[translate]Gartner市场洞察-数据安全的未来

=Start=

缘由:

最近看了Gartner的一篇叫做《Market Insight: The Future of Data Security》的英文报告,想着翻译并整理部分内容作为学习总结,后来看到安华金和之前也翻译过一部分,所以在它的基础上做了一些修改和补充,放在这里,方便以后参考学习。

正文:

参考解答:
数据泄露反复证明数据安全的关键性,数据安全产品需要不断发展。挑战越来越大,唯有对现有数据安全产品进行重大创新。
对当前现状的几大发现:

■组织很难将注意力和投资放在数据安全技术上。

■数据保护的发展慢慢开始涵盖新技术,如机器学习(ML)、人工智能(AI)、区块链和高级数据分析,来弥补内容和情景间的差距。

■首席信息安全官(CISOs)正在寻找一种组合,涵盖加密、令牌化、数据脱敏、以数据为中心的审计和保护(DCAP)和数据丢失预防(DLP),以纯粹SaaS形式或者以管理的安全服务,或两者混合。

■数据安全厂商市场很大,主要提供单点产品而非多功能套件。

一、趋势分析

图1. 数据安全生态系统 – 每个领域的代表性供应商

随着网络威胁的增加以及数据关键性和价值提升,数据保护产品不断发展。同时,随着终端用户继续走向数字业务,采用云服务,数据会变得更加危险。组织需要能够对访问,可见性和监控进行更强控制的产品和工具,这是未来数据安全的主要内容。

首先,数据访问管理(DAG)产品必须到位。这意味着DLP、DCAP、DAG、特权访问管理(PAM)和身份管理和管理(IGA)产品之间更紧密的集成。

其次,Gartner建议安全和风险管理人员和CISO采用CARTA方法。CARTA(持续性自适应风险与信任评估(Continuous Adaptive Risk and Trust Assessment))结合了对自适应访问控制的需求,以及用于传统应用程序的用户和实体行为分析(UEBA)监控。

随着破坏性技术的兴起,技术战略规划师可以通过新兴技术增强自身产品体系;通过调查整合或开发替代的破坏性技术,并创建收购和整合策略来跳出传统技术思路。

新兴技术列举如下
Gartner的“2017年十大战略技术趋势:Gartner趋势分析报告”和图3点明了旨在提高数据保护的三个主题(智能,数字和网格) 的技术。下面概述的技术多处于与数据安全产品集成的最初阶段,能填补当前产品集的一些空白。

图2. 2017年十大战略技术趋势

l 高级安全分析

数十年来,高级分析已被纳入欺诈检测应用,可更好地实现数据处理和自动化保护结果。高级安全分析需要回答以下四类问题:

  1. 描述性的——发生了什么?
  2. 诊断性的——为什么会发生?
  3. 预测性的——将会发生什么?
  4. 说明性的——我该怎么应对?

l 人工智能和机器学习

AI和ML通常在讨论大数据和分析时可互换使用,这些技术在应用于数据安全领域时处于起步阶段。

l 多方计算

多方计算(MPC)是一种密码学方法,使实体(应用程序,个人或设备)能够处理数据的同时保持数据处于受保护,机密和私有状态。

l 区块链

“破坏性”的区块链很有潜力,支持Blockchain的数据安全应用程序提供了建立信任和弹性的替代方法。

l 差分隐私

差分隐私是2006年开发的一种技术,通常适用于“隐私”用例,有望改善个人及其数据的隐私。

除了新技术的次第萌芽,硕大的数据安全环境下,技术的收购和伙伴关系的发展,可以更好地帮助组织降低复杂性并实现业务目标,降低数据泄露风险。技术战略规划者必须通过OEM协议来扩大生态系统的范围。

据Gartner的调查:组织表示,产品即服务(SaaS化)的能力在亚太地区、北美和欧洲都很受欢迎,安全预算在500万到1000万美元之间的组织也对SaaS感兴趣,并将成为客户“首选”,并看重其灵活性,低成本和获得最适合最终用户需求的产品能力。特别是人力、财力有限的中小企业(SMB),更倾向这种模式。

