论敏感数据发现能力对企业的重要性安全工程师关注应用安全漏洞,以及如何进行漏洞攻防的技术博弈。一般受限于当时对安全的认知,很少有人真正关注敏感数据对企业的真正重要性。如今,随着GDPR、个人信息安全保护等一系列法规的实施,数据泄露的负面影响越来越大。为了更好的(avoid)protect(avoid)protect(back)public(pot))数据安全的工作越来越吃香,那么数据安全有什么用呢?从运维角度看数据安全。从安全运营的角度来看,我们住过的公司可能存在数据安全建设的必要性。对话:(1)part1焦急的安全工程师问,“你你你的xxxxURL存在sql注入,速查哪些其他应用程序使用此库,表中有哪些敏感字段,以及有多少数据受到影响”。业务通常一脸天真地回复,“这个表格没有敏感数据,不重要,我们现在就处理泄露,把敏感数据泄露通知发给我就行,不要抄给我们领导。”(2)Part2焦急的安全工程师接到暗网监控告警,某公司数亿订单数据泄露,来自心灵的拷问“是不是有鬼,这是哪个数据库的数据,所以很多敏感字段还是明文的,我好像以前在某处紧急情况下看到过这种字段,会不会是上次SQL注入拖出那么多数据,md业务还是骗我不敏感数据。”如果上述类似对话经常发生在企业安全工程师的日常生活中,那么数据安全的建设一定还没有开始。Discovery&BlindSpots第一阶段的数据安全是一个密不可分的问题。数据在哪里?也就是我们常说的敏感数据发现能力。只有知道敏感数据在哪里,才能将重要的精力和资源投入到资产上需要保护的数据上。从安全运营的角度考虑。(1)Part1Oracle在秋天的一个晴天收到一个plsql导出。安全工程师可以直接查看这个plsql导出的是哪个数据库,什么级别,什么表,什么字段,有多少数据,风险等级在数据库审计中可以直接量化。.这些更准确的信息可以通过自动计费(通过邮件、企业微信等方式自动转发告警通知,或通过SYSLOG\KAFKA转发原始日志)的形式通知安全部门给安全部门,降低了安全性工程师繁琐的考察过程,就是一个撕墙和业务查房的过程。(二)Part2如果某秋日吃火锅唱歌,突然发现暗网疑似数据泄露,通过数据安全平台快速检索数据字段,快速定位到哪些股票有隐患,这些库对应哪些应用,快速应急响应。结合安全工程师的分析,可以进一步确认影响范围。原本毫无头绪的问题突然有了逐渐清晰的解决方向,不再像以前那样了。找不到像样的武器,打球不卖力,秀完腿就匆匆下场,引来全场嘲笑。数据安全数据安全在数据生命周期的六个阶段,根据公司基础设施的完善程度,安全团队根据自身团队的配置,选择性地选择从哪个环节入手,减少后续安全之间的沟通和业务成本,普及数据安全重要性的成本。从哪里开始数据安全的基础发现能力,可以先与DB部门合作,也可以从业务方开始,而作为数据安全工程师,首先要考虑如何实现自己的第一个小目标——“发现能力在哪里?基本数据?”发现能力”,从DB部门出发可以快速实现安全部门闭环运作和DB部门协同工作,主要是因为DB部门有你需要的数据资源,而安全部门有需求分析能力数据分类归类,从而以最短路径实现数据安全运营闭环,自上而下主动发现数据,从安全委员会推送到业务线和数据组,建立完整的线上数据库系统流程,统一的分类定级标准,数据层次上的数据分类,可以根据用户的数据属性进行粗略的划分,比如用户动态识别和按类别识别数据的方式有很多,比如静态规则和机器学习。目标是不断提高敏感数据的识别率。最简单的方法是直接ly遍历所有数据库表结构字段,遍历集中日志存储中心,针对不同应用自动审计不同数据库表中的敏感数据。线下,数据安全团队对线下分析数据进行分类分级,生成数据库级画像,完善一套基础的“数据资产”图谱。配合图的权限管理和审计,逐步进行。当然,发现能力、数据资产不仅仅是这一个维度,它需要由多个维度组成。安全团队已经实现了实时的线上线下敏感数据的收集和发现,下一步就很明确了。数据分类分级,重点关注L3、L4级个人敏感信息,公司级敏感信息,敏感数据脱敏存储,权限审计,数据库加解密等。更多的是场景,更多的是场景问题,数据溯源,场景的数据溯源流程大致如下,数据样本采集,数据样本特征分析(定位leak时间,定位字段,定位数量),确认泄漏源,确认泄漏的应用,我们需要从海量数据中提取特征,比如本批次泄漏了哪些字段,该字段存在哪些数据库表同时,哪些应用程序属于它。定位调用时间,调用库表,依次调用应用。针对不同的数据泄露场景,安全工程师会在处理后的数据中有意添加一些“有色数据”。加入“有色数据”的好处是方便数据审计,方便数据溯源和采集特性。加密用于二级存储和分析的离线数据。各种数据脱敏(数据着色),二级数据着色的一般原理可以理解为:在不影响原有业务发展的情况下,将数据重新生成数据统计分析分析结果,比如业务需求“我们需要分析最近24小时各区域下单”,安全工程师需要对这个需求进行细化,细化后的业务需求为“业务需求订单转化率,关注的是整体占比,就是统计一个批次的百分比数据,但不关注某一领域的准确性。”比如小明使用的是联通手机号码185123123123,接下来几天我们保持联通属性185不变。位可以转换为“0”,即185123000,居住地址在市区不变,染色具体楼号,染色一批数据的性别比例,保持原来的男女性比例不变,这样这批数据在提供给业务方进行统计分析时不会有任何影响,同时也能保证用户数据的安全。这些都属于数据着色,区别在于不同的应用场景。小结数据安全工作中存在很多陷阱。综上所述,受限于保卫部门的规模、基础设施的程度、老板的重视程度(是否有意外),比如数据分散,没有统一的数据总线。在这种情况下,最好先不要异想天开地做权限管理,而是优先考虑那些可以占用资源少、可以闭环运行的任务,比如自动分类、分类标记、脱敏、等等,不断迭代安全部门的数据安全。能够丰富企业常见数据安全场景的解决能力,再啃标识染权管理也是一个不错的选择。
