前晚拜读了叶老板的新博客《基于风险优先的数据安全方法》和其中引用的原文以及阿里品觉的译文,里面谈到的应对内外部威胁的思路,实为业界领先的理念。但先进理念的落地,需要前瞻的方法论指导,易实施的管理制度,可重复部署的控制措施,以及支撑前述所有环节的技术和产品。笔者近期一直在致力于帮助用户实施新数字商业环境下的数据安全,也积累了不少心得,下面对原文中的部分重要观点如何具体实现进行解释。(蓝色斜体字为原文引用,链接在文后。)

没有哪家公司能够阻止每一次网络***,没有那么多的资源来同时保护其所有的数据资产、设备和基础设施。

是的。数据的重要性各不相同,高价值的数据需要更严格的保护机制。试图保护所有数据,会造成流程复杂且成本高昂,不符合卓越绩效企业的现实要求。针对关键数据进行“有的放矢”精准管理和持续保护,才能确保运营效率和业务连续性,才能获得令人满意的ROI。基于风险实施不同级别的保护是大势所趋。显而易见,识别数据内容以判断数据价值高低进而识别风险的能力是必要基础。

存储有敏感数据的终端、或包含重要内容附件的邮件,自动会被判断为需要高级别保护的资产,集中资源重点控制,这也是自适应安全方案的一种体现。

就像风险被赋予不同的优先级别一样,与这些风险有关的不同数据资产也被赋予不同的保护和隐私要求。

要想确定特定数据资产的风险,必须先正确评估特定数据的重要程度。“数据分类分级”是已经得到验证并被广为接受的方法论。现在,数据的交换与共享随时随地都在发生,安全控制需要根据数据风险实时生效。例如某国有银行实时核查所有内部间和内部发往外部的往来邮件的内容,根据数据分类分级和组织架构权限判定风险,并立刻判定采用何种控制措施,如启动审批工作流等。每天都有海量新数据出现,亦有大量的旧数据被更改,对数据预先设置标记或指纹已经变成完全不可能实现的工作,这些手段由于无法及时确定风险级别而进入被淘汰和替代周期。利用先进的人工智能技术才能满足基于风险优先的实时性和效率性的高标准要求。

与组织架构配合,同步LDAP或AD域,即可设计并实施结合了数据分类分级与用户权限的安全策略,真正做到与风险有关的不同数据资产被赋予不同的保护和隐私要求。

危险分子利用各种漏洞,发起更加周密、独辟蹊径的***,把那些有权访问该价值数据资产的特权用户作为目标。建立一套以数据为中心的多层次方法,围绕与各种风险有关的数据建立安全边界,把这些数据保护起来,消除特权用户面临的风险,提供识别内贼和可能被盗账户的信息。

数据管理部门正面临难度极高的挑战:领导对数据的重视日益增加,关键数据类别繁杂,业务部门使用手段多样化,数据存储地点分散,总量增长迅速,设备和人员持续扩充。若想准确高效地应对,必须借助支持数据分类分级的可视化集中管理产品,才能建立“以数据为中心”的架构,为与各种风险有关的数据建立安全区域和边界,侦测内部滥用和外部盗取行为。多层次方法,实际上是以数据分类为基础,在此之上叠加不同维度的控制手段,例如用户、设备、应用、网络等不同的权限,以达到保护数据的目标。

分析有权访问关键数据资产的特权用户的行为,能同时应对内部和外部威胁。分析数据的异常动向,可以有效侦测并防御危险分子。例如,某个用户过去一周内保有的敏感数据数量突然剧增;凌晨时分大量敏感数据从某网段流向未经授权的另一网段;一周内某个用户比以往同时间段内多50倍的尝试打开敏感数据的行为。这得益于可洞察全局的可视化的数据资产治理平台的建立。

为了在虚拟化的云端和大数据环境中保护公司最具价值的数据资产,安全团队需要更大的可见性和更多的情报。具体来说,他们需要知道哪些数据处于这样的环境中,谁有权使用这些数据,数据何时试图离开,如何在满足GRC要求的同时监控这些数据及其用户。

