從運(yùn)營角度看數(shù)據(jù)安全
現(xiàn)狀
早在筆者剛?cè)胄械哪莻€時期,安全崗位基本只有兩種,WEB安全工程師和Android安全工程師,回憶一下前幾年企業(yè)出現(xiàn)的風(fēng)險事件、大多是安全工程師參圍繞應(yīng)用安全漏洞,以及如何在漏洞攻與防之間進(jìn)行技術(shù)博弈。普遍受限于當(dāng)時年代對安全的認(rèn)知,很少有人真正關(guān)注到用戶數(shù)據(jù)對一個企業(yè)真正的重要性。
現(xiàn)如今隨著GDPR、個人信息安全保護(hù)規(guī)范等一系列的實施,針對數(shù)據(jù)泄漏產(chǎn)生的負(fù)面影響越來越大,老板們?yōu)榱四芨玫?避)保(免)護(hù)(背)公(鍋)司數(shù)據(jù),數(shù)據(jù)安全的崗位開始火熱了起來,那么數(shù)據(jù)安全有什么用?
運(yùn)營角度看數(shù)據(jù)安全
從安全運(yùn)營角度來看數(shù)據(jù)安全建設(shè)的必要性,在我們呆過企業(yè)中可能會存在這樣的對話
part1焦躁的安全工程師問到”你你你xxxxURL有個sql注入,趕緊看下,還有哪個應(yīng)用使用這個庫,表里都有哪些敏感字段,有多少受影響的數(shù)據(jù)量”。業(yè)務(wù)通常會一臉天真的回復(fù)“這個表沒什么敏感數(shù)據(jù),不重要,我們現(xiàn)在就把漏洞修了,安全漏洞通告發(fā)給我就行了,別抄給我們領(lǐng)導(dǎo)”。
Part2焦躁的安全工程師收到來自暗網(wǎng)的監(jiān)控告警,某某公司幾億訂單數(shù)據(jù)泄漏,來自靈魂的拷問“是有內(nèi)鬼吧,這是哪個庫的數(shù)據(jù),這么多敏感字段還是明文,之前某次應(yīng)急 好像在哪里見到過這種字段,難道上次的SQL注入拖出去這么多數(shù)據(jù),md業(yè)務(wù)還坑我是測試數(shù)據(jù)”。
如果企業(yè)安全工程師的日常還經(jīng)常出現(xiàn)上述類似對話,那么一定還沒開始做數(shù)據(jù)安全方面的建設(shè)。
感知&盲區(qū)
數(shù)據(jù)安全第一階段永遠(yuǎn)離不開的問題,數(shù)據(jù)在哪里也就是我們常說的對敏感數(shù)據(jù)的感知能力?只有知道敏感數(shù)據(jù)在哪里才能將重要的精力資源投入到需要重點保護(hù)的數(shù)據(jù)資產(chǎn)上。從安全運(yùn)營的角度思考一下。
part1秋高氣爽的一天SRC接到一個SQL注入,一個RCE打到應(yīng)用、打到庫上,安全工程師可以直接在安全中臺看到這條漏洞攻擊到了哪臺數(shù)據(jù)庫是什么級別,有什么表,有什么字段、有多少數(shù)據(jù)量,拖拽數(shù)據(jù)量是多少,風(fēng)險級別直接量化。
這些更準(zhǔn)確的信息可以用自動化發(fā)單方式通知到業(yè)務(wù)告警到安全部,即降低了安全工程師繁瑣的排查流程又撕壁和業(yè)務(wù)一輪輪的四壁扯皮的過程。
Part2如果某個秋高氣爽的一天,你正吃著火鍋唱著歌,突然發(fā)現(xiàn)暗網(wǎng)出現(xiàn)了疑似數(shù)據(jù)泄露,通過安全中臺快速將數(shù)據(jù)字段進(jìn)行檢索,更快的定位到哪些庫存在隱患,這些庫對應(yīng)哪些應(yīng)用,進(jìn)行快速的應(yīng)急響應(yīng)。
