FreeBuf甲方群话题讨论 | 聊聊企业资产安全管理

2022-06-08 13:19:14 浏览数 (1)

资产是企业开展生产经营所需的重要经济物资,其安全的重要性毋庸置疑,不同规模的企业,在保证企业资产的安全时可能需要多方配合与协调,往往涉及多个部门、层级甚至多个时段的监管控制。面对现今资产高度数字化、威胁隐患越来越多的网络环境,越发庞大的资产,安全性也显得越发脆弱,维护好企业资产安全面临着较大挑战。本期话题就围绕企业资产安全管理展开相关讨论:

1.大家的企业资产安全管理目前做的如何?有碰到哪些痛点? 2.如果从数据安全运营角度,对资产识别,尤其是涉敏资产,以哪些方式进行识别效果较好?对其风险的评估应当从哪些方面入手? 3.对数据资产安全治理,除了考虑合规,还可以有哪些需要关注的因素?

(本文所有ID已做匿名处理)

1.大家的企业资产安全管理目前做的如何?有碰到哪些痛点?

@麦大叔

目前已经有安全团队SOC专门做全网资产管控,平台接入监控。 云上资产,特别是集群、API等云原生新技术资产,相比主机更难管控、难发现、难监控。数据资产,数据量大,处理难度大,合规要求高。

@文艺书生

讨论企业资产安全管理的话,首先需要明确企业资产是什么? 财务方面的资产就是资金和隶属公司所有的物资,行政方面的资产就是办公用品,IT方面的资产就是设备、软硬件。所以,还是要明确这里的资产定义是什么?之前和同事讨论体系建设中关于资产识别的问题,这里的资产定义为所有隶属于企业所有的软件、硬件、系统、资金、办公用品,信息、数据、文档、合同、程序、流程、制度等等。即所有与企业有关联的、所有权为企业的均为企业资产。 不过,上面的定义过于宽泛了,还是聚焦IT资产、制度、软硬件和数据更方便讨论。 目前企业资产安全管理,绝大多数(不低于90%,个人看法)的企业并不重视资产安全管理,亦或者对此没有概念和意识。最常见的痛点就是“这就是一张纸,一条数据,能有什么重要的,能给公司造成损失吗?”此类的员工抱怨和质疑,因此,资产安全管理的核心在于提升企业员工的意识,再辅以规章制度。毕竟使用资产的最终用户就是员工,资产的安全风险大多也来自员工(并非否则技术层面带来的风险,只是认为人的因素更加普遍且更难评估和管理)。

@Keep go

讲道理如果从系统/服务资产识别和确认, 只要能确定定义和特征,技术都能补上去,最大的痛点是负责人更新维护,无论怎么梳理,真正用的时候,最后都是开始拉群找人,组织变更&人员流动太难控制了。

@遇见芳华

资产及资产属性值存在孤岛无法强关联情况(如架构-组件-部署-主机等关联关系)、缺少流程有效优化部门(流程强关联、闭环)。

@浅尝辄止

主要是账外资产不好管理,账内的不用说了,安全措施都比较完备,至少心里有数;账外资产就麻烦多了,因为你自己也不知道,用账外资产的人又不关心安全,极易成为网络安全的盲点,这些账外资产的大部分网络安全措施都是薄弱甚至缺乏的,比如弱口令问题比比皆是,一暴力破解一个准,虽然账外资产可能不是很重要的系统或者设备,但极易成为攻击者的跳板或者通道进入内网,那就相当麻烦。 另外,账内资产的话虽然自己有数,但是数据库、中间件的漏洞一般都不敢打,担心万一因为打补丁业务瘫了,也不敢负责,备份恢复机制一是不确保能正常恢复,再是也的确没有建立起漏洞管理机制,挤压太多漏洞,说白了还是人不够、水平差,为确保业务可用,基本上操作系统、数据库、中间件之类的漏洞都不敢打,除非是级别很高的0day之类的也得看看情况。

2.如果从数据安全运营角度,对资产识别,尤其是涉敏资产,以哪些方式进行识别效果较好?对其风险的评估应当从哪些方面入手?

