关键词:数据安全与数据治理
@FreeBuf
RSAC创新沙盒大赛可谓网络安全行业创新风向标,2021年RSAC创新沙盒大赛十强名单出炉,其中多家入围企业所属领域皆为数据安全。如今数据泄露事件频发,企业则越来越注重数据安全的防护与治理。本期话题围绕这个主题,可参考但不限于以下三个维度开展讨论:
讨论1:和过去相比,你认为如今企业发生数据泄露安全事件的主要原因有哪些?
1、泄露是一直都泄露的,只是大家现在更关注,而且商业竞争和主权攻击越来越频繁。
2、我们不知道怎么发现,但保密宣传片会告诉我们偷数据是啥下场。能判的,主要是个人信息,以及被认可的涉密信息,大部分商业公司的保密信息,实际上是不被法院认可的。
3、裁判文书网近些年已判决数据泄密案件。
4、我们有监守自盗的,前两年两个人倒卖数据,已经被判了。
5、主要原因我觉得还是内部人员的问题,黑产发展太快,自身安全建设没有跟上,特别是安全意识这块现在在绝大部分企业都是非常落后的,面对黑产的诱惑,很多人有意无意的泄露了数据,另外中小企业还有一部分可能确实是技术问题。
6、根据近10年的法院裁判文书来看,发现数据泄露的主要风险来自内部人员,牟利是主要动机,内部人员占数据泄露角色的8成,其中2/3是在职人员,1/3是离职人员。从几次物流行业数据泄露来看,如果内外勾结数据泄露风险更大。主要动机是为了牟利,占将近6成,其他原因包括不正当竞争、公开/成名、误操作、增加求职砝码和报复原公司。
7、数据泄露主要有两个方面的原因:1.持有数据的人员意识。2. 信息系统自身的脆弱性。从第一方面来看,大部分员工对数据的保密意识很低,而且,很多数据(信息)仅仅是一两句话就能够让有心人推断出足够多的信息量,再加上从不同渠道获取的数据片段进行拼凑,对于企业来说,管理的难度极大。于企业来说,管理的难度极大。从第二个方面来看,“没有绝对安全的信息系统”,这算是行业的一个共识了,因此,未知的信息系统脆弱性,也是企业面临的风险。
8、主要是员工安全意识不足,管理流于形式;技术大跨步太多,基础安全都没有做好做足,没有对应的人力、系统支撑。以上两方面做足功课以后,在考虑数据安全相关的短板进行弥补。
延伸讨论:
@楼主:安全要从CMDB拉数据,CMDB应用大家有什么心得
1、说起CMDB一肚子火,CMDB全是坑。搞资产说起来人人懂,搞起来一堆事,运维还不配合。
2、你们还有CMDB,很多公司都没有这个。
3、除了找运维,我是Arp -a,顺着核心交换机,一个一个查的来找自己公司资产的,边查边扫描,查出来找到责任人,物理位置,登记。
4、运维天天和我说在做在做,结果新上线的资产被打穿了。
5、漏扫找资产比运维还准。
6、互联网资产我就用ARL了。
讨论2:报告显示,Facebook高居“数据丢失耻辱榜”榜首,其他企业如万豪、摩根等也榜上有名。和中小型规模的企业相比,大企业是否更遭黑客"青睐"?
1、之所以觉得大企业更遭青睐,可能只是大企业发现的多而已。
2、大部分商业公司的保密信息,实际上是不被法院认可的,很多时候是因为没法去做司法鉴定,某个东西是公司机密代码,你要去鉴定价值的话,你要找同行或者公开拿出去估算价值。
3、理论上是的,但要看“数据”的价值。有些小企业的“数据价值”不比大企业差。
4、两方面,(1)在价值上来看,肯定大企业更招黑客青睐,一个是大企业的影响力,另一个是数据价值更大。但是大企业的安全建设还是要走得快些,不容易直接攻击获取数据,一般大企业的数据泄露都是员工无意泄露了关键信息,比如技术人员泄露源码、配置文件等。(2)从数据泄露的数据类型来看啊,To C的用户数据、客户数据、源代码、商业机密和政企涉密文件占据主流,大企业比小企业拥有更多客户信息资源和商业秘密,更容易受到数据泄露威胁啊。
5、数据泄露于企业规模无关,说来说去,无非就是“利益”二字。3个方向都涉及利益:(1)黑产对数据的倒买倒卖;(2)竞争对手对企业的打击(例如对品牌形象,营销方案,股票市场,上下游合作等造形成负面影响和损失);(3)企业持有数据对自身的价值(例如行业客户数据对市场营销的价值,To C客户数据对用户画像和广告投放的价值)。
讨论3:如今业界很多关于数据安全的建设方法,大多以数据安全生命周期为核心,但对于中小企业而言,如果完全按照这种方式来建设,团队规模有限,安全需求很多,资源是否会冲突?业务是否会买单?
1、我们的口号是:建设面向“汇聚、传输、存储、访问、共享与销毁”全流程的数据安全保障核心能力————(2000w,够么?)
2、凡是喊出来:以数据安全生命周期为核心的,都是外围人群。如果完全按照这种方式来建设,团队规模有限,安全需求很多,资源会冲突,业务不会买单。
4、数据安全的生命周期管理是以数据的价值链为对象,毕竟数据流动起来才有价值,在各个环节都考虑安全因素,如果是小企业可能并没有那么多的业务场景,也没有那么多的数据安全需求,以防止数据泄露为目标,梳理数据出口,尽可能做好管控就差不多啦,毕竟没人没钱靠理论体系是完成不了高大上的安全目标的。
5、会有冲突,业务不一定会买单。任何建设方法都只是一个指导思想(最佳实践),实际落地还是要结合企业自身的情况进行修正,包括数据安全在内的任何其他的安全建设,都是要为“企业盈利”这一个核心目的服务的,这是一个投入/收益的取舍平衡。特殊情况下,一切安全方案,都需要为“盈利”让路。
6、资源肯定会冲突,而且业务不一定会买单。建议中小企业还是先做好基础安全,健全自身的检测响应能力,不断优化自己的规则告警。如果强制植入数据安全生命周期,会本末倒置。比如有些企业入侵检测都没有健全,漏洞也没修复,监控没人看,规则告警也没有优化,就想着上DLP,甚至“0信任”。
7、一张图让领导知道啥是纵深防御:(自己画的图,有点丑,意思到了就行)
FreeBuf甲方交流分享群
纯甲方:囊括金融、政府、运营商、医疗、互联网企业等多行业甲方安全从业人员,具备严格的入群审核机制,非甲方安全从业人员拒绝进群
真实有料:从甲方企业CSO到安全工程师,从安全方案应用到产品技术应用,社群定期组织相关主题话题讨论,共同交流最真实有趣有料的甲方安全建设经验
专属权益:一旦认证成为FreeBuf甲方会员,即可享受FreeBuf报告在线免费阅读权益,同时参与社群话题讨论便有机会获得FVIP月卡奖励。更多权益,期待解锁ing~
FreeBuf甲方群进群方式
扫码填写申请表单,通过审核后即可入群: