《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 敏感數(shù)據(jù),你發(fā)現(xiàn)了嗎?

敏感數(shù)據(jù),,你發(fā)現(xiàn)了嗎?

2020-10-12
來源: e安在線

  早在行業(yè)剛開始的那個(gè)時(shí)期,,安全崗位基本只有兩種,WEB安全工程師和網(wǎng)絡(luò)安全工程師,回憶一下近幾年企業(yè)出現(xiàn)的風(fēng)險(xiǎn)事件,、大多是安全工程師圍繞應(yīng)用安全漏洞,,以及如何在漏洞攻與防之間進(jìn)行技術(shù)博弈。普遍受限于當(dāng)時(shí)年代對(duì)安全的認(rèn)知,,很少有人真正關(guān)注到敏感數(shù)據(jù)對(duì)一個(gè)企業(yè)真正的重要性,。

  現(xiàn)如今隨著GDPR、個(gè)人信息安全保護(hù)規(guī)范等一系列的實(shí)施,,針對(duì)數(shù)據(jù)泄漏產(chǎn)生的負(fù)面影響越來越大,,老板們?yōu)榱四芨玫模ū埽┍#猓┳o(hù)(背)公(鍋)司數(shù)據(jù),數(shù)據(jù)安全的崗位開始火熱了起來,,那么數(shù)據(jù)安全有什么用,?

微信圖片_20201012133601.jpg


  運(yùn)維角度看數(shù)據(jù)安全

  從安全運(yùn)營(yíng)角度來看數(shù)據(jù)安全建設(shè)的必要性,在我們的企業(yè)中可能會(huì)存在這樣的對(duì)話

  part1

  焦躁的安全工程師問到“你你你xxxxURL有個(gè)sql注入,,趕緊看下,,還有哪個(gè)應(yīng)用使用這個(gè)庫(kù),表里都有哪些敏感字段,,有多少受影響的數(shù)據(jù)量”,。業(yè)務(wù)通常會(huì)一臉天真的回復(fù)“這個(gè)表沒什么敏感數(shù)據(jù),不重要,,我們現(xiàn)在就把泄露處理,敏感數(shù)據(jù)泄漏通告發(fā)給我就行了,,別抄給我們領(lǐng)導(dǎo)”,。

  Part2

  焦躁的安全工程師收到來自暗網(wǎng)的監(jiān)控告警,某某公司幾億訂單數(shù)據(jù)泄漏,,來自靈魂的拷問“是有內(nèi)鬼吧,,這是哪個(gè)庫(kù)的數(shù)據(jù),這么多敏感字段還是明文,,之前某次應(yīng)急 好像在哪里見到過這種字段,,難道上次的SQL注入拖出去這么多數(shù)據(jù),md業(yè)務(wù)還坑我不是敏感數(shù)據(jù)”,。

微信圖片_20201012133619.jpg

  如果企業(yè)安全工程師的日常還經(jīng)常出現(xiàn)上述類似對(duì)話,,那么一定還沒開始做數(shù)據(jù)安全方面的建設(shè)。


  發(fā)現(xiàn)&盲區(qū)

  數(shù)據(jù)安全第一階段永遠(yuǎn)離不開的問題,,數(shù)據(jù)在哪里也就是我們常說的對(duì)敏感數(shù)據(jù)的發(fā)現(xiàn)能力,?只有知道敏感數(shù)據(jù)在哪里才能將重要的精力資源投入到需要重點(diǎn)保護(hù)的數(shù)據(jù)資產(chǎn)上。從安全運(yùn)營(yíng)的角度思考一下,。

  part1

  秋高氣爽的一天Oracle接到一個(gè)plsql導(dǎo)出,,安全工程師可以直接在數(shù)據(jù)庫(kù)審計(jì)看到這個(gè)plsql導(dǎo)出哪臺(tái)數(shù)據(jù)庫(kù)是什么級(jí)別,有什么表,,有什么字段,、有多少數(shù)據(jù)量,,風(fēng)險(xiǎn)級(jí)別直接量化。

  這些更準(zhǔn)確的信息可以用自動(dòng)化發(fā)單方式(通過郵件,、企業(yè)微信等方式自動(dòng)化轉(zhuǎn)發(fā)告警通知或者通過SYSLOG\KAFKA方式轉(zhuǎn)發(fā)原始日志的形式對(duì)接到安全部門)通知到業(yè)務(wù)告警到安全部,,即降低了安全工程師繁瑣的排查流程又撕壁和業(yè)務(wù)一輪輪的四壁扯皮的過程。

  Part2

  如果某個(gè)秋高氣爽的一天,,你正吃著火鍋唱著歌,,突然發(fā)現(xiàn)暗網(wǎng)出現(xiàn)了疑似數(shù)據(jù)泄露,通過數(shù)據(jù)安全平臺(tái)快速將數(shù)據(jù)字段進(jìn)行檢索,,更快的定位到哪些庫(kù)存在隱患,,這些庫(kù)對(duì)應(yīng)哪些應(yīng)用,進(jìn)行快速的應(yīng)急響應(yīng),。

  結(jié)合安全工程師的分析可以進(jìn)一步確認(rèn)受影響的范圍,,原來毫無頭緒的問題突然有了逐漸清晰的解決的方向,不再像之前一樣空有一群南拳北斗的“武林高手”跳上擂臺(tái)卻發(fā)現(xiàn)找不到像樣的兵器,、打不出力,,一頓花球秀腿后匆匆下場(chǎng)落得臺(tái)下觀眾一片奚落。


  數(shù)據(jù)安全

  數(shù)據(jù)安全在數(shù)據(jù)生命周期內(nèi)的六個(gè)階段內(nèi)憑借公司的基建完善程度,,安全團(tuán)隊(duì)按自己團(tuán)隊(duì)的配置,,有選擇性的選取好下手的環(huán)節(jié)進(jìn)行發(fā)力,以降低后續(xù)安全和業(yè)務(wù)相互溝通成本,、普及數(shù)據(jù)安全重要性的成本,。

微信圖片_20201012133741.jpg

  從哪里下手

  數(shù)據(jù)安全的基礎(chǔ)的發(fā)現(xiàn)能力可以協(xié)同DB部門或者從業(yè)務(wù)側(cè)首先開展,而作為數(shù)據(jù)安全工程師應(yīng)該先考慮用何種方式可以達(dá)成你的第一個(gè)小目標(biāo)-“具備基礎(chǔ)數(shù)據(jù)在哪的發(fā)現(xiàn)能力”,,從DB部門切入可以更快的實(shí)現(xiàn)安全部門與db部門的協(xié)同工作閉環(huán)運(yùn)營(yíng),,主要因?yàn)閐b部有你需要的數(shù)據(jù)資源,安全部有數(shù)據(jù)分類分級(jí)使用上的需求分析能力,,二者相結(jié)果,,可以最短路徑實(shí)現(xiàn)數(shù)據(jù)安全運(yùn)營(yíng)落地閉環(huán)。


  主動(dòng)發(fā)現(xiàn)數(shù)據(jù)

  從上至下,,從安全委員會(huì)推到業(yè)務(wù)線和數(shù)據(jù)組建立完善的線上數(shù)據(jù)庫(kù)制度流程,,統(tǒng)一的分類分級(jí)標(biāo)準(zhǔn),數(shù)據(jù)級(jí)別方面數(shù)據(jù)分級(jí)大致可以按用戶的數(shù)據(jù)屬性來劃分,,比如用戶信息類,、企業(yè)信息類、商戶信息類

微信圖片_20201012133757.png

  按類別分類

微信圖片_20201012133810.png

  對(duì)數(shù)據(jù)進(jìn)行動(dòng)態(tài)識(shí)別,、識(shí)別的方式有很多,,例如靜態(tài)規(guī)則、機(jī)器學(xué)習(xí),目標(biāo)是不斷完善敏感數(shù)據(jù)的識(shí)別率,,最簡(jiǎn)單的可以直接去遍歷所有的庫(kù)表結(jié)構(gòu)字段,、遍歷集中日志存儲(chǔ)中心,對(duì)不同的應(yīng)用,,不同的數(shù)據(jù)庫(kù)表中存在哪些敏感數(shù)據(jù)進(jìn)行自動(dòng)化審計(jì),。

  線下通過數(shù)據(jù)安全團(tuán)隊(duì)對(duì)離線分析數(shù)據(jù)進(jìn)行分類分級(jí)生成庫(kù)表級(jí)別畫像,可以完善出一套基礎(chǔ)的“數(shù)據(jù)資產(chǎn)”圖譜,,有了圖譜權(quán)限管理,、審計(jì)都可以逐步開展,當(dāng)然發(fā)現(xiàn)能力,,數(shù)據(jù)資產(chǎn)也不止這一個(gè)維度,,需要多維度共同作用構(gòu)成。

