=Start=
缘由:
最近看了Gartner的一篇叫做《Market Insight: The Future of Data Security》的英文报告,想着翻译并整理部分内容作为学习总结,后来看到安华金和之前也翻译过一部分,所以在它的基础上做了一些修改和补充,放在这里,方便以后参考学习。
正文:
参考解答:
■组织很难将注意力和投资放在数据安全技术上。
■数据保护的发展慢慢开始涵盖新技术,如机器学习(ML)、人工智能(AI)、区块链和高级数据分析,来弥补内容和情景间的差距。
■首席信息安全官(CISOs)正在寻找一种组合,涵盖加密、令牌化、数据脱敏、以数据为中心的审计和保护(DCAP)和数据丢失预防(DLP),以纯粹SaaS形式或者以管理的安全服务,或两者混合。
■数据安全厂商市场很大,主要提供单点产品而非多功能套件。
图1. 数据安全生态系统 – 每个领域的代表性供应商
随着网络威胁的增加以及数据关键性和价值提升,数据保护产品不断发展。同时,随着终端用户继续走向数字业务,采用云服务,数据会变得更加危险。组织需要能够对访问,可见性和监控进行更强控制的产品和工具,这是未来数据安全的主要内容。
首先,数据访问管理(DAG)产品必须到位。这意味着DLP、DCAP、DAG、特权访问管理(PAM)和身份管理和管理(IGA)产品之间更紧密的集成。
其次,Gartner建议安全和风险管理人员和CISO采用CARTA方法。CARTA(持续性自适应风险与信任评估(Continuous Adaptive Risk and Trust Assessment))结合了对自适应访问控制的需求,以及用于传统应用程序的用户和实体行为分析(UEBA)监控。
随着破坏性技术的兴起,技术战略规划师可以通过新兴技术增强自身产品体系;通过调查整合或开发替代的破坏性技术,并创建收购和整合策略来跳出传统技术思路。
图2. 2017年十大战略技术趋势
l 高级安全分析
数十年来,高级分析已被纳入欺诈检测应用,可更好地实现数据处理和自动化保护结果。高级安全分析需要回答以下四类问题:
- 描述性的——发生了什么?
- 诊断性的——为什么会发生?
- 预测性的——将会发生什么?
- 说明性的——我该怎么应对?
l 人工智能和机器学习
AI和ML通常在讨论大数据和分析时可互换使用,这些技术在应用于数据安全领域时处于起步阶段。
l 多方计算
多方计算(MPC)是一种密码学方法,使实体(应用程序,个人或设备)能够处理数据的同时保持数据处于受保护,机密和私有状态。
l 区块链
“破坏性”的区块链很有潜力,支持Blockchain的数据安全应用程序提供了建立信任和弹性的替代方法。
l 差分隐私
差分隐私是2006年开发的一种技术,通常适用于“隐私”用例,有望改善个人及其数据的隐私。
除了新技术的次第萌芽,硕大的数据安全环境下,技术的收购和伙伴关系的发展,可以更好地帮助组织降低复杂性并实现业务目标,降低数据泄露风险。技术战略规划者必须通过OEM协议来扩大生态系统的范围。
据Gartner的调查:组织表示,产品即服务(SaaS化)的能力在亚太地区、北美和欧洲都很受欢迎,安全预算在500万到1000万美元之间的组织也对SaaS感兴趣,并将成为客户“首选”,并看重其灵活性,低成本和获得最适合最终用户需求的产品能力。特别是人力、财力有限的中小企业(SMB),更倾向这种模式。
越来越多的数据泄露和对云服务的攻击正在增加组织的业务风险。组织更加关心在结构化和非结构化环境中识别,分类和保护关键数据集,以符合GDPR。组织现在感到需要申请数据安全治理和信息资源的压力,将每个数据集作为金融资产和负债进行评估,技术战略规划者应当改进能力以响应。
l 企业数字版权管理(EDRM)
Gartner将EDRM描述为用于对某些类型的企业数据强制访问和使用控制的技术,可结合DLP,文件库,身份和访问管理(IAM)服务等技术,提供更优工具组合。
l 以数据为中心的审计和保护工具
DCAP产品和技术特点能够集中监控用户、管理员与特定数据集相关的活动。DCAP供应商需要通过有机生长和收购来继续增加技术能力,特别是在UEBA,AI/ML和区块链技术领域。
l 数据防泄露
展望未来,终端用户组织有望越来越多地寻求集成的DLP功能,而不是全面的E-DLP套件。
l 用户和实体行为分析(UEBA)
UEBA已完成数据安全产品的集成,这项技术有望成长壮大,技术战略规划者必须建立UEBA /员工监控能力,以帮助终端用户进一步提升其数据安全状态。
l 特权访问管理(PAM)
