=Start=
缘由:
闲扯,个人的一些碎碎念。
说来也怪,做了很久的安全/数据安全,有些时候当其他人问你数据安全是什么,以及你做的是哪一部分,涉及到什么具体工作/产品/项目,为什么要做这些,怎么做好这些的问题时,还是会一愣,然后大概率从自己正在干的事情说起,好一点的可能还要加上以后的规划——这些事情很重要,如果讲不清楚很可能是基础不行或是没做过(又或者是近期务虚的工作多了,以前干的工作又没有及时深入总结,导致一时想不起来);但在准备晋升答辩时,(这种自下而上的介绍方式/顺序)对于高阶的评委或者管理者来说,又不重要,他们想看的是全局、整体的思考,需要的是自上而下的视角;不过平时大部分实际干活的人,习惯于用自下而上的视角去看待自己的日常工作,这么做久了之后,可能就会光顾埋头赶路,忘了抬头看天,对于有一些想法和追求的人,建议每隔一段时间给自己安排一个从具体事务中抽离出来的机会,用自上而下的视角来观察一下自己的工作甚至是岗位(对公司/团队的价值在哪?),看看能不能有一些不一样的发现。
是什么、为什么、怎么样?
NLP思维层次模型(金字塔结构,自下而上依次是:环境、行为、能力、信念和价值观、身份、精神)
一般人——受环境影响,采取相应的行为动作得到一定的结果,能力得到一定提升。
(信念和价值观)高层次的人——有坚定的个人信念和价值观,在选择做什么的层次上有自己的方法论,可以基于业界最佳实践和当前所处环境的利用相关方法论选择要做的事情和方向;同时在确定了做什么之后,在具体怎么做的层次上也有自己的方法论,可以用这个方法论指导自己完成要做的事情;在做事情的过程中会产生相应的行为,拿到最终的结果并影响当前的环境(而不是像处在低层次的人那样被环境所影响)。
- 某个领域的图腾一般的人物;
- 某个子领域的开创者、奠基人;
- 某个子领域的带头人
- 选择要做的事情和方向的方法论;
- 具体如何做事情的方法论;
- 某个具体项目/事情上的业界最佳实践;
- 能力强大到可以影响周边的环境 or 行为受周边环境的影响;
正文:
参考解答:
合法合规+风险可控
数据安全的定义
第三条 本法所称数据,是指任何以电子或者其他方式对信息的记录。
数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等。
数据安全,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。
数据安全是指采用保护措施来防止数据受到未经批准的访问并保持数据机密性、完整性和可用性。数据安全性优秀实践包括数据保护技术,例如数据加密、密钥管理、数据编辑、数据子集和数据屏蔽,以及特权用户访问控制、审计和监视。
数据安全是指在数字信息的整个生命周期中保护数字信息免遭未经授权的访问并抵御损坏、失窃等风险。
数据安全有助于在其整个生命周期中保护敏感数据,了解用户活动和数据的上下文,并防止未经授权使用数据或丢失数据。
数据安全是组织保护其数字信息免遭未经授权的访问、使用、修改、损坏、利用、丢失和盗窃的流程。它是网络安全一个必不可少的组成部分,涉及实施工具和措施以确保数据的机密性、完整性和可用性。
数据安全有助于保护整个生命周期内的敏感数据,了解用户活动和数据的背景,并防止未经授权使用数据。数据安全涉及了解你拥有的数据及其所在位置,并识别对该数据的威胁。
数据安全性的重要性
对于任何组织,数据都是非常宝贵的资产。因此,保护数据免受任何未经授权的访问至关重要。数据泄露、审计失败和未遵守监管要求都可能会导致声誉受损、品牌资产损失、知识产权受损以及违规罚款。根据欧盟通用数据保护条例 (GDPR),数据泄露可能会导致组织面临高达其全球年收入 4% 的罚款,造成重大的经济损失。敏感数据包括个人身份信息、财务信息、健康信息和知识产权。组织需要采用数据保护措施来避免数据泄露并帮助实现合规性。
随着数据作为生产要素的重要性凸显,数据安全的地位不断提升,尤其随着《数据安全法》的正式颁布,数据安全在国家安全体系中的重要地位得到了进一步明确。发展数字经济、加快培育发展数据要素市场,必须把保障数据安全放在突出位置。这就要求我们着力解决数据安全领域的突出问题,有效提升数据安全治理能力。
数据安全措施不完善会带来严重后果,无论是财务方面,还是声誉方面。美国公司数据泄露的平均成本现在已超过 944 万美元,而且有 83% 的组织遭遇过不止一次泄露。组织既面临着法律责任,也有可能会遭受毁灭性的财务损失。而且如果泄露事件引起广泛关注,还会严重损害人们对品牌的认知,导致丧失客户信任。
仅仅在过去十年期间,数据泄露就曾影响过很多世界上最声名显赫的公司。近期的数据安全漏洞已经开始针对行业巨头,例如 Apple、Meta、Twitter 等,这进一步突显了进行全面数据保护的必要性。2021 年,T-Mobile 的一次数据泄露事件影响了预计 7700 万人;由于客户数据被发布到了知名网络犯罪论坛上,这导致该公司需要支付 3.5 亿美元进行和解。当前的数据安全趋势旨在降低安全漏洞造成的影响和财务损失。
数据安全的工作内容划分
数据安全的四个关键问题是机密性、完整性、可用性和合规性。
安全管理
建设完善公司数据安全管理体系
标准解读——网络安全法/数据安全法/个人信息保护法等法律法规的监管要求解读(这方面可以看看炼石网络整理的文章/文档)
制度规范——一方面是满足数据安全法等法律法规的合法合规性要求,另一方面这也是内部沟通、案例处置的依据所在
流程改进——权限审批、授权管理、账户管理等流程上可能需要添加安全卡点或知会安全部门
安全评审——依据整理好的checklist做检查
风险评估——
方案设计——偏技术,需要一个稍微懂些安全技术的同学了解安全内部的能力和产品然后在外部团队有安全架构设计需求时提供可落地的安全方案
整改推进——对基于扫描、沟通、外部反馈等方式发现的安全风险问题跟进修复情况,推动修复流程的完成
意识宣导——通过入职保密协议签署、应用系统banner提醒、会议室投屏、工区易拉宝等方式持续进行安全宣传以达成员工安全意识的提高和增强
安全培训——入职培训、安全编码培训、安全考试等方式对员工进行安全意识、能力的培训
数据保护
认证——比如SSO等
鉴权——有能力的自己搞,没能力的提需求给中台来搞
权限管理——有能力的自己搞,没能力的提需求给中台来搞
数据加密
密钥管理
数据脱敏
明暗水印
文档防泄漏
数据分类分级
监控审计
日志采集
数据分析
异常审计(简单基本的运营可以在平台/策略稳定之后外包给其它同学处理,能力强的人只处理特殊的、有难度的case)
DLP
策略开发
事件溯源
针对数据生存周期各阶段开展安全监控和审计(日志采集是基础,数据分析和持续运营是关键),以保证对数据的访问和操作均得到有效的监控和审计。
一些可参考的数据安全框架大图
奇安信数据安全能力框架
