零信任體系化能力建設(shè)(5):數(shù)據(jù)安全與控制跟蹤
在數(shù)字化世界中,一切皆源于數(shù)據(jù)。無論任何時候、任何地方和任何環(huán)境,組織都需要保護數(shù)據(jù)免受未經(jīng)授權(quán)的訪問和泄露,確保核心資產(chǎn)和業(yè)務(wù)的連續(xù)性,并獲得客戶的信任和忠誠度。
然而,這些跨領(lǐng)域、相互交叉的數(shù)據(jù)來自于不同的源頭,并由不同機構(gòu)和人員以不同的方式處理,要確保所有數(shù)據(jù)在不損失安全、隱私和合規(guī)性的前提下,最大限度地傳播共享以發(fā)揮效用,需要從戰(zhàn)略層面對數(shù)據(jù)進行思考、規(guī)劃和治理。本文從零信任安全能力的體系化建設(shè)入手,討論數(shù)據(jù)在收集、使用、傳播及處置過程中的安全保護措施,主要包括數(shù)據(jù)的識別與分類保護、共享與數(shù)據(jù)血緣、訪問與泄露防護,以及勒索與數(shù)據(jù)彈性。
關(guān)鍵字:零信任;數(shù)據(jù)安全;數(shù)據(jù)分類分級;數(shù)據(jù)防泄漏;勒索軟件
一、零信任數(shù)據(jù)安全
針對網(wǎng)絡(luò)的攻擊一般以可用性為攻擊目標(biāo)(例如DDoS),主要影響業(yè)務(wù)運行性能和效率,而針對企業(yè)數(shù)據(jù)的攻擊可以同時包含對機密性、完整性和可用性的攻擊(例如,竊取、破壞、勒索等),對攻擊者具有高額的回報,也更具誘惑力。
此外,數(shù)據(jù)通常也是零信任實施中最薄弱的環(huán)節(jié),它們以結(jié)構(gòu)化或非結(jié)構(gòu)化的文件、碎片(或元數(shù)據(jù))等形式,存在于本地(或虛擬環(huán)境)系統(tǒng)、設(shè)備、網(wǎng)絡(luò)、應(yīng)用程序、數(shù)據(jù)庫、基礎(chǔ)設(shè)施和備份中。在典型的數(shù)據(jù)安全事件中,除數(shù)據(jù)損毀所造成的業(yè)務(wù)影響外,數(shù)據(jù)非法跨境、個人信息泄露等違規(guī)行為也可能會導(dǎo)致訴訟、罰款和聲譽損害等損失,對組織產(chǎn)生不良影響。
根據(jù)IBM Security《2022年數(shù)據(jù)泄露成本報告》,全球數(shù)據(jù)泄露的平均總成本為435萬美元,而在受訪的550個組織中,僅有17%的組織是首次遭受數(shù)據(jù)泄露(參看圖1)。隨著攻擊者越來越多地將注意力轉(zhuǎn)向組織的敏感數(shù)據(jù),組織迫切需要更強大的數(shù)據(jù)安全控制和程序。
圖1 2022年數(shù)據(jù)泄露的平均總成本(來源IBM)
零信任數(shù)據(jù)安全的總體目標(biāo)是確保關(guān)鍵敏感數(shù)據(jù)不會暴露和泄露、也不會因數(shù)據(jù)安全導(dǎo)致組織運營問題,其能力建設(shè)不僅要考慮數(shù)據(jù)的存儲安全(例如空間和性能),還要考慮數(shù)據(jù)的管理方法、流程和工具,以實施有效的安全管控。通常,數(shù)據(jù)管理中的典型問題包括:
l 如何進行數(shù)據(jù)發(fā)現(xiàn)和標(biāo)記?
l 如何處理過期數(shù)據(jù)?
l 如何進行數(shù)據(jù)備份和恢復(fù)?
l 如何在數(shù)據(jù)存儲、傳輸和使用中加密數(shù)據(jù)?
數(shù)據(jù)可見性是建立有效控制的前提。隨著用戶工作方式的變化,復(fù)雜而又動態(tài)的IT環(huán)境將數(shù)據(jù)置于嚴(yán)重的“蔓延”風(fēng)險下,組織甚至無法了解數(shù)據(jù)所在的位置,以及哪些實體正在訪問數(shù)據(jù)。例如,在一個組織中,員工可能使用數(shù)十種以不同方式收集、分析和共享數(shù)據(jù)的SaaS應(yīng)用,不同應(yīng)用形成了組織內(nèi)數(shù)據(jù)的孤島。這些“數(shù)據(jù)孤島”阻礙了安全措施的實施,組織不僅要關(guān)心傳統(tǒng)安全邊界消失所帶來的風(fēng)險,更要關(guān)注數(shù)據(jù)本身的安全問題,包括數(shù)據(jù)的流動方式和去向。
圖2 適用于不同生命周期階段的數(shù)據(jù)安全控制
控制能力不足是現(xiàn)階段數(shù)據(jù)安全面臨的主要問題。為了實施零信任數(shù)據(jù)安全,需要數(shù)據(jù)(業(yè)務(wù))所有者理解數(shù)據(jù)的生命周期,全面規(guī)劃數(shù)據(jù)安全策略和控制,包括完善在數(shù)據(jù)發(fā)現(xiàn)、監(jiān)控、跟蹤和審計方面的可見性,強化組織內(nèi)存儲、傳輸和使用中數(shù)據(jù)的加密保護,控制對進入/離開組織的數(shù)據(jù)的訪問,并提供快速識別、應(yīng)對數(shù)據(jù)安全問題的策略、流程和工具。
二、數(shù)據(jù)安全的關(guān)鍵能力
在零信任安全框架中,數(shù)據(jù)安全能力需要從宏觀上進行規(guī)劃建設(shè),覆蓋數(shù)據(jù)在生成、存儲、傳輸和處理過程的全生命周期安全,包括對高價值數(shù)據(jù)的分類分級保護、數(shù)據(jù)跟蹤控制,敏感數(shù)據(jù)防泄漏,以及數(shù)據(jù)彈性能力等。
1.識別與分類保護
數(shù)據(jù)安全需要將策略控制直接應(yīng)用于數(shù)據(jù)對象本身。盡管有些數(shù)據(jù)看起來更重要一些,但即使是不太關(guān)鍵的信息,如果在錯誤的時間丟失或泄露,也可能對組織造成損害,例如,待發(fā)布產(chǎn)品的性能參數(shù)等。
宏觀來看,數(shù)據(jù)安全策略不應(yīng)僅限于保護最有價值的數(shù)據(jù),但也并非所有數(shù)據(jù)都需要進行平等的保護。組織需要了解持有的數(shù)據(jù),識別不同數(shù)據(jù)的安全風(fēng)險,以便能夠確定重點保護的區(qū)域和對象。通常,組織的高價值數(shù)據(jù)資產(chǎn)可能包括:
l 組織數(shù)據(jù)資產(chǎn),例如CRM數(shù)據(jù)庫中的信息;
l 業(yè)務(wù)關(guān)鍵文件,例如戰(zhàn)略計劃和協(xié)議;
l 合規(guī)監(jiān)管數(shù)據(jù),例如未經(jīng)審計的財務(wù)報表;
l 知識產(chǎn)權(quán)文檔,例如產(chǎn)品設(shè)計和技術(shù)規(guī)格;
l 個人隱私信息,例如員工的詳細(xì)信息。
數(shù)據(jù)分類是根據(jù)數(shù)據(jù)的類型、敏感性和業(yè)務(wù)價值對數(shù)據(jù)進行標(biāo)記的過程,以便可以在組織內(nèi)部和外部就如何管理、保護和共享數(shù)據(jù)做出策略選擇。通常,大多數(shù)組織需要采用自定義的分類(例如表1)和粒度,以匹配其數(shù)據(jù)安全解決方案的分類保護和控制能力。
表1 按敏感級別的數(shù)據(jù)分類示例
