資料安全運營淺析

安全劍客發表於2020-07-21
導讀 近幾年網際網路公司資料安全已從單兵作戰逐步發到到團隊作戰,分工上也朝著精細化運營、風險模型建設、資料安全平臺建設等細分方向專業化演進。
一、定位與目標

近幾年網際網路公司資料安全已從單兵作戰逐步發到到團隊作戰,分工上也朝著精細化運營、風險模型建設、資料安全平臺建設等細分方向專業化演進。

其中資料安全運營定位:資料分析(掌握核心技術)—資料安全運營(背鍋+其它)– 業務(價值方),資料安全運營漸漸成為公司資料安全團隊與業務溝通、專案推進及價值輸出(賦能)的視窗,資料安全的核心在運營能力,資料、模型、工具都是手段,透過運營實現對業務的價值輸出目標,運營不僅僅要懂技術,還要做到既要、還要的更高要求。

資料安全運營淺析資料安全運營淺析

我理解的資料安全運營:

  1. 風險管控能力:識別、治理、收斂,在過程中結合業務特徵提煉真實的風險場景、及隱私要求透過技術手段實現對法律法規的遵從性–來自業界大佬語錄(一般管理手段與安全管理、合規團隊聯合推進),並建立匹配的治理方案及工具、方法論;
  2. 運營賦能業務:
    1. 關鍵資料支撐業務決策,影響業務在風險環節的資源投入;
    2. 基礎工具、元件服務支援,安全能力左移(前置),降低業務安全上的成本。
二、工作方法
1. 目標設定
  • 起步階段,找業界同行Top1-2家公司這方面的目標設定作為參考,根據不同業務、資料安全的發展階段,設定目標;
  • 發展階段,對比自己的歷史資料,參考業界指標,設定目標;
  • 特殊時期的階段性目標,如疫情期間資料安全目標的設定。
2. 技術手段

資料全生命週期管理

資料安全運營淺析資料安全運營淺析

這裡暫不涉及具體資料安全措施在業務的建設內容,這些措施在不同行業、公司文化、及業務不同發展階段的建設方向和次第需要講究和考量的。

3. 持續運營

(1) 基礎工作:資料分類分級、資料標籤;建立資產庫和資產大盤,掌握資料資產在業務的分佈、風險狀態;許可權管理、關鍵業務日誌等;

如資料在收集階段的涉敏資產發現服務;資料在儲存中的掃描服務、加密儲存服務;資料在使用過程中的檔案分發平臺等,這些基礎能力的建設堅持對標業界,避免走彎路的同時提升效率;

(2) 風險評估:一般透過事件發生機率與影響來評估風險值,這也是很多諮詢類公司的常見做法,或者套用DREAD模型的計算方式:等級=危害性+復現難度+利用難度+受影響使用者+發現難度來進行資料安全風險評估,這些方法的使用無可厚非,其最終能與業務達成一致的風險認知很關鍵。

(3) 風險識別:在基礎工作上利用多維度資料進行風險行為分析,如UEBA。

風險場景識別,除了運營同學深入業務比業務還要了解業務外、還可以將特徵資料進行重組或進一步深挖資料,進而發現新風險、另外一個就是內外部情報資料。

在風險管控過程中 逐步建立工具和平臺,實現自動化,如建設UEBA平臺、安全運營平臺(SOAR-安全編排、自動化及響應)。

這裡假設來自上級的靈魂拷問:你的地盤還有沒有不在視野範圍內的資料安全風險?嘗試界定資料安全邊界並關注核心風險,如資料洩露、人員舞弊,加上資源總是稀缺的,即主要風險應該都在視野內。

(4) 安全治理:兩種自上而下的推進方法

單純的自上而下,本質上利用權力來威懾業務達到安全目的,通常效果有了也隱藏了業務的怨言。

利益共同體式的自上而下(來自我的領導多年經驗),即透過聯合作戰專案安全牽頭髮起、業務主導共同推進安全治理並共享成果。這也是自上而下的模式,其實這種是需要更強的組織機制來保障的。

技術上實操上結合資料全生命週期管理過程中涉及到的安全措施,可以聯合業務方、或安全自研或採購工具進行治理,如水印服務、資料加密、漏洞掃描、B\C端涉敏根服務呼叫鏈治理等,透過有序的治理工作,有時候會獲得較好的安全回報,如風險收斂、勾搭上業務MM又熟悉業務了。

(5) 業務賦能:資料賦能,對業務輸出高質量資料,支援業務決策發展,安全能力賦能業務方,從服務業務方變成業務的安全夥伴,給業務以力量,自己也硬氣了。

4. 效果驗證

透過資料指標量化驗證,資料指標變化應與採取措施的預期一致,我們對某個指標採取了措施,一種情況是觀察一段時間後對指標沒有影響,很可能是我們沒有找到根因,另一種情況可能是採取的多種措施對指標都有正向影響,此時我們需要選擇一個價效比最高的措施,考慮ROI。

案例A

資料安全運營淺析資料安全運營淺析

案例B

資料安全運營淺析資料安全運營淺析

5. 論與業務關係

安全運營離不開業務這個衣食父母,要有服務意識,這是基礎,但在筆者看來,怎麼向業務闡述清楚業務面臨的資料安全風險更為關鍵,這也是運營的基本功之一吧,如果能與業務就風險達成一致的認知,以覆蓋率、收斂為目標的安全措施、治理專案就更多的變成在業務側怎麼協調資源、排期的執行層面的問題了。

在運營的過程中,除了業務外,兄弟團隊如HR、合規、內控等也是資料安全運營要協作的,其實大家目標都是一致的,在實際工作中明確各自的主戰場並建立協同作戰機制,如內部人員舞弊需要資料運營團隊的資料支援與合規團隊的情報線索、線下調查結合才能打一個漂亮的組合拳。

三、提煉總結

(1) 根據業務形態不斷調整資料安全打法:

  • 成熟業務,側重推進基礎安全能力提升,典型問題溯源到底,防禦為主;
  • 快速發展業務,安全容忍度適當放寬,抓典型案例震懾,事前工作做足,如SDL能力覆蓋;
  • 成長業務:介於兩者之間,借業務系統升級、轉型接入推進安全能力提升,標本兼治;

(2) 通用性資料安全風險要有統一的成熟技術方案,覆蓋率、風險收斂作為核心指標,涉敏資料外發、賬號風險治理、反爬等;

(3) 堅持對標的意義:最大化的提升效率,避免走彎路,但對標並不能保證風險收斂,因此需要運營的投入,與業務做自適應匹配。

原文來自: https://www.linuxprobe.com/data-security-analysis.html

來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/69955379/viewspace-2706033/,如需轉載,請註明出處,否則將追究法律責任。

相關文章