白小勇:數據安全需要新框架、新戰法
近日,第九屆互聯網安全大會(簡稱ISC 2021)在北京國家會議中心成功舉辦,本屆大會以“網絡安全需要新戰法,網絡安全需要新框架”為主題,是網絡安全行業的頂級盛會之一。煉石網絡創始人、CEO白小勇受邀出席“數據安全與隱私保護戰略峰會“,并作《DTTACK:以數據為中心的安全技術框架》主題演講,分享對數據安全的新框架、新戰法的探索。
圖1:煉石網絡創始人CEO白小勇作主題演講
一、數據安全需要新框架
(一)“五法一典”構筑新合規
數據安全需求來源,一是內在的風險驅動,二是外部的合規驅動,兩者是辯證統一的。數據泄露等安全事件本身具備經濟學的外部效應特征,即消費方與受益方不一致,類似化工廠,如果沒有《環境保護法》等法律法規制約,在不考慮社會責任的情況下,其最經濟的選擇是就地排污排廢。就個人信息保護來說,如果沒有外部的合規要求,數據泄露最直接的受害者就是老百姓,而對企業等個人信息處理者的自身利益沒有實質損害,因此,通過合規引導企業實施數據安全建設是非常重要的。
目前,我國初步建立了數據安全相關的法律法規體系,形成“五法一典”共治的新合規局面,包括《國家安全法》《網絡安全法》《數據安全法》《密碼法》《個人信息保護法(草案)》以及《民法典》。“五法一典“之間緊密關聯又各有側重,《國家安全法》是維護國家總體安全的基礎法律,《網絡安全法》提出了安全治理道路,《數據安全法》和《個人信息保護法(草案)》明確了保護目標,《民法典》包含了自然人的人格權保護,而《密碼法》強調了保護信息與數據的技術手段。
圖2:“五法一典”構筑“平安中國”
(二)回顧經典的網絡安全框架
ATT&CK是網絡安全行業目前公認權威、并被普遍接受的攻擊模型框架,由MITRE提出,全稱是Adversarial Tactics, Techniques, and Common Knowledge(對抗性的戰術、技術和通用知識),其最新版本包括14個攻擊戰術、205個攻擊技術、573個攻擊流程,覆蓋了絕大多數網絡攻擊手段,能夠為網絡安全防護提供專業的技術參考。ATT&CK框架以及關聯的Shield主動防御框架,以網絡攻防為視角,側重“以網絡為中心的安全”保護思路,通過防漏洞、堵漏洞的應對方式保護數據。而當下來看,網絡漏洞始終在所難免,所以直接針對數據本身進行主動式保護,是實現數據安全的最直接有效的手段。因此,企業安全建設趨勢正在從“以網絡為中心的安全”轉向“側重以數據為中心的安全”。
圖3:經典網絡安全ATT&CK框架
(三)打造數據安全新框架
進入數據時代,側重攻防對抗的ATT&CK框架,難以覆蓋“主動式保護數據”的各種技術手段。煉石嘗試從“以數據為中心”的角度提出DTTACK數據安全技術框架,全稱是Data-centric Tactics, Techniques And Common Knowledge(以數據為中心的戰術、技術和通用知識)。DTTACK框架嘗試填補“以數據為中心”的安全技術體系的空白,它不是網絡、服務器或應用程序安全性的模型,更強調數據本身的安全性,并從對數據的“應對式”防護,向“主動式”防護轉變,重視從業務風險映射視角列舉數據保護需求,可以為信息化建設、企業業務架構設計提供數據安全能力參考。
同時,DTTACK結合NIST安全能力模型和安全滑動標尺模型,選擇了六大戰術作為基本結構:IDENTIFY(識別)、PROTECT(防護)、DETECT(檢測)、RESPOND(響應)、RECOVER(恢復)、COUNTER(反制)。目前,煉石已初步梳理6個戰術,36個技術,116個子技術,86個方法,并持續更新迭代,致力于打造數據安全領域的專業權威技術框架,期望為數據安全廠商提供通用知識庫,為甲方的數據安全規劃和技術對比提供參考依據。我們在此也歡迎業內同仁、相關企業共同參與完善DTTACK框架。
圖4:DTTACK數據安全技術新框架
DTTACK不是孤立的,我們認為,“以網絡攻防為中心的安全”與“以數據保護為中心的安全”之間是相互關聯、依賴、疊加演進的,“網絡與數據并重的新安全建設”是當下企業安全建設的方向。網絡安全是實現數據安全的基礎,但光靠網絡安全又很難有效保護數據,數據安全新框架是安全技術演進的必然,把“以網絡攻防為中心的ATT&CK框架”和“以數據保護為中心的DTTACK框架”相結合,兩者相輔相成,全方位保護網絡與數據安全。
圖5:網絡與數據并重的新安全建設
二、數據安全需要新戰法
(一)面向失效的數據安全新戰法
安全漏洞層出不窮,攻擊手段與利用手法日益復雜精妙,攻擊方和內部威脅方天然具有單點突破的優勢。同時,在構建安全防御體系的過程中,由于防護規則覆蓋難以面面俱到,或在具體實施過程中難免疏漏,或內部人員天然有接觸數據的風險,這些都可能導致某個安全節點被突破失效,所以簡單堆疊防護技術和產品在體系化進攻和日益復雜的內部威脅面前是難以奏效的。DTTACK框架列舉了諸多技術,其作用類似于“兵器庫”,防守方需要體系化的思路整合這些技術,才能利用好先發優勢,精心“排兵布陣”,環環相扣構造縱深防御戰線,體系化的防范內外部威脅,提升防御有效性。
基于DTTACK框架,我們考慮要從幾個重要維度層層切入,基于面向失效(Design for Failure)的防御理念,綜合利用多樣化手段構建縱深,當一種保護手段失效后,有后手安全機制兜底,打造縱深協同、而非簡單堆疊的新戰法。我們選擇三個比較重要的維度,一是安全能力維度(I.識別、P.防護、D.檢測、R.響應、R.恢復、C.反制),二是數據形態維度(使用態、存儲態和傳輸態等),三是技術棧維度(SaaS/業務應用、Paas/平臺、IaaS/基礎設施),這三個維度之間關系是獨立的、正交的,三者疊加可構建更有效的數據縱深防御體系。
圖6:面向失效的數據安全新戰法
(二)從安全能力構建數據防御縱深
“IPDRRC”體現了數據保護的時間順序,基于時間維度,可以有機結合多種安全機制。識別是一切數據保護的前提,在數據識別與分類分級、以及身份識別的前提下,針對數據安全威脅的事前防護、事中檢測和響應、事后恢復和追溯反制等多種安全機制環環相扣,協同聯動,可以有效構建出面向失效的縱深防御機制。
圖7:越靠近事前防護,投資回報率越高
當然,從當前企業的數據安全建設重點看,越靠近“事前防護”,投資回報率越高,如果僅依靠檢測/響應、恢復以及反制等環節,損失已經發生,企業會付出更高成本。因此,數據安全建設之初,應當優先建設事前防護能力,需要綜合應用多種安全技術,尤其是采用密碼技術開展數據安全保護,比如加密、脫敏等。
(三)從數據形態構建數據防御縱深
數據大致可以分成傳輸態、存儲態和使用態,而身份鑒別及信任體系則是對數據訪問的補充或者前提,基于“數據三態”可延伸出數據全生命周期。圍繞數據形態,可以構建多種安全機制有機結合的防御縱深。我們梳理出20種密碼應用模式,采用IPDRRC中數據防護段的密碼技術,進入了數據形態維度的縱深防御構建。
圖8:二十種密碼應用模式一覽
在信息系統中,數據在傳輸、存儲、使用等不同形態之間的轉化,每時每刻都在發生,在這種轉化過程中,可以利用多種安全技術構建協同聯動的縱深防御機制。
在傳統網絡安全防護中,邊界是非常重要的概念,邊界上可以構建防火墻或IDS等規則。但數據防護過程中,數據沒有邊界,如果應用密碼技術,則可以起到一種虛擬邊界的作用,從而在虛擬邊界基礎上對數據實施保護,形成有效保護作用。在數據存儲和使用態的切換中,如果不經過數據加密,只進行訪問控制和身份認證,當明文數據在數據庫或歸檔備份時,數據訪問容易被繞過。但當我們在數據流轉的關鍵節點上,對數據進行加解密,并結合用戶的身份信息和上下文環境做訪問控制,可以構建防繞過的訪問控制、高置信度的審計,進而在數據存儲、使用形態上形成防護縱深,構建出密碼安全一體化的數據防護體系。
(四)從技術棧構建數據防御縱深
信息系統的技術棧體現了空間維度,這也可以作為數據保護的縱深。沿著數據流轉路徑,在典型B/S三層信息系統架構(終端側、應用側、基礎設施側)的多個數據處理流轉點,綜合業內數據加密技術現狀,總結出適用技術棧不同層次的數據保護技術。我們繼續前文所述的IPDRRC中數據防護段的密碼技術,保護數據存儲態,再結合典型信息系統的技術棧分層,可以從技術棧維度構建數據防御縱深。
本文列舉了10種數據存儲加密技術,在應用場景以及優勢挑戰方面各有側重:DLP終端加密技術側重于企業PC端的數據安全防護;CASB代理網關、應用內加密(集成密碼SDK)、應用內加密(AOE面向切面加密)側重于企業應用服務器端的數據安全防護;數據庫加密網關、數據庫外掛加密、TDE透明數據加密、UDF用戶自定義函數加密則側重于數據庫端的數據安全防護;TFE透明文件加密、FDE全磁盤加密則側重于文件系統數據安全防護。其中,覆蓋全量數據的FDE技術可作為基礎設施層安全標配,進一步的,針對特別重要的數據再疊加AOE等技術實施細粒度加密保護,兩者的結合可以面向技術棧構建出數據防護縱深。
覆蓋不同技術棧的數據加密技術
綜上所述,數據時代面臨新威脅、新合規,呼喚數據安全新框架、新戰法。以數據為中心的安全防護體系,應當采用面向失效的防御理念,在安全能力、數據形態、技術棧等多個不同維度上,有機結合多種安全技術構建縱深防御機制,形成兼顧實戰和合規、協同聯動體系化的數據安全新戰法。