PAM到2020年有望实现复合年增长率为27%的显著增长,达22亿美元。集成PAM产品将增强数据安全产品,并向最终用户提供多种功能。
l 计算机安全意识培训
在采取以人为中心的安全方法时,终端用户的组织会进行计算机安全意识培训(SA-CBT)。SA-CBT的设计目标是创造一个让员工更加了解他们该如何处理电子邮件,并改善他们的密码设置习惯和改变员工(不安全)行为的环境。最终目标是保护数据,无论是知识产权、个人身份信息(PII)、私人企业数据还是其他数据。
l 数据脱敏
数据脱敏是一种旨在防止滥用敏感数据的技术。它为用户提供虚构而实用的数据,而非真实、敏感的数据,因此用户可以保持其执行业务流程的能力。与加密和令牌化不同,数据脱敏技术,数据经历单向转换,不可逆。数据不能通过篡改操作被透露。
图3. 数据脱敏示例
数据安全领域正在快速发展,提供商越来越多。由于最终用户关注保护数据的完整性和隐私性,关键技术的整合或收购将有望增值,并具有可观增长潜力。了解最终用户的需求,了解更智能化的数据安全控制的重要性,将有助于塑造数据安全产品策略。
将以上技术添加到现有产品体系将引发数据安全市场空间的变革,使安全性更智能化、自动化,这可能意味着数据安全市场的革命性变化,帮助客户应对数据安全挑战,使客户走上更有效的数据安全道路。提供SaaS和内部部署形式的产品将提供更多选择,使组织能够选择功能模块,而非购买增加复杂性的大型套件。
针对最终用户的需求,技术战略规划者需要:
①使用持续的风险和信任评估方法,通过设计CARTA的投资组合来改善客户的数据治理策略;
②通过测试与破坏性技术的集成或开发,并通过合作或收购这些技术,在传统技术框架之外创建解决方案;
③通过为客户创造具有商业激励的移动计划,加速SaaS产品应用;
④加入安全计划,如OWASP,与互补邻近市场的供应商建立关系和整合。
参考链接:
=END=
《 “[translate]Gartner市场洞察-数据安全的未来” 》 有 25 条评论
Gartner:以数据为中心的审计和保护(DCAP)市场指南(节选)
https://paper.tuisec.win/detail/c736cb45c2ee6f5
https://mp.weixin.qq.com/s/PYQlfptjkj3sIebiieljNA
`
目前的Gartner研究涉及到了四个细分市场,这些产品正在向发展成具有关键的跨存储(cross-silo)的DCAP功能:数据库审计和保护(DAP);数据访问治理(DAG);云访问安全代理(CASB);和数据保护(DP),其中包括加密,标记化( tokenization),数据编写(Redaction) 和数据脱敏(data masking)。不同的发展轨迹意味着产品在其产品路线图中不可避免地具有不同的基本目标和功能。虽然没有单独的产品完全满足DCAP的要求,但是这些类别的产品都是跨越数据孤岛的不断发展的能力:
DAP – 这类产品已经开发了很多年,涵盖数据安全策略、数据分类和发现、特权访问管理、数据活动监测或行为分析、审计和数据保护的实施。以前,专注于RDBMS和数据仓库,少数产品开始支持Hadoop和非结构化文件共享以及DBaaS。
DAG – 有时被称为以文件为中心的审计和保护(FCAP)。通常,这类产品专注于实施数据安全访问策略、数据分类和发现,文件存储库和目录服务(如SharePoint)的活动监视和审计。这类产品与身份和访问管理(IAM)方法密切相关。一些产品也开始包含云SaaS应用的功能。
CASB -在 SaaS应用程序或云存储环境(如Microsoft Office 365,Salesforce,ServiceNow,Box和Dropbox)中保护数据的能力正在迅速增长。这类产品包含了一套不断演变的数据安全控制,跨越DCAP,数据丢失防护(DLP)和用户实体行为分析(UEBA)。 CASB通过阻止、数据编写(Redaction)、密、标记化( tokenization)、隔离,不断发展出各种各样的数据分类和发现,访问控制,活动监控,审计和保护。这些产品通常是独立的,有些CASB可以从企业DLP产品导入策略,但其管理不与本地DLP集成(请参阅“云接入安全代理商市场指南”)。
DP – 这些产品传统上主要通过在多个数据孤岛(RDBMS,数据仓库,非结构化大数据以及一些基于云的企业文件同步和共享工具)上使用加密,标记化( tokenization)或数据脱敏(data masking)来保护数据。但少数产品通过增加实时警报,活动监控和审计功能进行了创新。鉴于DAP和DAG产品可提供对文件或数据库内所有数据访问的监视和审计,这些DP产品通常只针对敏感数据类型。