https://www.cnblogs.com/itxiaoshen/p/15367248.html
奇安信发布业界首个“数据安全能力框架”
https://mp.weixin.qq.com/s/0YrfP_AKHvb9z3ZmqVPwWg
MicroSoft管理信息和网络风险
https://learn.microsoft.com/zh-cn/azure/cloud-adoption-framework/organize/cloud-security
https://aka.ms/SecurityRoles
全知科技正式发布《数据安全作战地图》知识图谱
https://www.aqniu.com/industry/96892.html
CAPE数据安全能力框架,为数字经济保驾护航
https://mp.weixin.qq.com/s/qKAxR55NBbMeXUxHGLA8WA
安恒数盾数据安全
https://www.dbappsecurity.com.cn/product/cloud1392.html
参考链接:
中华人民共和国数据安全法
https://www.gov.cn/xinwen/2021-06/11/content_5616919.htm
什么是数据安全性?
https://www.oracle.com/cn/security/database-security/what-is-data-security/
什么是数据安全?
https://www.ibm.com/cn-zh/topics/data-security
数据安全解决方案
https://www.aliyun.com/solution/security/datasecurity
什么是数据安全?
https://www.microsoft.com/zh-cn/security/business/security-101/what-is-data-security
什么是数据安全?
https://www.elastic.co/cn/what-is/data-security
【数据治理实践】
https://www2.deloitte.com/cn/zh/pages/financial-services/articles/data-safety-management.html
数据安全治理实践指南(1.0)
http://www.caict.ac.cn/kxyj/qwfb/ztbg/202107/P020210720377857004616.pdf
=END=
《 “数据安全是什么?” 》 有 9 条评论
亚马逊的黑暗秘密 – 数据安全与隐私保护“最佳实践”
https://mp.weixin.qq.com/s/iuPPSiFBZNGqFrJGMUwPtw
`
本文是Reveal和WIRED的一份调查报告,该报告指出亚马逊的数据安全与隐私保护存在系统性缺陷,亚马逊信息安全部门内部混乱动荡,部门负责人更替频繁,导致工作连续性严重受损;部门预算、人手严重不足,许多重要项目推进缓慢;自动化安全监控工具投入明显不足,主要依靠老旧的人工检测机制。高层管理对安全问题重视不够,数据泄露和内部滥用事件屡禁不止,但治理进展缓慢。员工权限管理混乱也导致用户隐私数据极易在公司内部扩散。
该报告全文超过40多页,笔者人工整理了一下主要内容,然后用GPT进行了总结,如下:
根据文档,可以总结出亚马逊公司在数据安全和隐私保护方面存在诸多问题:
1.员工权限管理存在严重漏洞,大量员工可以代表用户进行交易、获取敏感信息。2010年和2015年的内部审计就发现了这一问题,但一直没有得到有效解决。
2.用户支付数据和其他敏感信息曝光给了数以万计的员工,存在严重的泄露风险。2017年,2400万用户的信用卡信息就这样暴露了两年之久。
3.自动化安全监测系统极为薄弱,主要依赖人工报告问题。这导致问题识别和响应严重滞后,许多攻击可能在网络中存留数年而未被发现。
4.信息安全部门严重缺乏投入,高管承诺与实际需求严重失衡。关键项目和工具因预算不足而难以推进。
5.安全部门组织运转混乱,上下级不信任,内部团队之间缺乏协作。部门负责人更替频繁导致工作断层。
6.最高管理层没有将数据安全作为企业发展的重中之重,导致问题难以得到高效解决。
7.2018年以来,安全部门内部评估认为泄密事件未被发现、系统可见性缺失、凭证保护不力等都是极高风险,但治理进展缓慢。
8.前几年:一位客户服务代表滥用系统获取一位女性客户的私人信息。
9.过去: 第三方卖家试图贿赂员工获取数据。
10.最近:两名员工滥用权限访问用户数据被解雇。
11.长期以来:软件工程师持有高权限账户和后门访问。
12.当前:亚马逊内部存在对安全问题的广泛担忧。
7.文章最后更新于2022年12月。
所以可以看出,文章所提到的各种网络安全事件发生的时间跨度很广,从几年前一直到最近(2015 – 2020年)。综上所述,这类问题在亚马逊公司内部已经存在并发生了很长一段时间,不是最近才凸显出来的。
`
2023年度数据泄露分析报告
Identity Theft Resource Center 2023 Annual Data Breach Report Reveals Record Number of Compromises; 72 Percent Increase Over Previous High
Date: 01/25/2024
https://www.idtheftcenter.org/post/2023-annual-data-breach-report-reveals-record-number-of-compromises-72-percent-increase-over-previous-high/
ITRC_2023-Annual-Data-Breach-Report.pdf
https://www.idtheftcenter.org/wp-content/uploads/2024/01/ITRC_2023-Annual-Data-Breach-Report.pdf
保持合规需要重点关注的安全指标
The Most Important Security Metrics to Maintain Compliance
https://www.upguard.com/blog/security-metrics
`
Customers and regulators alike are increasingly concerned about the information security programs of organizations and how they plan to prevent security incidents and safeguard sensitive data.
