freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

智库说 | 乐信刘志诚:从数据安全到业务安全的进阶之路
2021-05-10 18:04:18

与智者同行,为行业赋能。

FreeBuf咨询TTSP智库作为行业安全专家聚集区,旨在聚合每一份安全中坚力量,以促进网络安全行业技术创新和知识布道为价值导向,凝聚智者力量,思维碰撞、经验共享,共创安全聚合新力量。

FreeBuf咨询TTSP智库专家 乐信集团信息安全中心总监刘志诚,在2021数据安全与数据治理高峰论坛上分享了议题《从数据安全到业务安全-业务安全进阶之路》。本文对其分享内容进行梳理和展示。

乐信集团信息安全中心总监刘志诚

以下是刘志诚的现场分享实录:

在实际的业务场景中,你会发现安全做到一定程度后会越来越关注跟业务相关的东西。数据安全是和业务最直接相关的,安全重点是为了保护数据。

做完数据安全之后,逐渐考虑业务安全怎么做,它和传统业务风控之间的关系是怎么样的?

数据分类是怎么分的?

大家比较关注的国家出台标准规范、行业标准规范,还有我们自己的实际经验。

数据分类

如果你从事互联网行业,你最关注应该是个人敏感数据。因为国家监管和个人隐私保护的需求越来越旺盛。

公安、通信管理局等部门都在关注APP安全、数据采集、权限管理,这些都跟个人数据相关。

第二个是业务数据,如果你是传统业务,你关注的可能是业务数据本身。

第三个是商业数据,我们一些传统的数据安全解决方案,重点就是解决这方面的一些问题。

很多人谈到数据的生命周期管理,例如采集、传输存储、处理、使用、分享、处置这些环节。

有一点大家可能会忽视,就是收敛环节。如果你是互联网业务,那么收敛是一个非常关键的问题。例如,你有很多业务在存储数据,特别是个人敏感数据,是分散存储还是集中存储;在微服务架构下,对敏感数据调用和API接口如何处理?

我们对整个数据的安全如何保障

数据安全的保障架构

从技术手段上看,第一是合规要求,要看数据的采集和保护是不是合规。

另外要具备检测和监测能力,你能不能监测到数据风险问题?监测的目的是为了预警,需要你真实地掌握数据安全的全景,要明白风险在哪里,治理效果怎么样。

还涉及到审核和调查。在传统的数据生命周期里,我们都在内部处理数据,但是现在互联网业务环境中,数据不仅是内部,因为你会有合作伙伴。以电商为例,所有商户、物流之间的数据交互,都涉及到用户数据分享的问题。在分享环节,数据的安全怎么保障?如何保证所有合作伙伴在数据安全上不会出问题,要考虑用技术手段实时监控接口和数据分享处理的过程。

再举一个例子,互联网业务都有短信验证码登录或短信业务提醒服务,在这个环节你的短信供应商就面临重大风险,你能保证你的数据不会泄露,但你不能保证合作伙伴的。所以审核合作伙伴的能力也是非常重要的。

除了审核,还有调查。出现数据泄露后,如何溯源、追查,如何监控到问题来源就需要调查。审核调查都是为了形成闭环,能得到系统性的结论,更好地呈现数据安全效果。具备了这些环节,才算构建了一个数据安全的保障体系。

总结一下,我们说数据安全,除了平常看到的标准规范、最佳实践,还需要注意采集合规,传输存储收敛加密、分享控制、风险监测、对合作伙伴的准入和审核机制。

业务安全怎么做?

我们做业务安全要围绕资产是什么?主要关注两点,一是账号,二是交易。交易包括所有的业务动作和行为。

业务安全重要的是关注漏洞,资产的漏洞其实是欺诈,欺诈会带来账户和交易风险,欺诈则主要来自黑灰产。

我们对安全首先关注的是风险治理,风险被定义之后,我们关注的业务安全要做什么事?怎么能检测出来风险?

这就需要有一个动态监测机制来监测业务安全问题,能够对业务安全问题进行处置、报告,能够体系化地展现实际的业务安全水平。

除了这些措施之外,我们还要有一个完整的机制和相应的团队,要具备处理这些业务安全问题的方法,有方法论指导,有相应的工具产品和平台,有相应的流程和运营体系来支撑你做好这件事情。