數(shù)據(jù)標(biāo)簽可以作為可視化標(biāo)記附加在數(shù)據(jù)上,并嵌入文件的元數(shù)據(jù)中。通過與數(shù)據(jù)安全解決方案結(jié)合,元數(shù)據(jù)標(biāo)簽有助于為數(shù)據(jù)實施基于規(guī)則的安全控制或使用。
2.共享與數(shù)據(jù)血緣
在現(xiàn)代企業(yè)的IT環(huán)境中,數(shù)據(jù)不斷積累,并高速流入和流出組織,如何清理、組織、存儲和維護這些數(shù)據(jù)對組織至關(guān)重要。數(shù)據(jù)血緣是數(shù)據(jù)管理領(lǐng)域的重要概念,最早起源于數(shù)據(jù)倉庫和ETL(提取、轉(zhuǎn)換、加載)過程,用于跟蹤數(shù)據(jù)記錄從創(chuàng)建、使用和處置的完整過程。
在數(shù)據(jù)血緣技術(shù)中,數(shù)據(jù)在其生命周期中的每個操作步驟的元數(shù)據(jù)都會被收集、存儲起來(如圖3),并通過血緣分析來構(gòu)建數(shù)據(jù)映射框架,幫助組織確認(rèn)數(shù)據(jù)來自可信來源、并進行了安全轉(zhuǎn)換和存儲。
圖3數(shù)據(jù)血緣在數(shù)據(jù)操作后的更新方式
在使用數(shù)據(jù)血緣時,不同的組織角色通常有不同的需求,管理層希望理解數(shù)據(jù)在整個業(yè)務(wù)流程中的作用,比較關(guān)注數(shù)據(jù)的準(zhǔn)確性,而IT和安全團隊則更關(guān)注數(shù)據(jù)的血緣關(guān)系,以滿足運營、合規(guī)和流程的要求。
雖然詳細(xì)記錄每個數(shù)據(jù)的來源非常繁瑣,但這些信息使組織能夠識別潛在的安全漏洞,并實施適當(dāng)?shù)谋Wo措施來保護敏感數(shù)據(jù),確保遵守數(shù)據(jù)安全法規(guī)。
以數(shù)據(jù)銷毀為例,作為數(shù)據(jù)安全的一個重要方面,通常組織更擅長(或樂意)創(chuàng)建和聚合數(shù)據(jù),而不是刪除數(shù)據(jù)。數(shù)據(jù)血緣可以使組織了解數(shù)據(jù)生命周期,提供敏感數(shù)據(jù)在整個組織中如何處理、存儲和訪問的精細(xì)可見性,有助于提高數(shù)據(jù)安全和隱私保護能力,例如,識別并確定必須進行數(shù)據(jù)備份或銷毀的時間點。
3.訪問與泄露防護
訪問控制是安全策略實施的重要組成,細(xì)粒度訪問控制需要將數(shù)據(jù)敏感等級納入決策條件中。可見,數(shù)據(jù)分類是在零信任中實施細(xì)粒度訪問控制的先決條件。
在零信任體系化能力建設(shè)中,請求者(人類用戶或NPE)的身份安全能力主要通過“身份”支柱建設(shè)。在實施訪問控制時,訪問策略引擎需要將“身份”和“設(shè)備”信息映射、關(guān)聯(lián)到“數(shù)據(jù)”支柱所建設(shè)的數(shù)據(jù)清單上,以便限制它們對目標(biāo)數(shù)據(jù)的訪問,從而降低可疑用戶或失陷設(shè)備所帶來的數(shù)據(jù)安全風(fēng)險。
通過加密技術(shù)保護存儲、傳輸中的數(shù)據(jù)是安全團隊的通用做法,但有些組織可能會忽視對動態(tài)數(shù)據(jù)的加密(即通信加密)。實際上,即使在部署VLAN、分段或其他隔離措施的網(wǎng)絡(luò)中,攻擊者也可以通過對路由器或網(wǎng)關(guān)的攻擊,來窺探網(wǎng)絡(luò)流量,獲取敏感信息。因此,對數(shù)據(jù)(包括傳輸中的數(shù)據(jù))進行加密,是建設(shè)零信任數(shù)據(jù)安全的重要內(nèi)容。
數(shù)據(jù)防泄露(DLP)是一項比較成熟的數(shù)據(jù)安全技術(shù),組織在設(shè)計實施DLP時,需要考慮因素主要包括:
l 數(shù)據(jù)安全策略和合規(guī)監(jiān)管需求的復(fù)雜程度;
l 持續(xù)運營DLP所需要依賴的資源,及其來源;
l DLP覆蓋的通信渠道,例如,電子郵件、Web、FTP、內(nèi)容協(xié)作平臺、云存儲等;
l 數(shù)據(jù)的多樣性和類型情況,例如,結(jié)構(gòu)化、非結(jié)構(gòu)化和半結(jié)構(gòu)化(例如表單數(shù)據(jù));
l 數(shù)據(jù)存儲的方式,例如,云存儲、本地文件服務(wù)器等。
DLP的關(guān)鍵能力(例如,數(shù)據(jù)可見性及與訪問位置的關(guān)聯(lián))對零信任整體數(shù)據(jù)安全建設(shè)非常重要,通過協(xié)調(diào)零信任策略與DLP策略的一致性,可以集成DLP的產(chǎn)品能力,并根據(jù)DLP的輸出(例如,敏感數(shù)據(jù)泄露警告),實現(xiàn)與數(shù)據(jù)移動上下文相關(guān)的安全策略。
4.勒索與數(shù)據(jù)彈性
無論對組織還是個人,勒索軟件都具有不容置疑的巨大危害。根據(jù)Statista的報告,自2018年以來,全球組織遭受勒索軟件攻擊的比例每年持續(xù)上升,并于2021年達(dá)到峰值68.5%。
在如此普遍的勒索軟件攻擊趨勢之下,組織關(guān)心的問題已經(jīng)從“是否會受到攻擊”,轉(zhuǎn)為“何時遭到攻擊”。更糟糕的是,勒索軟件攻擊的重點是備份系統(tǒng),在傳統(tǒng)采用溫/熱備進行災(zāi)難恢復(fù)的方法中,由于備份數(shù)據(jù)已被勒索軟件加密,導(dǎo)致最終的恢復(fù)失敗。在這種情況下,除了從冷備份中進行復(fù)雜、耗時的恢復(fù)之外,組織別無選擇。
按照Gartner的觀點,為了應(yīng)對勒索軟件攻擊,用于災(zāi)難恢復(fù)的隔離恢復(fù)環(huán)境(IRE)應(yīng)具備寫保護、勒索軟件檢測、即時自動化恢復(fù)和隔離部署等能力。在IRE技術(shù)成熟之前,用戶在運行獨立的備份系統(tǒng)時,則應(yīng)通過實施3-2-1備份規(guī)則(每個數(shù)據(jù)必須至少有3個副本,其中2個副本必須存儲在不同位置的系統(tǒng)中,并且至少1個與生產(chǎn)環(huán)境隔離),提高數(shù)據(jù)的可恢復(fù)能力。
備份不能阻止勒索軟件攻擊,但對于事件發(fā)生后的恢復(fù)至關(guān)重要,可以提供一定的數(shù)據(jù)彈性,使組織在發(fā)生數(shù)據(jù)意外時確保業(yè)務(wù)連續(xù)性。不管組織使用私有化部署的數(shù)據(jù)災(zāi)備系統(tǒng),還是云原生的數(shù)據(jù)彈性平臺,數(shù)據(jù)安全建設(shè)都需要關(guān)注數(shù)據(jù)的災(zāi)難恢復(fù)能力,對恢復(fù)點目標(biāo)(RPO)和恢復(fù)時間目標(biāo)(RTO)負(fù)責(zé),并將數(shù)據(jù)備份和恢復(fù)連接融入零信任安全能力框架。
三、數(shù)據(jù)安全的最佳實踐
通過保持零信任數(shù)據(jù)安全策略與業(yè)務(wù)目標(biāo)的一致,組織能夠安全地生成、處理和存儲更有價值的數(shù)據(jù),從而使企業(yè)改進決策獲得競爭優(yōu)勢,并提高業(yè)務(wù)敏捷性,同時防御日益復(fù)雜的安全威脅。
1.自動化分類標(biāo)記
伴隨數(shù)據(jù)量和產(chǎn)生速度的不斷增加,數(shù)據(jù)可見性對組織來說是一個巨大的挑戰(zhàn)。通過利用自動化的數(shù)據(jù)分類標(biāo)記工具,可以使數(shù)據(jù)識別以更快的速度、覆蓋更廣泛的范圍,最重要的是能實現(xiàn)對數(shù)據(jù)映射的持續(xù)更新和維護,以跟上業(yè)務(wù)、技術(shù)和威脅的發(fā)展。
