智库说 | VIPKID朱模卿:浅论数据安全的“点线面位体”和7个习惯

2021-05-19 09:32:48 浏览数 (2)

与智者同行,为行业赋能。 FreeBuf咨询TTSP智库作为行业安全专家聚集区,旨在聚合每一份安全中坚力量,以促进网络安全行业技术创新和知识布道为价值导向,凝聚智者力量,思维碰撞、经验共享,共创安全聚合新力量。

FreeBuf咨询TTSP智库专家 VIPKID安全负责人朱模卿,在2021数据安全与数据治理高峰论坛上分享了议题《浅论数据安全的“点线面位体”和7个习惯》。本文对其分享内容进行梳理和展示。

VIPKID安全负责人朱模卿

以下是朱模卿的现场分享实录:

数据安全是近几年企业信息安全工作中重点关注和建设的领域,也是外部监管检查的主要对象。

数据安全的介绍

企业信息安全的整个发展过程,也就是网络安全、信息安全、业务安全、数据安全。

20年前,企业信息安全最开始的时候大家一般说网络安全。因为企业最开始使用网络的目的是为了信息化建设,此时网络的联通是第一位的,所以这个时期防火墙和VPN会成为主流的安全设备,一个是隔离网络,一个是联通网络。

经过安全标准和认证的逐步发展,大家开始深入讨论和认识企业信息安全的管理本质,ISO、等保等得到全面推广和应用,所以这个时期合规和认证会成为安全工作的重点。同时,堡垒机、4A等安全产品成为主流。

再过一个阶段,随着各类互联网公司业务发展和场景覆盖,针对Web、移动端的安全问题成为主流,所以这一阶段WAF、抗D、Web扫描器等安全产品成为了主流。

然后,随着互联网发展的深入,用户的数据在众多企业内使用和企业间流转,伴随着风险的增加和监管的要求,这一阶段数据加密、脱敏、审计等安全产品得到广泛的使用,所以发展到今天,针对数据安全的安全产品已经比针对网络安全的安全产品要更多了。

信息是安全的本质,因为信息是关于客体的知识,在一定场合下具有的特定意义。不过,信息在企业内一般以各种数据类型作为存在方式。所有的数据存在于企业网络之上,网络是数据存在和使用的基础,而业务是企业通过自身特定方式或优势,将信息服务于用户的过程。具体说,就是通过具体化的数据产生业务价值的过程。

这样就不难理解4个安全之间的关系:

一般企业安全建设第一步是网络安全,先把WAF、抗D等产品部署上,保障不被黑、业务不中断。 其次是信息安全,首先必须是满足合规、最佳实践的,同时也需要考虑不同网络环境下的用户体验、防护效果,比如近些年移动办公网络环境,云网络环境、5G网络环境促进产生了很多新的网络安全产品和方案。 再次,数据安全是保障公司业务稳健发展和赢得竞争的必要条件,即需要关注企业内部的数据使用,也需要关注外部的数据安全要求。但是因为企业业务类型、规模和阶段的不同,不同企业的数据安全不像网络安全一样有一些通用的解决方案。所以数据安全在不同企业之间更多是适用不适用的问题,而不是简单化的对不对的问题。 最后,业务安全是企业安全工作的展现成果之一。在业务发展的同时,安全能够保驾护航,甚至降低成本、提升体验、增强价值,那么安全工作就不仅仅是公司业务运营一个旁边者的角度,而是一个参与者的角度,地位和影响力自然不同。

所以安全行业里有一个普遍的概念,即哪家公司的业务做得好,似乎安全水平就很好。其原因正如上文所述。

上面似乎讲的内容有点复杂和众人皆知,其实不难发现,上文所说的不就是目前一般企业安全组织的有机组成部分:网络运营团队、安全合规团队、应用安全团队和数据安全团队吗?