結(jié)合運(yùn)營安全工程師的分析可以進(jìn)一步確認(rèn)受影響的范圍,原來毫無頭緒的問題突然有了逐漸清晰的解決的方向,不再像之前一樣空有一群南拳北斗的“武林高手”跳上擂臺卻發(fā)現(xiàn)找不到像樣的兵器、打不出力,一頓花球秀腿后匆匆下場落得臺下觀眾一片奚落。
數(shù)據(jù)安全
數(shù)據(jù)安全在數(shù)據(jù)生命周期內(nèi)的六個階段內(nèi)憑借公司的基建完善程度,安全團(tuán)隊按自己團(tuán)隊的配置,有選擇性的選取好下手的環(huán)節(jié)進(jìn)行發(fā)力,以降低后續(xù)安全和業(yè)務(wù)相互溝通成本、普及數(shù)據(jù)安全重要性的成本。
從哪里下手
筆者認(rèn)為數(shù)據(jù)安全的基礎(chǔ)的感知能力可以協(xié)同DB部門或者從業(yè)務(wù)側(cè)首先開展,而作為數(shù)據(jù)安全工程師應(yīng)該先考慮用何種方式可以達(dá)成你的第一個小目標(biāo)-“具備基礎(chǔ)數(shù)據(jù)在哪的感知能力”,筆者認(rèn)為從DB部門切入可以更快的實現(xiàn)安全部門與db部門的協(xié)同工作閉環(huán)運(yùn)營,主要因為db部有你需要的數(shù)據(jù)資源,安全部有數(shù)據(jù)分類分級使用上的需求分析能力,二者相結(jié)果,可以最短路徑實現(xiàn)數(shù)據(jù)安全運(yùn)營落地閉環(huán);
而先從業(yè)務(wù)線下手筆者認(rèn)為成本會較大,因為企業(yè)內(nèi)部業(yè)務(wù)部多則幾千少則幾百,對待安全的激情也是高低不均的,在前期開展數(shù)據(jù)安全所有的資源有限的情況下沒必要將寶貴的安全工程師投入到業(yè)務(wù)線(試點除外),那無異議蚍蜉撼樹,下場無非是安全同學(xué)被業(yè)務(wù)一頓懟”每天有這么多數(shù)據(jù)庫、有什么變更都我要跟你說嗎”,”你們安全部天天就知道讓我們業(yè)務(wù)弄這個也弄弄那個也弄,我們自己業(yè)務(wù)還做不做了”。
主動發(fā)現(xiàn)數(shù)據(jù)
從上至下,從安全委員會推到業(yè)務(wù)線和db部門建立完善的線上數(shù)據(jù)庫制度流程,統(tǒng)一的分類分級標(biāo)準(zhǔn),數(shù)據(jù)級別方面數(shù)據(jù)分級大致可以按用戶的數(shù)據(jù)屬性來劃分,比如用戶信息類、企業(yè)信息類、商戶信息類:
按類別分類:
對數(shù)據(jù)進(jìn)行動態(tài)識別、識別的方式有很多,例如機(jī)靜態(tài)規(guī)則、機(jī)器學(xué)習(xí)、目標(biāo)是不斷完善敏感數(shù)據(jù)的識別率,最簡單的可以直接去遍歷所有的庫表結(jié)構(gòu)字段、遍歷集中日志存儲中心,對不同的應(yīng)用,不同的數(shù)據(jù)庫表中存在哪些敏感數(shù)據(jù)進(jìn)行自動化審計。
線下通過數(shù)據(jù)安全團(tuán)隊對離線分析數(shù)據(jù)進(jìn)行分類分級打標(biāo)庫表級別畫像,可以完善出一套基礎(chǔ)的“數(shù)據(jù)資產(chǎn)”圖譜,有了圖譜權(quán)限管理、審計都可以逐步開展,當(dāng)然感知能力,數(shù)據(jù)資產(chǎn)也不止這一個維度需要多維度共同作用構(gòu)成。