风险识别、处理措施和的管理体系才能构成完整的业务安全。

在业务安全中,互联网业务的账户安全第一是身份问题,例如身份证号码、手机号码、人脸识别,这是判断用户是否是真实用户的关键特征。

第二是用户环境,例如IP地址、地理位置信息以及用户访问业务的终端是pp还是浏览器。

还有用户的行为、访问时间、访问频率。以上这些是我们从账户安全角度考虑,要通过这些特征建立识别模型,可以检测和监测欺诈用户访问业务,并做相应的安全处理。

交易安全这一块,我们是关心的是业务逻辑问题。你的业务行为本身是不是由真实的用户账户产生的,而不是一些机器人访问带来的行为,用户的访问路径是什么,终端环境和访问方法是什么。

现在我们业务系统都是微服务接口模式,用户在访问的过程中,是针对一个接口还是针对有业务逻辑接口的模式,这其实是我们要关注的一些重点参数。

另外还要关注账号是不是被盗用,它是交易安全这方面的重点。

所以我们说业务安全要做成一个纵深的防御体系,要具备以下几点。

业务安全的纵深防御体系

第一个是预警能力,当业务风险或者账户和交易欺诈行为进入系统时,你要有能力去预警。预警来自于你的检测和监测能力,它依赖的是情报体系。比如说手机号码,哪些是黑灰产掌控的号码,这些号码本身是不是有风险?还有IP地址的标签和特征。这些第三方情报为你的检测和监测能力提供依据,是为了预警。当然,你通过检测和监测能力也会采集到相应数据,提升情报的质量。这里面会涉到内部的关联分析,然后再做到相应的可视化,可以体现你整个业务安全的技术体系。

第二个是处置能力。我们需要的是实时的处理能力,处理能力包括几种:第一是阻断,通过前面的分析能够及时发现高风险行为用户,这样我们就可以直接把它拒掉。第二是业务蜜罐,让用户在受监控的环境内,我们可以分析用户行为和账号,为整个业务安全提供情报。第三是我们增强校验的手段和方法。我们可以在业务环节增加人脸识别来确保用户的真实性。这是根据你判断的风险程度来采用不同的手段。

为什么在业务安全体系要做到实时处置?这问题其实来源于有多少真实的业务流量。

从流量角度上分析,第一关就是防火墙,ids、ips可以从网络层阻断一批恶意流量,这一步我们会处理比较多的攻击流量。

第二关是WAF层,这批流量就是一些常见的跨站、SQL注入等外部应用安全风险阻断。

第三关是非系统用户产生的流量,不管是黑灰产控制的用户还是假冒欺诈用户,他们想进入我们的业务系统,但他们不能产生业务价值,所以我们也要阻断这一部分流量。

从我们的经验分析,大概有3%的流量是业务安全风险流量,它不是真实用户产生的流量,但它是在我们业务系统之内产生的。它除了给你带来性能和系统上的损耗之外,不会产生任何业务价值,特别是重大促销活动的时候,比例可能还会更高。所以这也是我们为什么要提业务安全。

以上这些刚刚都讲到了。预警需要什么?需要数据源,它来源于你的情报体系、监测能力和分析能力。

在处置环节,当你不能完全判断它是一个高风险时,例如你只有50%的把握时,可以增加业务层的验证机制,比如通过刷脸来提高它的门槛。

如果你有70%或80%的把握,可以让他在沙箱、蜜罐里面去跑整个业务流程,观察他的行为特征和实际业务交易特征,然后再去做准确判断。100%判断被黑灰产控制的账号,或非业务用户,我们就可以直接去阻断。

数据安全和业务安全如何平衡?

在业务过程中,可能业务部门和安全部门对是不是安全流量有不同的看法。业务部门可能希望用户越多越好,他不一定关注用户是否带来业务价值。但安全部门是要提供预警和判断的能力,风险的决策由决策层做。

回归到数据安全主题,你会发现做安全也需要数据,无论是检测、监测能力还是采集能力,都要和用户数据打交道。

从用户数据角度看,第一是法律法规会对数据保护会越来越严,例如获取个人数据需要告知用户和用户授权。要获得黑灰产控制账号的知情权和同意权也是比较困难的一件事情。

第二是最小可用,用户数据采集要遵循最少可用原则。

第三是随时撤销,即使你采集了用户数据,但当用户撤销授权时,你需要删除数据。用户除了有删除权力,还有转移和更正的权力。这些权利是双刃剑,在保护用户的同时,也会对业务和安全有影响。

从业务安全角度看,我们需要识别假冒、伪造、欺骗、篡改和自动化攻击。它和用户数据有关,例如账户安全的数据包括身份证号、手机号、终端、标识位置、交易行为时间和频率等。

怎么做到用户数据和业务安全的平衡,我们需要考虑上述问题。

FreeBuf咨询TTSP智库专家正在招募中,期待更多安全中坚力量加入,扫描下方二维码获取更多信息。

本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录