客户和监管机构都越来越关注企业的信息安全计划,以及他们如何计划防止安全事故和保护敏感数据。
That’s why it’s important to establish a set of security metrics that measure the effectiveness of, participation in the use of security controls. A well-chosen set of metrics will help guide future security decision-making and improve the security posture of your organization.
因此,建立一套安全指标来衡量安全控制的有效性和参与使用情况非常重要。一套精心选择的指标将有助于指导未来的安全决策,并改善组织的安全态势。
Regardless of what metrics you pick, remember that they should be quantifiable and influence day-to-day behavior as well as the long-term strategy. They should also comply with your information security, data security, mobile security, and network security frameworks.
无论您选择哪种衡量标准,请记住它们都应该是可量化的,并能影响日常行为和长期战略。它们还应符合信息安全、数据安全、移动安全和网络安全框架。
And ideally, you should have a set of metrics that are easily understandable for non-technical stakeholders, such as shareholders, Board members, and regulators. Hard numbers and industry benchmarks are a great way to avoid confusion while highlighting key areas for improvement.
在理想情况下,您应该制定一套非技术利益相关者(如股东、董事会成员和监管机构)易于理解的指标。硬性数字和行业基准是避免混淆的好方法,同时还能突出需要改进的关键领域。
Why are Security Metrics Important?
As Peter Drucker said, what gets measured, gets managed. If you can’t measure the results of your security efforts, you won’t know how you’re tracking.
安全指标为何重要?
正如彼得-德鲁克(Peter Drucker)所说,有衡量才有管理。如果无法衡量安全工作的成果,就无法了解自己的跟踪情况。
You need to have metrics in place to assess the effectiveness of the security controls you have invested in.
您需要制定衡量标准,以评估您所投资的安全控制措施的有效性。
安全指标之所以重要,主要有两个原因:
* 对安全关键指标和态势的分析,有助于围绕预算、人员和技术投资做出决策。
* 好的指标能提供量化信息,你可以用这些信息向管理层、董事会成员、客户甚至股东表明你对保密性、完整性和可用性的重视。
如何选择正确的安全指标
以下七项原则将帮助您为组织选择正确的安全指标:
1. 目的:衡量标准应支持业务目标和监管要求,将衡量标准与业务挂钩有助于利益相关者的认同,并确保资源得到有效利用
2. 可控性: 指标必须证明目标正在实现,这样的指标才有价值。因此,指标必须衡量可控流程和结果。
3. 背景: 不要仅仅把笔测试或安全工具的结果称为指标,它必须有意义。要回答 “我们为什么要收集这些数据?”、”这些数据说明了什么问题?”以及 “这些数据与我们的行业相比有什么不同?”等问题。
4. 最佳实践: 了解您要实现的目标,以及同类最佳指标是什么样的。
5. 量化: 指标需要量化,这样才能在不同时间和不同组织之间进行比较。尽管如此,围绕目标关键成果(OKRs)的定性背景也非常重要。
6. 数据质量: 指标的好坏取决于用于创建指标的数据,因此要确保数据具有较高的准确性、精确性和可靠性。
7. 易于收集和分析: 如果不能轻松地收集和分析所需数据,再好的指标也是白搭。准备和报告指标不应该花费您太多时间。理想情况下,您应该有一个始终保持更新的仪表板,组织中的任何人都可以查看。
遵循这些原则将帮助您确定建立所需指标所需的数据和服务。重要的是要记住,您的业务环境会影响收集哪些数据来形成您的安全指标。这些指标还取决于您部署的技术、使用的安全控制以及外包给第三方供应商的数量。
* 安全评级:组织的安全评级越高,其整体安全态势就越好。
* 停留时间: 攻击者在未被发现的情况下访问敏感数据的平均时间,停留时间越长,攻击者删除敏感数据的时间就越长,攻击的破坏性就越大。
* 漏洞: 内部系统和供应商控制的系统中已知漏洞的数量,如 CVE 上列出的漏洞。漏洞管理可帮助您根据严重程度对漏洞进行排序,提高优先级。
* 网络安全意识培训: 有多少员工完成了网络安全意识培训?