针对数据安全工作,需要强调一下其两项原则。

第一个就是大家耳熟能详的“3分技术、7分管理”

针对数据安全,就是“100%的技术兜底”。首先数据安全和网络安全不一样,不仅仅只要通过标准和规范就可以进行管理。网络上你可以规定路由不能通,攻击可以阻断,但是数据是动的、活的,今天是这个人使用,明天是那个人使用,今天在这里,明天在那里,所以数据安全特别强调生命周期的概念。

其次,数据安全涉及的人员非常广、业务非常多,所以我们需要实时地、全量地知道数据的使用情况。这些特点决定了我们需要通过多维度、多层次的技术手段去把数据管理策略和要求进行落地和管控,真正通过技术将管理动作做到实处。

第二个就是数据安全需要“一手抓内,一手抓外,生命周期全覆盖”

这个内外既可以是指宏观的公司内部和外部监管、合作伙伴,也可以是指数据安全运营过程的红蓝对抗。但是我想重点说的是4个原则,大家在平时工作中和行业交流中大量提到“短板效应”,但是在数据安全工作仅仅提短板效应是完全不够的,甚至是不对的,不好的,原因有二:

“短板效应”是一个类似二维世界的描述方式,只是描述各个板块之间简单的拼凑和组合,就算所有板都补齐了,那么板和板之间有缝隙怎么办,衔接有漏洞怎么办?数据安全的多层次多维度怎么体现呢?还是一堆安全产品的堆砌吗? 数据安全往往是企业老板们能够感受和认知的领域,他们的管理经验和方法里对“短板效应”这个原则的认知决定了我们使用这个管理方法的效果和结果,他们会不会认为安全团队只有“短板效应”的管理方式将只能带来安全成本的不断投入和管理效果与业务、团队的脱节呢?

所以我在数据安全工作中,更愿意和大家谈另外三个原则:

第一个是“蝴蝶效应”,用于技术方面。大家花了很多钱和精力建设和运营了数据安全技术体系,但是往往一个类似USB口封禁的单点就决定了你的防护最终效果,而且往往这样的单点是非技术人员能够感知的地方,但这样的技术单点却是非常多的。 第二个“破窗效应”,用于管理方面。我们为了保证数据权限、账户、审计等工作的全面性、完整性,往往投入大量资源进行流程梳理和平台开发,但是随着团队变化、业务变化、以前很好的管理措施没有得到执行,所以需要安全管理在这种问题上能够看得更早,动得更快,做得更活。 第三个“墨菲定律”,用于运营方面。目前,安全对抗越来越高频,越来越深入,所以需要我们更快的响应、更快的处置,将问题看得更严重,复盘想得更完整,整改做得更彻底。

安全运营,我更相信“未雨绸缪,方得始终”

数据安全的重点

在企业里,不仅仅是安全人员,包括CTO、业务方,都需要把眼光和精力放在4个重点方向。

至于4个重点方向的分解后是不是与图中的4X4个子领域完全一致,这一点并不重要。因为就像上文提及的那样,数据安全更多的是好不好的概念,所以每家公司是不一样的。

首先,应用系统是数据安全第一位和基本的。20年前,行业里提到4A概念,包括账户、认证、授权、审计,这个理念到现在依旧适用,甚至零信任也是基于这个理念。但是,其外延更大,比如延展到网络层,所以今天有更新的4A概念:任何时候、任何地点、任何人、任何应用等。总而言之,在人操作应用的时候,必须做到全过程的安全感知和管控,因为数据都在应用里。

第二就是人,因为都是人在使用数据。人也可以分为几类,比如根据范围分为外部监管、合作伙伴、外包渠道、员工等;根据职能分为业务、市场、运营、风控、审计、开发等,他们的工作环境、网络准入、访问生产网数据、工作成果、特别是大家感受很深的钓鱼邮件等,都是日常需要关注和把控的重点。

第三就是数据本身。近几年行业有很多数据安全防护的要求和成熟度的考量方法,所以这一块较为成熟,基本包括数据的加密和密钥管理,数据的动静态脱敏、数据的审计等。然,看似简单,其实最难。

最后一个是网络。前面说了网络是数据的载体,基本的WAF、7层防火墙是必备的。从技术角度讲,比如我们需要时刻知道最新的应用数据接口在哪里,里面有什么数据等,这是一个很好的来源。

