数据安全态势感知运营中心的关键防御措施
基于自適應(yīng)安全架構(gòu)(ASA)思想內(nèi)核的數(shù)據(jù)安全態(tài)勢感知運營 中心是用于指導(dǎo)整個數(shù)據(jù)安全體系建設(shè)的,應(yīng)該具備六大安全能力。
(一)盤清家底:以數(shù)據(jù)資源為核心的資產(chǎn)管理中心
建立以數(shù)據(jù)資源為核心的資產(chǎn)管理中心,是數(shù)據(jù)安全運營的前提。 通過技術(shù)手段對企業(yè)自身擁有的數(shù)據(jù)資產(chǎn)進行全面的盤點,掌握數(shù)據(jù) 資產(chǎn)分布、數(shù)據(jù)資產(chǎn)類型、數(shù)據(jù)內(nèi)容結(jié)構(gòu)、數(shù)據(jù)資產(chǎn)歸屬、數(shù)據(jù)資產(chǎn) 使用狀態(tài)等信息,最終的目標(biāo)是構(gòu)建“一棵既有業(yè)務(wù)屬性也有安全屬 性的數(shù)據(jù)資產(chǎn)目錄樹”。
數(shù)據(jù)資產(chǎn)發(fā)現(xiàn)是解決數(shù)據(jù)資產(chǎn)分布廣泛問題的有效手段,通常是以主動發(fā)現(xiàn)與被動探測相結(jié)合的方式進行。數(shù)據(jù)資產(chǎn)主動發(fā)現(xiàn)是在安 全策略的配合下,通過主動嗅探的方式掃描全網(wǎng)地址,對潛在的數(shù)據(jù) 源建立連接并構(gòu)造請求內(nèi)容,解析響應(yīng)內(nèi)容從而收集數(shù)據(jù)源基本信息; 數(shù)據(jù)資產(chǎn)被動探測是通過鏡像核心交換的流量來進行協(xié)議解析,根據(jù) 協(xié)議類型確定數(shù)據(jù)源類型,從而達(dá)到收集數(shù)據(jù)源基本信息的目的。通 過數(shù)據(jù)資產(chǎn)發(fā)現(xiàn)實現(xiàn)全網(wǎng)數(shù)據(jù)源的初步收集,從而建立數(shù)據(jù)資產(chǎn)頂層 目錄。
數(shù)據(jù)資產(chǎn)掃描可豐富數(shù)據(jù)資產(chǎn)目錄的“葉子”節(jié)點。在安全部門 的配合下,使用數(shù)據(jù)源的認(rèn)證信息(通常只需可讀權(quán)限)主動連接數(shù) 據(jù)源,對數(shù)據(jù)內(nèi)容和數(shù)據(jù)結(jié)構(gòu)進行掃描,進一步收集數(shù)據(jù)資產(chǎn)的結(jié)構(gòu)、 內(nèi)容等元信息,從而細(xì)化數(shù)據(jù)資產(chǎn)目錄。為應(yīng)對數(shù)據(jù)規(guī)模龐大且持續(xù) 增加的特點,數(shù)據(jù)掃描應(yīng)具備定期增量式掃描的能力,減少掃描的時 間。
最后,在安全部門和業(yè)務(wù)部門的配合下,對數(shù)據(jù)資產(chǎn)的使用目的、 方式、范圍以及管理歸屬等信息進行補充,最終形成完整的數(shù)據(jù)資產(chǎn) 目錄樹。
基于構(gòu)建出來的數(shù)據(jù)資產(chǎn)目錄,開展數(shù)據(jù)分類分級。結(jié)合相關(guān)行 業(yè)的分類分級標(biāo)準(zhǔn)和業(yè)務(wù)現(xiàn)狀,數(shù)據(jù)安全專家、企業(yè)安全部門與業(yè)務(wù) 部門相互配合,定制化輸出符合業(yè)務(wù)發(fā)展的數(shù)據(jù)分類分級模板,依據(jù) 模板落實分類分級工作。分類分級以數(shù)據(jù)識別技術(shù)為基礎(chǔ)——在數(shù)據(jù) 掃描的過程中,通過關(guān)鍵字、正則表達(dá)式等匹配技術(shù),結(jié)合上下文信