一些常见的监管要求,如 PCI DSS、HIPAA、GDPR、CCPA、CPS 234、LGPD、PIPEDA、FIPA、The SHIELD Act、GLBA 和 FISMA。
`
归因
https://mp.weixin.qq.com/s/6sZYFn39tg5_zPAiC7cFyQ
`
引言
偶然看到这篇文章,把我想说的一些思路完全归纳总结了,其中对不同纬度的归因层次所采取的思维方式和行动方式印象深刻,这给了我启发:从不同纬度去归因,可以找到不同纬度的解决办法,下层问题采取上层方法,能够解决的概率大一些。另外,对我们普通人来讲,并不是要追求最高的归因纬度,能在行为、能力层归因已经很厉害了。能够在精神层归因的人,属于天选之子,不必过于苛求自己。
==
我现在越来越意识到,人和人的差距很大程度上来自于他对每件事情不同的归因。像我们现在面试一个管理层的人会看他什么,我们会问他遇到过最大的挑战和困难是什么?问他的解决思路?但更重要的是观察他在这个过程当中对这件事情的归因。
也就过了一两年,这个时候很多教育行业的CEO朋友就打电话来问我,说要做背调,原来这个老兄在找工作,对上一段的创业经历,他很多问题的细节答不上来,千篇一律的解释,大家觉得很奇怪,就是:
行业不行、环境不行、时机不行、产品不行、投资人不行、谁都不行谁都是白痴,只有他怀才不遇
只有这位老兄**因为他一贯的这种消极的归因方式,几乎好像没有任何成长,路呢也越走越窄**。
过去这些年,我发现身边大量的人也有这样的规律:
**一个人遇到事情,他归因的方式很大程度上决定了他未来的命运**
可能这套思维方式也会对你的未来产生很大的影响,如果你想更快的成为一个能成事的人,那么接下来的内容你应该存下来多看几遍。
==
举个例子,公司产品最近的用户口碑明显下滑,影响到了转介绍率,也影响到了业绩。
* 环境层的人会怎么说呢,最近我们在跟竞争对手打价格战,所以只能先降低交付成本和质量,先去追求效率了。而且国内市场的用户越来越挑剔,不如我们去搞海外,现在都流行出海,你看环境层的人,他首先想到的就是向外归因,然后去逃避环境。
* 行为层的人会怎么说,从今天开始,相关部门按照新的SOP。加班加点,我们要严抓质量。
* 能力层的人会怎么想呢,是不是我们的培训做的还不够好,所以教学团队的水平和能力还不行,还有质检流程会不会有问题,因为各种各样的能力不足,所以才导致了我们产品口碑和质量的问题。
* 信念层的人会思考什么呢,他们会想是不是我们团队的价值观出了问题,我们在座的高管的心理是不是把用户的价值放在了企业利润的后面,如果自上而下大家都秉承了产品质量优先的观念,那么下面三层的问题还会存在吗? 你看这种思维方式是不是很高屋建瓴,是不是有点虚。如果你觉得虚,那你一定没有做过经营性管理,一定没有接触过上层、信念层的人:他会先弄清楚为什么做,这比怎么做更加关键。 –信念层归因
信念决定他想构建什么样的能力,能力促进行为,改变环境。
他们会想清楚来到这个世界上是为什么,想改变什么,如何才能实现自我价值。 –精神层归因
==
从上往下依次是:
精神层
身份层
信念层
能力层
行为层
环境层
当你被当下的一些选择和压力困扰的时候,不妨以这样的顺序把这个三角形反过来。自上而下的重新去思考,你的人生就会通透很多,你会慢慢让自己远离内耗,远离那些琐碎的事和那些糟糕的情绪。
`
数据安全风险枚举 v0.1.4
https://dsre.jd.army/#/
`
安全属性
* 机密性(信息泄露)
* 完整性(篡改)
* 可用性(拒绝服务)
* 认证(无认证、伪造)
* 授权(权限提升)
* 审计(抵赖)
生命周期
* 数据采集(获取、导入)
* 数据传输(发送、接收)
* 数据存储(持久化、归档、备份)
* 数据处理(计算、展示)
* 数据交换(共享、委派、出境)
* 数据销毁(删除、销号)
`
PC沙箱能解决数据安全难题吗?
https://mp.weixin.qq.com/s/fcmtGf4jh6PDyiCNDjYw3A
`
一直想把自己对于PC沙箱的理解表达出来,但拖延症加上写的过程中发现这个话题可以讨论的内容很多,需要分篇文章发出来,这一篇先说说PC沙箱本身,接下来的几篇从PC沙箱的设计、技术逻辑等进行细致探讨。
1、 PC沙箱的定义
不同公司对安全工作空间的定义和产品形态是不一样的,甚至当大家在讨论安全工作空间的时候,可能说的也不是同一款产品,所以很有必要明确本文探讨的安全工作空间的定位和主要价值。本文探讨的“安全工作空间”,也会被叫做PC沙箱, 和“网络安全沙箱”、“数据交易沙箱”是不同的概念,“网络安全沙箱”是一种用于检测和分析潜在威胁的工具,它通过模拟真实环境,将可疑文件或链接隔离在一个安全的环境中进行测试和分析,沙箱会模拟用户的操作,运行文件或链接,分析是否是恶意文件,这也是大多数人印象中的沙箱,“数据交易沙箱”是为了解决数据流通交易过程中的隐私安全问题。
全球区域的法律和巨额处罚以及国内密集颁布的数据安全的法规条例固然是数据安全的重要推手,但不在今天的讨论范围内,此次白话主要从应用场景和解决的问题来引出PC沙箱产生的背景。
本文讨论的PC沙箱是近几年随着零信任概念的发展衍生出来的一个技术需求,根据GW0015-2021《政务外网终端一机两用安全管控技术指南》中沙箱sandbox的描述:沙箱(Sandbox),通过驱动层或应用层重定向技术在终端上创建一个与个人环境完全逻辑隔离的环境,实现对沙箱中运行的软件(应用程序)所有系统操作的管控,并能对沙箱中运行的软件(应用程序)实施通信加密、落地文件加密、内外网络访问隔离、剪切板控制、外设管控、程序管控、文件外发管控等数据保护功能。
2、为什么会出现这个技术或产品?
