近年來,資料洩露的案例屢見不鮮,産生的危害舉不勝舉。根據Identify Theft Research Center的資料顯示,與2021年同期相比,2022年第一季度實際報告的資料洩露事件數量增加了14%,達到404起。國内,因資料洩露而受到法律制裁的案件也層出不窮。
可以說,對于一些重要基礎行業系統和一些資訊化程度較高的大中型企業來說,内網安全和資料内控已經成為其資訊安全建設的重中之重。
近日,【網安新視界】第二季開講,極盾科技解決方案負責人龔磊從資料安全内控的現狀及挑戰出發,分享了資料安全内控體系的建構思路以及實戰案例。
企業資料安全内控現狀及挑戰
資料安全内控的重要性已經毋庸置疑,那麼現在企業的資料安全處于怎樣的狀态呢?從資料的全生命周期和資料的空間流動兩個視角來進行分析。
資料的全生命周期視角:
❥ 資料本身防護角度:資料本身分為動态和靜态,絕大部分風險來源于資料動态流動使用過程中。
❥暴露面角度:資料在使用過程中最為複雜,暴露面最大,風險相對也最高。
❥建設基礎層面:資料使用和共享保護措施薄弱,其餘部分相對建設難度低,基礎好。
資料的空間流動視角:
從空間視角,圍繞資料的整個流轉過程,資料安全防護需要兼顧終端域、應用域、存儲域、硬體域以及其間流動傳輸過程的安全性。
由于應用域涉及大量的系統及場景,目前市場在應用域普遍缺乏好的解決方案。
根據資料安全的現狀,企業的資料安全内控建設還面臨一些困難與挑戰。
1)能力分散,不成體系:目前資料安全的能力相對分散,都是基于單個域内單個場景的單點能力建設,不注重體系規劃,無法形成統一管理和深度的關聯分析。
2)成本高,路徑漫長:資料安全内控建設涉及資料資産發現及梳理、行為采集、場景化監控分析及響應控制等一整套流程體系,每一個環節都需要大量人力物力的投入,成本高周期長。
3)效果難以保證:安全内控的本質是達到實際有效的場景化監控效果,但是受限于場景化經驗以及資料分析能力,往往建設效果達不到預期,無法真正準确識别内部風險。
4)安全與業務的平衡:安全建設需要考慮對正常業務營運的影響,避免帶來額外成本和大幅提升業務複雜度。傳統的方案往往需要大量業務系統改造,對接成本高且影響正常業務系統開發維護。
資料安全的本質還是為了業務服務,安全地使用資料。面對當下資料安全内控建設的極大挑戰,作為一家新興的網絡安全公司-極盾科技是如何應對的呢?
資料安全内控體系建設路徑
首先,在資料安全内控建設中,考慮到企業一方面不希望大幅地影響整個業務的正常運作,同時也不希望投入大量的改造成本、開發成本去配合安全的内控建設。
為了平衡安全、成本和業務的多重需求,極盾科技根據資料安全治理的建設路徑,建設性地提出了資料安全内控體系的建設路徑。資料安全治理體系的建設路徑分為7步:
第1步 企業現狀調研:包括企業架構、網絡拓撲、安全管理現狀、業務流程、資料流程等。
第2步 資料資産梳理:通過業務調研、自動掃描發現資料資産,制定資料分類分級标準,同時對資料資産進行梳理和打标。
第3步 安全風險評估:圍繞資料生命周期進行風險評估,根據各項法律法規對标分析。
第4步 安全體系設計:基于風險評估、組織架構、業務流程、資料流程,設計資料安全管理及技術體系,并建立管理體系。
第5步 技術工具實施:基于分類分級、風險評估結果,建設資料安全技術工具,敏感資料識别、脫敏加密工具、通路控制、日志審計等。
第6步 快速試點驗證:通過試點運作,及時發現可能存在的管理漏洞和技術缺陷,并通過定期審計發現可能存在的營運不足。
第7步 持續優化改進:設立營運名額、定期審計、持續優化改進,反哺管理、技術、營運體系,不斷螺旋式提升資料安全水位。
資料安全法中明确提出企業必須建立健全資料安全治理體系,根據資料安全治理的建設路徑,資料安全内控建設的“四步走”戰略應運而生:
Step1 資産識别及梳理:風險客體/對象為企業資料資産,首先通過敏感資料識别、資料分類分級等進行資産梳理及打标,為後續安全防護提供依據。
Step2 行為采集:風險主體來自于内部員工,通過收集各個安全域内及域間動态資料使用行為及靜态人員(部門、崗位、在職狀态)資訊進行後續安全分析。
Step3 安全分析:基于使用者行為及操作資料的敏感程度,建構場景化實時監控模型,精準識别資料使用風險。
Step4 安全防禦:基于安全風險分析的結果,靈活制定響應控制措施,關聯内部告警處置工具,提升安全營運效率。
資料安全内控體系整體架構
其次,根據現狀,資料安全的一個核心挑戰就是不夠體系化。那怎麼樣才能做到體系化呢?