蜜罐和情报着重分析一下,大家的蜜罐可能用在入侵检测和攻防技术方面比较多。但其实很多年前,我就已经用在外部数据防爬和内部数据溯源领域了,从数据访问的流量引导、数据混淆、数据标签、数据跟踪等进行体系化的对抗,效果不错。但是前提是定制化程度很高,不易复用。情报方面大家可能用于攻击溯源、应急响应较多,其实这里的情报是一个更大的技术概念,不仅仅是C2、进程、文件等技术指标。

我曾经为企业定制过一个专门的情报订阅服务,就是从情报的更深层数据源、更广泛的数据渠道、更多维的数据粒度,观测和挖掘与本企业和本行业更关系紧密的数据情报,这个思路应该更适合数据安全管理,而不仅仅关注技术层或流量层的数据。

数据安全的基本面

数据安全管理的一些基本必要动作和覆盖面如果都思考到位、部署到位、执行到位,数据安全就不至于做得太差或离谱。

这里罗列了14个问题,可供管理安全的管理者参考。如果您是CTO或者刚接手数据安全工作的管理者,请询问或自问这14个问题,会对工作有很好的帮助。

首先需要考虑的是自己公司的数据安全工作目标。

这个目标一般有4个来源,分别是监管的、行业的,安全的、还有老板层的。

这是一切数据安全工作的起点,也即是OKR的O,也即是定位。必须静下心来仔细排查数据资产、与业务方共识数据的价值、了解业务和人员对数据的使用等情况。

其次是安全意识考核。

可以从视频学习、问卷考核、管理绩效等产品化方面、确保学习效果。避免不学习或者绕过的情况。

至于检查标准和策略举措,简单说就是如何保证100%的技术兜底是有效的。所以交叉验证、测试验证、主动验证、逆向验证等方法是必不可少的。

最后的解读和找差距,需要对最新的国内外标准进行解读,有时需要借助法务和业务部门的力量,通过评估和分析,找到下一步数据安全工作的方向和重点,整理出专业的汇报材料,对获得公司老板们的认可是很有帮助的。

性价比方面,安全管理者需要对当前行业里针对不同场景下的数据安全产品的费用、模块、功能、实施环境等有基本的了解,便于找到最有性价比和管理成本合适的产品。

俗话说,“安全有方案,成功了一半”,从而实现甲方和乙方的双赢。

“点、线、位、面、体”的数据安全方案

甲方和乙方是安全的一体两面,甲方相对于乙方更多的是场景和特性,并不是甲方的技术。

首先,总结了5个常见企业数据安全场景,以做抛砖引玉:

一个是点,说的是数据操作节点。即N种操作场景中的每一个非常具体、明确、常见的数据操作场景。 一个是线,说的是数据使用流程。即数据在企业内部业务管理各个流程中的数据流传场景。 一个是位,说的是数据使用位置。即所有在BS类型应用系统中的数据使用场景。 一个是面,说的是数据使用层面。即在非传统PC端层面的数据管理场景。 一个是体,说的是数据使用空间。即如何建立一个涵盖账户、应用、网络等内容的全面的、立体的数据管理环境,简单说就是数据安全的一揽子彻底地解决方案。

针对网络安全,大家常说的有“进不来、拿不走、看不懂、改不了、跑不掉”等要求,那么针对数据安全具有的流动、监管的特征,在线和位的环节,我增加了两个要求,就是“动有序、用有度”。序当流程、审批讲,度当程度、度量讲。

有时候我们不希望把数据直接给对方,所以临时需要搭一个环境,让外部人员既能查看数据,同时又不能带走数据。

大家可能想到了虚拟桌面、堡垒机等方案,但是如果这种情况次数过多,在人力和经济上都会造成负担。所以本公司很久以前就开发了一个Windows下的安全小工具,可以将一个默认标准化的Windows服务器一键式秒级进行安全策略配置和加固,使得用户账号只能通过显示器、鼠标、键盘运行这台服务器的指定应用程序,并且将所有数据外发渠道进行封堵并进行操作审计,所以虽然这个方案有漏洞,但是实用,在简单、省钱的前提下,拍照截图也就不是大问题了。

通过这个小方案想表达的是:在一些常见的、核心的数据操作关键点上需要安全团队根据自身对业务和技术的思考和积累,制定出合适的灵活方案,往往能达到特殊的效果。

俗话说,“小方不是药,安全更有效”。

数据必须在使用中产生价值。在一家大型的、变化快速的企业里,业务和人员都是瞬息万变的,如何避免“破窗效应”呢?

