“要做数据安全,先要了解数据流通环节有什么威胁,哪些威胁会导致数据漏洞和数据风险。如果没有风险和漏洞,那么外面的威胁其实也并不可怕,就像房子都没有门窗,自然不用担心小偷。”
雪松控股集团 CIO/CDO 李洋在数据安全分享现场举了上述例子,形象地讲述数据安全面临的威胁。
4月28日,「FreeBuf 企业安全俱乐部」系列沙龙活动「2021数据安全与数据治理高峰论坛」。来自斗象科技、广州大学网络空间先进技术研究院、美创科技、乐信集团、雪松控股等11位嘉宾参加了此次论坛分享,从数据安全设计、数据安全解决方案、数据安全实践、业务安全架构到业务和数据安全治理,展开了多方面深度讨论。
本文盘点了活动的精彩内容供大家回顾!
面向APT家族分析的攻击路径预测方法研究
自2016年以来,APT攻击已经超过DDoS,成为超过60%的企业担心的威胁形式之一。
广州大学网络空间先进技术研究院院长田志宏在会上指出,APT的隐蔽性和网络空间的规模复杂性越来越高,使得情报收集变得愈发困难。攻击者的攻击路径难以发现,攻击意图很容易被网络空间复杂性所稀释掩盖。
目前,对于APT攻击路径检测的手段包括基于软件分析、基于网络流量分析以及基于场景重构的多阶段检测。此次田志宏分享了其2个研究内容:
(1)基于APT恶意软件基因的可靠数据获取,即用基因特征描述恶意行为特征,进而构建APT家族基因特征,最后基于恶意行为基因生成可观测序列,表征多步骤攻击行为。
(2)还原预测攻击者的战术意图及主攻方向,即基于已获取的攻击路径,基于杀伤链模型归纳总结其中规律,并通过HMM预测攻击者下一步的目标。
通过方法论和实验数据的验证,生成了6个APT家族的HMM,并且根据恶意软件的动作行为成果还原了并预测了攻击路径,在五个观测值下超过达90%准确率。
以数据为中心的安全治理实践
为了更好地应对数据安全问题,杭州美创科技有限公司副总裁蔡毅在会上提出了数据安全发展演进的方向以及新趋势——以数据为中心。
数据安全治理过程中常有需求不明、责任不清、管理不当、建设不力等问题,蔡毅结合多个行业的数据安全治理实践案例,提供了端到端数据安全治理之道:
实践一:分享敏捷咨询的流程规划,对过程中的管控、实践、沟通等方面做了详细梳理。
实践二:解析资产梳理如何形成数据流向。
实践三:当前数据分类分级存在无标准难规范、有标准难落地、已落地难应用的问题。结合客户案例分析数据资产分类分级自动化的可实践性。
实践四:结合具体案例分享如何量化数据安全风险评估。
实践五:分阶段分步骤地规划基于数据流向的安全策略。
基于上述五个实践,可以使数据安全治理更加多维化、体系化、实战化,使企业数据安全治理能够有针对性地解决当前问题,并且有足够的底气面对数据安全新挑战。
金融业数据安全实践及思考
“信息化技术的发展必以金融市场的需求变化为基础,而金融业务的模式也必将随着技术转型而改变。”
雪松控股集团 CIO/CDO 李洋分享了其对行业信息化发展趋势的见解,并指出金融业数据安全的实践和方法论。
分享中,李洋将数据安全分为事前、事中、事后三个阶段,首先需要建立威胁模型,了解威胁存在于数据流通的哪个环节,并且判断哪些威胁是最重要的,哪些威胁是会导致数据漏洞和数据风险的。
事前可以通过威胁建模,设计安全评审、与数据相关的账户权限,人岗全责等措施做好防护。
事中主要包括定期安全审计(提供策略和安全阀值,对操作进行安全审计 )、安全监控(对异常行为实时监控和告警)、传播控制(监控数据流转,如在桌面、网络等不被泄露)。
事后则需要做好问题的复盘,做好动态调整。这一部分可以基于下一代安全运营中心将数据安全涵盖进去。
基于三个阶段的方法论,将相关安全机制落实到第三方接触者的区域、数据内容的生产区域、核心网络区域或者临时访客区等关键环节,做到数据安全整体防护。