自動化的敏感數(shù)據(jù)發(fā)現(xiàn)可以識別數(shù)據(jù)的位置,并根據(jù)預(yù)定的敏感度級別對數(shù)據(jù)進行分類,然后將適當(dāng)?shù)脑獢?shù)據(jù)應(yīng)用于每個文檔(包括電子郵件和文檔),為下游的安全生態(tài)系統(tǒng)(例如DLP、CASB)提供決策控制信息,包括數(shù)據(jù)清單、敏感等級、結(jié)構(gòu)類型、數(shù)據(jù)來源和交換記錄等。
2.增量式逐步推進
在面對復(fù)雜業(yè)務(wù)的數(shù)據(jù)安全場景時,用戶可能會因試圖發(fā)現(xiàn)、分類和保護組織的所有數(shù)據(jù),而感到無從下手,特別是在一些數(shù)據(jù)管理能力不足和技術(shù)手段落后的環(huán)境中,實施零信任數(shù)據(jù)安全的任務(wù)更加艱巨。
解決該問題的最佳方法是采用循序漸進的實施策略,客觀地規(guī)劃能力目標(biāo)與進度,將與業(yè)務(wù)相關(guān)的最終產(chǎn)出結(jié)果,分解為可實現(xiàn)的里程碑,并在推進過程中,確保能按時間表獲得相應(yīng)的資源或調(diào)整時間表。另外,在實施過程中,保持與利益相關(guān)者的溝通,保證他們了解當(dāng)前的進度狀態(tài)和新變化。
在實施方面,從小事做起,逐步提高。例如,考慮首先保護電子郵件和文件,然后轉(zhuǎn)向SaaS應(yīng)用和云。安全計劃的實施也從基礎(chǔ)級別開始,將精細(xì)的策略控制應(yīng)用于電子郵件和非結(jié)構(gòu)化數(shù)據(jù),然后從逐步開始擴展到流入和流出企業(yè)的數(shù)據(jù)。
3.持續(xù)性審查治理
成功的數(shù)據(jù)安全計劃需要能夠循環(huán)反饋和定期審查。數(shù)據(jù)永遠(yuǎn)存在并持續(xù)變化,控制措施也需要緊跟技術(shù)發(fā)展進行演進,以適應(yīng)威脅變化。除了定期(例如每年)審查數(shù)據(jù)安全的實施和計劃外,也可以在以下情況下觸發(fā)審查:
l 組織管理層發(fā)生重大變動;
l 法律或監(jiān)管發(fā)生重大變化;
l 內(nèi)部或外部發(fā)生了重大事件或違規(guī);
l 出現(xiàn)了重大的技術(shù)變革。
四、結(jié)語
通過將零信任原則應(yīng)用于數(shù)據(jù)安全能力建設(shè),組織可以實現(xiàn)更全面、細(xì)粒度的數(shù)據(jù)保護和訪問控制,增強對敏感數(shù)據(jù)的安全性和可控性,減少數(shù)據(jù)泄露和損失的風(fēng)險,提高整體的安全防御能力。但數(shù)據(jù)安全是一個持續(xù)的過程,組織需要綜合考慮技術(shù)實現(xiàn)、用戶體驗和文化變革等方面的挑戰(zhàn)和因素,根據(jù)自身情況制定適合的計劃和策略。同時,也需要確保與合規(guī)要求和業(yè)務(wù)需求的一致性,以最大程度地提高數(shù)據(jù)安全性和保護組織的利益。
最后,本系列文章從零信任成熟度模型的五個能力支柱,討論了在零信任實施過程中,組織需要關(guān)注和建設(shè)的關(guān)鍵能力集,包括建立多層次的身份驗證和訪問控制、采用加密和加密技術(shù)、實施持續(xù)監(jiān)控和分析等措施。
零信任并非一勞永逸的解決方案,而是一個持續(xù)的過程和理念,它需要組織在不斷演化的威脅環(huán)境中保持警惕,并根據(jù)實際情況和需求調(diào)整和改進零信任策略,以逐步達(dá)到更高水平的安全性和成熟度。