络安全体系结构图
DT时代以数据为生产要素,以提高业务生产力、频繁交换共享为基础,以数据使用安全为核心目标,但DT时代由于复杂的数据流,数据安全风险控制在传统的安全方案中并不令人满意,UEBA、CASB、 如图4所示,Gartner也炒了数据安全治理框架,包括业务场景、分级、安全
图4:Gartner数据安全治理图
在此顺便引用美国国防部《DoD Data Strategy》的内容,DoD提出了“以数据为中心”的安全目标。 数据已经成为重要的战略资产,DoD安全目标共包含8个子目标。 简单提取核心思想后,即可在认证和权限管理、数据安全技术、分类标记、风险评估、监控审核中充分利用数据,并采用严格的安全标准保护数据。
目标1 )实现细粒度特权管理(身份、属性、权限等),管理数据的访问、使用、处置。
目标2 )数据管理员定期评估分类标准并测试合规性,以防止数据聚合带来的安全问题。
目标3 :国防部执行批准的安全标志,处理限制和记录管理标准。
目标4 :定义和实施分类和控制标记制定和实施内容和记录存储规则。
目标5 :国防部采用数据丢失防范技术,防止意外数据的公开和泄露。
目标6 :只有授权用户才能访问和共享数据。
目标7 :访问限制元数据和处理限制元数据以不变的方式绑定到数据。
目标8 :对数据访问、使用和处置的全面审计。
03数据安全建设方法论
业内共享许多数据安全建设方法。 在安全论坛上搜索“数据安全”也有很多相关文章,但通常以数据安全的生命周期为中心。 虽然业界也发布了数据安全建设标准,但对于中小企业来说,完全按照生命周期建设,会不会导致团队规模有限、安全需求多、资源竞争? 不算业务吗? ROI知道,离开挪威森林后,可能会留下血的影子,而不是梦的足迹。
本文将安全构建方法论分为“数据安全全生命周期方法论”和“IPDRR数据安全风险控制方法论”两大类,根据公司实际情况对公司理论进行拟合或个性化形成,以达到构建数据安全的效果
数据安全生命周期方法论
图5 :数据安全生命周期knock、knock
优点:全面 缺点:完全落地难
业界分享的全生命周期的数据安全建设文章有很多,但这里推荐大家可以看一下美团大佬分享的”互联网企业:如何建设数据安全体系?“,会对数据安全技术措施有一个相对全面的了解,这里就不过多赘述了。
IPDRR数据安全风险控制方法论优点:针对性强 缺点:不够全面
此方法论主要思想是将数据安全建设分为5个阶段:Identify、Protect、Detect、Respond、Recover,以识别检测为核心能力,实现风险主动控制。
Identify:主要包括资产管理、数据分级分类、风险管理。
Protect:主要包括身份安全、访问控制、数据加密、数据脱敏等安全保护技术。
Detect:主要包括安全监控、行为分析、安全检测。
Response:主要包括安全事件的应急响应、分析、处置等。
Recovery:主要包括数据恢复计划、复盘改进。
常见的数据安全风险场景有哪些?
内部场景:运维人员、开发人员、测试人员、数据分析人员的舞弊、滥用、操作失误、蓄意攻击等。
特权场景:数据滥用、操作失误、权限滥用、数据窃听等风险。
外部场景:黑客攻击、恶意爬取、SQL注入、数据泄露等风险。
合规场景:GDPR/网络安全法/CCPA等法律、行业监管、产品准入、数据跨境等风险。
第三方合作场景:数据合理性、权限滥用、API接口攻击等风险。
数据安全风险评估
数据安全日常工作中,风险评估一定少不了,可以快速识别当前风险、级别等,能直观看出数据安全现状,也为数据安全整改提供依据。如图6所示,是一个基于IPDRR数据安全风险评估样例,仅供参考,实际执行时,应该根据实际的业务情况确定评估方案。
图6:数据安全风险评估样例
这里特别提醒下,开展数据安全工作不能技术先入为主,不过度追求零风险,比如公司疫情冲击下,业务想要破局,哪些数据安全风险是暂时可接受的,哪些是必须要修复的,需要适度权衡一下,结合公司实际情况,应重点关注解决主要风险、优先推进ROI高的任务,否则任务难度一定升级,执行效果也无法保证。
04 数据安全能力指导框架
数据安全能力建设通常会覆盖场景类别、管理组织、流程控制、技术工具来达成一体化的数据安全体系,如下图7为”偷工减料”版的指导框架,汇总了企业里常见的数据安全技术措施和控制流程。
图7:数据安全能力指导框架
图7指导框架是为了更直观的明确数据安全建设的IPDRR各阶段活动或成果,这里举例简单说明下一些措施实际开展,便于理解。
A.第三方准入流程
第三方数据合作场景,通常都会执行准入控制,此活动主要目标是,评估合作伙伴并了解合作伙伴所带来的风险,然后识别、减轻和管理第三方合作的数据安全风险。实际工作会填写数据安全评估checklist、第三方数据安全尽职调查表(如图8所示),综合分析结果评估第三方是否允许接入。另外,调查过程中有些场景会让提供渗透测试报告,如果对方无法提供有效期内的渗透测试报告,比如半年之内的,那么会酌情考虑进行一次渗透测试,确认有没有高危漏洞。
如果第三方准入评估工作量比较多,那么强烈建议把线下工作转到线上系统化管理,如图9所示。
图8:数据安全DD样例图
图9:第三方线上准入样例图
B.敏感数据扫描
相信很多企业都面临这样的难题,随着数据越来越多,系统越来越复杂,只是通过手工方式(如业务访谈、业务报备)识别敏感数据,然后确认数据防护策略会变得复杂耗时,尤其互联网行业,数据每秒都是在发生巨大变化,这种方法也无法客观保证敏感数据准确识别、敏感数据准确分布,那么如何保证安全工作有效呢?