二、背景和环境

越来越多的数据泄露和对云服务的攻击正在增加组织的业务风险。组织更加关心在结构化和非结构化环境中识别,分类和保护关键数据集,以符合GDPR。组织现在感到需要申请数据安全治理和信息资源的压力,将每个数据集作为金融资产和负债进行评估,技术战略规划者应当改进能力以响应。

l 企业数字版权管理(EDRM)

Gartner将EDRM描述为用于对某些类型的企业数据强制访问和使用控制的技术,可结合DLP,文件库,身份和访问管理(IAM)服务等技术,提供更优工具组合。

l 以数据为中心的审计和保护工具

DCAP产品和技术特点能够集中监控用户、管理员与特定数据集相关的活动。DCAP供应商需要通过有机生长和收购来继续增加技术能力,特别是在UEBA,AI/ML和区块链技术领域。

l 数据防泄露

展望未来,终端用户组织有望越来越多地寻求集成的DLP功能,而不是全面的E-DLP套件。

l 用户和实体行为分析(UEBA)

UEBA已完成数据安全产品的集成,这项技术有望成长壮大,技术战略规划者必须建立UEBA /员工监控能力,以帮助终端用户进一步提升其数据安全状态。

l 特权访问管理(PAM)

PAM到2020年有望实现复合年增长率为27%的显著增长,达22亿美元。集成PAM产品将增强数据安全产品,并向最终用户提供多种功能。

l 计算机安全意识培训

在采取以人为中心的安全方法时,终端用户的组织会进行计算机安全意识培训(SA-CBT)。SA-CBT的设计目标是创造一个让员工更加了解他们该如何处理电子邮件,并改善他们的密码设置习惯和改变员工(不安全)行为的环境。最终目标是保护数据,无论是知识产权、个人身份信息(PII)、私人企业数据还是其他数据。

l 数据脱敏

数据脱敏是一种旨在防止滥用敏感数据的技术。它为用户提供虚构而实用的数据,而非真实、敏感的数据,因此用户可以保持其执行业务流程的能力。与加密和令牌化不同,数据脱敏技术,数据经历单向转换,不可逆。数据不能通过篡改操作被透露。

图3. 数据脱敏示例

三、影响与结论

数据安全领域正在快速发展,提供商越来越多。由于最终用户关注保护数据的完整性和隐私性,关键技术的整合或收购将有望增值,并具有可观增长潜力。了解最终用户的需求,了解更智能化的数据安全控制的重要性,将有助于塑造数据安全产品策略。

将以上技术添加到现有产品体系将引发数据安全市场空间的变革,使安全性更智能化、自动化,这可能意味着数据安全市场的革命性变化,帮助客户应对数据安全挑战,使客户走上更有效的数据安全道路。提供SaaS和内部部署形式的产品将提供更多选择,使组织能够选择功能模块,而非购买增加复杂性的大型套件。

针对最终用户的需求,技术战略规划者需要:

①使用持续的风险和信任评估方法,通过设计CARTA的投资组合来改善客户的数据治理策略;

②通过测试与破坏性技术的集成或开发,并通过合作或收购这些技术,在传统技术框架之外创建解决方案;

③通过为客户创造具有商业激励的移动计划,加速SaaS产品应用;

④加入安全计划,如OWASP,与互补邻近市场的供应商建立关系和整合。

 

参考链接:

=END=

声明: 除非注明,ixyzero.com文章均为原创,转载请以链接形式标明本文地址,谢谢!
https://ixyzero.com/blog/archives/4182.html

《[translate]Gartner市场洞察-数据安全的未来》上有18条评论

  1. Gartner:以数据为中心的审计和保护(DCAP)市场指南(节选)
    https://paper.tuisec.win/detail/c736cb45c2ee6f5
    https://mp.weixin.qq.com/s/PYQlfptjkj3sIebiieljNA

    目前的Gartner研究涉及到了四个细分市场,这些产品正在向发展成具有关键的跨存储(cross-silo)的DCAP功能:数据库审计和保护(DAP);数据访问治理(DAG);云访问安全代理(CASB);和数据保护(DP),其中包括加密,标记化( tokenization),数据编写(Redaction) 和数据脱敏(data masking)。不同的发展轨迹意味着产品在其产品路线图中不可避免地具有不同的基本目标和功能。虽然没有单独的产品完全满足DCAP的要求,但是这些类别的产品都是跨越数据孤岛的不断发展的能力:

    DAP - 这类产品已经开发了很多年,涵盖数据安全策略、数据分类和发现、特权访问管理、数据活动监测或行为分析、审计和数据保护的实施。以前,专注于RDBMS和数据仓库,少数产品开始支持Hadoop和非结构化文件共享以及DBaaS。

    DAG - 有时被称为以文件为中心的审计和保护(FCAP)。通常,这类产品专注于实施数据安全访问策略、数据分类和发现,文件存储库和目录服务(如SharePoint)的活动监视和审计。这类产品与身份和访问管理(IAM)方法密切相关。一些产品也开始包含云SaaS应用的功能。

    CASB -在 SaaS应用程序或云存储环境(如Microsoft Office 365,Salesforce,ServiceNow,Box和Dropbox)中保护数据的能力正在迅速增长。这类产品包含了一套不断演变的数据安全控制,跨越DCAP,数据丢失防护(DLP)和用户实体行为分析(UEBA)。 CASB通过阻止、数据编写(Redaction)、密、标记化( tokenization)、隔离,不断发展出各种各样的数据分类和发现,访问控制,活动监控,审计和保护。这些产品通常是独立的,有些CASB可以从企业DLP产品导入策略,但其管理不与本地DLP集成(请参阅“云接入安全代理商市场指南”)。

    DP - 这些产品传统上主要通过在多个数据孤岛(RDBMS,数据仓库,非结构化大数据以及一些基于云的企业文件同步和共享工具)上使用加密,标记化( tokenization)或数据脱敏(data masking)来保护数据。但少数产品通过增加实时警报,活动监控和审计功能进行了创新。鉴于DAP和DAG产品可提供对文件或数据库内所有数据访问的监视和审计,这些DP产品通常只针对敏感数据类型。

  2. 诸子云 | 全知方兴:DT时代的数据安全与合规
    https://mp.weixin.qq.com/s/hLyrKWk__xz2R5zdLGEzOA

    我们由IT时代、信息时代进入了DT时代、数据时代,这两者之间本质的区别是什么?在方兴看来,过去,信息是一种有价值的静态资产,今天,数据则是被使用和流动的信息,或者说,更像是用来创造价值的生产资料。

    “不可见”就会导致“不可知”——不知道谁在访问数据,可能面临怎样的风险,应该保护的对象是谁,会不会在流通过程中产生高危行为。因为“不可知”,就没办法实现对数据的管理性和风险的可控性。

    只有从“可见可知”到“可观可控”,企业才能真正在数据流通过程中把控风险。

  3. 浅析商业银行数据安全保护体系建设思路
    http://blog.nsfocus.net/brief-analysis-on-the-construction-of-data-security-protection-system-in-commercial-banks/

    前言
    商业银行数据保护的困境
      数据存在形式多、访问人员多、存储分散、易传播
      数据泄露途径多
      数据价值定义不明确,保护工作重点不突出
    数据保护建设步骤
      建立信息安全防护基础
      建立数据安全防护体系
      对信息流进行风险管理
    数据安全防护体系建设思路
      完善数据保护组织架构
      对数据进行分类分级保护
        识别现有数据
        进行数据分类
      制定数据保护控制策略
      制定并推进敏感性标识策略
      制定授权审批策略
      制定敏感数据脱敏策略
      建立技术手段进行数据保护
      建立覆盖数据全生命周期的制度与技术手段
      建立数据保护安全培训体系
    总结

  4. 数据安全未来前景展望
    https://mp.weixin.qq.com/s/Fh4U64SPXp-LUWiPUgfJJw

    一、未来的市场空间能有多大?
    二、当我们谈数据安全的时候,我们在谈什么?
    当我们在谈数据安全的时候,最容易讲的是DBMS安全,2018年安全牛发布了对数据库管理系统的防护清晰的定义。从这个角度上看,该定义可以被划归到数据库安全的1.0时代。数据库安全市场如果仅仅看到这一点,一定会错过未来的发展机会。再往前看,2.0的时代以“数据”为中心的防护时代,3.0时代是“数据安全治理”的时代。数据安全划分成这三个时代,分别代表了不同的含义。