息對結(jié)構(gòu)化數(shù)據(jù)進行識別;以機器學(xué)習(xí)、自然語言處理、光學(xué)字符識 別等智能化技術(shù)對非結(jié)構(gòu)化或半結(jié)構(gòu)化數(shù)據(jù)進行識別,輔助安全人員 落實數(shù)據(jù)資產(chǎn)分類分級。
(二)聯(lián)防聯(lián)控:以分類分級為核心的策略協(xié)同中心
數(shù)據(jù)的開發(fā)利用和數(shù)據(jù)安全防護往往是一對矛盾體,數(shù)據(jù)在沒有 任務(wù)防護措施的情況下“裸奔”對數(shù)據(jù)的開發(fā)利用是最高效的;同樣 的,通過物理手段、技術(shù)手段將數(shù)據(jù)層層“包圍”起來不做任務(wù)開發(fā) 利用,則數(shù)據(jù)是最安全的,但兩者均不利于組織整體業(yè)務(wù)健康地、可 持續(xù)的發(fā)展。數(shù)據(jù)安全建設(shè)應(yīng)圍繞分類分級的結(jié)果進行開展,對不同 類別、不同級別的數(shù)據(jù)資產(chǎn)進行差異化的防護能力建設(shè)和安全策略配 置,實現(xiàn)數(shù)據(jù)業(yè)務(wù)發(fā)展和安全管控的平衡。
將分類分級結(jié)果轉(zhuǎn)化為業(yè)務(wù)知識,為數(shù)據(jù)資產(chǎn)提供安全防護建議, 并結(jié)合具體的數(shù)據(jù)安全防護組件,統(tǒng)一地下發(fā)安全策略,實現(xiàn)以分類 分級為核心的策略協(xié)同能力。例如針對核心級別的數(shù)據(jù)資產(chǎn),采用加 密技術(shù)對數(shù)據(jù)進行保護;針對重要級別的數(shù)據(jù)資產(chǎn),采取脫敏技術(shù)對 數(shù)據(jù)進行保護;而對普通數(shù)據(jù),則采取審計技術(shù)對數(shù)據(jù)訪問進行留痕。 同時,聯(lián)動數(shù)據(jù)鏈路上數(shù)據(jù)安全措施,主要包括打通其策略配置通道 和日志、告警上報通道,及時感知防護能力的薄弱環(huán)節(jié)并自動調(diào)整策 略,實時監(jiān)測數(shù)據(jù)的防護能力狀態(tài),從而構(gòu)建一幅關(guān)系到“數(shù)據(jù)資產(chǎn)、 業(yè)務(wù)、安全策略”的安全業(yè)務(wù)視圖。
(三)流動監(jiān)測:以業(yè)務(wù)流程為核心的動態(tài)監(jiān)測中心
通過數(shù)據(jù)資產(chǎn)梳理可以掌握數(shù)據(jù)資產(chǎn)的“靜”態(tài)狀況,而數(shù)據(jù)流 動監(jiān)測則是為了掌握數(shù)據(jù)的“動”態(tài)狀況。以“什么人”“什么時間” 對“什么數(shù)據(jù)”執(zhí)行“什么操作”為基本監(jiān)測原則,從時間、頻率、 數(shù)量、類型、源信息、目的信息等多個維度進行統(tǒng)計分析,建立行為 基線和行為趨勢圖,將數(shù)據(jù)流動的情況進行動態(tài)測繪。
涉敏對象梳理。以數(shù)據(jù)為粒度,通過解析數(shù)據(jù)訪問協(xié)議,對應(yīng)用、 API、用戶等涉敏對象進行梳理,形成應(yīng)用清單、API 清單和用戶清 單,為全局的數(shù)據(jù)業(yè)務(wù)視圖提供“節(jié)點”信息。
