本文只是个人对数据安全建设的思考和总结,安全技术细节不会详细展开,如有考虑错误或不足,非常欢迎纠正。
01 为什么企业越来越关注数据安全
数据泄露频繁发生
随着数字经济快速发展,DT时代的到来,数据的地位越来越高,数据流动也越来越频繁,给业务发展带来了巨大机遇,但同时数据泄露事件也愈加频繁,尤其近几年事件,泄露数据量都非常惊人,对企业影响深远。
图1:数据泄露事件
上图盘点了DT时代的部分数据泄露事件,回顾过往数据泄露事件,可以看出数据泄露对企业带来影响颇深,导致监管压力、金钱损失、品牌美誉度受损、用户流失等,比如Facebook数据泄露事件导致市值瞬间蒸发,还面临50亿万美元的巨额罚款,数据泄露成本巨大。笔者过往工作中,也曾遇到过公司高净值用户签约成功,隔些天就会被竞手联系的事件发生,导致此事件发生的原因很多,可能是运营或技术人员蓄意泄露、系统权限配置不当或者黑客利用外部API接口等,但鉴于公司当时安全能力成熟度比较差,导致无法感知风险、无法溯源定位,非常被动,深刻意识到数据安全中抓坏人的必要性。
细分数据安全岗位
图2:数据安全岗位介绍
这是国内某互联网公司的数据安全岗位招聘介绍,设定了多个专职的数据安全岗位,直接反映数据安全建设在互联网公司的重中之重。从岗位要求里可以看出数据安全工程师的基本工作内容,这里简单概括下数据安全岗位关键词:权限管理、数据分析、数据安全产品、风险管理、沟通协调软技能等,如果想要从事数据安全工作的,那么必然至少在权限管理、数据统计分析、数据安全产品、风险管理的细分领域进行聚焦深入与研究。
但很多小公司是没有独设数据安全岗位,绝大数是顶着“安全工程师”title,干着一条龙的安全工作,什么WEB安全、网络安全、系统安全、云安全、安全合规、数据安全、安全攻防、插网线拧螺丝都能做点,虽然技多不压身,但安全细分领域非常多,不投入大量精力聚焦某一块领域研究的话,那么某安全领域的认知深度一定会比较片面。但还是因公司而异,如果在小一点的公司,一个人的安全,面面俱到还是很有竞争力的,但如果在互联网大厂,那么多数情况下会更看重安全子领域的专业能力。
02 新技术推动数据安全变化
随着互联网技术、大数据、AI等新技术飞速发展,企业的业务模式发生巨大的变化,安全建设也从以网络为中心转变为以数据为中心的安全,这里简单罗列下传统IT时代与DT时代的变化:
数据来源 | 数据形态 | 血缘特性 | 数据边界 | 数据价值 | 主要技术 | |
IT时代 | 单一 | 孤岛管理 | 简单 | 清晰 | 信息资产 | FW,安全域,IDS,堡垒机,数据库审计... |
DT时代 | 多种 | 流动共享 | 复杂 | 模糊 | 生产要素 | IAM,UEBA,CASB... |
IT时代主要以信息资产CIA为核心目标,如图3所示,数据中心会划分各类网络安全边界,限制网络资源非授权访问,严格控制数据流,安全域边界还会堆砌部署如数据库审计产品、网络入侵检测、WAF等安全产品,但大多数还是解决单点问题且独立运维,没有形成一体化建设。
图3:传统网络安全架构图
DT时代则是把数据作为生产要素,用来提升业务生产力,频繁交换共享是基础,以数据使用的安全为核心目标,但DT时代由于复杂的数据流动,导致数据安全风险控制通过传统安全方案无法满足,衍生出了UEBA,CASB,零信任等技术方案,如图4所示,Gartner也炒出了数据安全治理框架,通过业务场景、分级分类、安全策略、技术能力、持续运营监控形成体系化建设。
图4:Gartner数据安全治理图
这里顺便引用一下美国国防部《DoD Data Strategy》内容,DoD提出打造“以数据为中心”的安全目标,数据已经成为重要战略资产,DoD安全目标共包括8个子目标,简单提炼核心思想为:认证与权限管理、数据安全技术、分类标记、风险评估、监控审计,保证可以最大限度的利用数据,也采用严格的安全标准保护数据。
目标1:实现细粒度特权管理(身份,属性,权限等),以管理对数据的访问,使用和处置。
目标2:数据管理员定期评估分类标准并测试合规性,以防止数据聚合引起的安全问题。
目标3:国防部执行批准的安全标记,处理限制和记录管理标准。
目标4:定义和实施分类和控制标记; 制定和实施内容和记录保留规则。
目标5:国防部采用数据丢失防护技术来防止意外的数据发布和泄露。
目标6:只有授权用户才能访问和共享数据。