    1、数据安全的1.0时代
    从最早期推出的数据安全产品看,包括市面上大多数的数据安全厂商产品,与传统的网络安全有一个相对完美的对应。比如说磁盘加密对应数据库加密;IPS/防火墙对应数据库防火墙;IDS入侵检测对应数据库审计;网络扫描对应数据库漏扫。实际上是网络安全思想移到数据和安全思想的映射,只是说传统思想的实现。本质上我们听到一个声音,数据和安全是网络安全的分支。这有点让人费解,为什么数据安全是网络安全的分支。但是对数据安全的发展稍加追溯就恍然大悟,最初的设想就是按照网络安全思想做数据库安全,实际上是同样一套思路在推进。

    2、数据安全的2.0时代
    2.0时代应该提供什么样的安全措施,或者跟人所对应的产品,都是在特定的活动场景下进行。主要强调数据离开库之后,在业务使用中,分享给第三方平台的安全性问题。
    2.0时代数据安全的核心理念在于尽可能保证业务系统正常使用,所以必须要进行场景化的思考,什么是满足这个场景必要性的条件,只有满足这个假定之后我们才要思考用什么技术能够去满足。

    3、数据安全的3.0时代
    3.0时代进入到了系统化的数据安全治理的时代,数据上升到资产、基础设施层面。好比人类发展到需要考虑公共安全的阶段,不可能再通过气囊、头盔这样的单一的个体防护方式。在面临更大的风险威胁的时候,我们会建立组织、公检法体系,建立军队;会出台政策规范、刑法、交通法等等来予以保证;同时会建立公共设施安全,比如机场安检,建立登机制度等。
    3.0时代最关键的特征就是体系化安全。安全不再是一个纯产品技术上的安全,实际上是组织规范+技术的完美整合,以呈现整体的安全。

  5. 「回顾」蚂蚁数据分析平台的演进及数据分析方法的应用
    https://mp.weixin.qq.com/s/ZH5e-ZW1mLnAEelL76wxuA

    大家好,今天主要分享数据分析平台的平台演进以及我们在上面沉淀的一些数据分析方法是如何应用的。具体分以下四部分:
    Part1:主要介绍下我所在的部门,数据平台部主要是做什么的,大概涉及到哪些业务,在整个数据流程当中数据平台部负责哪些东西;
    Part2:既然我们讲数据分析平台,那么数据分析是什么样的,数据分析领域是什么样的;
    Part3:蚂蚁现在的数据分析平台是怎么来的,是怎么演进到最新版本,在最新版本3.0里面有一些技术详解;
    Part4:既然有了数据分析平台,那么数据分析能帮我们干什么,讲了一个具体在工程上应用的case。

    总结一下就是数据分析要做出一些东西的话,他的套路就是这样的,先要问题定义,你要解决什么问题,然后你要衡量这个问题(指标定义),彼得德鲁克曾说过,没有很好的度量,就没有办法增长,所以说我们得先定义出来,定义出来如果你只有这个指标,你什么也不能干,只能做个监控,只能用它来印证你的想法,所以说我们要去进行数学抽象,从一些业务链路上,从一些系统模块上去做一些抽象,抽象好了以后去看有没有相应的数据(采集数据),有了数据以后去做分析,无论是描述型分析、诊断型分析还是预测型分析,运用分析方法去找到原因,然后去决策并行动。这个过程里面比较难的,当然做决定是比较难的,一是你要对这个业务领域有很强的理解,第二你要判断数据分析的结果到底符不符合业务理解。第二难就是数据抽象这一块,这一块要你对业务有很深的认知,无论从链路上还是从模块上,如果你解决工程问题,你就要对系统有认知,如果你解决业务问题,要对链路有很强的认知,这就是数据分析应用模式,总结下来就是这样的套路。