图10:敏感数据扫描
面对这样的难题,通过敏感数据扫描服务能节省大量的人工成本,通过规则引擎,自动识别关键位置的敏感数据类型、敏感数据分布,业务线自动关联等,从而更高效的帮助确定差异化且有效的安全防护策略,例如发现哪些数据未加密或未脱敏?哪些业务线的敏感数据未做备案等,安全运营人员根据识别结果确认防护重点,也可以有理有据的推进安全风险整改。
但是并没有一劳永逸的安全解决方案,敏感数据扫描服务也只是辅助工具和技术手段,为了保证敏感数据识别分析的有效,产品服务会是一个持续迭代的过程,比如敏感数据发现存在漏报或误报,分析发现是由于正则或脚本导致,那么后续产品迭代,是否要考虑运用NLP来优化解决?
05 数据安全运营体系
图11:数据安全运营模型
安全工作做到最后一公里,就会进入运营阶段,安全运营能直接验证数据安全建设工作的效果,能否满足内部预期价值?能否匹配外部合规要求?数据安全运营同理,不是追求绝对安全,而是基于各方反馈和实际效果,不断迭代、收敛风险的过程。另外运营做得好,能树立内部安全口碑和影响力,安全工作开展会变得舒服很多。
这里重点提两个方面:一是工单管理平台,二是运营指标。
1、闭环管理的工单平台,提高运营和协同效率。
通过类似于安全工单平台,协同安全人员、业务人员执行相关风险收敛工作,跟踪全链路风险状态或整改状态,风险处置是否延期?要不要督促升级?工单平台可以对接IM或邮件通道,第一时间下发工单通知,可以让业务及时了解风险并跟进处理,业务可以通过平台进行风险事件的操作:确认修复、误报反馈等,这样通过平台会形成一个相对整体的闭环流程。
工单通知样例:
工单号风险等级安全类型责任人部门业务详情修复建议2、数据埋点、数据分析,数据安全运营指标化
说到数据埋点,先要知道后续工作效果的衡量需要哪些指标、哪些合理的指标?这里没有绝对通用的一个量化标准,可以根据企业自身的威胁场景、数据风险来设计合适的、有价值的指标,而且这些指标故事要能说的清楚工作现状,有些指标其实没有太大价值,比如每月处理工单数,我们也不用过度关注。假设已经清楚需要哪些指标,重回到数据埋点,如何埋点?例如通过工单平台数据埋点,就可以简单实现风险误报率、已知风险主动发现率、已知风险漏报率、MTTR等。
通过数据运营提炼的数据指标,可以客观量化安全工作现状,不管向上工作汇报的时候,还是自我衡量,都可以很轻松的阐述和展示安全建设的工作成果,便于对方理解,也能辅助指导下一步工作方向。
06 小结
相信很多企业的数据安全建设工作正处于起步和灭火阶段,数据安全建设一定会面临着巨多的风险问题和难点,数据安全工作如何正常开展也是至关重要。虽然对于不同企业的数据安全建设工作思路会有差异,但如下几条思路在实际数据安全工作开展可以借鉴:
1、认知风险:应该根据业务特点进行较为全面风险评估,哪些是合规风险、哪些是内控风险、哪些业务自身风险,对业务有一个全面的风险认知。
2、抓大放小:数据安全建设工作是一个庞大的工程概念,每个阶段企业发展目标、资源分配也会有差异,那么应当根据公司实际情况,抓大放小,找出亟需解决的主要风险。
3、切忌自嗨:数据安全建设不是技术的自嗨,需要理解业务特点,不要自我满足的解决一些问题,结果老板不买单。