  安全團(tuán)隊(duì)做到了實(shí)時(shí)的線上線下敏感數(shù)據(jù)采集發(fā)現(xiàn),,那么下一步就很清晰了,,對(duì)數(shù)據(jù)進(jìn)行分類分級(jí)重點(diǎn)關(guān)注L3,L4級(jí)個(gè)人敏感信息,、公司級(jí)別敏感信息,、對(duì)敏感數(shù)據(jù)進(jìn)行落地脫敏存儲(chǔ)、權(quán)限審計(jì),、數(shù)據(jù)庫(kù)加解密等,。


  更多的是場(chǎng)景

  更多的是場(chǎng)景問題,數(shù)據(jù)溯源,,場(chǎng)景的數(shù)據(jù)溯源過程大致如下,,數(shù)據(jù)樣本收集、數(shù)據(jù)樣本特征分析(定位泄漏時(shí)間,、定位字段、定位數(shù)量)確認(rèn)泄漏源,、確認(rèn)泄漏應(yīng)用,,我們需要從海量的數(shù)據(jù)中提取特征,比如本批次泄漏字段有哪些,,該字段同時(shí)存在與哪些庫(kù)表,,隸屬于哪幾個(gè)應(yīng)用。依次定位調(diào)用時(shí)間,、調(diào)用庫(kù)表,、調(diào)用應(yīng)用。

  圍繞數(shù)據(jù)泄漏的不同場(chǎng)景,,安全工程師會(huì)有意的向加工數(shù)據(jù)增加一些“染色數(shù)據(jù)”,,增加“染色數(shù)據(jù)”的好處在于方便數(shù)據(jù)審計(jì)、方便數(shù)據(jù)溯源采集特征。

  對(duì)二次存儲(chǔ)分析使用的離線數(shù)據(jù)進(jìn)行加密各種的數(shù)據(jù)脫敏(數(shù)據(jù)染色),,二次使用的數(shù)據(jù)進(jìn)行染色大致原則可以這樣理解,,將數(shù)據(jù)重新生成,但不影響原有業(yè)務(wù)開展數(shù)據(jù)統(tǒng)計(jì)分析結(jié)果,,例如業(yè)務(wù)提出的需求“我們需要最近24小時(shí)訂單分析每個(gè)地區(qū)的下單情況”,,

  安全工程師需要對(duì)此需求進(jìn)行提煉,提煉后的業(yè)務(wù)真實(shí)想要的需求是“業(yè)務(wù)需要訂單轉(zhuǎn)化比率,,關(guān)注的是總體的比例,,是在統(tǒng)計(jì)一批數(shù)據(jù)的百分比,但不關(guān)注某一字段的準(zhǔn)確性,,”例如小明使用的是聯(lián)通手機(jī)號(hào)185123123123,,我們?cè)诒3致?lián)通的屬性185不變后續(xù)幾位可以轉(zhuǎn)換為“0”即185123000、住所地址保留市區(qū)街道不變具體樓單號(hào)進(jìn)行染色,、一批數(shù)據(jù)的性別比例染色,,保持原有的男女比例不變,這樣這批數(shù)據(jù)在提供給業(yè)務(wù)側(cè)進(jìn)行統(tǒng)計(jì)分析的時(shí)候不會(huì)產(chǎn)生影響,,同時(shí)可以保障用戶數(shù)據(jù)的安全性,。這些都屬于數(shù)據(jù)染色區(qū)別在于不同應(yīng)用場(chǎng)景。

  開展數(shù)據(jù)安全工作上踩過很多坑,,總結(jié)總結(jié),,無非是受限于老三樣,安全部規(guī)模,,基建程度,,老板關(guān)注度(是否出過事),比如在數(shù)據(jù)分散且沒有統(tǒng)一的數(shù)據(jù)總線情況下,,最好不要異想天開的先去做什么權(quán)限管理,,優(yōu)先考慮那些能占用資源少且能閉環(huán)運(yùn)營(yíng)的工作,如做自動(dòng)化分類分級(jí)打標(biāo),、加脫敏等,,不斷迭代安全部對(duì)數(shù)據(jù)安全方面的能力,無時(shí)無刻對(duì)我們進(jìn)行著考驗(yàn),。

  注:原題目為《論敏感數(shù)據(jù)發(fā)現(xiàn)能力對(duì)企業(yè)的重要性》



本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn),。轉(zhuǎn)載的所有的文章,、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容,、版權(quán)和其它問題,請(qǐng)及時(shí)通過電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118,;郵箱:[email protected],。