`
大数据安全标准化白皮书(2017)
https://www.tc260.org.cn/ueditor/jsp/upload/20170409/86891491718759052.pdf
阿里云安全白皮书
https://www.alibabacloud.com/help/zh/faq-detail/42435.htm
腾讯云数据安全白皮书
https://mc.qcloudimg.com/static/pdf/132296755c1dd18a5eb83f827577abc7/docfile.pdf
京东金融《数字金融反欺诈白皮书》
http://storage.360buyimg.com/static-res/pdf/whitebook.pdf
https://pan.baidu.com/s/1BD7_IPLfqoNNcyb28T-a2g
Gartner:非结构化数据分类的创新思路
https://www.secrss.com/articles/6957
Innovation Insight for Unstructured Data Classification
https://www.gartner.com/doc/reprints?id=1-459SUII&ct=170705
诸子云 | 全知方兴:DT时代的数据安全与合规
https://mp.weixin.qq.com/s/hLyrKWk__xz2R5zdLGEzOA
`
我们由IT时代、信息时代进入了DT时代、数据时代,这两者之间本质的区别是什么?在方兴看来,过去,信息是一种有价值的静态资产,今天,数据则是被使用和流动的信息,或者说,更像是用来创造价值的生产资料。
“不可见”就会导致“不可知”——不知道谁在访问数据,可能面临怎样的风险,应该保护的对象是谁,会不会在流通过程中产生高危行为。因为“不可知”,就没办法实现对数据的管理性和风险的可控性。
只有从“可见可知”到“可观可控”,企业才能真正在数据流通过程中把控风险。
`
浅析商业银行数据安全保护体系建设思路
http://blog.nsfocus.net/brief-analysis-on-the-construction-of-data-security-protection-system-in-commercial-banks/
`
前言
商业银行数据保护的困境
数据存在形式多、访问人员多、存储分散、易传播
数据泄露途径多
数据价值定义不明确,保护工作重点不突出
数据保护建设步骤
建立信息安全防护基础
建立数据安全防护体系
对信息流进行风险管理
数据安全防护体系建设思路
完善数据保护组织架构
对数据进行分类分级保护
识别现有数据
进行数据分类
制定数据保护控制策略
制定并推进敏感性标识策略
制定授权审批策略
制定敏感数据脱敏策略
建立技术手段进行数据保护
建立覆盖数据全生命周期的制度与技术手段
建立数据保护安全培训体系
总结
`
数据安全未来前景展望
https://mp.weixin.qq.com/s/Fh4U64SPXp-LUWiPUgfJJw
`
一、未来的市场空间能有多大?
二、当我们谈数据安全的时候,我们在谈什么?
当我们在谈数据安全的时候,最容易讲的是DBMS安全,2018年安全牛发布了对数据库管理系统的防护清晰的定义。从这个角度上看,该定义可以被划归到数据库安全的1.0时代。数据库安全市场如果仅仅看到这一点,一定会错过未来的发展机会。再往前看,2.0的时代以“数据”为中心的防护时代,3.0时代是“数据安全治理”的时代。数据安全划分成这三个时代,分别代表了不同的含义。
1、数据安全的1.0时代
从最早期推出的数据安全产品看,包括市面上大多数的数据安全厂商产品,与传统的网络安全有一个相对完美的对应。比如说磁盘加密对应数据库加密;IPS/防火墙对应数据库防火墙;IDS入侵检测对应数据库审计;网络扫描对应数据库漏扫。实际上是网络安全思想移到数据和安全思想的映射,只是说传统思想的实现。本质上我们听到一个声音,数据和安全是网络安全的分支。这有点让人费解,为什么数据安全是网络安全的分支。但是对数据安全的发展稍加追溯就恍然大悟,最初的设想就是按照网络安全思想做数据库安全,实际上是同样一套思路在推进。
2、数据安全的2.0时代
2.0时代应该提供什么样的安全措施,或者跟人所对应的产品,都是在特定的活动场景下进行。主要强调数据离开库之后,在业务使用中,分享给第三方平台的安全性问题。