传统金融业务与互联网金融并存模式下的数据安全设计
金融行业IT架构从最先的主机时代至X86时代再到现在的云/容器时代,经历了巨大的变革。并且,作为中国信创产业第一梯队的金融行业在科技金融云整体布局的现状下,不得不重视其灾备问题。
航天壹进制产品经理龚安在会上针对上述金融行业现状,提出了具有针对性的安全体系整体建设建议、数据安全解决方案并列举了相关成功案例。
面对各种风险灾难、业务需求、技术变更以及法律法规更新,需要有一定的数据服务支撑。而数据服务主要可分为数据保护和数据管理两部分。
龚安提出,针对生产环境做到单一引擎全面保护;针对统一数据保护平台要使其架构能力能够融合发挥作用;针对灾备能力需要使其服务能力能够自由组合。
数据服务的核心技术包括:集群化部署架构、多层次数据保护、副本数据管理和全流程应急与演练。
因地制宜,不同的情况需采用不同的数据安全解决方案。
从数据安全到业务安全-业务安全进阶之路
乐信集团信息安全中心总监刘志诚,在论坛分享了议题《从数据安全到业务安全-业务安全进阶之路》,与大家分享相对于业务风控,业务安全应该做什么,应该怎么做。
刘志诚认为,数据安全和业务安全直接相关,安全业务的重点是保护数据。从技术手段看,数据安全保障要保证数据采集和保护的合规、要具备检测和监测、审核和调查能力。
“业务安全围绕的资产是帐户和交易,交易包括所有的业务动作和行为。”刘志诚表示,业务安全重要的是关注漏洞,资产的漏洞其实是欺诈,欺诈会带来账户和交易风险,欺诈则主要来自黑灰产。
刘志诚称,业务安全要做成一个纵深的防御体系。防御体系的关键是预警和处置能力,最好做到实时处置。
民航大型机场信息安全管理实践
与我们所想的不同,机场并不真正“拥有”航班及旅客数据,仅是数据的触发者、加工者和搬运者。并且,随着数字化趋势蔓延,机场的互联网业务服务占比趋势也日益升高。
广东省信息协会专家张利通过对民航大型机场信息安全管理实践案例的分享,分享其信息安全建设观点。
民航机场信息安全建设历经三个节点:2004年触发信息安全建设、2015年划分安全域、2018年开始规模化和体系化。
信息安全从辅助工具变为信息系统的基础设施,从非重点变为不可或缺的板块和支柱,信息安全意识从薄弱变为运行稳定的基石,信息安全逐渐成为民航安全建设的重中之重。
信息安全即需良好管理,也需技术支撑。对此,张利认为“三分在技术,七分在管理”。
而安全管理的着力点主要在于:加强体系建设、加强风险管理、加强关键基础设施管理、加强系统建设管理、加强全网一体化管理、加强重点威胁场景防护、加强防护手段落实、加强信息安全管理变革。
大数据时代下的特权帐户管理
在可预见的未来,口令仍无可替代。因此,如何对口令进行安全管理显得十分必要。
远泰瑞博技术总监肖海波在论坛分享了议题《大数据时代下的特权帐户管理》,商讨如何对口令进行安全管理。
他表示,通过自动化工具实现服务器、数据库、网络设备以及各种应用程序的口令管理,帮助IT管理人员集中存储口令信息、安全共享账号、实施标准的口令策略、跟踪口令的访问历史、控制用户的非法使用成为必然的发展趋势,能够有效解决运维人员口令管理的难度,切实提高口令的安全性。
产业互联及数字化趋势下的安全业务架构,1 1 N
在产业互联转型的大趋势下,信息安全就是生产安全,安全必须融入业务。
行业资深CSO周智坚表示,安全也是业务(安全合规、人员安全、基础安全、应用安全、数据安全、业务安全、应急响应、攻防对抗),也要通过产品化和技术手段,实现数字化;企业的安全人员要基于企业的信息化和科技架构绘制安全业务架构。
“1 1 N是安全的现在。”周智坚称,“1 1 N”即一句话安全业务架构 一个安全ERP N个安全产品。可以理解为技术 人 少量流程,安全按业务的重点落在保护。