@文艺书生

从数据安全运营的角度来说,对资产识别应当以数据所有部门为主、安全部门为辅,管理层推动。这样从流程和力度方面会产生较好的效果。至于具体的技术实现,就取决于公司体量、资金和技术实力了。 最简单的,文件分类归档、建立数据围栏、数据标签、访问控制等等,需要结合具体需求和场景来分析。对数据安全的风险评估依然要从业务或数据所有部门入手,数据的价值是为企业创造利润,而业务部门对利润和市场更加敏感,再辅以专业人员的建议。

@Keep go

涉敏资产的标记,也定义和特征的选定,然后做专项后转常规运营,目前除了流量外,主要结合离线库表的清洗,数据血缘等(需要把资产和库表的关联前置梳理)做确认,风险的话,大部分针对的是内部MIS系统,存储和使用都是标准技术要求做限制,目前正在推权限的治理和系统使用行为审计(人是最大的风险)。

@遇见芳华

标准化敏感元数据,数据库架构团队合作输出对应数据标准、提供元标准模板并维护。

@浅尝辄止

我们一般没有分涉敏资产,涉密的好像有,其他的不管是工控系统还是办公系统就是按等保要求去做,现在要求内网/互联网不允许有账外信息资产,就是有WEB登录界面的那种信息系统。一般内网的就找安全厂家的资产探测工具定期扫描发现,互联网侧的也是找安全服务厂家提供相关报告。发现了通报,尽量不用关停,集团管理的也比较严格,目的还是收敛暴露面。 至于再细化的数据安全层面,我们还没做很多工作,这块目前还是由保密管理部门牵头开展,涉密的按国家法律法规、集团保密管理规定执行,涉及敏感信息的还没有全面开展数据分类分级相关工作,我们初步开展过数据泄露防护策略相关的研究工作,部署了一套DLP监测设备,有一些敏感数据的策略模型,但是保护的还是文件,数据层面的还没做到。 在目前数据已作为生产要素以及企业数字化转型的大趋势下,企业敏感数据的分类分级、泄露防护等数据安全工作应该是势在必行的。建议的话还得是企业高层重视,业务数据的ower部门来牵头,保密、科技信息部门配合比较好。

3.对数据资产安全治理,除了考虑合规,还可以有哪些需要关注的因素?

@文艺书生

除了合规,自然是数据资产产生的收益(利润),企业的一切发展需求来自于创造利润。不负责任的说,企业的合规只是为了降低利润风险,某种实际场景下,企业很可能忽略合规带来的风险,而强行推动某些事情。 其次就是数据的存储和销毁,避免企业数据资产外泄,造成社会影响和品牌损失。

@Keep go

数据资产安全治理,太过宽泛,具体到对数据治理的话, 围绕的除了合规,就只有防泄密(不是防泄密产品)的内需了,对授权人员的管控需求。

@旧街凉风

数据安全最终目标就是数据不泄密,在猹的理解围绕这个话题大阶段分为三个:数据安全架构建设、数据合规建设、实战驱动审计。 数据架构建设:是实现数据安全的前提,分为三大块考虑: 1.API网关互联网数据安全(目的是不被外网轻易爬走数据。考虑做好统一权限、密钥管理、防篡改技术、接口订阅管理、前端代码混淆等); 2.数字化办公安全(考虑文档加密、明暗水印、监控、文档分级分类、认证授权、零信任大框架等); 3.数据网关平台(需要有大数据部门主导建设人的统一数据作业通道,将数据操作统一到这个平台)。 数据合规建设,二个方面: 1.通道安全(依托数据网关平台收紧作业通道,建立标准制度,统一审批,收紧授权人员等); 2.生命周期安全(采集、传输、存储、处理、销毁等)。 实战驱动审计: 内防:针对数据平台通道、高权限通道(例如堡垒机)监控高敏感字段,数据违规导出,结合桌管形成人员UEBA,建设告警机制,发现违规泄密行为等; 外防:没干也没想好。

@遇见芳华

数据价值(量化)=值多少钱,差异性成本投入。

@浅尝辄止

数据治理建议不要闭门造车,遵循成熟的标准体系框架比如DSMM,参考优秀实践,结合企业实际与业务需求去做。区别与网络安全,可能数据安全在数据防泄露、防勒索破坏、加密保护、访问控制等方面有特别关注的因素。

本期精彩观点到此结束啦~

0 人点赞