敏感數(shù)據(jù)使用監(jiān)測。基于梳理出來的涉敏對象,對應(yīng)用、API、 用戶的數(shù)據(jù)操作行為進行細(xì)粒度的審計,結(jié)合數(shù)據(jù)資產(chǎn)分類分級的知 識對操作行為打上不同的標(biāo)簽,并根據(jù)訪問、歸屬等維度自動組織涉 敏對象之間的關(guān)聯(lián)關(guān)系,為全局的數(shù)據(jù)業(yè)務(wù)視圖提供“連線”信息。
構(gòu)建數(shù)據(jù)流動地圖。通過涉敏對象梳理提供的“節(jié)點”信息與敏 感數(shù)據(jù)監(jiān)測提供的“連線”信息,結(jié)合數(shù)據(jù)資產(chǎn)目錄,對數(shù)據(jù)源、應(yīng) 用、API、用戶之間的數(shù)據(jù)流動關(guān)系(流動方向、數(shù)據(jù)類型、數(shù)據(jù)量) 進行動態(tài)測繪;同時,在業(yè)務(wù)人員的配置下,根據(jù)實際業(yè)務(wù)場景細(xì)化 數(shù)據(jù)的使用目的、使用方式和管理組織等信息,實現(xiàn)數(shù)據(jù)流動視化。
通過數(shù)據(jù)流動監(jiān)測,全局掌握企業(yè)數(shù)據(jù)的“動”態(tài)狀況,從而構(gòu) 建一幅關(guān)系到“數(shù)據(jù)資產(chǎn)、業(yè)務(wù)、主體”的全局?jǐn)?shù)據(jù)業(yè)務(wù)視圖。
(四)風(fēng)險分析:以行為分析為核心的風(fēng)險管理中心
數(shù)據(jù)安全違規(guī)行為是隱蔽的,數(shù)據(jù)泄漏事件的發(fā)現(xiàn)是滯后的,因 此及時發(fā)現(xiàn)數(shù)據(jù)風(fēng)險并預(yù)警是數(shù)據(jù)安全運營的重要目標(biāo)——建立以 行為分析為核心的風(fēng)險管理中心,對數(shù)據(jù)的行為信息進行全面收集、 審計,結(jié)合數(shù)據(jù)資產(chǎn)分布狀態(tài)、數(shù)據(jù)流動狀態(tài)和分類分級結(jié)果進行智 能化分析,識別其中潛在的安全風(fēng)險并及時告警與處置,遏制數(shù)據(jù)泄 漏事件的發(fā)生,防范于未然。
全面的行為日志采集與處理是數(shù)據(jù)安全風(fēng)險檢測的基礎(chǔ)。行為 日志包括操作日志和告警日志,日志內(nèi)容須細(xì)化到具體的數(shù)據(jù)粒度。 對部署在數(shù)據(jù)鏈路上的數(shù)據(jù)探針和安全產(chǎn)品的日志進行全面收集,按 照統(tǒng)一的日志標(biāo)準(zhǔn)進行格式化,從不同的維度對日志進行富化,從而 構(gòu)建一個多源行為日志庫,為數(shù)據(jù)安全風(fēng)險分析提供基礎(chǔ)素材。
集離線分析、實時分析、告警歸并能力于一身的聯(lián)合分析引擎 是檢測隱蔽的數(shù)據(jù)違規(guī)行為、識別潛在的數(shù)據(jù)泄漏事件的利器。離線 分析能力強調(diào)的是準(zhǔn)確性,通過對海量的行為日志進行大數(shù)據(jù)挖掘, 在海量的業(yè)務(wù)行為中準(zhǔn)確地識別出數(shù)據(jù)違規(guī)行為;實時分析能力強調(diào) 的是時效性,通過對在時間和數(shù)量無限分布的一系列動態(tài)日志進行流 式計算,實現(xiàn)秒級響應(yīng),及時識別潛在的數(shù)據(jù)泄漏事件;告警歸并是 強調(diào)告警的價值性,通過對大量的告警日志從不同維度進行聚合與統(tǒng) 計,并設(shè)置相應(yīng)的穿透規(guī)則,將真正有價值的告警信息從大量的噪音 中過濾出來。