“一句话安全必须以产品思维落地”周智坚补充,可以通过1 N实现安全业务的信息化、自动化、数据化甚至智能化。其中,1指的是安全ERP,该平台主要是处理安全业务的主逻辑,实现安全业务的信息化和数据化。
一句话安全架构可以分三个阶段落地建设:第一阶段建立团队,把业务跑起来;第二阶段建设安全ERP,把安全业务放到系统中跑;第三阶段建自动化安全工具,系统做标准化的事情,人做更高级和个性的事情。
基于AI流量分析模型的数据安全解决方案
近几年随着数据泄露事件层出不穷,国内密集出台各类法律法规。在监管的压力和数据泄露带来的高额损失下,企业开始寻求更有效的数据安全解决方案。
由于在企业敏感数据流转过程中,传统基于规则的分析手段对于数据风险防护愈加无力,斗象科技高级安全专家胡云海提出基于AI流量分析模型的数据安全解决方案,为企业带来新的思路。
AI流量分析相较于传统检测具备多种优势,包括可以在海量数据中挖掘弱异常特征、基于上下文进行关联、长周期历史数据分析以及多模型打分决策,由此,帮助企业解决内部安全场景、外部安全场景、系统互联互通调用安全场景中存在的数据安全风险(异常访问、恶意爬虫、敏感信息泄露、账号撞库攻击、服务器暴力破解等)。
企业数据安全的管理实践和落地方案
数据安全是近几年企业信息安全工作中重点关注和建设的领域,也是外部监管检查的主要对象。
VIPKID安全负责人朱模卿在会上通过怎么定位和看待数据安全、数据安全工作的重点抓手、数据安全工作的基本面以及不同场景下的企业数据安全解决方案四个方面全面地阐述了其关于企业数据安全管理的独到见解,提供了“点、线、位、面、体”的数据解决方案。
对于数据安全,需知:“三分技术,七分管理,100%的技术兜底”,“一手抓内,一手抓外,生命周期全覆盖。”
常见的企业数据安全场景如下:
1)一个是点,说的是数据操作节点。即N种操作场景中的每一个非常具体、明确、常见的数据操作场景。
2)一个是线,说的是数据使用流程。即数据在企业内部业务管理各个流程中的数据流传场景。
3)一个是位,说的是数据使用位置。即所有在BS类型应用系统中的数据使用场景。
4)一个是面,说的是数据使用层面。即在非传统PC端层面的数据管理场景。
5)一个是体,说的是数据使用空间。即如何建立一个涵盖账户、应用、网络等内容的全面的、立体的数据管理环境,简单说就是数据安全的一揽子彻底地解决方案。
数据安全基因
苹果资本创始人胡洪涛表示,数据不仅是个人的隐私,不可侵犯,而且也是企业的核心资产,是国家基础战略性资源和重要生产要素,因此,数据的重要性不言而喻。
通过观察可以发现,数据存在几大特点:
1、从数据库到App中的数据网络传输中的一切内容、离线存储的一切电子数据、从计算机延生到现实世界中的纸质打印材料和图片、所有带有芯片/系统的设备所生信息……数据无处不在。
2、数据没有边界、可灵活拆分与重组,并且是动态地持续流动、生产与更新的。
3、数据的价值难于界定且数据动、静价值不同。
4、数据价值具备乘数效应,也就是其价值取决于多个方面,包括维度、数量、权重、时间、应用场景等。
5、数据具备溢出价值,通过好的数据关联、数据挖掘算法、新的应用场景,能让数据产生意料之外的价值。
同时,数据的重要性及其特性也为数据安全工作带来挑战。胡洪涛提出数据安全基因这一新的理念与设计,认为数据安全要从系统收集数据的设计开始着手,数据全生命周期安全通盘考虑。而新需求、新场景,需要全新的产品和全新的解决方案,这也为数据安全创业提供了新的契机。
在羊城为期一天的高峰论坛上,11位分享嘉宾和数百位与会观众就数据安全与数据治理互相探讨经验,场场分享干货满满。与会者不仅交流了业务经验,还收获了同业的“战友”,共同建设安全行业。
以下是现场精彩花絮(文末有彩蛋):