資料脫敏、智慧安全運營視角下的新基建安全

綠盟科技發表於2020-12-01

11月26至27日,INSEC WORLD成都·世界資訊保安大會在成都舉行。本屆大會的主題是“新基建——以安全為本”。兩日的議程,囊括了討論全球資訊保安頂層設計和發展趨勢的主論壇,以及圍繞“資料安全與雲安全”、“智慧安全運營”等主題進行更具針對性分享的六個分論。三名來自綠盟科技創新中心天樞實驗室的研究員,作為演講嘉賓參與了此次盛會,並分別以《合規視角下資料脫敏效果的評估研究與實踐》和《AISecOps:多維度可擴充套件的企業側威脅評估》為題,進行了分享。

資料脫敏、智慧安全運營視角下的新基建安全

隱私合規背景下資料脫敏需關注效果評估

11月26日“資料安全與雲安全”分論壇,綠盟科技天樞實驗室的陳磊博士首先帶來了資料脫敏效果評估的相關議題。該議題對應論文成功入選本屆INSEC WORLD大會優秀論文,並於《資訊科技與網路安全》提供完整版閱讀。

資料脫敏、智慧安全運營視角下的新基建安全

綠盟科技集團 高階安全研究員 陳磊博士

 

傳統意義,資料脫敏(Data Masking)主要用於資料分析和產品測試場景下保護企業敏感資料。即需要在將含敏感資訊的資料流從真實生產環境引入非生產環境前進行,屬於“資料處理”階段的必要安全措施。大資料時代,資料、資訊不斷要素化,其重要意義和價值不言而喻。新基建大力發展的同時,為有效應對資料洩露、非法採集、資料濫用、隱私侵權等關乎個人隱私的問題,各政府和機構也在相繼推出對應法律、規範,以約束企業,使其在享受護具帶來商業利益的同時,承擔起資料和隱私保護的相應責任。

因為面臨鉅額的經濟懲罰和法律風險,滿足資料安全和隱私保護的合規性要求的重要性對於相關企業而言不容忽視。以我國《個人資訊保護法(草案)》為例,“情節嚴重,處罰最高5000萬元或者上一年度營業額5%罰款,同時對直接負責的主管人員最高可罰款100萬元。

此外,可以責令暫停相關業務、關閉網站、吊銷營業執照等。”

該議題的切入點不是介紹如何進行資料脫敏,而是為何以及如何對脫敏的有效性進行評估,以幫助企業更好的滿足相關合規要求。

陳磊博士介紹,經過脫敏的資料集受到隱私攻擊的風險,即發生隱私資訊洩露,是真實存在的。攻擊者可透過背景知識、網路公開的身份資訊以及黑灰產等渠道獲得具備關聯資訊的資料集,透過對兩個資料集相同屬性欄位進行匹配與關聯,可從脫敏資料集恢復出大量真實資訊,甚至引發一起嚴重的隱私資訊洩露事件。通常這種攻擊被稱為重標識攻擊。

資料脫敏、智慧安全運營視角下的新基建安全

 

進行脫敏有效性評估的可行的思路,是基於夏農資訊熵和資訊保安風險評估框架,對脫敏資料集的安全風險進行建模。這種安全風險的脆弱性可以理解為兩個資料庫的“關聯性”。資訊熵具有良好的風險刻畫能力。熵值越大,資料分佈唯一性越強,攻擊者從每一條記錄平均獲得的資訊越多,意味著隱私攻擊的可能性越大。

 資料脫敏、智慧安全運營視角下的新基建安全 

議題最後,陳磊博士還介紹了脫敏評估框架在企業場景的應用。據悉,該能力已經從研究階段落地,內嵌入綠盟資料脫敏系統(DMS)中。該產品包含靜/動態脫敏手段,以及敏感資料發現和重要的脫敏風險評估能力。

人工智慧技術在安全告警評估中的應用

隨著安全技術的進步以及數字化轉型程式的加速,企業側安全運營過程中面臨的突出問題,不再是缺乏分析、感知的能力,而是海量安全告警造成真正高價值資訊的湮沒,導致安全運維人員在處置時無法得到具有高價值的告警。

11月27日的“智慧安全運營”分論壇,綠盟科技天樞實驗室的研究員吳復迪和吳子建,就如何利用人工智慧技術實現從海量告警中篩選出真正高危告警進行了分享。

資料脫敏、智慧安全運營視角下的新基建安全綠盟科技集團 高階安全研究員 吳復迪(左) 吳子建博士(右)

 

AISecOps是綠盟科技近年提出的一個重要理念,即AI驅動的安全運維。當前,大中型企業所要維護的網路和安全裝置所產生的告警量級之大,導致在合理的時間視窗內完全處理所有安全告警幾近不現實。對海量告警的有效篩選,一直困擾著安全運維人員。

吳復迪介紹,告警資訊中要透過篩選剔除的不僅是誤報,還包括日誌型別的低危告警、惡意的試探性攻擊。此外,安全事件也可以分為已確實發生的,和未成功的漏洞利用嘗試。所以,對告警的篩選並不只是找出誤報,還需真正理解告警的含義和企業自身的處置流程。

業界對告警評估的困惑,主要集中在覆蓋率和準確率的平衡。理想情況是,不漏掉一個高價值告警,同時也不看一個無用告警。這就需要在對原始告警進行特徵提取和語義分析的基礎上,動態關聯事件的上下文,從語義、統計、規則等多維度評估事件的風險值,並採用基於語言模型的威脅語義提取演算法、基於異常檢測的低頻事件挖掘演算法、基於流量的事件意圖提取演算法、基於子圖聚合的威脅評估演算法等,持續自適應地提升告警評估效果。

資料脫敏、智慧安全運營視角下的新基建安全

吳子建表示,智慧安全運維的價值不是不應有“人”的參與,而是在安全運維這個領域最大程度將專家知識與人工智慧演算法有機結合,不斷提升告警評估效果人工智慧演算法對安全的“理解”,助力實現更加高效、準確的安全運營。

這種基於人工智慧技術對海量安全告警進行評估、篩選和關聯分析的能力,也在綠盟智慧安全運營平臺(ISOP)中有效落地,並得到充分實踐。

結語

大力發展新基建是2020年重要政策驅動力之一。網路安全和發展新基建的關係應該和網路安全和資訊化的關係類似,互為“一體之兩翼,驅動之雙輪”。本屆INSEC WORLD大會的主題“新基建——以安全為本”也正是在強調,要以安全保新基建的發展,以新基建的發展促安全。

2018年,綠盟科技正式成立星雲、格物、天樞、天機和伏影五大實驗室,專注於雲安全、物聯網安全、漏洞挖掘與利用、威脅感知與檢測和資料智慧五個領域。其中,綠盟科技天樞實驗室重點聚焦AI(攻防)和大資料分析技術在網路安全領域的應用探索。此次三位研究員在INSEC WORLD大會的分享只是一個縮影,這不僅是綠盟科技強大安全研究能力和前沿研究成果的展示,更代表著綠盟科技緊跟趨勢,具備將創新研究成果快速向可交付安全能力轉化的深厚實力。


相關文章