在資料安全建設路徑中,結合統一的政策管理、統一的資産管理、安全分析和應急響應能力,圍繞資料生命周期建構的技術架構,建構出資料安全内控體系的整體架構。
資料安全内控實戰案例
一切準備就緒,隻是紙上談兵沒有任何意義。基于極盾科技自研的一款無感IT風險管控平台-極盾·覓蹤,某大型企業和極盾科技合力打造了一套場景化的UEBA資料安全内控體系,識别出了該企業客服系統中時間、地域、裝置、内容、權限以及業務流程等類型的風險。
下圖為部分風險案例:
那麼,這一切是如何實作的?
極盾·覓蹤是極盾科技自研的無感IT風險管控平台,緻力于通過分析企業内部人員業務操作行為,實時檢測人員是否有異常、違規行為風險,進而發現是否存在敏感資料外流、洩露等安全風險。結合子產品化的風險名額算法,建構企業内控政策模型(UEBA),有效降低、控制企業由内部人員造成的資料洩露風險。
基于極盾·覓蹤的UEBA資料安全内控體系主要有四大子產品:
第一階段是安全裝置的接入:直接采用該企業自有的DLP和DPM進行終端域層面的資料接入;通過極盾·覓蹤引入的資料安全網關來實作應用層面流量的收集和系統層面操作行為的采集;資料庫層面,可以對接資料庫的記錄檔;還有各個安全域的相關屬性的行為資訊。
第二階段是智能資料安全風險識别:資料收集和标準化處理之後,建構完整的特征體系。基于建構的特征,采用政策管控和模型分析去識别各類場景下的安全風險。
第三階段是響應子產品:通過靈活的劇本編排、處置腳本設定實作針對各類負責安全場景的一系列安全響應動作。
第四階段是識别效果層面的持續機制:基于政策和模型識别的風險作為樣本,然後進行場景化的驗證,包括一些場景壞樣本的持續積累。之後進行特征的優化,包括模型的優化,進一步持續進行政策分析和模型的疊代,進而進一步提高整個風險的識别效率。
基于極盾·覓蹤的UEBA資料安全内控體系能夠成功落地關鍵在于UEBA的落地。UEBA就是使用者實體行為分析,這個概念在安全行業已經有較長時間了,但是UEBA的落地是非常少的,落地成功的就更少了。
UEBA的落地如果僅是基于單純的專家政策規則肯定是完全不夠的。極盾科技引入了一種機器學習的能力來落地真正的UEBA,主要是無監督分析的模型和有監督的分析模型兩大塊能力。
無監督分析:假設全量人群在多緯空間上呈離散分布,建構全局空間。
❥在多個緯度偏離正常人群的人會成為空間中的異常點,需要重點關注。
❥具有某種企圖的非正常人員,往往行為上會有某種相似性,進而在空間上展現出某種聚集性。
❥無監督可以在不知道哪些是目标人群的背景下,通過發現異常點和異常聚集的人來識别可能的風險。
❥無監督不依賴目标人群樣本,有助于識别傳統規則未發現的風險。
有監督分析:假設目标人群必然具有某些特性,通過學習目标人群的特性找出跟已知目标人群相似的人,同時不斷輸入新的目标樣本,不斷學習。
❥ 建構多個緯度的監控特征,學習目标人群普遍具有或相關性高的典型特征,構模組化型。
❥通過人工驗證結果以及新的目标樣本持續輸入,優化重點監控的特征,進而持續更新模型,提升最終識别效果。
極盾科技期待幫助更多的企業建設資料安全内控體系,防止資料洩露,助力企業做好資料安全合規。