  6. 滴滴数据分级保障实践
    https://blog.didiyun.com/index.php/2018/12/26/data/

    我们遇到了很多问题:
    1、资源不足,优先保障谁?
    2、系统异常,凌晨接到很多计算任务报警,优先处理哪个?
    3、业务数据要做成本优化,不同数据的生命周期如何设置?
    4、业务研发系统生产的日志越来越多,频繁升级过程中如何避免重要数据出问题?
    5、如何在数据开发规范和业务支撑效率之间作平衡?
    6、…

    面临这些决策难题,我们的解决方案是对公司数据作全链路的分级保障。

    二、 分级
    2.1 制定数据分级标准
    2.2 数据级别全链路打通

    三、 分级保障
    3.1 保障案例
    3.2 Check List
    3.3 工具建设
    3.4 保障能力度量体系
    3.5 整体框架

  7. 梳理“数据家产”到底有多重要?
    https://mp.weixin.qq.com/s/M6tjlYmPGQQk0b2kzZL0fQ

    随着数据泄露事件的频发,组织的安全意识逐渐建立起来,但是在提出数据安全建设需求的时候,往往对自身的数据资产状况不甚了解,这会带来一个问题,我们对要保护的对象都不够了解,又怎么能保证可以保护好它。因此,保护数据安全,不能简单粗暴的上各种安全产品, 在此之前需要进行第一步:用数据资产梳理系统先将自家的数据资产状况梳理清楚。

    一、静态梳理
    1、数据库自动嗅探
    2、自动识别敏感数据
    3、数据分级分类
    4、数据库账户梳理

    二、动态梳理
    1、访问源分析
    2、访问行为分析
    3、访问热度分析
    4、静默资产梳理

    三、核心价值
    1、准确定位敏感数据存储与分布
    2、动态监听应用与运维侧敏感数据使用情况
    3、敏感数据是否被滥用,核心数据安全管控
    4、数据分类分级,促进数据安全共享

  8. 解码OneData——传说中的阿里数据中台是如何练成的?
    https://mp.weixin.qq.com/s/mVHSKjXDjC2hjlZclCsPdw

    1 背景
    在企业发展初期,数据研发模式一般紧贴业务的发展而演变的,数据体系也是基于业务单元垂直建立,不同的垂直化业务,带来不同的烟囱式的体系。但随着企业的发展,一方面数据规模在快速膨胀,垂直业务单元也越来越多,另一方面基于大数据的业务所需要的数据不仅仅是某个垂直单元的,使用数据类型繁多(Variety)的数据才能具备核心竞争力。跨垂直单元的数据建设接踵而至,混乱的数据调用和拷贝,重复建设带来的资源浪费,数据指标定义不同而带来的歧义、数据使用门槛越来越高……这些问题日益凸显,成为企业发展迫在眉睫必须要解决的问题。
    - 数据标准不统一
    - 服务业务能力
    - 计算存储成本
    - 研发成本

    2 建立的方法和思路
    基于这样的问题和挑战,阿里集团规划建设一个全集团的全域数据公共层,将公共的数据、计算沉淀于此,降低数据存储和计算成本,提升数据互通和消费的效率,从而支撑快速数据业务应该的创新。公共层中重要的一环是数据模型的构建,那么我们先从行业看看一些方法体系和经验:
    他山之石——行业内是如何做的?
    A、实体关系(ER)模型
    B、维度模型
    C、DataVault
    D、Anchor模型