安全團(tuán)隊做到了實時的線上線下敏感數(shù)據(jù)采集感知,那么下一步就很清晰了,對數(shù)據(jù)進(jìn)行分類分級重點關(guān)注L3,L4級個人敏感信息、公司級別敏感信息、對敏感數(shù)據(jù)進(jìn)行落地加密存儲、權(quán)限審計、數(shù)據(jù)庫加解密等。
更多的是場景
更多的是場景問題,數(shù)據(jù)溯源,場景的數(shù)據(jù)溯源過程大致如下,數(shù)據(jù)樣本收集、數(shù)據(jù)樣本特征分析(定位泄漏時間、定位字段、定位數(shù)量)確認(rèn)泄漏源、確認(rèn)泄漏應(yīng)用,我們需要從海量的數(shù)據(jù)中提取特征,比如本批次泄漏字段有哪些,該字段同時存在與哪些庫表,隸屬于哪幾個應(yīng)用。依次定位調(diào)用時間、調(diào)用庫表、調(diào)用應(yīng)用。
圍繞數(shù)據(jù)泄漏的不同場景,安全工程師會有意的向加工數(shù)據(jù)增加一些“染色數(shù)據(jù)”,增加“染色數(shù)據(jù)”的好處在于方便數(shù)據(jù)審計、方便數(shù)據(jù)溯源采集特征。
對二次存儲分析使用的離線數(shù)據(jù)進(jìn)行加密各種的數(shù)據(jù)脫敏(數(shù)據(jù)染色),二次使用的數(shù)據(jù)進(jìn)行染色大致原則可以這樣理解,將數(shù)據(jù)重新生成,但不影響原有業(yè)務(wù)開展數(shù)據(jù)統(tǒng)計分的析結(jié)果,例如業(yè)務(wù)提出的需求“我們需要最近24小時訂單分析每個地區(qū)的下單情況”,
安全工程師需要對此需求進(jìn)行提煉,提煉后的業(yè)務(wù)真實想要的需求是“業(yè)務(wù)需要訂單轉(zhuǎn)化比率,關(guān)注的是總體的比例,是在統(tǒng)計一批數(shù)據(jù)的百分比,但不關(guān)注某一字段的準(zhǔn)確性,”例如小明使用的是聯(lián)通手機(jī)號185123123123,我們在保持聯(lián)通的屬性185不變后續(xù)幾位可以轉(zhuǎn)換為“0”即185123000、住所地址保留市區(qū)街道不變具體樓單號進(jìn)行染色、一批數(shù)據(jù)的性別比例染色,保持原有的男女比例不變,這樣這批數(shù)據(jù)在提供給業(yè)務(wù)側(cè)進(jìn)行統(tǒng)計分析的時候不會產(chǎn)生影響,同時可以保障用戶數(shù)據(jù)的安全性。 這些都屬于數(shù)據(jù)染色區(qū)別在于不同應(yīng)用場景。
這塊感興趣的同學(xué)可以參考美團(tuán)的數(shù)據(jù)差分隱私、數(shù)據(jù)染色的技術(shù)相關(guān)文章,都非常值得一讀。
小結(jié)
總之筆者在開展數(shù)據(jù)安全工作上踩過很多坑,總結(jié)總結(jié),無非是受限于老三樣,安全部規(guī)模,基建程度,老板關(guān)注度(是否出過事),比如在數(shù)據(jù)分散且沒有統(tǒng)一的數(shù)據(jù)總線情況下最好不要異想天開的先去做什么權(quán)限管理,優(yōu)先考慮那些能占用資源少且能閉環(huán)運(yùn)營的工作,如做自動化分類分級打標(biāo)打標(biāo)、加解密等,不斷迭代安全部對數(shù)據(jù)安全方面的能力,豐富企業(yè)常見的數(shù)據(jù)安全場景的解決方案能力,再去啃標(biāo)識化染色權(quán)限管理未嘗不是也是一種不錯的選擇。
