《網絡數據安全管理條例》落地在即,實戰化度量數據安全風險勢在必行
2021年9月1日《數據安全法》正式實施,11月1日《個人信息保護法》正式實施,11月14日《網絡數據安全管理條例(征求意見稿)》(下稱《征求意見稿》) 正式向社會公開征求意見。隨著一系列法律法規的相繼出臺,數據安全從立法到監管執行火速配套完備,這充分說明國家對數據安全的重視程度及超強監管力度。如《征求意見稿》中首次提出:數據處理者應對數據安全管理制度,數據備份、加密、訪問控制等安全防護措施,以及管理制度實施情況和防護措施的有效性進行年度評估并報設區的市級網信部門,即明確了數據處理者具有進行數據防護措施有效驗證的責任。有學者表示,《征求意見稿》將推動互聯網平臺數據治理模式變革,是推動數字經濟和互聯網平臺實現可持續發展的標識標線。
面對管理層的監管壓力,相關企業的當務之急是盡快完善在數據安全治理、數據的分類分級、數據全流程管理、數據保護體系建設等方面的實施速度。但對于數據安全的相關環節建設,光有實施速度還不夠,還需要從認識層面對數據安全治理工作的要點、痛點和重點有詳細的了解。
灰度安全作為國內安全風險評估自動化的開創者,提出了“通過實戰化攻擊模擬技術,構建可彈性擴展的專項評估場景,度量網絡安全風險,提升安全防御體系對抗能力”的全新安全管理理念,主張以實戰化方式度量數據安全治理。
數據安全治理三要“得”
數據安全治理工作,主要應從三個維度著手,即數據資產“理得清”、數據流轉“看得見”、數據安全底線“防得住”。
“理得清”指要清晰掌握網絡環境中存在的數據資產,包括:數據資產分布、數據敏感度、數據形態、載體對象、數據來源、數據流向、相關供應關系、范圍以及責任邊界等,并對數據資產進行分類分級梳理,形成數據資產分類分級檔案。除此之外,還需結合企業IT技術架構特性、業務特性、生產運維特性,定義企業數據安全風險,生成數據安全策略,構建風險防護措施矩陣,為實施分級數據風險保護奠定基礎。
“看得見”指要看清企業網絡環境中的數據資產流轉情況,實時掌握網絡環境中數據訪問的主體和客體、訪問行為、數據流轉過程及數據生命周期變化情況,從而充分部署和落實數據安全防護策略。此外,需通過采用監測、審計、態勢感知等技術手段,識別數據生命周期過程中的違規事件和異常行為。
“防得住”指要依據企業數據安全策略、數據風險及防護措施矩陣,部署落實數據安全防護設施,并依據企業數據資產特征、數據安全策略來維護數據安全防護設施的策略規則,以確保數據安全風險能夠得到有效防護。
數據安全治理四大挑戰
數字技術的新理念、新業態、新模式驅動著業務與技術的快速演變,企業網絡環境中的數據資產分類、范圍、邊界、安全屬性與生命周期也在快速的變化,企業在落實理清數據資產、識別數據流轉、開展數據防護的過程中遇到巨大挑戰,具體表現在以下四個方面:
1、數據資產識別不全,防護基礎不牢
企業數據資產的識別,依賴于人工對數據識別工具的維護管理,容易因資產范圍和形態的快速變化,引發數據資產識別策略人工維護遺漏等問題,造成企業受保護數據資產不能被有效識別,從而直接影響數據安全防護體系發揮效果。
2、業務發展驅動數據不斷變化,數據泄露風險識別不及時
企業數字化業務的發展驅動著數據資產的范圍、形態、流轉方向、調用關系變化。數據安全管理人員無法及時掌握這些變化在網絡環境中的安全風險映射情況,造成數據泄露風險路徑信息掌握不及時,數據防護措施部署不到位。
3、隱蔽數據通道的存在,產生安全防護短板