    阿里的数仓模型体系要如何构建?
    第一阶段:完全应用驱动的时代,阿里巴巴第一代的数据仓库系统构建在Oracle上,数据完全以满足报表需求为目的出发,将数据以与源结构相同的方式同步到Oracle后,我们叫ODS(Operational Data Store)层,数据工程师基于ODS数据进行统计,基本没有模型方法体系,完全基于对Oralce数据库特性的利用进行数据存储和加工,部分采用了一些维度建模的缓慢变化维方式进行历史数据处理。那时候的数据架构只有两次层ODS+DSS。
    第二阶段:随着阿里业务的快速发展,数据量也在飞速增长,性能已经是一个较大问题,因此引入了当时MPP架构体系的Greenplum,同时阿里的数据团队也在着手开始进行一定的数据架构优化,希望通过一些模型技术改变烟囱式的开发模型,消除一些冗余,提升数据的一致性。来做传统行业数仓的工程师,开始尝试将工程领域比较流行的ER模型+维度模型方式应用的阿里集团,构建出一个四层的模型架构ODL(操作数据层)+BDL(基础数据层)+IDL(接口数据层)+ADS(应用数据层)。ODL保持和源系统保持一致,BDL希望引入ER模型,加强数据的整合,构建一致的基础数据模型,IDL基于维度模型方法构建集市层,ADL完成应用的个性化和基于展现需求的数据组装。其中我们在构建ER模型遇到了比较大的困难和挑战,互联网业务的快速发展,人员的快速迭代变化,业务知识功底的不够全面导致ER模型设计迟迟不能产出,至此,我们也得到了一个经验,在一个不太成熟,快速变化的业务面前,构建ER模型的风险非常大,不太适合去构建。
    第三阶段:阿里集团的业务和数据还在飞速发展,这个时候迎来了以hadoop为代表的分布式存储计算平台的快速发展,同时阿里集团自主研发的分布式计算平台ODPS也在紧锣密鼓的进行中;我们在拥抱分布式计算平台的同时,也开始建设我们的第三代模型架构,我们需要找到一个核心问题,找打适合阿里集团业务发展,又能充分利用分布是计算平台能力的数据模型方式。

    3 落地实现
    A)数据规范定义
    B)数据模型架构
    C)研发流程和工具落地实现

    4 实施效果
    1、数据标准统一:数据指标口径一致,各种场景下看到的数据一致性得到保障
    2、支撑多个业务,极大扩展性:服务了集团内部45个BU的业务,满足不同业务的个性化需求
    3、统一数据服务:建立了统一的数据服务层,其中离线数据日均调用次数超过22亿;实时数据调用日均超过11亿
    4、计算、存储成本:指标口径复用性强,将原本30000多个指标精简到3000个;模型分层、粒度清晰,数据表从之前的25000张精简到不超过3000张。
    5、研发成本:通过数据分域、模型分层,强调工程师之间的分工和协作,不再需要从头到尾每个细节都了解一遍,节省了工程师的时间和精力。

  9. 企业数字风险管理优化四部曲(基础框架版)
    https://www.freebuf.com/articles/es/198240.html
    https://www.securityweek.com/four-steps-begin-better-managing-your-digital-risk

    1. 确认需要被保护的资产
    2. 了解威胁
    3. 监测企业的泄露信息
    4. 制定应对和缓解策略

    参考这几步,风险管理者可以搭建一个初步的风险管理框架,明确大方向,并在实践中逐步细化符合自己公司实际情况的管理方案,以便更好地抵御威胁、降低安全风险。

  10. 不该被忽视的业务应用层数据安全
    https://mp.weixin.qq.com/s/8Ep4Zu5qEL9V0-ySUx_V6Q

    真实场景中的业务应用层的数据安全风险主要包括如下三类。

    (一):互联网上的业务应用层的数据攻防对抗
    数据爬虫获取数据
    追踪用户的ID来推导用户注册时间
    获取用户的属性数据来还原用户主体
    利用统计学抽样分析
    爬虫的对抗也非常激烈
    应用客户端木马植入窃取数据
    数据截留
    打入、收买内部员工或窃取员工COOKIE
    利用生态链获取数据

    伪脱敏识别
    关联还原脱敏数据
    API越权攻击
    撞库
    这些掘金数据的团体之间,还会相互交换数据,最后会掌握到非常惊人的个人隐私和企业商业数据的数据量。

    (二):业务应用层的数据违规操作风险
    即使只是供内部合法用户使用的业务应用,也面临着很多数据安全的风险:
    内部作案:
    数据篡改
    数据窃取
    终端使用权不可控
    研发人员植入应用层后门窃取数据
    内部人员利用应用层中转窃取数据

    (三):业务应用层的数据合规风险
    数据采集合规
    账户注销后的数据合规
    数据发布时的合规
    数据处理活动记录
    数据共享的审批审计
    数据出境的审批审计

发表评论

电子邮件地址不会被公开。 必填项已用*标注