信息爆炸时代来临后,实体之间数字交互更加频繁,企业内部囤积了大量数字资产,如何有效发现和识别数据资产,成了企业防范网络安全风险面临的基本问题之一。保障内部数据安全,需要尽可能根据资产的业务属性和自身边界去部署适合企业运营成本的防御手段,并且能够及时在安全事件发生时,高效率、高准确性定位、响应、修复,这些都依赖企业对于数字资产的“把控”程度。
至于这一“把控”程度该如何掌握,才能更好建设企业数据资产识别和保护的能力。不妨回顾一下,阿刻在 FreeBuf 公开课讲到的如何在安全基建下,建设资产识别能力。
分享人简介
阿刻,阿里巴巴集团安全部高级安全专家,2011年开始从事安全工作,参与集团移动安全、IOT安全、安全服务等建设,当前负责阿里巴巴安全基建资产建设业务。
视频回顾
内容回顾
关于如何建设企业内部资产识别能力,阿刻从四个维度展开论述:首先讲述了一下阿里巴巴集团当前遇到的典型安全问题;其次,谈论了怎样快速定义,分类信息,如何快速建设基础资产数据;另外,基础资产数据建设完成后,如何构建资产识别能力,怎样区分数据资产,确保这些资产数据能够真正利用起来,帮助企业指导整个下游的安全操作和安全运营。最后,就资产识别能力在阿里巴巴的安全运用场景,做了简单介绍。
文章将围绕这四个维度,详细介绍一下,阿刻关于资产识别能力建设的思考。
当前遇到的典型安全问题
当前,国内面临的典型安全问题,大致分为以下几块内容:第一,数据法规:国内对于数据安全监管形势方面,其实有一些要求,要求企业能识别一些需要保护的用户数据,明确这些数据是不是在其保护范围内,这些数据是不是极易存在泄露风险。
第二,互联网敞口安全风险、合规问题发现:在企业的业务范围内,每天更新迭代都相对较快,特别是互联网公司,想要清晰的知道内部面向互联网的敞口有多少,确保每天上线面向用户的 API互联网敞口有多大,会不会存合规的问题风险等,有较大困难。
第三,资产溯源、定位,业务影响分析:企业在业务的具体使用上,如果一旦出数据安全问题,企业怎么去快速定位?业务影响范围有多大?会影响什么样的业务情况?影响的用户量有多大?
如何快速建设基础资产数据?
基础数据定位:
怎样应对上述问题?阿刻指出,首先企业应该具有资产定位能力,能够盘点主机、计算、存储三大节点资产基础数据,在基础数据采集完成后,要搞明白数据之间的关联,需要构建调用链路(数据访问)、数据链路(数据返回)、权限链路(授权关系),通过这三大链路,能够把整个资产情况清晰罗列出来。
另外,当基础数据完成采集、梳理后,要能够合理区分数据类型,一般采用资产标签。资产标签主要分为两大类:通用标签和业务场景标签,通过给基础数据标注清晰的标签,有助于数据的管理、使用,细致明了的表明数据重要层级、使用场景。构建基础数据的血缘链路关联关系,形成更完善、稳健的业务支撑单元,提供资产数据服务。
快速建设基础资产数据
阿刻强调企业在建设资产识别能力时,势必要快速锁定数据源头,采用标准化方式采集、落库数据,并基于数据关联性建设节点内的关联关系。
企业期望使用最小成本,迅速、准确、完成数据实例、API接口、资产元素等基础数据采集。当数据采集结束后,使用血缘链路将存储节点、主机节点、计算节点等数据信息关联起来。通俗讲,将基础数据传输形成一个数据链路,然后加工,最后再面向用户去做输出。
基础数据资产建设完成后,企业应该具备数据资产识别能力,确保没有遗漏的数据资产,构建一条血缘数据链路,更好的服务于业务场景。
在构建基础资产数据识别能力时,对于血缘链路的识别能力至关重要。对于血缘链路的建设,阿刻主要将血缘链路分为三大类,代码级、接口级、应用级。
公开课最后时段,阿刻主要从基础安全,数据安全和业务安全三个方面介绍了阿里巴巴的基础数据资产识别能力建设。
小结
随着企业业务逐渐转向数字化,为保障运营时产生大量资产的安全问题、再利用问题和管理问题,需要构建以基础数据为核心的资产保障体系,在采集、存储、传输、管理等多个层面,进行清晰的数字识别,提升企业对自身资产的掌控能力。
俗话说,知己知彼,方能百战不殆,企业具有数据识别能力后,对于内部资产的类型、来源、产生的场景,传输流向等都有了充分掌握,才能够保证资产利用最大化,风险可控。