通過行為日志的采集、處理,以強大的聯(lián)合分析引擎為技術(shù)基礎(chǔ), 輔以豐富的分析策略如傳統(tǒng)的規(guī)則匹配、統(tǒng)計分析和基于智能學(xué)習(xí)方 法的多源關(guān)聯(lián)挖掘、行為鏈分析、動態(tài)基線分析等模型,靈活的應(yīng)對 不同場景下的數(shù)據(jù)安全風(fēng)險檢測,結(jié)合豐富的處置流程進行跟蹤響應(yīng), 確保數(shù)據(jù)風(fēng)險得到解決,真正實現(xiàn)可控的風(fēng)險管理。
(五)安全評估:以安全合規(guī)為核心的安全評估中心
《數(shù)據(jù)安全法》中明確提出要求“重要數(shù)據(jù)的處理者應(yīng)當(dāng)按照規(guī) 定對其數(shù)據(jù)處理活動定期開展風(fēng)險評估”,同時出于對自身數(shù)據(jù)保護 的需求,企業(yè)必須要開展的數(shù)據(jù)安全活動是定期開展數(shù)據(jù)安全評估。
以法律法規(guī)和行業(yè)監(jiān)管部門的考核要求為基礎(chǔ),結(jié)合企業(yè)自身 的業(yè)務(wù)場景,定制化輸出安全評估模板,以半自動化的方式開展數(shù)據(jù) 安全風(fēng)險評估工作,形成電子化的風(fēng)險評估報告。安全評估模板應(yīng)至 少包含以下評價要素:
-
數(shù)據(jù)管理組織架構(gòu)。應(yīng)成立專門的數(shù)據(jù)管理組織,并以“一 把手”掛帥,結(jié)合業(yè)務(wù)場景設(shè)置不同的管理角色;同時將不 同的數(shù)據(jù)資產(chǎn)歸屬到該組織中的具體人,確保數(shù)據(jù)認(rèn)責(zé)。
-
數(shù)據(jù)管理規(guī)章制度。數(shù)據(jù)管理制度是開展數(shù)據(jù)處理活動和落 實數(shù)據(jù)安全建設(shè)的指導(dǎo)思想,應(yīng)由數(shù)據(jù)管理組織牽頭將數(shù)據(jù) 管理制度成文并公告,明確數(shù)據(jù)管理責(zé)任與義務(wù)。
-
數(shù)據(jù)分類分級。分類分級既是合規(guī)要求,也是安全建設(shè)的基 礎(chǔ)。基于資產(chǎn)管理中心提供的資產(chǎn)目錄與分類分級結(jié)果,自動生成分類分級明細(xì)清單、統(tǒng)計分類分級完成度、并結(jié)合分 類分級有效期、分類分級管理制度等指標(biāo)進行合理評價。
-
數(shù)據(jù)資產(chǎn)風(fēng)險。基于風(fēng)險管理中心提供的安全告警,結(jié)合數(shù) 據(jù)資產(chǎn)分類分級情況,對不同類別、不同級別的數(shù)據(jù)資產(chǎn)的 不同風(fēng)險形成明細(xì)清單與統(tǒng)計圖表,結(jié)合數(shù)據(jù)處理活動、聯(lián) 防聯(lián)控措施等指標(biāo)進行合理評價。
-
數(shù)據(jù)權(quán)限管理。基于策略協(xié)同中心提供的安全業(yè)務(wù)視圖和動 態(tài)監(jiān)測中心提供的數(shù)據(jù)業(yè)務(wù)視圖,自動生成數(shù)據(jù)權(quán)限現(xiàn)狀圖, 加上人工補充缺失的(如線下執(zhí)行)權(quán)限明細(xì),結(jié)合數(shù)據(jù)處 理活動進行合理評價。
-
數(shù)據(jù)操作審計。基于風(fēng)險管理中心提供的多源行為日志庫, 按操作時間等不同維度自動生成數(shù)據(jù)操作審計明細(xì)表與操 作熱度統(tǒng)計表,結(jié)合分類分級結(jié)果和數(shù)據(jù)處理活動進行合理 評價。