目标7:访问和处理限制元数据以不变的方式绑定到数据。
目标8:对数据的访问,使用和处置进行全面审计。
03 数据安全建设方法论
业界内有分享很多数据安全建设方法,安全论坛搜索一下“数据安全”也有很多相关文章,但通常都是以数据安全生命周期为核心,行业也有发布相关数据安全建设标准,但对中小企业来说如果完全按照生命周期来建设,团队规模有限,安全需求会有很多,资源会不会冲突?业务会不会买单?ROI可想而知,当走出挪威的森林后,留下的可能不是梦想的足迹而是血影。
本文会把安全建设方法论分为两大类:“数据安全全生命周期方法论”和“IPDRR数据安全风险控制方法论”,可以根据公司实际情况适配或者个性化融合形成公司自身理论,从而保证数据安全建设效果。
数据安全生命周期方法论
图5:数据安全生命周期之knock,knock
优点:全面 缺点:完全落地难
业界分享的全生命周期的数据安全建设文章有很多,但这里推荐大家可以看一下美团大佬分享的”互联网企业:如何建设数据安全体系?“,会对数据安全技术措施有一个相对全面的了解,这里就不过多赘述了。
IPDRR数据安全风险控制方法论
优点:针对性强 缺点:不够全面
此方法论主要思想是将数据安全建设分为5个阶段:Identify、Protect、Detect、Respond、Recover,以识别检测为核心能力,实现风险主动控制。
Identify:主要包括资产管理、数据分级分类、风险管理。
Protect:主要包括身份安全、访问控制、数据加密、数据脱敏等安全保护技术。
Detect:主要包括安全监控、行为分析、安全检测。
Response:主要包括安全事件的应急响应、分析、处置等。
Recovery:主要包括数据恢复计划、复盘改进。
常见的数据安全风险场景有哪些?
内部场景:运维人员、开发人员、测试人员、数据分析人员的舞弊、滥用、操作失误、蓄意攻击等。
特权场景:数据滥用、操作失误、权限滥用、数据窃听等风险。
外部场景:黑客攻击、恶意爬取、SQL注入、数据泄露等风险。
合规场景:GDPR/网络安全法/CCPA等法律、行业监管、产品准入、数据跨境等风险。
第三方合作场景:数据合理性、权限滥用、API接口攻击等风险。
数据安全风险评估
数据安全日常工作中,风险评估一定少不了,可以快速识别当前风险、级别等,能直观看出数据安全现状,也为数据安全整改提供依据。如图6所示,是一个基于IPDRR数据安全风险评估样例,仅供参考,实际执行时,应该根据实际的业务情况确定评估方案。
图6:数据安全风险评估样例
这里特别提醒下,开展数据安全工作不能技术先入为主,不过度追求零风险,比如公司疫情冲击下,业务想要破局,哪些数据安全风险是暂时可接受的,哪些是必须要修复的,需要适度权衡一下,结合公司实际情况,应重点关注解决主要风险、优先推进ROI高的任务,否则任务难度一定升级,执行效果也无法保证。
04 数据安全能力指导框架
数据安全能力建设通常会覆盖场景类别、管理组织、流程控制、技术工具来达成一体化的数据安全体系,如下图7为"偷工减料"版的指导框架,汇总了企业里常见的数据安全技术措施和控制流程。
图7:数据安全能力指导框架
图7指导框架是为了更直观的明确数据安全建设的IPDRR各阶段活动或成果,这里举例简单说明下一些措施实际开展,便于理解。
A.第三方准入流程
第三方数据合作场景,通常都会执行准入控制,此活动主要目标是,评估合作伙伴并了解合作伙伴所带来的风险,然后识别、减轻和管理第三方合作的数据安全风险。实际工作会填写数据安全评估checklist、第三方数据安全尽职调查表(如图8所示),综合分析结果评估第三方是否允许接入。另外,调查过程中有些场景会让提供渗透测试报告,如果对方无法提供有效期内的渗透测试报告,比如半年之内的,那么会酌情考虑进行一次渗透测试,确认有没有高危漏洞。
如果第三方准入评估工作量比较多,那么强烈建议把线下工作转到线上系统化管理,如图9所示。
图8:数据安全DD样例图
图9:第三方线上准入样例图
B.敏感数据扫描
相信很多企业都面临这样的难题,随着数据越来越多,系统越来越复杂,只是通过手工方式(如业务访谈、业务报备)识别敏感数据,然后确认数据防护策略会变得复杂耗时,尤其互联网行业,数据每秒都是在发生巨大变化,这种方法也无法客观保证敏感数据准确识别、敏感数据准确分布,那么如何保证安全工作有效呢?
