近年来,几乎所有的行业都在做数字化转型,数据安全保护的重要性也日益凸显,行业内外部对数据安全治理的要求和规范也日趋成熟。尤其在去年年底,数据安全评估规范的发布让整个银行业的数据安全要求,从典型设计阶段完全迈入行业性的落地阶段。
极盾科技解决方案总监龚磊分享道:“一般我们从两个角度来衡量数据安全,其一是相对软性的角度,即企业或机构内部的制度、流程,组织团队的建设等;其二是偏实际落地的使用角度,即从数据的采集、存储、传输,到处理、交换和销毁的全生命周期流程。”
01
数据安全治理的内涵及演变
“从数据全生命周期的视角来看,各环节都存在一定的安全风险。”龚磊说道。
由于数据使用环节流动性极大,涉及应用系统场景复杂,人员权限控制不完善,每一个环节它本身所面临的风险是完全不同的。但数据的使用和共享是价值核心,也是未来整个数据安全建设的痛点和难点,因此,需要花费大部分的精力去构建这部分治理框架。
而在空间维度,主要从数据安全与传统网络安全的区分来理解。传统网络安全的思路是基于特定的,或固定的某些网络资产,不断地去构建安全边界。通过构建安全边界来提升防护能力,阻止破坏攻击者进入核心资产。
但数据是在不断流动的过程中使用,会在不同的边界领域内不断的动态流转,它没有办法像网络安全那样不断地去构建安全边界。龚磊介绍道:“为了构建安全框架,极盾科技将数据安全划分为四个空间域,分别是硬件域、存储域、应用域和终端域。”
硬件域处于底层,偏传统网络安全的工作。存储域主要面向数据库、数据中心、数据湖等,主要方式是对访问对象进行控制,包括加密、透明备份等。应用域是当前各行各业数据安全建设中相对薄弱的环节,也是风险高发的领域,包括各类应用系统登录、访问、查询、下载和导出等。终端域则是最后一道防线,即通过监测终端设备是否有违规泄露操作,来保障数据安全。
若从大数据安全发展趋势的角度来理解数据安全治理的内涵,其实就是新旧范式的转变。旧范式更多的是基于特征,规则。新范式则更多以大数据驱动,还包括机器学习的能力等。范式转变之下,还蕴含了五大趋势,分别是行为分析导向、聚焦用户与实体、全时空分析、机器学习驱动和一场检测。
02
基于“主体行为”的数据安全分析与决策
龚磊表示:“数据安全问题的解决有一个底层逻辑,即‘谁’,‘用了什么数据’,‘怎么用’,这也是我们关注的三个要点。”也就是以人为主体,围绕业务场景,以数据分类分级为基础,以基于零信任框架和人工智能模型的用户实体行为分析为抓手,面向内部应用的数据使用全流程构建数据使用的主动安全防控体系。
基于这一底层逻辑,极盾科技提出了基于“零信任”的应用数据安全内控平台整体框架。龚磊介绍道:“整个框架式是基于零信任的理念,最终保护对象是动态使用过程中的数据。”
其中,智能分析和决策能力就是基于获取到的访问行为的主体、访问的对象、访问的行为信息和历史行为信息,甚至包括他人的行为信息,并将其综合到具体场景,构建出场景化的监测模型,实时动态地防控整个数据使用过程中的风险。
而在数据平面部分,极盾科技引入了动态访问代理的网关,以软件定义安全边界。一方面可以完整地进行行为层面的数据采集,另一方面具备敏感数据的识别能力。
基于实时智能分析和决策的能力,系统将持续分析和判断用户行为是否有相应的风险。一旦发现存在风险的可能性,工作人员可以下发指令给到安全网关。让安全网关采取一些列的保护措施,比如动态脱敏,或执行告警等。不仅如此,这套体系还支持事后的取证调查工作。
龚磊表示:“通过这样的一套体系,企业能够实现数据在动态使用过程中的保护。”
而这些都基于智能决策和分析的能力,基于原始的收集到的这些行为,包括主客体的这种属性的信息,构建大量的这种安全的特征。基于这些特征,我们就可以去构建相应的一些算法,包括一些模型以及场景化的一些策略。从而最终去识别这种这个数据使用过程中的各类风险。
03
覆盖全生命周期的安全智能决策框架
不仅仅是数据使用环节,智能决策的框架可以覆盖到数据全生命周期的各个环节,包括邮件收发,文件导出的终端域,还有数据库访问的存储域等。这些都可以被纳入到安全智能决策框架中,并以四个层面展现出来。
其一是控制层,即在各种终端对接中,一方面收集数据的行为信息,一方面在发现风险是可以和终端协同执行控制相应的风险。其二是数据层,即将相应人员使用的终端、系统等信息进行梳理整合后,形成画像和指标;其三是分析层,通过实时智能决策引擎,融合相应的离线分析和实时模型能力,持续动态地围绕数据全生命周期,对每个场景和环节进行实时监控和防护。最后是应用层,以可视化,指标化的形式,动态构建整个数据安全运营的体系,进行后续的持续的迭代和优化。
因为很多的风险来源于人员,尤其是有相应访问权限的员工,他们会借助权限泄露数据,还可能会将账号提供给他人使用,所以原有的基于权限的安全机制是完全不可信的。又因为很多系统的敏感数据非常密集,使用的人员比较多,使用频率也比较高,这就会造成每时每刻都有数据在向外泄露的可能性。
基于这样的一个背景,极盾科技针对商业银行的整体内部业务进行梳理,挑选了几个核心的系统。每一个员工登陆这个系统,到他在系统上面所有的关键的操作行为,都会被全程监控和审计,相应的高风险操作行为也会被识别。
龚磊以账号类风险为例解释道:“账号类风险,包括暴力破解、账号共享以及非常用环境,非常用设备等操作,以及特权账号的识别。一方面系统可以通过他的行为判断他是否为特权账号,因为他的权限相对来讲是非常大的。另一个层面我们还会去监控到一些特权账号的异常,从行为层面捕捉非常典型的风险,从而即时介入管控。”
活动推荐
大佬观点
本篇文章来源于微信公众号: 数字金融网