“特权账号成攻击者首要目标”“内部威胁成数据泄露第二大原因”“API或将成为2022年数字化业务最常见攻击媒介”“兼顾合规与业务的隐私合规建设无从下手”“数据安全感知难”……面对数据安全建设的种种难题,1月17日,奇安信集团发布《特权账号安全能力建设桔皮书》、《零信任数据动态授权能力建设桔皮书》、《API安全能力建设桔皮书》、《个人信息保护合规建设桔皮书》和《数据安全态势感知运营中心建设桔皮书》五项报告(以下各报告简称《桔皮书》)。
上述报告以数据安全态势感知运营中心建设为核心,涵盖特权账号安全能力建设、零信任数据动态授权能力建设、API安全能力建设和个人信息保护合规建设四个重点方面。报告围绕数据安全各领域现状、风险,分享研究成果与创新探索,配合“数据卫士套件”,以期为政企组织数据安全建设提供参考和借鉴。
建设重点之一:守好核心数据资产关键之门
特权账号作为直接接触组织关键IT资产和数据资源的入口,是通往企业数据大门的“钥匙”,但目前国内对特权账号安全的认识仍处于早期阶段。特权账号分布散、数量多、权限大、风险高,内部特权滥用问题难以解决,特权账号成为攻防演练中最大的弱点……日益复杂的IT环境和不断增多的人机交互催生特权账号管理新需求,种种因素推动政企组织需要建立一套行之有效的特权账号安全管理生态系统,以减轻内部和外部威胁。
对此,《桔皮书》强调特权账号安全建设方案应四步走:特权安全风险评估,特权访问治理与控制,特权行为记录与审计和持续改进。政企组织应重视特权账号的管理,通过管理机制和技术能力并重,将特权账号的管理与组织的流程对接,重塑特权账号管理机制,以实现数据与流程的联动,完善特权访问管理的流程。
建设重点之二:构建零信任动态授权能力
“攻击目标从网络转向数据、远程办公带来数据泄露风险、边界弱化和数据流动性增加风险暴露面……”当前,我国正处于“十四五”规划实施阶段,数据成为重要生产要素。可以预见到,未来数据流转情况将更加开放,业务生态将更加复杂,参与数据处理的角色将更多元,系统、业务、组织边界将进一步模糊。
图:将“零信任架构”和“数据安全防护体系”相结合
如何在日趋多元化、复杂化的背景下守好数据安全?这就需要基于零信任思路构建数据安全防护体系,在“一中心两体系”(即网络安全态势感知与管控中心、网络安全防护体系以及零信任动态授权体系)框架下构建数据动态授权能力。《桔皮书》重点介绍了构建零信任数据动态授权能力的几个关键举措:基于数据安全治理成果,构建数据视图;构建身份视图,明晰数据访问上下文;构建以资源为中心的统一策略管控体系;持续的信任评估与策略治理。
建设重点之三:防住数据交互重要关口
公开数据统计,截至目前,全球有2000万以上的开发者、超过百亿的API。API是所有数据交互的关口,同时也是企业核心的数字资产,是企业数据、服务输出和获取的唯一渠道。随着API应用场景越来越广泛,近两年来因其导致的数据泄露事件频频发生,API的爆发式增长催生新的安全挑战。
图:API安全解决方案模型
《桔皮书》建议,数据安全中的API安全应以零信任思想进行整体的安全体系建设,API安全解决方案应按照持续“发现”、“检测”、“防护”、“响应”的安全模型进行安全建设。企业应着眼长远构建前瞻性的云原生架构,应面向微服务和容器环境对API进行管理与安全防护,从实战化角度进行API安全防护体系的建设,将安全落实到API全生命周期管理的各个环节,构建具有更好的API可见性和更好的API安全检测与响应体系。
建设重点之四:平衡合规与业务之秤
在合规监管要求逐渐完善、监管措施日趋全面多样、监管执法强度持续提高的背景下,政企组织如何建立健全符合自身管理现状及发展需求的个人信息保护管理体系?
图:保障合规建设关键举措
对此,《桔皮书》中提到了推进企业个人信息保护合规建设应“遵循合规原则、明确处理原则、落实主体责任、保障主体权益”。并提出6个关键举措,建议企业应注意以下几个方面:识别监管要求建立企业合规体系;嵌入全流程的个人信息合规管理;个人信息前端收集工具合规评估;个人信息使用过程中的风险管控;建立个人信息安全事件处置机制;通过个人信息安全影响评估持续改进。
建设重点之五:建立全局化态势感知中心
DT时代数据安全运营有“几大难”,数据资产难梳理、数据流动难监测、安全风险难发现、常态化运营难……数据资产在流动和使用过程中持续创造价值的同时,也面临着更大的风险挑战。
以数据安全态势感知为中心的数据安全运营该如何去做?《桔皮书》建议从“盘清家底、联防联控、流动监测、风险分析、安全评估、持续运营”层面入手,数据安全态势感知运营中心应该具备六大安全能力,即建立起以数据资源为核心的资产管理中心、以分类分级为核心的策略协同中心、以业务流程为核心的动态监测中心、以行为分析为核心的风险管理中心、以安全合规为核心的安全评估中心和以态势感知为核心的安全运营中心。
当前大多数政企组织已经认识到数据安全建设的重要性,但面对海量、多源、流转关系复杂的数据处理场景,和多元化的业务需求,仍存在较大的安全挑战。在1月17日的发布会上,奇安信还正式对外发布了“数据卫士套件”,为数据安全建设提供了可落地、行之有效的解决方案。