天下苦数据安全久矣。
去年在北京参加ISC网络安全大会的时候在电梯里偶遇谭校长,谭校长几乎每年都是创新沙盒的评委,我好奇的问:校长,今年创新沙盒10强里就有两家公司做PC沙箱,会有哪些考虑因素?(在我看来如果不是热门技术,一般只会有一家代表企业是比较合适的)
谭校长说:“数据防泄漏是一个长久的命题,但是业内一直都没有很好的方案,PC沙箱的出现虽不一定会解得很好,但是会给大家带来一些新的视角和期待,大家都想看看到底PC沙箱能做到什么程度”
当时我大胆猜测,冠军应该其中一家,结果侥幸猜中。
当甲乙方在讨论数据安全的时候无论懂不懂的人,都会提到“数据安全生命周期管理”这个词,好像是你能说出这个概念,你就懂得数据安全防护以及具体的做法。但事实上大家都会认为数据安全全生命周期的建设费时费力,还不见得就能解决问题。
数据安全的第一步就非常艰难
业内一谈到数据安全的建设公认的第一步就是做数据的分类分级,传统的数据防泄漏建立数据在分类分级的基础上,不同行业的数据敏感等级、数据分类都不一致,且由于数据规范问题,数据表里对数据的定义和描述差异也很大,想通过一套工具来实现数据分类分级几乎是不可能的,更别提要人工参与,耗时耗力还不一定能做的好,那么后续的监控、管控、告警等闭环动作都无法有效的开展。
数据流动场景变得复杂,管理通道无法全闭环
当前哪怕是一个10几人团队的小电商公司,数据的流传场景都非常多,涉及到客服人员可以查询订单、物流信息、客户信息的同时防止更多的用户隐私数据泄露,仓储人员可以查询仓储数据,与客服共享上述信息等,财务税务报税访问各种互联网上的税务应用等数据交换共享场景非常多。个人电脑没有限制,既能上内网,也能访问云上的saas应用,同时还可以访问互联网,数据几乎都是裸奔的状态。同时还要防着各种数据可能泄露的通道,其中github、云盘、云笔记等影子IT对数据防泄露工作基本是个噩梦,更加难以防范。
有意或无意泄露数据的“内鬼”
对于企业的内部人员来说很容易拿到一些敏感数据(往往员工不知道哪些算是敏感数据),更别说这些数据对于有心者是如何发挥作用产生“价值”的,比如物流公司的客服可以拿到客户信息要和厂家沟通物流进度,管理订单状态;律所工作人员可以轻易拿到案件相关的文件与合作的律所共享等等,这类人员的工作属性每天都在接触一些敏感数据,而且有需要与外部共享。
传统的方式表现不尽人意
说起数据防泄露就不得提DLP这个产品,从诞生开始就被寄予厚望,但实际的效果是网络DLP识别率低,终端DLP误报、使用体验问题都导致项目难以推动和实践,邮件DLP的表现中规中矩,但对于当下丰富的数据泄露场景和方式,显得性价比很低。
3、PC沙箱的独特之处
PC沙箱在物理PC上创造了一个虚拟的、独立的、安全的办公环境,企业IT管理员期望员工无论是企业派发的电脑或是自己的电脑在互联网或是在企业内网访问企业数据的时候都能是一个独立的纯净环境,这个环境能让限制数据与宿主机的交互,也无需安装EDR、VPN、DLP等工具,能够让普通平员继续访问业务,访问数据,同时也起到的数据的防护作用。
同时在国内PC沙箱的厂家往往与零信任访问控制产品相结合,从终端安全、链路加密、数据使用、最小权限等多维度提供了一种综合性的解决方案。
从市场的情况来看,PC沙箱这两年是越来越火,但从各个厂家的产品来看,产品稳定性和功能丰富度上还处于起步阶段。同时PC沙箱的使用一定要贴合业务流程,所以也会有一定的行业属性在里面,就考验产品经理的洞察能力和对行业的理解能力。总之在接下来的几篇文章,从产品规划设计、技术原理以及市场推广几个方面都谈谈自己的想法,也欢迎大家批评指正。
`
数据治理:一文讲透数据安全
https://mp.weixin.qq.com/s/HQa99ECq17MOfLZoUQOLIQ
`
数据安全是数据治理的核心内容之一,随着数据治理的深入,我不断的碰到数据安全中的金发姑娘问题(指安全和效率的平衡)。
DAMA说,降低风险和促进业务增长是数据安全活动的主要驱动因素,数据安全是一种资产,这是很好的观点。
我决定系统化的去学习一下数据安全知识,因此重新研读了DAMA、DCMM、相关书籍的数据安全内容,在此基础上,尝试用更系统化、通俗化、案例化的方式讲清楚数据安全到底是什么,希望带给大家新的启示。
一、数据安全是什么
1、数据安全的定义
数据安全是指保护数字数据免受未授权访问、泄露、破坏或丢失的过程和技术。这包括一系列的措施、策略和程序,旨在保护数据的保密性、完整性和可用性。
如果数据是家中的珍贵物品,数据安全就像是锁门、安装报警系统和保险,确保宝贵的东西不被偷走或损坏,同时确保你在需要时能够使用它们。
2、数据安全的原则
DAMA给出了数据安全的原则,共包括6个方面:
* 协同合作。数据安全是一项需要协同的工作,涉及IT安全管理员、数据管理专员/数据治理、内部和外部审计团队以及法律部门。
* 企业统筹。运用数据安全标准和策略时,必须保证组织的一致性。
* 主动管理。数据安全管理的成功取决于主动性和动态性、所有利益相关方的关注、管理变更以及克服组织或文化瓶颈,如信息安全、 信息技术、数据管理以及业务利益相关方之间的传统职责分离。
* 明确责任。必须明确界定角色和职责,包括跨组织和角色的数据“监管链”。
* 元数据驱动。数据安全分类分级是数据定义的重要组成部分。
* 减少接触以降低风险。最大限度地减少敏感/机密数据的扩散, 尤其是在非生产环境中。
如果侧重于数据本身的安全属性,数据安全的原则应包括保密性、完整性和可用性,统称为CIA三元组。
保密性:确保数据只对授权用户可见和可访问。
