极盾科技 CEO 丁杨:让数据安全回归场景、业务和价值
我们的数据安全,还是以前的安全么?
传统数据安全方案依赖网络和数据库安全能力进行围墙化隔离,构造相对静态的预制策略,很难满足数字时代的业务转型和数据流通使用的安全需求。
而现在的数据安全,更多指数据作为核心业务生产资源,在业务系统中从诞生到销毁的全生命周期安全。数据安全是需要围绕数据流通使用的全流程来开展安全防护和运营工作,只有平衡好数据使用和安全防护,激发数据应用潜能,才能让数据使用的生产力得到有效释放。
因此我认为,未来企业会越来越重视数据安全投入是否能够产生实际的效能,即从过去的“合规或事件驱动”到逐渐关注“给业务端带来真正的价值”,让数据安全从“成本投入”变成“价值投资”。
如何在确保关键业务可持续运行的前提下,让数据安全回归场景,进而回归业务,回归价值?结合过往的实践经验,我总结了数据安全建设过程中的四个要点,供读者参考。
一、以人为中心
严格来说,企业数据泄露的威胁来源于两方面:内忧和外患。对内,要预防并阻止员工违规操作、非授权访问、离职泄密等事件发生。对外,需筑好防御,阻止黑客攻击、病毒破坏等恶意行为保护数据不被窃取或损坏。
有关机构调查显示,超过 75%的安全威胁是从组织内部发起的,无论是离职员工顺走专利数据,还是心怀怨恨的员工蓄意破坏系统。越权访问、账号滥用、访问敏感数据、数据过量访问与下载、跨境储存与传输等一再发生的各种安全事件证明,攻破堡垒的最容易的方式往往来自内部威胁。
未来,数据会成为绝大多数企业最核心资产,而“人”是安全防护流程中最薄弱的环节。因此,以人为中心,已成为数据安全防御的关键一环。
我认为“以人为中心”,就是以“身份及其行为”为核心,在系统数据使用访问过程中,通过采集人员的“动态”行为信息、环境信息以及相对“静态”的人员权限、组织架构、岗位部门等信息,构建人员主体画像,进而针对性、系统性的发现脆弱性,降低安全风险。
二、用户实体行为分析(UEBA)为抓手
值得一提的是,传统数据安全管控基本只做身份权限管理,严重缺乏动态行为监控及审计。
而 UEBA 即是基于大数据驱动、以人为核心、关联实体资产、采用机器学习算法进行异常分析以发现解决内部威胁的一套框架和体系。相较于传统手段对安全事件的关注,UEBA 更关心人,通过用户画像和资产画像,检测诸如账号失陷、数据泄漏、权限滥用等⻛险,以极高的准确率定位异常用户。
UEBA 的架构可以分为三层,分别是数据层、算法层和场景层。
数据层负责数据采集工作,通过若干数据收集器或传感器实现。收集到的数据经特征提取、标准化处理后,存入数据库。
算法层负责对处理好的数据进行分析,包括特征统计学习、动态行为基线、时序前后分析等。算法层在整个 UEBA 架构中起到承上启下的作用,根据下层提供数据的多样性和应用场景的差异性,有不同的算法可供选择。
场景层与用户需求相关,应用场景可能包括用户总体风险分析、用户行为画像分析、异常行为溯源等。
三、以数据分类分级为基础
如果说“以人为中心”是数据安全工作的核心技术思想,那么“数据分类分级”是实现有效数据安全管理的底座。网络信息安全的“三驾马车”(数据安全法、网络安全法、个保法)也明确要求建立数据分类分级保护制度。
只有做好分类分级工作,对不同分类不同密级的数据采取不同的安全防护措施,才能做好数据使用全流程动态保护。
同时,数据分类分级能够帮助企业对数据资产进行全面的盘点,了解敏感数据分布、类型、量级,做到心中有数,以此构建企业级的数据资产目录,为之后企业数据资产管理和数据安全体系建设打好基础。
那么,数据分类分级具体该怎么做?
我们总结数据分类分级功能架构主要分成四个模块,分别是数据资产自动发现、数据智能分析引擎、敏感数据识别算法库、分类分级全景图。
第一个模块是数据资产自动发现。通过自动扫描发现数据资产,同时对数据资产进行梳理和打标,最终形成一套数据资产清单,为企业数据资产管理和数据安全体系建设打好基础。
第二个模块是数据智能分析引擎。数据分类分级实际上是数据分析的过程,有了数据资产清单之后,可以通过数据内容分析(NLP /语料库)、策略规则(正则表达式/关键字)及机器学习的模型等,对数据资产进行智能分析,形成一套数据分类分级的策略规则及模型模版。
第三个模块是敏感数据识别算法库。内置敏感数据智能识别算法库,覆盖常见高敏个人信息和业务信息,比如姓名、性别、手机、身份证等,帮助企业自动化高效识别敏感数据,梳理敏感数据资产。
第四个模块是数据分类分级全景图。自动化周期性扫描数据资产,智能分类分级,识别敏感数据,生成数据分类分级全景图,支持分类分级结果多样化输出方
四、贴近业务场景
前面我们提到,任何科学技术都应该用于解决业务场景中的具体问题,数据安全的投资最终需要反映到对业务产生的价值。
我了解到,CIO 或 CSO 也经常会被公司内部的经营管理层质疑:“我们做的这些数据安全投资,究竟能替企业带来多少业务的价值?”
事实上,现在的数据安全是指数据作为核心业务生产资源,在业务系统中从诞生到销毁的全生命周期安全,数据是一个动态的流转过程,策略也需要结合业务系统及权限变动进行动态调整与构建。
同时,数据安全不仅是一套用工具组合而成的产品级解决方案,而是从决策层到技术层,从管理制度到工具支撑,自上而下、贯穿整个组织架构的完整链条。组织内的各个层级需要对数据安全的目标和宗旨达成共识,确保采取合理和适当的措施,以最有效的方式保护信息资源。
Gartner 预测:到 2025 年,国内 60%以上企业机构的董事会,将把网络安全风险视为一种业务风险。这个趋势,会帮助我们把网络安全投资以及数据安全投资从合规性驱动转换成业务驱动。
未来,我们也将始终站在业务和技术的交叉点上,深入广泛的业务场景护航数据价值化,让数据安全的用起来,还业务以真正的“数据自由”。
作者个人简介:
丁杨 极盾科技创始人 &CEO,15 年安全和数据分析行业从业经验,智能安全决策体系的先行者和布道者。毕业于南京东南大学,在校期间组建国内最早的高校网络安全社团-东南大学网络安全联盟。10 年加入阿里巴巴,研发创建阿里集团多个核心安全平台。14 年作为早期创业核心加入同盾科技,小盾安全(商业化国内首家 SaaS 业务安全平台)创始人。2020 年,创立极盾数字科技有限公司,先后获得同盾科技、IDG 两轮数千万级融资。并服务于包括银行、信托、证券、地产、零售、汽车制造、互联网在内的数十家中大型企业。
评论