我觉得有两个方面需要注意:

一个是管理层面的审批流。这不单单是一个审批Yes和No的问题,而是需要考虑是否拥有灵活快速建立不同审批流的技术平台、是否拥有将数据分级分类标准融于审批流的技术平台、是否拥有全面细致的账户和权限管理平台。 另一个是技术层面的操作流,也即是当下流行的SOAR平台。因为审批只是授权的开始,后续的开通和使用、关闭仍需处理。所以最基本,最起码必须自动化打通数据平台操作、堡垒机操作、账户系统操作等,否则怎么说真是做到全自动、平台化的审批管理呢?

俗话说,“集成数据流,审批不用愁,平台自动化,审批不用怕”。信息化水平决定了安全体验;运维化水平决定了安全基线。

一个企业收集了大量用户的数据用于开展业务,必然会在企业内部通过各种各样的应用系统提供给业务、客户、营销、分析等部门人员使用。这里面就体现出非常重要的两点:

1. 针对中后台的数据,我们已经有数据库审计、堡垒机等安全设备进行管理,但是针对前台大量员工的数据使用怎么管理呢? 2. 目前的应用系统基本都是BS架构,每个产品经理设计应用系统的时候,我们怎么知道他们是怎么使用公司的用户数据呢?他们把用户数据用到了哪些页面里,什么时候上线的,哪些人访问过,内容合规吗?

所以,这几年我问过很多CTO、CSO这个问题:“您知道,在哪些时候,有哪些人在哪些地方使用了哪些系统中的哪些数据吗”。

针对上面的现状和问题,以下是方案建议:

第一,不需要公司投入任何的开发和运维资源,对目前的任何应用系统的前后端也不需要进行任何的改造,而且能够快速上线,需要做到零成本。 第二,公司里一般都有一些很老旧的应用系统,一般都没人敢动的,可能开发人员都不在了,甚至我们都不知道还有这个应用系统,或者使用者非常少,但是这些系统还在运行使用。那么这些系统的数据安全情况,只要还有人在使用,咱们能不能知道呢?为了保证真正的、可信的安全,所以需要做到全面。 第三,假设公司有100个应用系统,一个应用系统有100个页面,那么就是有10000个页面,我们怎么可以实时的、全量的对这10000个页面进行数据安全检查呢?对这些页面的操作进行实时识别呢?安全强调事前发现,所以需要做到实时。 第四,同理,假设公司有100个应用系统,每个系统有100个账户,那么就是有10000个账户,这些账户都是谁?什么时候登陆过?访问过什么?我们能不能知道呢?所以需要做到精准

俗话说,“什么都要好,只能自己搞”,俗话又说,“既要又要还要,突破思维最重要”。

根据逆向思维的方式,通过创新在浏览器层面解决了应用系统数据安全管理的难题。

选择浏览器为解决方案的立足点,原因有三:

1. 浏览器对应用层数据的识别准确性、完整度是最高的,理论上就如此。 2. 浏览器是可以无视网络层流量加密、网络物理分布的。因为网络中加密流量的比例只会越来越高,而且不考虑网络分布的话,也降低了实施成本。 3. 从数据使用的整个过程来看,占据了浏览器,就把数据从存储到使用的流动形成了一个真正的、完整的闭环,是当前中后台数据安全产品的有利补充。基于浏览器的数据安全产品,将会是基于生产网环境的堡垒机、数据库审计、数据脱敏等网络层产品,以及基于PC端数据防泄漏(DLP)和移动端数据防控等操作系统层产品之外的,直接基于业务系统数据的第三极应用层产品。所有的果都是因为这个因。

基于浏览器,我们可以对所有业务系统的用户数据和账户操作进行实时分析和统计,可以对所有有效使用的应用系统账户进行统计和管理,并全自动的建立账户和应用系统的权限关系,以往这是不可想象的,因为手工梳理必然带来了一定的操作难度和时效问题。其他好处还包括两点:

一个是浏览器本身就是一个客户端,所以在一些特殊时期或者特殊场景,我们可以强制要求只能公司自身的浏览器访问后端的所有业务系统,这样坏人从根本上就访问不了生产网,这样可以说是达到了一种“零信任”的效果。

另一个是如果在出现紧急情况下,可以在浏览器层面进行临时的快速响应处置,通过主动的数据删除、数据脱敏、数据加密来实现,为修复赢得时间,同时缩小事件带来的损失面,甚至一些主动工作可以提前做,比如在浏览器上进行禁止拷贝、打水印等。

俗话说,“浏览器认数据,最高的效率,浏览器管数据,最佳的考虑”。

通过浏览器管理数据,不单单给安全部门,也会给其他部门带来价值。

对于安全部门,可以通过浏览器获得所有业务系统的接口和资产信息,可以用于日常的空间资产探测和自动化安全扫描,也可用于主动的应用级准入控制; 对于产品部门,通过浏览器采集的业务数据使用情况,知道哪些数据是高价值数据,哪些数据是高频使用数据,不仅仅可以指导产品经理在产品设计的时候能够更好的规划和利用数据,同时,更可以提升和改进各个产品的操作设计和流程管理,提升一线员工的工作效率和产品用户体验; 对于合规部门,在日常风控管理工作中,在不修改原有业务系统的情况下,就可以便捷地获得业务系统中的操作信息,比如搜索或下载等行为信息,可以作为一种技术辅助手段,达到合规检查的效果,而且,在一些特定行业,已经对业务系统页面中展示的内容有明确的要求,那么浏览器完全可以自动化、全面的对合规要求的标准进行检查。比如展示内容、条目数、访问次数等,如果发现不符合项,可以及时告知产品经理或合规人员; 对于审计部门,可以提供企业目前的业务系统数量和网址,这些信息以后就不需要人工访谈收集了,同时可以知道所有业务系统的活跃账户和相应权限,通过这些信息可以极大降低IT审计人员的工作量,也是IT审计结果的一个验证手段。

俗话说,“安全帮业务,越干越舒服,业务认安全,有劲使不完”。

其实最开始的需求是做好资产管理和使用管理,比如使用地点、使用软件等。但是随着销售、客服等人员的业务操作越来越依赖移动设备,更高水平的安全要求越来越多,比如营销活动的管控,用户数据的管控,服务质量的管控等等,而且为了实现我所要求的移动端“拎包入住”模式的数据管控,所谓“拎包入住”模式,既任何一个业务人员从入职到离职,任何业务活动都可以正常开展,但是从始至终,在任何业务操作中都接触不到用户的数据。

为了实现这个目标,不仅仅需要移动端上的安全管控,甚至需要定制手机操作系统的一些功能,更需要公司的客户管理系统、业务系统、外呼系统进行全面的改造和对接,而且还要考虑员工流动不能够带来客户体验的下降,只要这样才能真正实现“数据不展示,业务不停滞”的安全方案。

俗话说,“手机没数据,爱咋地咋地”。

“一千个人眼里就有一千个零信任”。有基于代理的,有基于网关的,有基于网络的等等。图中的3点想表达的是,如果您打算使用零信任解决数据安全问题,所建议您考虑的3个点:

第一,零信任必须能够将公司的业务系统收回到内网,从而减少网络攻击面。 这就是最开始讲到的“墨菲定律”,大家都知道,“没有”就是最安全的,这个目的是从安全部门角度讲的。 第二,每一个网络数据包都需要是实名标签的。 在处理安全事件、创建安全方案时,如果遇到缺乏思路的时候,不妨想想现实世界的安全是怎么做的。大家想想,每天世界上那么多的邮件和快递包裹为什么不会丢失或发送错误呢?(当然,实际未必了),可以想到那是因为每一个邮件和快递包裹上面有地址、联系人、电话等信息,这样无论在任何传输过程和传递环节都可以保证正常转发和追踪。那么如果我们网络里的每一个TCP/IP数据包都能带上实名标签,相当于给每一次的应用访问都先天地带上了身份证,那么授权、分析、溯源就都不是问题了。因为网络的TCP/IP是底层,如果在这一层实现实名标签,那么它之上的每一层就天生带上了实名标签。每一次网络底层技术的变革必然带来新的安全方案和安全体验。而且零信任可以对全部流量进行灵活的调度和管理。俗话说,“流量在手,天下我有”,所以网络上的安全设备可以得到更大的发挥作用。 第三,资源访问控制。 除了常见的HTTP/HTTPS、SSH等应用,一些C/S应用是否适用零信任场景,或者类似语音电话等应用是否适用零信任,都是安全管理者需要提前考虑的。另外一个很重要的点,就是在大型企业,安全运营人员很少,但是业务系统和业务人员较多,而且零信任又需要对人员和业务进行细致、及时的配置和管理,所以零信任方案也必须考虑实际运营的压力,最好能把账户、资源、权限的配置发放給业务部门进行操作,实现自主化管理,从而降低安全运营压力,提升业务方的满意度。俗话说得好,“零信任的方案,不是简单的替换;要想产品好,必须底层搞;要想用的快,业务带头干;要想见效果,全网得用我”

本文从4个安全讲起,网络安全、信息安全、业务安全、数据安全,每个发展阶段关注的重点不一样,当下和未来一段时间我个人认为数据安全仍然是重点(其实更远的未来是有第5个安全的,以后再聊吧),数据的管理能力能够从侧面反映出一个公司的管理实力和组织活力。

另外,数据安全是离不开组织文化和管理方法的,在我的实际经验中,也一直不断尝试利用高效能人士7个习惯的方式帮助我更好实现数据安全的技术目标和管理目标。比如:

1)积极主动:利用该习惯,时时与数据相关者建立良好的沟通渠道并拥有共识结果,所以,在移动端数据安全和基于零信任的数据安全方案建设上,领先业务方一步看到远景,营造出和谐良好的合作条件和氛围。 2)以终为始:利用该习惯,通过逆向思维,创新地从终端浏览器的产品角度,从业务数据被使用的最后一“公里”进行安全管理。 3)要事第一:利用该习惯,基于合规、管控等要求,需要时刻让数据安全体系稳定有效运行,也就是让所有数据参与者能够按标准、流程进行日常操作是最重要的,所以依托公司已有的线上教育平台,让所有人员的数据安全意识和技能得到普及和提升。 4)双赢思想:利用该习惯,将数据安全自身的价值最大化,不仅仅服务于安全团队,还能够零成本的服务于产品团队、合规团队、审计团队,从而做到你中有我,我中有你。 5)知彼解已:利用该习惯,将传统安全情报价值外延,以数据安全角度而不是安全攻防角度进行情报信息挖掘。 6)统合综效:利用该习惯,紧密结合信息化团队和运维团队,将数据安全运营的平台和标准融于到每一个审批环境和操作步骤,在数据安全落地的同时,提升员工的工作效率。 7)不断更新:利用该习惯,从两个维度讲,一个是尽量通过“100%的技术兜底”来从技术上实现不断更新对数据安全运营细节的管理,另一个就是不断学习新的知识,为数据安全管理提供新的方向和思路,比如GDPR数据管理行动的平台化建设等。

通过上述7个习惯的例子是想表达:安全管理,特别是数据安全、业务安全等领域的管理,技术意识和管理意识是相通的,不可分割的,是合二为一的。一个具有管理能力和业务思维的人也许会做得更好。俗话说,“管理会技术,脚下千条路;技术会管理,没人敢来比”。

最后

希望大家在每个企业里多思考思考我们都有哪些数据,我们的安全目标是什么?都有哪些场景?会有哪些好的思路和解决方案?然后多分享多交流。

俗话说,“目标决定建设高度,眼界决定落地程度。”

真正地保护好、使用好我们用户的数据,因为我们每个人自己也是别人眼中的用户,谢谢大家。

总而言之,正所谓:

数据安全很重要,各行各业都知道。 监管要求要记牢,合理使用第一条。 用户权益要落地,产品才有竞争力。 技术管理要同步,业务发展更稳固。

0 人点赞