(一) 数据资产难梳理,分类分级难落地
随着数字化的持续推进,各行业对数据感知、存储、传输、处理 等能力提出了更高要求。随着企业对大数据技术的大规模采用,数据 量呈 PB 级迅速激增,且业务的持续扩大与数据应用的不断裂变,往 往存在这样的现象——大量的老数据存储在不同的、分散的中小型结 构化数据库中,同时持续在建的数据仓库或数据中台则承担了大量新 业务的数据存储职能,这就造成了数据的分布广泛且规模庞大的特点。
同时,企业不断推出的新业务也推动着数据形态特点不断演进 ——海量、多元和非结构化成为数据发展新常态,数据环境呈现多样 化、复杂化特征,使得大量文本、图片、视频等非结构化数据被产生、 存储和使用。例如,在智慧城市场景中,各类传感设备采集的数据从 单一内部小数据形态向多元动态大数据形态发展。海量、分布广泛、 结构各异的数据给企业对自身数据资产的梳理造成了困难,而建立在 数据资产梳理基础之上的分类分级工作的实施则更无从谈起。
(二)数据流动难监测,联防联控难实施
新一代信息技术的快速发展,企业的运行效率不断被优化和提 升,企业新生业务对数据流动性要求日益增加,由此带来的是微服务 架构的盛行,对数据变化则是调用链变得更长了。单体应用架构下数 据只经过单个服务的处理就流向了终端(人),而在微服务架构下,
服务的职能被切分的更加细致,数据可能需要经过几个甚至十几个服 务的处理才会流向终端(人);而云和容器技术的广泛采用,南北向 与东西向交叉的数据的调用链甚至能织成一张数据流动“网”。
同时,中大型企业的数据业务变得更加开放,数据的访问可能来 源于企业内部,也可能来自于分支结构,甚至是外部的第三方合作伙 伴;访问的客户端也从 PC 更多的转向各种手持设备,因此数据的访 问来源也变得更加复杂。面对数据调用链长,访问来源多的场景,进 行全面的业务梳理往往需要投入大量人力,而且安全部门与业务部门 之间往往存在配合难问题,企业想建立清晰的数据流动监测视图非常 困难。由于企业对数据流动视图处于“失明”状态,导致数据安全建 设时只能采取传统的堆砌式的数据安全单品防护,实现“头痛医头脚 痛医脚”,而体系化的联防联控只能沦为纸上谈兵。
(三)数据风险难发现,安全评估难进行
数据安全与网络安全最大的不同在于,数据安全的违规行为往往 隐藏在正常的办公行为中,甚至很多事件是已授权的用户、应用、API 等对象非法操作导致的。例如水滴泄密——企业内部员工利用自身合 法权限每天进行少量敏感数据下载,积累到一定程度后加密压缩外发 到个人网盘;数据 API 滥用——数据 API 按业务需求开放后,可能 有具备权限的第三方服务没有按约定场景使用,或长时间没有使用形 成暴露在外的幽灵 API 等。由于从业务视角短期来看这些行为都属于 正常行为,但实际上已成为潜在的数据安全风险。
同时,对数据泄漏事件的检测与识别也变得更加困难,据 IBM 发 布的《2021 年数据泄漏成本报告》显示,2021 年识别一起数据泄漏 事件平均需要 212 天,遏制一起数据泄漏事件平均需要 75 天,总 生命周期为 287 天。由此可见,恶劣数据泄漏往往是由一系列“微 小”的可疑操作组成的,混淆在正常行为中,导致企业难以及时发现 其中的数据安全风险,而有效的风险检测能力的缺少注定其定期开展 的数据风险评估是 “失真”的,不可靠的。
数据安全态势感知是安全运营的前提
DT 时代下,数据资产的分布是广泛的,数据流动的路径是复杂 的,数据违规的风险是隐蔽的,这导致数据泄漏事件成因复杂交织, 既有外部攻击,也有内部威胁;既有技术漏洞,也有管理缺陷;既有 新技术新模式触发的新风险,也有传统安全问题的持续触发,因此单 纯依靠传统的被动式的防御措施根本无法抵御蓄谋已久的数据安全 攻击行为,任何基于“单点”防御的体系都难以避免被欺骗或绕过。 因此,Gartner 提出的自适应安全架构(Adaptive Security Architecture) 强调了“防御、检测、响应、预测”的重要性。“防御” 是指一系列策 略集、产品和服务可以用于防御攻击,关键目标是通过减少被攻击面 来提升攻击门槛,并在受影响前拦截攻击动作;“检测”是用于发现那 些逃过 “防御”措施的攻击,关键目标是降低威胁造成的“停摆时间” 以及其他潜在的损失;“响应”是用于高效调查和补救被检测分析功能(或外部服务)查出的事务,以提供风险来源分析,并产生新的 “防御” 措施来避免未来事故;“预测”使系安全体系可从持续监测的风险中学 习,以主动锁定对现有系统和信息具有威胁的新行为,该行为被将反 馈到“防御”和 “检测”功能,从而构成整个处理流程的闭环。
面对日益增长的数据安全威胁,DT 时代的数据安全体系建设需 要不断演进,基于自适应安全架构(ASA)的思想内核,数据安全态 势感知显得尤为重要,只有切切实实地对数据安全风险做到 “可感 知”,才能实现数据安全的“可运营”,因此建立一套全局的数据安 全态势感知运营中心来指导数据安全体系建设,是解决问题之道。
122
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