完整性:保护数据免受未授权的修改,确保数据的准确性和可靠性。
可用性:确保在需要时,授权用户能够访问和使用数据。
想象一个团队运动,比如足球,每个球员(数据用户)需要知道如何保护球(数据)不被对手(威胁)夺走,传球(处理数据)要精确,而且整个队伍(组织)需要一起努力保持球的控制(数据安全)。
3、数据安全活动的目标
根据DAMA定义,数据安全活动目标,主要包括以下三个方面:
支持适当访问并防止对企业数据资产的不当访问。
支持对隐私、保护和保密制度、法规的遵从。
确保满足利益相关方对隐私和保密的要求。
二、数据安全的主要活动
数据安全包括六个阶段的活动,涉及34项活动内容,如下图所示:
一、识别数据安全需求
1. 业务需求
2. 监管要求
二、制定数据安全政策
1. 评估风险和需求
2. 确定目标和范围
3. 制定政策内容
4. 审议和批准准
5. 宣传和培训
6. 实施和执行
7. 监控和审计
三、定义数据安全标准
1. 确定目的和范围
2. 数据分类和处理
3. 访问控制
4. 物理和技术保护
5. 安全审计
6. 应急响应计划
7. 政策和法规遵守
8. 维护和更新
四、评估当前安全风险
1. 识别和分类数据资产
2. 识别潜在威胁
3. 评估影响和可能性
五、实施数据安全控制
1. 控制措施和程序的选择
2. 技术措施的实施
3. 制定流程和程序
4. 培训和意识提升
5. 测试和验证
6. 监控和持续评估
7. 应急准备和响应
六、实施数据安全审计
1. 审计准备
2. 审查现有安全措施
3. 风险评估
4. 实施检查和测试
5. 审计报告
6. 后续行动
7. 应准备和响应
`
数世咨询:《数据访问安全域能力白皮书》全文发布
https://mp.weixin.qq.com/s/IpIV55gq0b-P0a5i1xu8kQ
`
在机构用户向机构内部发起某个敏感数据(本报告中“数据”一般指用户或机构拥有的核心业务数据、商业敏感信息、知识产权信息、客户隐私信息等高价值业务数据资产)的访问请求后,数据从机构内部数据中心,通过安全的数据通路,落盘到用户终端侧,在这个过程中,机构如何落实整个访问过程的安全管控,特别是数据在用户终端侧落盘后的更进一步安全管控,目前并没有一个与之适配较强且行之有效的较好的解决方案。
敏感数据落盘到本地之后,如何做管控,当前并没有一个特别好的解决方案。
目前的数据安全正在进入数据【访问】和【使用】安全的时代——针对存储阶段的数据安全防护固然重要,其他阶段的数据安全也需要给予更多的重视;数据泄漏要面对的也不再仅仅是外部的黑客攻击,还包括内部员工、合作伙伴使用和交换数据时的数据失泄密行为。
# 团队角色及需求
对用户来说,数据访问安全通常涉及到以下4个角色团队:
1、业务团队 作为数据生产和消费的角色。希望通过数据挖掘出新的业务增长点,更快地进行创新并为其组织创造更多价值。这意味着数据需要在业务前端、存储节点、计算节点、数据分析节点、服务提供终端等各个节点间不断流转;
2、安全团队 希望对数据的存储、流转、访问、销毁等全过程都能够可视、可控、可查。这意味所有的数据访问请求,无论来自于外部还是内部,无论是纵向还是横向,都需要基于白名单机制进行严格的信任鉴权与控制,整个过程要具备一定程度的自动化与可视化,并定期生成安全运行报告,进而体现安全团队除了“背锅”以外的更大价值;
3、运维团队 希望安全方案尽量不改动现有的网络架构,原有的终端操作系统也不需要升级或打补丁,离线办公、远程办公、协同办公的各个业务单元都不必做出策略配置上的调整,总之就是不要动,谁动坏了谁负责;
4、法务团队 希望确保公司的安全方案遵守数据安全法等相关法律,符合等保、分保等合规要求,万一出现有意或无意的数据泄露事件,机构的法务团队能够首先从内部获取到客观有力的证明信息,避免违法违规导致的声誉受损。这意味着团队需要实现完整的数据加密和分级保护;
除了以上四个关键角色团队,最终的关键角色——老板——希望的是**保业务,不出事,少花钱**。这也是数据访问安全域的最主要挑战:如何在数据充分流转推动业务创新的同时,以尽量小的成本投入保证机构核心敏感数据在机构内、外的安全。
# 主要场景与痛点
BYOD设备数据管控难
为了方便随时随地处理工作,企业中越来越多的员工希望可以使用私人电脑来工作,特别是针对远程办公、外包团队协作等场景,但企业难以对私人电脑终端环境的安全性进行管控,私人终端的潜在威胁可能会危及到企业业务资源,同时,企业业务敏感数据落地到私人终端后,将不受控制。
后疫情时代,普遍的在家办公场景更是如此。目前多采用VPN+虚拟桌面的方式,即私人电脑通过VPN访问虚拟桌面从而访问企业业务数据,但这种方式对带宽的要求较高,网络的中断和卡顿严重影响工作效率和办公体验。
更重要的,由于员工在感情上普遍无法接受个人电脑中安装全局扫描类的安全产品,当需要访问财务信息、客户信息、知识产权以及其他机密信息等企业核心数据资源时,这些数据落地到员工的办公设备后,还是可能通过电子邮件、网页、即时通讯、移动存储介质、刻录、打印等途径进行传输,造成企业内部敏感数据泄露。
组织分支机构协同场景复杂
组织分支机构的数据共享和协同办公安全问题,目前多以DLP、透明加解密、网页Office、云盘等解决,针对研发、测试的科技类场景,还多辅以VDI等解决方案。这些方案,面对复杂的协同场景,各自都有一定的局限性与缺点。