你永远无法保护看不见的资产。关键数据资产的可视化至关重要。部署支持分类分级的数据治理解决方案,以图表形式向管理者呈现不同类别和密级的文档分布、违规风险、和安全事件,逐级查询某指定设备中不同类别的敏感数据详细列表,使得管理者能够摆脱纷冗繁杂的权限设置细节,在更高的层面上直观、全面地检查和监督管理意图和要求的实现情况,及时发现风险隐患和安全事件

应用人工智能新技术,依靠自动数据分类分级,监控数据和用户行为,对风险和违规事件进行现状统计,跟踪变化趋势,便于内控部门和数据管理部门及时直观地发现哪类数据的安全管理漏洞最严重,哪些设备的权限过于宽松,哪些使用行为最危险,哪些用户连续违规,从而明确找出薄弱环节和重要检查点,有针对性地改进和完善管理策略、制度、以及流程。同时,系统的及时反馈使内控部门能更准确更快速地评估现状,更好地满足GRC的要求,并为下一阶段的改进目标提供数据支持。

器学习引擎、高级行为分析、和数据可视化,将以这些粒度为基础,绘制出一幅容纳了用户、应用和端点的各种特性的情景。有了它,安全团队就可以建立正常和异常活动的基准。

行为分析崛起的原因,正是由于机器学习引擎的成熟。新理念的出现,往往伴随着新技术的普遍应用。CISO应勇于拥抱人工智能、数据分析、和可视化等新技术,才能描绘出全局视图,感知态势,持续监控,及时响应,处置应急,加强控制。建立正常和异常活动的基准,需要回答如下问题:关键数据在端点如何分布?那些特权用户有权限使用哪类关键数据?业务数据在服务器间的传输模式?用户使用某类数据的频次和时间模式?哪些应用会导出敏感数据?用户操作应用的习惯模式?正常业务的流程和路径?等等。

建议把大数据纳入范围更广泛的数据管理和数据治理计划。安全治理应该与这些计划的数据质量和组成部分联系起来。同样,保护大数据安全应该被纳入范围更广泛的安全策略,而不是另外再搞一套单独的大数据安全策略,因为这可能会制造出又一个数据竖井。

CISO不应只考虑引入单一产品来提高数据安全性。随着企业中海量数据快速增长,数据对业务运营的重要性日益凸显。过去,CISO缺少行之有效的手段,用来制定“以数据为中心”的安全策略,治理企业拥有的全部数据资产。CISO应统筹设计展望未来的、以数据为中心的、全新务实的、能全面解决数据安全问题的前瞻性架构,建立遵从监管与合规要求的数据安全管理平台,使安全策略覆盖所有关键数据,以避免层出不穷的、复杂的、混乱的数据治理和泄露问题。

要达到以上目标,CISO不能拘泥于使用传统的数据泄露防护或数据库审计等产品,而应勇于尝试新技术新产品,首先要理解组织内有哪些关键数据,再全局掌控数据资产的分布,知道哪些用户拥有哪类数据,业务价值高的数据被哪些部门使用,风险高的数据是否有相应的保护措施,需要查阅的数据能否立即定位,数据如何转移交换,商业秘密的扩散范围能否识别,等等。


基于风险优先的数据安全,是一个很大的话题,也是企业采用基于风险优先的安全架构的一个重要组成部分,此框架与持续监控、遏制与响应、情报驱动等等先进理论亦有互通之处,相辅相成。限于时间和篇幅,本文就不展开讲了。


参考链接:
– 叶蓬,《基于风险优先的数据安全方法》,http://yepeng.blog.51cto.com/3101105/1738207
– 原文,Tech-Tonics Advisors,《A Prioritized Risk Approach to Data Security》, http://tech-tonicsadvisors.com/a-prioritized-risk-approach-to-data-security
– 中文翻译,阿里,品觉,《大数据安全思路要改一改》 (微信公众号文章链接太长,请自行搜索)


转载至:http://www.sec-un.org/talk-about-data-security-risks-how-to-fall.html