图10:敏感数据扫描
面对这样的难题,通过敏感数据扫描服务能节省大量的人工成本,通过规则引擎,自动识别关键位置的敏感数据类型、敏感数据分布,业务线自动关联等,从而更高效的帮助确定差异化且有效的安全防护策略,例如发现哪些数据未加密或未脱敏?哪些业务线的敏感数据未做备案等,安全运营人员根据识别结果确认防护重点,也可以有理有据的推进安全风险整改。
但是并没有一劳永逸的安全解决方案,敏感数据扫描服务也只是辅助工具和技术手段,为了保证敏感数据识别分析的有效,产品服务会是一个持续迭代的过程,比如敏感数据发现存在漏报或误报,分析发现是由于正则或脚本导致,那么后续产品迭代,是否要考虑运用NLP来优化解决?
05 数据安全运营体系
图11:数据安全运营模型
安全工作做到最后一公里,就会进入运营阶段,安全运营能直接验证数据安全建设工作的效果,能否满足内部预期价值?能否匹配外部合规要求?数据安全运营同理,不是追求绝对安全,而是基于各方反馈和实际效果,不断迭代、收敛风险的过程。另外运营做得好,能树立内部安全口碑和影响力,安全工作开展会变得舒服很多。
这里重点提两个方面:一是工单管理平台,二是运营指标。
1、闭环管理的工单平台,提高运营和协同效率。
通过类似于安全工单平台,协同安全人员、业务人员执行相关风险收敛工作,跟踪全链路风险状态或整改状态,风险处置是否延期?要不要督促升级?工单平台可以对接IM或邮件通道,第一时间下发工单通知,可以让业务及时了解风险并跟进处理,业务可以通过平台进行风险事件的操作:确认修复、误报反馈等,这样通过平台会形成一个相对整体的闭环流程。
工单通知样例:
工单号 | 风险等级 | 安全类型 | 责任人 | 部门 | 业务 | 详情 | 修复建议 |
2、数据埋点、数据分析,数据安全运营指标化
说到数据埋点,先要知道后续工作效果的衡量需要哪些指标、哪些合理的指标?这里没有绝对通用的一个量化标准,可以根据企业自身的威胁场景、数据风险来设计合适的、有价值的指标,而且这些指标故事要能说的清楚工作现状,有些指标其实没有太大价值,比如每月处理工单数,我们也不用过度关注。假设已经清楚需要哪些指标,重回到数据埋点,如何埋点?例如通过工单平台数据埋点,就可以简单实现风险误报率、已知风险主动发现率、已知风险漏报率、MTTR等。
通过数据运营提炼的数据指标,可以客观量化安全工作现状,不管向上工作汇报的时候,还是自我衡量,都可以很轻松的阐述和展示安全建设的工作成果,便于对方理解,也能辅助指导下一步工作方向。
06 小结
相信很多企业的数据安全建设工作正处于起步和灭火阶段,数据安全建设一定会面临着巨多的风险问题和难点,数据安全工作如何正常开展也是至关重要。虽然对于不同企业的数据安全建设工作思路会有差异,但如下几条思路在实际数据安全工作开展可以借鉴:
1、认知风险:应该根据业务特点进行较为全面风险评估,哪些是合规风险、哪些是内控风险、哪些业务自身风险,对业务有一个全面的风险认知。
2、抓大放小:数据安全建设工作是一个庞大的工程概念,每个阶段企业发展目标、资源分配也会有差异,那么应当根据公司实际情况,抓大放小,找出亟需解决的主要风险。
3、切忌自嗨:数据安全建设不是技术的自嗨,需要理解业务特点,不要自我满足的解决一些问题,结果老板不买单。