例如透明加解密只能保护限定类型的文档数据,大量非文件保护的场景无法支持,研发类复杂场景无法支持;DLP产品只在网络边界进行数据分析,无法匹配动态变化的业务边界,无法准确控制数据的共享边界,且DLP需要通过设备特征和复杂的配置策略实现管理,效率与准确性较低,管理员往往为制定规则而疲于奔命。
再比如CI/CD场景下,有些实力较强的机构CSO说服领导,为员工配备了内外网双电脑隔离办公,并通过VDI等方案实现不同地区多团队的协同工作,然而此类方案对于具有较多分支机构的用户而言,VDI的硬件与License采购建设成本、安全团队与业务、研发、运维等部门的沟通成本都比较高。
无论采用哪种方案,始终难免出现诸如数据泄密、倒卖商业情报等有损企业商誉的行为。
数据泄露审计与溯源难
第三个问题是数据泄露事件一旦发生,安全团队难以审计溯源。
首先,数据在多个部门之间流转使用,数据本身会不断衍生出新的数据,原有的数据标签与数据锚点会发生变化。其次,如何从用户对数据的正常访问行为中,甄别出恶意的行为,需要富有经验的安全管理员会同业务部门的同事一起,才有可能发现。最后,更常见的情况是,由于缺少必要的专门针对数据访问安全的审计与溯源技术工具或手段,团队CSO被迫需要考虑技术之外的诸多因素,业务、运维、安全、法务各个团队纠缠为一团,谁也说不清楚到底数据是从哪个环节泄露出去的。
面对上述场景中的各类风险,CSO们要想带领安全团队避免当“背锅侠”,迫切需要构筑数据访问安全的能力。
==
虚拟桌面基础架构(VDI)通过将服务端上的虚拟桌面传回至用户侧终端,达到保证用户侧安全的目的。VDI能够针对不同的用户提供不同配置与应用场景的虚拟桌面,因此具备较好的个性化与灵活性。在引入零信任理念后,也能够较好的满足用户安全访问的需求。但是,目前VDI高时延、高成本、高复杂性等问题让大部分用户都难以承受,因此VDI比较适用于对高时延并不敏感且预算较为充足的机构。
远程浏览器(RBI)一定程度上避免了VDI的复杂性与高成本。由于浏览器的性能要求较为轻量,对用户的访问安全管控也更容易实现,管理员可以采用更为开放的互联网策略。但是由于终端侧用户的操作从桌面级变成了浏览器,对于某些专业领域应用,或是开发、设计等重度场景,RBI的适用性范围会有些受限。这个细分领域已经有一些新锐企业在进行创新,如钛星数安,其在某国有四大行也已经实现了RBI的落地。
==
# 安全的数据使用终端环境
数据的价值在于使用,数据使用安全的关键在于数据使用环境的安全。**数据使用过程中,一定会在访问用户侧落地**,如前所述,仅仅以加密等“保险柜”方式进行保护是不够的,数据的访问、打开数据的应用都存在风险。因此,这里应当以“安全域”的形式建立终端数据使用的可信环境,即**数据的存储、访问、应用、管理等行为都限制在安全域内**。
首先,安全域环境应该是安全、高度隔离的。安全域应当对域内的网络设备、网络服务等数据交换行为加以隔离,应当具备截屏、录屏、共享屏幕、拍照、打印等防护能力,杜绝通过网络传输、外接设备等方式传出数据。总之,要能实现隔离环境的独立性、完整性以及不可伪造的唯一性。
其次,数据在安全域间的流转应该是单向、受控的。若要在安全域与非安全域之间进行文档或数据的流转,这个流转只能是单向的,非安全域中的数据可以流向安全域,反之则禁止;
第三,使用、处理数据的软件应该是可信的。对不同类型的数据,如文档、报表、网页、数据库等,应当建立受信软件列表,避免因第三方软件引入的供应链攻击。
最后,安全域环境中的用户、软件、网络等行为均应是持续监控可审计的。应当对数据访问行为中涉及到的用户行为、进程行为、网络行为、文件行为等进行持续的监控与日志记录,从而形成数据访问全流程的安全审计能力,保障数据访问过程的不可否认性。这其中重点要记录安全域中的网络访问、数据外发、数据应用、用户操作等行为日志。这部分能力对安全团队与业务、运维、法务、行政等非安全团队之间的沟通协调具有非常高的价值。
`
飞连,有点走火入魔了
https://mp.weixin.qq.com/s/Ow6aMYtxyRRYP19U5E9Gyg
`
这篇文章主要是从飞连作为一个对外售卖的安全产品的开发成本和面向的市场规模去考虑,如果纯作为一个外部非企业安全从业人员视角来看,他是对的;但是如果你从一个企业安全人员的视角来看,飞连做的其实很好——对于一个当前有资源、有追求的企业来说,即便不对外进行售卖,我内部的安全产品也需要往all-in-one的方向去做,而且公司越大、环境越复杂,需要考虑的事情本来就会越多,除非你不想尽力去尝试做到100%,认为做到一定程度就OK,那你认为这样大可不必也是对的,这个个人所处位置、视角和出发点不一致有关。
如果我本身就是有这种需求,为什么不做的好一点、全一点、标准一点?前期考虑的全、做的多确实前期成本会上去,但是如果从长期视角来看,TCO就没那么高了,做的过程中按可对外售卖的产品要求自己,也更容易做出更好的效果,而不是做到哪算哪(取法乎上还得乎其中,如果取法乎下那还能有好结果吗?),这不论是对自己还是对团队亦或是对整个行业其实都是好事。
固化最佳实践,推广最佳实践,(分摊内部开发维护成本的同时)帮助整体安全水平得到提高。
另外就是,不止是大厂需要做好安全,小厂也需要,只不过以前是没有条件,现在如果飞连在能很好满足内部需求的情况下,还能够根据实际情况进行模块化拆分对外进行售卖,一方面平衡了前期投入的巨大研发成本,另一方面也给对有需求且愿意投入的小厂提供了一个快速达成最佳实践的机会,这有何不好?
# 飞连面向的市场规模有多大?
产品经理的惯性让我首先思考这个产品的商业模式是什么,怎么赚钱。这是个有趣的问题。先看市场规模有多大。是百亿级?千亿级?万亿级?