-
應(yīng)急響應(yīng)。基于風(fēng)險管理中心提供的風(fēng)險告警與事件處置數(shù) 據(jù),自動生成告警-事件-處置明細(xì)表,按分類分級、響應(yīng)時 長等不同維度生成統(tǒng)計圖表,結(jié)合數(shù)據(jù)處理活動進行合理評 價。 通過定期開展數(shù)據(jù)安全評估,幫助企業(yè)從宏觀角度發(fā)現(xiàn)數(shù)據(jù)安全薄弱環(huán)節(jié),提出整改建議,從而有的放矢地進行安全能力建設(shè)。
(六)持續(xù)運營:以態(tài)勢感知為核心的安全運營中心
安全以“檢測”為始,以“響應(yīng)”為終,整個過程可稱之為“持 續(xù)運營”。在數(shù)據(jù)違規(guī)行為對數(shù)據(jù)資產(chǎn)造成損害之前,及時制止損害 或降低損失是安全體系的最終防線,也是持續(xù)運營的目標(biāo)。
全面的數(shù)據(jù)安全態(tài)勢感知是安全運營的抓手。基于資產(chǎn)管理中 心提供的數(shù)據(jù)資產(chǎn)目錄,通過對指定時間段內(nèi)的數(shù)據(jù)資產(chǎn)分布、敏感 數(shù)據(jù)量、敏感數(shù)據(jù)類型等指標(biāo)進行統(tǒng)計分析與趨勢預(yù)測,自動生成敏 感數(shù)據(jù)分布態(tài)勢圖;基于策略協(xié)同中心提供的安全業(yè)務(wù)視圖和動態(tài)監(jiān) 測中心提供的數(shù)據(jù)業(yè)務(wù)視圖,通過對安全策略變更和數(shù)據(jù)庫、應(yīng)用、 API 等涉敏對象的敏感數(shù)據(jù)量、敏感數(shù)據(jù)類型等指標(biāo)進行統(tǒng)計分析與 趨勢預(yù)測,自動生成敏感數(shù)據(jù)流動態(tài)勢圖;基于風(fēng)險管理中心提供的 數(shù)據(jù),對分布在不同位置、不同時間、不同類別、不同級別的數(shù)據(jù)資 產(chǎn)的安全告警、事件處置等指標(biāo)進行統(tǒng)計分析與趨勢預(yù)測,自動生成 數(shù)據(jù)安全風(fēng)險態(tài)勢圖。三大安全態(tài)勢圍繞數(shù)據(jù)從分布、流動、風(fēng)險三 個維度為運營人員構(gòu)建了清晰的宏觀視圖。
靈活的風(fēng)險溯源是提高安全運營效率的重要手段,是事件響應(yīng) 處置必不可少的支撐工具。靈活的風(fēng)險溯源工具應(yīng)具備 2 個能力,即 “以數(shù)追人”和“以人追數(shù)”。“以數(shù)追人”強調(diào)的是在已知受到損 害的數(shù)據(jù)資產(chǎn)時,通過相應(yīng)的數(shù)據(jù)資產(chǎn)片段進行溯源,按相關(guān)度的從 高到低列出可疑的“人”(賬號、應(yīng)用、API 等)及其相關(guān)日志證據(jù); “以人追數(shù)”強調(diào)的是在已知可能涉事的“人” (賬號、應(yīng)用、API等)時,通過輸入“人”的信息進行溯源,按相關(guān)度的從高到低列出 可能受到損害的數(shù)據(jù)資產(chǎn)及其相關(guān)日志證據(jù)。進一步可將將可疑的 “人”、“數(shù)”、證據(jù)等信息按時間順序組織成為事件鏈,為運營人 員構(gòu)建細(xì)致的微觀視圖。