網絡協議的自身機制問題會造成數據外泄的隱蔽通道,如正反向TCP/UDP協議、DNS協議、正向HTTP協議、ICMP協議等。黑客組織可以利用數據隱蔽通道對企業數據進行分段、加密、變形處理后實現數據的竊取目的。
對于隱蔽通道的檢測與防護,主要依賴于人工的滲透測試。一方面人工滲透的方式受限于評估的范圍、時間和人員技術水平,企業無法全面、持續的掌握網絡中的隱蔽通道;另一方面,滲透測試未能和數據安全防護體系緊密的結合,數據安全管理人員無法精準的結合數據資產、數據風險鏈路、數據安全策略,針對性的開展數據防護工作。
4、缺少實戰考驗,數據安全防御效果是個“未知數”
當今大多企業依托等級保護、數據安全治理(DSG)、數據安全成熟度模型(DSMM)等模型,并圍繞著數據的生命周期開展數據防御體系建設,實施相應數據安全策略。以方法論體系為主導的數據安全體系建設,由于缺少持續的、實戰性的評估與驗證,無法及響應業務數據發展,不能精準定位數據安全防御體系的實際短板,防御體系建設優化目標不聚焦,建設和維護成本相對投入較高的同時,防御效果依然是個未知數。
賦能實戰化數據安全建設
灰度安全自主研發的RM-PRO智能風險評估系統,借助實戰化攻擊場景構造和攻擊向量編排技術,幫助企業精準、持續、零損傷的度量安全防御體系風險,同時對企業數據識別能力、數據安全防護能力短板進行全面排查,并可視化呈現數據泄露途徑,為企業的數據安全“底線守護”原則賦能。
1、數據資產識別能力評估,同步業務數據發展,筑牢數據資產防護基礎
RM-PRO智能風險評估系統(以下簡稱:RM-PRO系統)通過數據資產識別風險評估能力,自動化的驗證企業各網絡節點上數據資產識別能力是否正常且有效的運行。數據管理人員可根據業務數據發展情況和企業安全策略,定義、更新待評估的數據資產樣本。
企業數據安全管理人員能夠據此快速的定位數據資產識別能力短板,驅動企業數據資產識別能力升級,使數據安全管理工作適應業務數據的發展要求,為數據安全體系建設夯實基礎。
2、數據泄露途徑挖掘,自動適配業務數據發展,動態識別數據泄露風險
RM-PRO系統為企業客戶提供數據泄露路徑的挖掘能力,幫助用戶掌握數據從數據中心向生產運維、開發測試、三方機構、互聯網等高風險區域的全部流轉路徑。
此外,RM-PRO系統能夠對數據流轉路徑中的數據安全監測、數據安全防護及數據安全事件響應等措施的有效性進行評估,動態適配企業業務數據發展,全面識別企業網絡環境中的數據泄露風險。
3、匯聚攻防專家經驗,自動識別隱蔽通道風險,全面掌握數據風險鏈路
RM-PRO系統能夠識別企業網絡環境中,如正反向TCP/UDP協議、DNS協議、正向HTTP協議、ICMP協議等大部分的隱蔽通道風險,并將企業數據資產、數據流轉鏈路和隱蔽通道相結合,分析驗證數據泄露風險,可視化呈現數據資產利用隱蔽通道進行泄露的完整風險鏈路,幫助企業數據安全管理人員全面掌握數據泄露風險,并能夠根據風險處置建議精準開展風險修復工作。
4、實戰化度量數據安全防御體系風險,助力企業數據安全“底線守護”
RM-PRO系統依托天弓安全實驗室構建的專家知識圖譜,通過攻擊場景構造和攻擊向量編排技術,采用無損探傷的數據滲出攻擊模擬方式,實戰化驗證企業DLP、數據脫敏、數據水印、API網關等數據安全設施的防護能力、策略規則健壯性,度量數據安全防護體系的實戰對抗水平。
原文來源:灰度安全
“投稿聯系方式:孫中豪 010-82992251 sunzhonghao@cert.org.cn”