2.0时代数据安全的核心理念在于尽可能保证业务系统正常使用,所以必须要进行场景化的思考,什么是满足这个场景必要性的条件,只有满足这个假定之后我们才要思考用什么技术能够去满足。
3、数据安全的3.0时代
3.0时代进入到了系统化的数据安全治理的时代,数据上升到资产、基础设施层面。好比人类发展到需要考虑公共安全的阶段,不可能再通过气囊、头盔这样的单一的个体防护方式。在面临更大的风险威胁的时候,我们会建立组织、公检法体系,建立军队;会出台政策规范、刑法、交通法等等来予以保证;同时会建立公共设施安全,比如机场安检,建立登机制度等。
3.0时代最关键的特征就是体系化安全。安全不再是一个纯产品技术上的安全,实际上是组织规范+技术的完美整合,以呈现整体的安全。
`
大规模多租户数据平台安全思考(一)
https://www.anquanke.com/post/id/169958?from=timeline&isappinstalled=0
`
一、业务挑战
二、关于方法论
1、数据安全生命周期理论
2、某咨询机构治理框架
3、其他方法论
4、业界大佬看法
三、我自己的看法
`
大规模多租户数据平台安全思考(二)
https://www.anquanke.com/post/id/169959?from=timeline&isappinstalled=0
`
一、识别
1、发现
2、分类分级
3、数据血缘
二、保护
1、认证
2、授权
3、加密
4、共享
三、审计
六、总结
`
「回顾」蚂蚁数据分析平台的演进及数据分析方法的应用
https://mp.weixin.qq.com/s/ZH5e-ZW1mLnAEelL76wxuA
`
大家好,今天主要分享数据分析平台的平台演进以及我们在上面沉淀的一些数据分析方法是如何应用的。具体分以下四部分:
Part1:主要介绍下我所在的部门,数据平台部主要是做什么的,大概涉及到哪些业务,在整个数据流程当中数据平台部负责哪些东西;
Part2:既然我们讲数据分析平台,那么数据分析是什么样的,数据分析领域是什么样的;
Part3:蚂蚁现在的数据分析平台是怎么来的,是怎么演进到最新版本,在最新版本3.0里面有一些技术详解;
Part4:既然有了数据分析平台,那么数据分析能帮我们干什么,讲了一个具体在工程上应用的case。
总结一下就是数据分析要做出一些东西的话,他的套路就是这样的,先要问题定义,你要解决什么问题,然后你要衡量这个问题(指标定义),彼得德鲁克曾说过,没有很好的度量,就没有办法增长,所以说我们得先定义出来,定义出来如果你只有这个指标,你什么也不能干,只能做个监控,只能用它来印证你的想法,所以说我们要去进行数学抽象,从一些业务链路上,从一些系统模块上去做一些抽象,抽象好了以后去看有没有相应的数据(采集数据),有了数据以后去做分析,无论是描述型分析、诊断型分析还是预测型分析,运用分析方法去找到原因,然后去决策并行动。这个过程里面比较难的,当然做决定是比较难的,一是你要对这个业务领域有很强的理解,第二你要判断数据分析的结果到底符不符合业务理解。第二难就是数据抽象这一块,这一块要你对业务有很深的认知,无论从链路上还是从模块上,如果你解决工程问题,你就要对系统有认知,如果你解决业务问题,要对链路有很强的认知,这就是数据分析应用模式,总结下来就是这样的套路。
`
滴滴数据分级保障实践
https://blog.didiyun.com/index.php/2018/12/26/data/
`
我们遇到了很多问题:
1、资源不足,优先保障谁?
2、系统异常,凌晨接到很多计算任务报警,优先处理哪个?
3、业务数据要做成本优化,不同数据的生命周期如何设置?
4、业务研发系统生产的日志越来越多,频繁升级过程中如何避免重要数据出问题?
5、如何在数据开发规范和业务支撑效率之间作平衡?
6、…
面临这些决策难题,我们的解决方案是对公司数据作全链路的分级保障。
二、 分级
2.1 制定数据分级标准
2.2 数据级别全链路打通
三、 分级保障
3.1 保障案例
3.2 Check List
3.3 工具建设
3.4 保障能力度量体系
3.5 整体框架
`
关于加密数据库的实现难点思考
https://blog.cryptographyengineering.com/2019/02/11/attack-of-the-week-searchable-encryption-and-the-ever-expanding-leakage-function/
将军令:数据安全平台建设实践
https://mp.weixin.qq.com/s/hk8I_93fyS5NWholu6v8_Q
梳理“数据家产”到底有多重要?
https://mp.weixin.qq.com/s/M6tjlYmPGQQk0b2kzZL0fQ
`
随着数据泄露事件的频发,组织的安全意识逐渐建立起来,但是在提出数据安全建设需求的时候,往往对自身的数据资产状况不甚了解,这会带来一个问题,我们对要保护的对象都不够了解,又怎么能保证可以保护好它。因此,保护数据安全,不能简单粗暴的上各种安全产品, 在此之前需要进行第一步:用数据资产梳理系统先将自家的数据资产状况梳理清楚。
一、静态梳理
1、数据库自动嗅探
2、自动识别敏感数据
3、数据分级分类
4、数据库账户梳理
二、动态梳理
1、访问源分析
2、访问行为分析
3、访问热度分析
4、静默资产梳理
三、核心价值
1、准确定位敏感数据存储与分布
2、动态监听应用与运维侧敏感数据使用情况
3、敏感数据是否被滥用,核心数据安全管控
4、数据分类分级,促进数据安全共享
`
Data-Knowledge-Action: 企业安全数据分析入门
https://www.cdxy.me/?p=803
https://live.freebuf.com/detail/c5e504cf96a4e1826a609553bf6054f9
http://static.cdxy.me/data-knowledge-action_cdxy.pdf
解码OneData——传说中的阿里数据中台是如何练成的?
https://mp.weixin.qq.com/s/mVHSKjXDjC2hjlZclCsPdw
`
1 背景
在企业发展初期,数据研发模式一般紧贴业务的发展而演变的,数据体系也是基于业务单元垂直建立,不同的垂直化业务,带来不同的烟囱式的体系。但随着企业的发展,一方面数据规模在快速膨胀,垂直业务单元也越来越多,另一方面基于大数据的业务所需要的数据不仅仅是某个垂直单元的,使用数据类型繁多(Variety)的数据才能具备核心竞争力。跨垂直单元的数据建设接踵而至,混乱的数据调用和拷贝,重复建设带来的资源浪费,数据指标定义不同而带来的歧义、数据使用门槛越来越高……这些问题日益凸显,成为企业发展迫在眉睫必须要解决的问题。
– 数据标准不统一
– 服务业务能力
– 计算存储成本
– 研发成本
2 建立的方法和思路
基于这样的问题和挑战,阿里集团规划建设一个全集团的全域数据公共层,将公共的数据、计算沉淀于此,降低数据存储和计算成本,提升数据互通和消费的效率,从而支撑快速数据业务应该的创新。公共层中重要的一环是数据模型的构建,那么我们先从行业看看一些方法体系和经验:
他山之石——行业内是如何做的?
A、实体关系(ER)模型
B、维度模型
C、DataVault
D、Anchor模型
阿里的数仓模型体系要如何构建?
第一阶段:完全应用驱动的时代,阿里巴巴第一代的数据仓库系统构建在Oracle上,数据完全以满足报表需求为目的出发,将数据以与源结构相同的方式同步到Oracle后,我们叫ODS(Operational Data Store)层,数据工程师基于ODS数据进行统计,基本没有模型方法体系,完全基于对Oralce数据库特性的利用进行数据存储和加工,部分采用了一些维度建模的缓慢变化维方式进行历史数据处理。那时候的数据架构只有两次层ODS+DSS。
第二阶段:随着阿里业务的快速发展,数据量也在飞速增长,性能已经是一个较大问题,因此引入了当时MPP架构体系的Greenplum,同时阿里的数据团队也在着手开始进行一定的数据架构优化,希望通过一些模型技术改变烟囱式的开发模型,消除一些冗余,提升数据的一致性。来做传统行业数仓的工程师,开始尝试将工程领域比较流行的ER模型+维度模型方式应用的阿里集团,构建出一个四层的模型架构ODL(操作数据层)+BDL(基础数据层)+IDL(接口数据层)+ADS(应用数据层)。ODL保持和源系统保持一致,BDL希望引入ER模型,加强数据的整合,构建一致的基础数据模型,IDL基于维度模型方法构建集市层,ADL完成应用的个性化和基于展现需求的数据组装。其中我们在构建ER模型遇到了比较大的困难和挑战,互联网业务的快速发展,人员的快速迭代变化,业务知识功底的不够全面导致ER模型设计迟迟不能产出,至此,我们也得到了一个经验,在一个不太成熟,快速变化的业务面前,构建ER模型的风险非常大,不太适合去构建。
第三阶段:阿里集团的业务和数据还在飞速发展,这个时候迎来了以hadoop为代表的分布式存储计算平台的快速发展,同时阿里集团自主研发的分布式计算平台ODPS也在紧锣密鼓的进行中;我们在拥抱分布式计算平台的同时,也开始建设我们的第三代模型架构,我们需要找到一个核心问题,找打适合阿里集团业务发展,又能充分利用分布是计算平台能力的数据模型方式。
3 落地实现
A)数据规范定义
B)数据模型架构
C)研发流程和工具落地实现
4 实施效果
1、数据标准统一:数据指标口径一致,各种场景下看到的数据一致性得到保障
2、支撑多个业务,极大扩展性:服务了集团内部45个BU的业务,满足不同业务的个性化需求
3、统一数据服务:建立了统一的数据服务层,其中离线数据日均调用次数超过22亿;实时数据调用日均超过11亿
4、计算、存储成本:指标口径复用性强,将原本30000多个指标精简到3000个;模型分层、粒度清晰,数据表从之前的25000张精简到不超过3000张。
5、研发成本:通过数据分域、模型分层,强调工程师之间的分工和协作,不再需要从头到尾每个细节都了解一遍,节省了工程师的时间和精力。
`
数据中台已成下一风口,它会颠覆数据工程师的工作吗?
https://mp.weixin.qq.com/s/_KsFeHGUt62A7w3kvNlf2A
企业数字风险管理优化四部曲(基础框架版)
https://www.freebuf.com/articles/es/198240.html
https://www.securityweek.com/four-steps-begin-better-managing-your-digital-risk
`
1. 确认需要被保护的资产
2. 了解威胁
3. 监测企业的泄露信息
4. 制定应对和缓解策略
参考这几步,风险管理者可以搭建一个初步的风险管理框架,明确大方向,并在实践中逐步细化符合自己公司实际情况的管理方案,以便更好地抵御威胁、降低安全风险。
`
不该被忽视的业务应用层数据安全
https://mp.weixin.qq.com/s/8Ep4Zu5qEL9V0-ySUx_V6Q
`
真实场景中的业务应用层的数据安全风险主要包括如下三类。
(一):互联网上的业务应用层的数据攻防对抗
数据爬虫获取数据
追踪用户的ID来推导用户注册时间
获取用户的属性数据来还原用户主体
利用统计学抽样分析
爬虫的对抗也非常激烈
应用客户端木马植入窃取数据
数据截留
打入、收买内部员工或窃取员工COOKIE
利用生态链获取数据
伪脱敏识别
关联还原脱敏数据
API越权攻击
撞库
这些掘金数据的团体之间,还会相互交换数据,最后会掌握到非常惊人的个人隐私和企业商业数据的数据量。
(二):业务应用层的数据违规操作风险
即使只是供内部合法用户使用的业务应用,也面临着很多数据安全的风险:
内部作案:
数据篡改
数据窃取
终端使用权不可控
研发人员植入应用层后门窃取数据
内部人员利用应用层中转窃取数据
(三):业务应用层的数据合规风险
数据采集合规
账户注销后的数据合规
数据发布时的合规
数据处理活动记录
数据共享的审批审计
数据出境的审批审计
`
全知科技产品概览
http://qzkeji.com.cn/product
`
大数据平台安全
大数据平台3A安全管理(本产品采用领先的大数据代理技术,帮助企业建立大数据平台的统一账号管理、统一认证管理、统一权限管理,提高数据安全管理能效,落实《网安法》、等保及监管的合规要求,打造大数据平台数据安全的最佳实践。)
大数据平台数据安全保护(本产品采用先进的大数据保护技术,帮助企业建立大数据安全保护能力建设,全面管控特权人员的高危操作,集中报备式数据导出管理,以及相应的敏感数据保护能力,确保出网数据不敏感,敏感数据不呈现。)
大数据平台安全审计系统(本产品采用网络流量DPI分析技术、大数据日志清洗分析技术、UEBA技术以及人工智能风险建模技术,弥补大数据平台各组件日志记录不全,审计深度不够,帮组企业统一采集各类组件日志,全局进行统一日志的UEBA分析,构建数据安全风险模型,帮助企业及时发现大数据可疑操作行为,快速对泄密数据进行溯源定位。)
应用数据安全
Web应用数据安全管理系统(Web应用数据安全管理系统采用网络流量分析技术,帮助您全面盘点线上业务系统接口,宏观了解Web应用数据流动态势,落地Web应用数据安全最佳实践,降低业务系统数据安全风险。)
Web应用数据审计溯源系统(Web应用数据审计溯源系统采用网络流量分析技术、应用账号解析技术、结构化日志提取技术、用户和实体行为分析(UEBA)技术,弥补业务系统关键日志记录不全、降低日志采集成本,帮助您及时发现可疑数据操作行为,针对数据泄露事件进行快速溯源。)
数据地图
数据地图-数据治理系统(系统采用数据扫描技术、数据打标技术、热词分析技术、数据归类技术构建数据图谱,帮助企业识别有哪些数据、存储在哪里、谁可以使用,进而对数据结构变动进行监测,进行有针对性的治理。)
数据地图-隐私合规系统(系统采用隐私数据发现与识别技术、数据主体聚合技术,帮助您识别企业有哪些隐私数据、存储在哪里、如何被使用,进而满足GDPR或《个人信息安全规范》的要求。)
`
中通数据安全体系建设
https://mp.weixin.qq.com/s/JER0OTnIuueMYbZ0rF8VQA
`
数据生命周期:
采集 → 传输 → 处理 → 存储 → 展示 → 公开 → 删除
数据风险控制:
治理 → 风险识别 → 风险控制 → 基础信息
主要控制措施:
隐私号
脱敏:主要有两种做法,具体选择要根据业务场景、工作效率等来进行选择。
水印:水印主要是防截图和拍照,分为明水印和暗水印。明水印肉眼可见,暗水印肉眼不可见,通过特殊处理可以提取水印。
行为风控:主要采用零信任架构的思路,在事中实时地根据身份、权限、行为轨迹、环境等上下文信息计算出信任值,然后根据信任值进行不同程度地二次校验或者拦截。
审计:传统但非常有效的事后追溯手段,难点在于记全和记细。如何采用非侵入式设计和流量分析的技术手段,实现自动化地实时采集有效的行为日志仍然是不小的挑战。
未来规划:
数据发现和分类分级
UEBA
数据资产可视化
总结:
数据是无边界的,数据流动到哪里,哪里就应该有数据安全。
现阶段数据安全、业务安全、应用安全和网络安全等信息安全领域都有一定程度上的重叠和关联,它们是相辅相成的关系,需要放到更大的视角下进行统筹规划和建设。
运用与业务场景相匹配的管理和技术手段,更好地化解企业内外部数据应用场景下的数据安全风险,把我们的安全能力服务化,建设更完善的安全生态,是我们努力的方向。
`
IBM的数据安全产品Guardium
https://www.ibm.com/support/knowledgecenter/SSMPHH_10.1.0/com.ibm.guardium.doc/overview/product_overview.html
`
# 一句话总结
IBM Guardium 提供 DAM 和 FAM 2个版本,分别用于数据库和文件活动的监视。它能够自动化的发现、分类、保护、监控、分析、审计和满足合规性。
# 大体流程
发现和分类(discover and classification)
保护(protect)
监控和审计(monitor and audit)
报告(reports)
评估和加固(assess and harden)
# 基于日志分析的监控和审计,一些简单的样例如下:
第一次访问表的用户;
用户在以前从未选择过的表中选择特定的数据;
异常的错误量。例如,应用程序产生的SQL错误比过去更多。这可能表明正在进行SQL注入攻击。
活动本身并不罕见,但其规模却不同寻常;
活动本身并不罕见,但活动的时间是不寻常的。例如,DBA比以往更频繁地访问特定的表。这可能表明DBA正在慢慢地下载少量数据。
错误数量不同寻常、数量/规模不同寻常、时间不同寻常。
`
下一座圣杯 – 2019
https://mp.weixin.qq.com/s/6Kli-u6LEInoliTVQgdrFQ
`
虽然过去十年美国市场涌现出不少应用安全创业公司,但成功者十分稀少。就在眼下,应用安全领域出现了一个少见的拥有巨大市场空间的创业机会:API安全。新应用风险,新安全战场。或许很多读者已经猜到此答案,因为从去年底开始,笔者已经多次在小型沙龙和大型行业会议中公开介绍过API安全的基础知识。新基础设施必然会带来新安全产品机遇。作为连接一切应用并交付数据和功能的方式,API已成为安全团队不得不重视的关键风险控制点。
过去五年,云计算已经深入到数字化经济基础设施的方方面面,市场竞争态势的巨大变革导致诸多厂商盛衰沉浮,不乏跟不上趋势从此一蹶不振的。未来五年,影响深远的技术架构变革会是什么?一千个读者心中有一千个哈姆雷特,不同解读在所难免。但是,微服务、Serverless、边缘计算,应该能覆盖大部分读者心中的答案。听起来区别颇大的三个方向,却都有一点共同特征:API是必不可少的基础模块。
业内容易有个认知误区,微服务常常被认为等同于容器,其实不然:容器只是提供了大规模部署的便捷管理方法,容器离开微服务架构就没有大发展机会,而微服务离开容器仍将继续快速前行。容器的易用性必然会带来额外资源消耗、性能波动、治理复杂度、以及其它相对应的局限,因此如今也有企业在部署微服务时,出现从容器回退到虚拟机甚至物理机的现象。或相反方向,使用更抽象化更易管理的计算方式支持微服务,类似Serverless用于搭建Microservices, AWS已自成体系:Lambda、Fargate、Aurora Serverless、EventBridge、Kinesis等等。事实上,微服务架构的核心是网格mesh,网格的连线采用API最易达成管理。因此,没有Kubernetes照样可以使用微服务,没有API就没有微服务。业界有些专家坚称,微服务不过是SOA旧瓶装新酒,此论调与当年将云计算等同于虚拟化一说惊人雷同,迟早会被证误。笔者认为,SOA所描述的数据总线已经过时,将被支持网状通讯传输的数据平面所替代。原因有很多,既然是安全行业公众号,本文就只讲从安全角度出发的一点:SOA数据总线架构无法满足数据安全合规要求。只有升级到点对点的服务网格,使用分类分级的API,严格认证身份并充分鉴权,遵循最小限度使用数据的原则,才能灵活达成日趋严格的数据资产内控目标。
