七步走,搞定數據安全風險評估
前言
在數字化時代,各行業企業機構目前正在從 “信息化” 轉型到 “數字化” 中,數據成為生產要素推動企業業務發展變革,數據的重要性受到前所未有的重視。與此同時,數據所面臨的安全風險也急劇增加,如何精準識別基于數據自身的風險,成為數據安全治理與防護的前提條件。
數據安全風險評估意義
數據具有多樣性、復雜性等特征,如果沒有合適的數據安全風險評估方法和體系,就無法針對性地摸清所有面臨的安全風險,也無法評估與法律合規要求的差距。同時,根據《數據安全法》以及各行業相關標準要求,數據安全風險評估是開展數據安全治理工作的基礎,是各行業機構必要的數據安全保護義務。
傳統安全防護采用邊界防護的策略,只是保證靜態數據安全,而現實中企業一旦開展業務,必然涉及數據流動過程中的安全風險評估和監測。而數據安全風險評估不僅是一套簡單的評估流程或一系列的評估工具,其核心是如何平衡企業數據價值和數據風險之間的沖突。
數據安全風險評估難點
● 隨著數據量爆炸式增長與數據應用的范圍不斷擴大,出現數據訪問賬號和用戶權限管理不清晰、數據在使用過程中審批流程不明確、數據共享交換時的控制措施不可靠等等一些數據問題。
● 數據一旦生產出來后就會進入傳輸、存儲、處理、分析、訪問與服務應用等各環節且循環往復,重要數據在流動過程中,會產生大量的接觸和交互。如內部的研發和運營管理角色,服務器、云平臺、大數據處理與分析系統中的流動,與眾多伙伴、客戶等進行互動和推送,涉及面異常廣泛。
● 非敏感的數據可以通過二次組合或通過數據的聚合分析,形成更有價值的衍生敏感數據,若對數據安全級別判斷不足,存在保護強度不夠的情況,將導致數據泄露風險,且責任難以界定。
安恒信息深耕數據安全領域多年,在對金融、政府、國企等行業的數據安全風險研究和評估方面積累了豐富的實戰經驗,關于數據安全風險評估開展工作,將采取以下7步走的動作進行開展:
數據安全風險評估咨詢服務過程實踐
第一步(資產與數據發現)
基于企業機構所屬行業標準規范指南識別相關系統的敏感數據,如金融行業的《個人金融信息保護技術規范》《金融數據安全·數據安全分級指南》等,確定不同安全級別的數據類型,進而形成業務場景下的敏感數據范圍。
第二步(業務數據流調研)
依據敏感數據資產及對應的承載體,分析業務邏輯架構及數據資產,整合梳理出數據流轉走向。從數據、場景、用戶、環境多個維度分析數據流現狀,基于業務場景梳理敏感數據流走向,識別數據流轉過程中的關鍵節點要素,輸出數據流走向分析圖。
業務數據流調研建議內容
第三步(生產環境靶場搭建)
基于前期業務與數據環境的咨詢調研結果,明確靶場搭建的資源環境以及已有安全防護設備配合驗證的需求進行搭建靶場環境工作,為數據安全攻擊模擬實施奠定基礎。其中靶場的搭建以保障企業業務正常進行為首要目標,通過模擬場景測試,發現目前業務環境下數據安全面臨的實際安全風險威脅。
第四步(安全威脅分析)
基于安恒信息原有數據安全威脅庫積累,結合實際業務及數據流分析結果、敏感數據識別結果等咨詢調研材料,以數據為中心,重點關注數據流轉中的動態安全風險,從數據泄露、數據篡改以及數據不可用等層面分析數據流轉各要素的安全威脅。
基于數據生命周期的數據安全威脅分析簡圖
以金融行業為例,數據應用典型業務場景分析舉例如下:
1.數據訪問賬號和用戶權限管理:通過賬號專人專用、賬號獨立、賬號授權審批、最小授權、賬號及時回收、行為內部審計、定期賬號稽核等方式控制。
2.數據使用過程的訪問權限管理:批量操作審批、高敏感數據訪問審批、批量操作和高敏感數據訪問的指定設備、地點、訪問過程內部審計記錄、開發測試訪問模糊化、訪問行為定期稽核等方式控制。
3.數據共享(提取)權限管理:通過最小共享和泛化、共享(提取)審批、最小使用范圍、責任傳遞、定期稽核等方式控制。
4.定期權限稽核:通過數據安全合規檢查、操作監管或稽核、數據訪問賬號和權限的監管與稽核、業務單位和運維的數據訪問過程的合法性監管與稽核、日志風險分析與數據安全性測試等方式控制。
5.數據存儲管理:通過涉密數據存儲的網絡區隔、敏感數據存儲加密、備份訪問管理、存儲設備的移動管理、存儲設備的銷毀管理等方式控制。
第五步(安全脆弱性分析)
通過工具監測、人工核查、滲透測試、文檔查閱等手段,分別分析管理以及技術層面在數據安全管理、系統運維管理、數據庫、數據應用各模塊具體內容的數據安全脆弱性節點,明確數據安全脆弱性分布。
第六步(數據安全攻擊模擬)
結合業內成熟的攻防框架,例如MIRTE推出的ATT&CK,并基于數據安全威脅場景以及勒索攻擊威脅場景,劃分攻擊模擬戰術,具體從數據使用時的初始訪問、數據的收集、數據的滲出及數據處理、銷毀等造成的影響等威脅場景處出發,針對每一威脅場景,確定所需戰術對應的技術手段,進行數據安全攻擊突破模擬。
基于ATT&CK框架解析勒索軟件威脅場景模擬評估
第七步(數據安全風險識別)
最后以數據安全咨詢以及攻擊模擬的結果,分析基于業務場景的數據全生命周期過程中存在的風險,通過定性分析展現風險嚴重程度以及分析可能性,通過定量計算輸出風險分值,綜合得出數據安全風險評估結果。
數據安全風險識別
隨著《數據安全法》和《個人信息保護法》相繼推出,以及各行業數據安全標準的不斷完善,建立完整的數據安全治理體系已是迫在眉睫。其中,數據安全風險評估作為數據安全建設的基礎和前提,在發現數據安全威脅和風險方面意義重大。
傳統的信息安全風險評估服務,依靠信息系統為單位進行經驗分析,難以聚焦梳理數據安全威脅場景,僅通過通用的技術手段進行輔助安全驗證,難以準確且有效的分析數據安全風險。安恒信息數據安全風險評估服務的最佳實踐,基于業務場景的數據安全風險評估服務,能夠在獲得授權的前提下,以攻擊者的角度,通過真實模擬攻擊者使用的工具、分析方法進行模擬攻擊,驗證當前業務場景下數據全生命周期的各種事前事中事后安全措施,找出數據安全風險點,提供有價值的數據安全整改建議和提升舉措,全面、有效保障數據的安全性。