官网上,飞连主要面向IT管理和办公安全。ITSM的内容比较少,更多还是网安圈的名词,像ZTNA、VPN、EDR、DLP、AGW、IAM、身份治理、暴露面管理等,SDWAN正在公测。所以我想竞品主要还是网络安全领域的终端管理类产品。但可能飞连并不认可这一点,没关系,先顺着这个往下说。
# 飞连的增长模型是什么?
先看行业,网安企业基本都是SLG。横向,在各地设立分公司建立渠道体系,分公司主要是前场营销职能。纵向,根据党政军队军工,大型央企,银行证券保险,电力电信烟草等划分行业。前场运作项目,后场产研团队配合把标拿下然后交付,销售负责回款业绩达成。一个成功拿下的终端安全管理项目,产品贡献有多大?我自己的经验,感觉小于10%,SLG嘛,虽然扎心但正常。所以,作为一个偏心产研的产品经理,作为一个仍然存有一丝理想主义的产品经理我认为SLG是丑陋的。如果有人参与过紧迫又操蛋的竞标,见识过光天化日下进行的肮脏却又隐秘的交易,背过无妄之灾的项目黑锅,他应该会认可我的评价。主流终端管理市场,根本的驱动力是“合规”,往大了说,网安整个行业都是合规驱动。无论是去IOE,等保FB,信创国产化,HW统统是合规。
飞连是PLG,从它宣传的案例看这很明显。
靠产品力赢单简直就是安全圈的一股清流。飞连解决的是“管理”问题,不是“合规”问题。这是我前文提到“飞连可能并不认可传统终端安全是竞品”的主要原因。市场不同怎么能算竞品呢?飞连面向价值市场靠产品力说话,也是我作为产品经理的理想主义。但这也是最大的问题,你到底是不是在搞安全?是的话,清流就变成不入流了。不同流怎么一起搞钱呢?把自己搞到没有竞争对手并不是消灭敌人而是孤立自己。这是悖论的开始。
# 飞连的一些悖论
能把一堆主流的安全理念落实在产品中交付给互联网企业和挑剔的制造业客户,我感觉飞连的产品经理中一定有资深的网络安全大牛,这有优势也有劣势。
优势是对安全的深刻理解,劣势是根深蒂固的合规惯性。我看到在一个文档中飞连仍然在介绍它对《等保2.0》《个人信息保护法》《数据安全法》的遵从,这种对传统的留恋会让产品战略模糊。既然选择一条不同的路就别回头。但可能是我道德洁癖了,面向“管理”怎么就不能讲合规了?人家文档里只是随便加了几行我就天马行空的借题发挥,没有说服力。所以来点干的。
我数了一下,飞连把VPN, AV, IDaaS, SDWAN, DLP, IAM, 802.1X/Portal资产管理,SASE/ZTNA, 软件管理10个产品整合到一个产品里面了,我建议以后把补丁管理,移动存储设备管理,文档加密,上网行为管理,终端审计,蜜罐也加进去,这样更完整。哈哈,开个玩笑。十合一已经够丑陋了。
我原本认为只有竞标时给对手挖坑才有必要搞这么多功能。但你飞连是面向价值市场的,你的案例介绍中客户也只用两三个功能而已,为何要把产品搞得如此臃肿。养研发不需要花钱吗?先不说研发成本多高,这么搞赚不赚钱来算一下账。
假设飞连的一个用户有1万点设备,开802.1X/Portal准入,使用DLP和资产管理。三个模块价值都挺高,按网安市场行情算80off之后100元/点,再买2年服务,每年服务费是售价20%,这个价格合适。这样算下来是3年140万,含税。甲方分三期付,比例352,最后一期做好回不了款的思想准备。什么,飞连是SaaS订阅?你的客户是什么规模你心里没数吗?待会儿说。
但这不是甲方最终支付的价格。网络准入是需要专门的团队运维的,否则鸡飞狗跳。会配交换机能懂radius和LDAP要CCNA级的水平,要从容排错就需要CCNP加上MCSD再加3年经验,这种级别的工程师一线城市月薪20K不过分,1万点需要3个人力运维不过分。社保系数0.3很低了,13薪是起码的否则不好意思让人家通宵加班。3年算起来维护的人力成本多少?304万。甲方为项目总共要支付444万!合规市场中的甲方领导看到这个数眼都不带眨一下就会盖章,只要有预算。因为合规是刚需,还有一些不方便说。
但飞连面向的不是合规市场是价值市场,自己选的路含泪也要走。你要知道,制造业的客户算成本会习惯性的精确到小数点后两位。决策者一想到投资444万买一套终端管理系统要增加4440万的业绩才能赚回来,估计会慎之又慎吧。这么一算飞连这个项目八成就黄了。
有钱的大厂不需要飞连因为人家自己也有,没钱的小厂买得起产品可能养不起运维,能负担得起的中厂有可能要私有化,但你却在走SaaS订阅路线。臃肿带来产品维护成本居高不下,市场选择让营收扑朔迷离,我搞不清这产品怎么来的经常性营收。
我当然理解飞连为什么臃肿,因为它是字节内部的一个系统拿出来卖的。一家有规模的公司,许多需求放到一个端里自然会臃肿。据我所知,耳熟能详的国内大厂都有类似的All-in-one客户端,大家一样肿,不过,像飞连这样肿着拿出来销售的就不多。原因显而易见,才50亿的市场规模,一哥才占18%苦哈哈干一年营收才9个亿,真大厂看不上。
飞连反复强调自己的出身可能是一个巨大的错误。
1990年代中国的数字化进程刚刚启动,IT领域供小于求,产品匮乏,国外有产品进来,但凡公司有点名头的大家都会趋之若鹜。人才队伍也刚开始建设,大家热衷于考证儿,著名的PearsonVUE也是那时进入中国的。义无返顾的单向奔赴,根本原因是信息差。说白了很多人没见过外面的世界。但今时不同往日,人们虽然在一个营收千万的小团队中搬砖,但大家操心的可都是google苹果微软这样万亿级公司的最新产品和技术,讨论的是范式,架构,开源,负碳和社会责任。信息差很小了,飞连强调自己的出身不会有什么加持,或许还会适得其反,大家都是见过世面的人不是吗?尊重一下甲方,跟你聊项目需求的可能是暂时委身的阿里P8。
这不重要。
作为仍然有点理想主义的产品经理,我完全不认同一个产品的生长过程是飞连这样先内部用,臃肿如斯还拿出来卖,这不太严肃,把承载自己公司理念的产品授之于人,又有点傲慢。抛开情绪面,这个产品应该要先做减法再做加法,做减法太难了,尤其是在有技术债的情况下,很难搞成一个优美的产品。小平当年也是这么说的。
飞连最大的悖论是用WEB1.0时代的思路解决WEB2.0时代的问题,这个下次再聊。
`