虽然本文以应用安全开头,不过API安全可不仅仅局限于应用安全,还横跨数据安全和身份安全领域,这就令其切入点变得多且分散。任何只关注某一细分领域的API安全产品都不是完整的,客户要求的是能处理此场景中尽可能多风险矛盾的完整解决方案。创业公司可以根据自己历史积累的竞争优势,灵活选择入场方式,然后再横向移动至相邻细分领域。例如笔者公司的API安全产品便是由数据安全入手,随后引入认证和鉴权相关风险的检测,目前在完善应用安全方面的覆盖。
Web安全已有超过15年时间的高强度对抗,而API对抗不过才刚刚开始,程序员们都没经过实战演练,很容易出现各种漏洞。因此,在目前阶段,攻击API很容易达成满意结果,利用已有渗透测试工具都能获取可观的产出,典型的a low-hanging fruit,年底冲业绩的红队不妨一试。
笔者研究后发现,论API安全产品质量,目前美国市场上的几个大厂明显优于大部分创业公司,恐怕国内也会面临相同局面,至少头部公有云厂商肯定会自行研发,自用然后尝试输出。因此,创业团队要对潜在竞争有清醒认识,并拥有足够信心在产品上直面竞争。
市场大势,此消彼长。五年前做API安全,毫无疑问会成为被拍在沙滩上的前浪,那时的契机是WAF。现在进入API安全,机会与风险并存。做好准备面对大额资金投入的一线厂商吧。小公司如果能过好产品关,即使身处激烈竞争的红海,也许运气会和你站在一起,成功可期。
`
新的一年, 特权账户风险管理如何部署?
https://mp.weixin.qq.com/s/gVINb9fydM_XFUY4bta60Q
`
01 识别所有特权账户和认证信息
02 根据风险对特权访问进行分类
一些基于风险的优先排序的例子可能包括识别:
• 所在机构最重要的系统(使用风险分类系统或风险评级机制)
• 含有根据法规要求而需要保护的数据系统。
• 具有知识产权或客户数据的系统
• 已知的易受攻击的系统(如果问题已通过审计、渗透试验或红色小组工作确认)
03 首先保护风险最大的账户以避免网络受到攻击
04 控制和保护好你的基础设施账户
05 保护端点特权,从而限制横向运动
06 保护第三方应用的认证信息
07 管理*NIX SSH密匙
08 管理云端和本地网络环境中的DevOps隐私信息
09 保护SAAS管理员和特权商业用户的安全
`
面向数据中台的数据治理七把利剑
https://mp.weixin.qq.com/s/sSPso362jDOiME7xxuefsg
`
一、竞星剑:数据模型管理
二、游龙剑:元数据管理
三、日月剑:数据质量管理
四、天瀑剑:数据标准管理
五、青干剑:主数据管理
六、莫问剑:数据安全管理
七、舍神剑:数据服务平台
`
专题|数据安全防护与治理
https://mp.weixin.qq.com/s/VgKZoYpMGomIQYVrOHcSHg
`
一、数据安全面临的挑战
数据流转复杂化使得数据泄露风险增大
攻击手段多样化,传统安全技术不足以防护
大数据中的用户个人信息安全问题突出
二、数据安全治理流程
通过对相关法规标准的梳理,结合实际的业务场景数量,对信息系统中的数据进行安全性分类分级,制定相应的分类分级防护策略、数据安全架构及组织制度保障,形成对数据全生命周期的安全管控,对管控效果定期检查、审计、评估,建立安全组织架构和制度,并将各项安全策略与架构落实到全套安全技术手段和安全服务措施中,从而实现对敏感信息的细粒度、全方位靶向监控,建立有效的数据安全防护体系。
三、数据安全治理落地措施
数据安全治理落地措施包括基于全生命周期的数据安全防护、检查评估措施和安全服务措施三方面内容。
四、应用内数据保护是企业安全建设重点
企业安全需求向“聚焦以数据为中心”演进
业务应用承载了主要数据共享,是数据安全防护关键抓手
五、数据安全产品防护及方案
天融信数据安全智能管控平台
基于国密算法的奥联大数据平台安全解决方案
保旺达信息交换管理系统
绿盟数据安全解决方案
渔翁信息大数据平台国产商用密码应用方案
美创数据脱敏系统
天空卫士云应用数据安全解决方案
`