便捷的響應(yīng)處置工具是風(fēng)險閉環(huán)的最后一步,也是必須的一步。 一旦發(fā)現(xiàn)了數(shù)據(jù)安全風(fēng)險,可根據(jù)企業(yè)的安全管理辦法設(shè)置相應(yīng)的風(fēng) 險處置流程并實時跟蹤,確保風(fēng)險得到妥善的處理。同時,處理的結(jié) 果可以及時反饋到策略協(xié)同中心,更新數(shù)據(jù)鏈路上數(shù)據(jù)安全措施,實 現(xiàn)立即止損的同時,確保同樣的風(fēng)險不會再發(fā)生。
通過掌握數(shù)據(jù)資產(chǎn)的宏觀態(tài)勢視圖和微觀風(fēng)險視圖,運營人員 可以及時處置相關(guān)風(fēng)險,自適應(yīng)地優(yōu)化安全策略,高效開展持續(xù)運營 工作。
結(jié)語
從組織開展數(shù)據(jù)安全運營工作的現(xiàn)狀來看,當(dāng)前多數(shù)組織已形 成對數(shù)據(jù)安全運營必要性和重要性的充分認(rèn)識,但面向海量、多源、 流轉(zhuǎn)關(guān)系復(fù)雜的數(shù)據(jù)處理場景,并且由于數(shù)據(jù)本身又具有多樣性、敏 感程度不一、關(guān)聯(lián)關(guān)系復(fù)雜等特征,仍存在較大的安全挑戰(zhàn)。下一階 段,可以圍繞以下幾個方向為數(shù)據(jù)安全運營工作提供保障。
第一、戰(zhàn)略層面明確數(shù)據(jù)安全工作的戰(zhàn)略地位。組織需要明確數(shù)據(jù)安全對于組織生存發(fā)展的重要意義,從戰(zhàn)略高度明確數(shù)據(jù)安全運 營的重要價值,對數(shù)據(jù)安全運營進行清晰規(guī)劃與指導(dǎo),在管理層面達(dá) 成一致共識,為數(shù)據(jù)安全運營工作提供資源保障。
第二、動態(tài)掌控全局?jǐn)?shù)據(jù)安全。數(shù)據(jù)交互的復(fù)雜性和多樣性對數(shù) 據(jù)安全運營工作提出了更大挑戰(zhàn),掌握數(shù)據(jù)流轉(zhuǎn)關(guān)系是動態(tài)掌控全局 數(shù)據(jù)安全的重要前提,需要充分考慮數(shù)據(jù)資源的使用目的、方式和范 圍,包括組織的部門架構(gòu)關(guān)系,精準(zhǔn)刻畫的數(shù)據(jù)流轉(zhuǎn)關(guān)系,才能夠全 面發(fā)現(xiàn)數(shù)據(jù)處理活動中的潛在風(fēng)險,實現(xiàn)對數(shù)據(jù)安全風(fēng)險及時預(yù)警和 處置,支撐數(shù)據(jù)安全運營工作。
第三、建立內(nèi)部監(jiān)督評價機制。組織需要充分考量安全形勢、合 規(guī)要求、業(yè)務(wù)需要等變化,對組織的數(shù)據(jù)安全工作開展情況進行審核 與監(jiān)督,結(jié)合相關(guān)行業(yè)法律法規(guī)和監(jiān)管部門的考核要求,數(shù)據(jù)安全成 熟度或者場景風(fēng)險等,進行技術(shù)性比對評估或佐證。并根據(jù)評估結(jié)果 提供可落地的安全整改建議,從而幫助組織及時發(fā)現(xiàn)安全薄弱環(huán)節(jié), 指導(dǎo)組織針對性的進行安全能力建設(shè)。
參考資料
紅藍(lán)攻防構(gòu)建實戰(zhàn)化網(wǎng)絡(luò)安全防御體系
青藤云安全 2022攻防演練藍(lán)隊防守指南
總結(jié)
以上是生活随笔為你收集整理的数据安全态势感知运营中心的关键防御措施的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: Pig简介
- 下一篇: 【Datawhale|天池】心跳信号分类