聊聊“数据安全与数据治理”那些事
關鍵詞:數據安全與數據治理
RSAC創新沙盒大賽可謂網絡安全行業創新風向標,2021年RSAC創新沙盒大賽十強名單出爐,其中多家入圍企業所屬領域皆為數據安全。如今數據泄露事件頻發,企業則越來越注重數據安全的防護與治理。本期話題圍繞這個主題,可參考但不限于以下三個維度開展討論:
?
討論1:和過去相比,你認為如今企業發生數據泄露安全事件的主要原因有哪些?
1、泄露是一直都泄露的,只是大家現在更關注,而且商業競爭和主權攻擊越來越頻繁。 2、我們不知道怎么發現,但保密宣傳片會告訴我們偷數據是啥下場。能判的,主要是個人信息,以及被認可的涉密信息,大部分商業公司的保密信息,實際上是不被法院認可的。 3、裁判文書網近些年已判決數據泄密案件。
4、我們有監守自盜的,前兩年兩個人倒賣數據,已經被判了。 5、主要原因我覺得還是內部人員的問題,黑產發展太快,自身安全建設沒有跟上,特別是安全意識這塊現在在絕大部分企業都是非常落后的,面對黑產的誘惑,很多人有意無意的泄露了數據,另外中小企業還有一部分可能確實是技術問題。 6、根據近10年的法院裁判文書來看,發現數據泄露的主要風險來自內部人員,牟利是主要動機,內部人員占數據泄露角色的8成,其中2/3是在職人員,1/3是離職人員。從幾次物流行業數據泄露來看,如果內外勾結數據泄露風險更大。主要動機是為了牟利,占將近6成,其他原因包括不正當競爭、公開/成名、誤操作、增加求職砝碼和報復原公司。 7、數據泄露主要有兩個方面的原因:1.持有數據的人員意識。2. 信息系統自身的脆弱性。從第一方面來看,大部分員工對數據的保密意識很低,而且,很多數據(信息)僅僅是一兩句話就能夠讓有心人推斷出足夠多的信息量,再加上從不同渠道獲取的數據片段進行拼湊,對于企業來說,管理的難度極大。于企業來說,管理的難度極大。從第二個方面來看,“沒有絕對安全的信息系統”,這算是行業的一個共識了,因此,未知的信息系統脆弱性,也是企業面臨的風險。 8、主要是員工安全意識不足,管理流于形式;技術大跨步太多,基礎安全都沒有做好做足,沒有對應的人力、系統支撐。以上兩方面做足功課以后,在考慮數據安全相關的短板進行彌補。
?
延伸討論:
@樓主:安全要從CMDB拉數據,CMDB應用大家有什么心得
1、說起CMDB一肚子火,CMDB全是坑。搞資產說起來人人懂,搞起來一堆事,運維還不配合。 2、你們還有CMDB,很多公司都沒有這個。 3、除了找運維,我是Arp -a,順著核心交換機,一個一個查的來找自己公司資產的,邊查邊掃描,查出來找到責任人,物理位置,登記。 4、運維天天和我說在做在做,結果新上線的資產被打穿了。 5、漏掃找資產比運維還準。 6、互聯網資產我就用ARL了。
?
討論2:報告顯示,Facebook高居“數據丟失恥辱榜”榜首,其他企業如萬豪、摩根等也榜上有名。和中小型規模的企業相比,大企業是否更遭黑客”青睞”?
1、之所以覺得大企業更遭青睞,可能只是大企業發現的多而已。 2、大部分商業公司的保密信息,實際上是不被法院認可的,很多時候是因為沒法去做司法鑒定,某個東西是公司機密代碼,你要去鑒定價值的話,你要找同行或者公開拿出去估算價值。 3、理論上是的,但要看“數據”的價值。有些小企業的“數據價值”不比大企業差。 4、兩方面,(1)在價值上來看,肯定大企業更招黑客青睞,一個是大企業的影響力,另一個是數據價值更大。但是大企業的安全建設還是要走得快些,不容易直接攻擊獲取數據,一般大企業的數據泄露都是員工無意泄露了關鍵信息,比如技術人員泄露源碼、配置文件等。(2)從數據泄露的數據類型來看啊,To C的用戶數據、客戶數據、源代碼、商業機密和政企涉密文件占據主流,大企業比小企業擁有更多客戶信息資源和商業秘密,更容易受到數據泄露威脅啊。 5、數據泄露于企業規模無關,說來說去,無非就是“利益”二字。3個方向都涉及利益:(1)黑產對數據的倒買倒賣;(2)競爭對手對企業的打擊(例如對品牌形象,營銷方案,股票市場,上下游合作等造形成負面影響和損失);(3)企業持有數據對自身的價值(例如行業客戶數據對市場營銷的價值,To C客戶數據對用戶畫像和廣告投放的價值)。
?
討論3:如今業界很多關于數據安全的建設方法,大多以數據安全生命周期為核心,但對于中小企業而言,如果完全按照這種方式來建設,團隊規模有限,安全需求很多,資源是否會沖突?業務是否會買單?
1、我們的口號是:建設面向“匯聚、傳輸、存儲、訪問、共享與銷毀”全流程的數據安全保障核心能力————(2000w,夠么?) 2、凡是喊出來:以數據安全生命周期為核心的,都是外圍人群。如果完全按照這種方式來建設,團隊規模有限,安全需求很多,資源會沖突,業務不會買單。 4、數據安全的生命周期管理是以數據的價值鏈為對象,畢竟數據流動起來才有價值,在各個環節都考慮安全因素,如果是小企業可能并沒有那么多的業務場景,也沒有那么多的數據安全需求,以防止數據泄露為目標,梳理數據出口,盡可能做好管控就差不多啦,畢竟沒人沒錢靠理論體系是完成不了高大上的安全目標的。 5、會有沖突,業務不一定會買單。任何建設方法都只是一個指導思想(最佳實踐),實際落地還是要結合企業自身的情況進行修正,包括數據安全在內的任何其他的安全建設,都是要為“企業盈利”這一個核心目的服務的,這是一個投入/收益的取舍平衡。特殊情況下,一切安全方案,都需要為“盈利”讓路。 6、資源肯定會沖突,而且業務不一定會買單。建議中小企業還是先做好基礎安全,健全自身的檢測響應能力,不斷優化自己的規則告警。如果強制植入數據安全生命周期,會本末倒置。比如有些企業入侵檢測都沒有健全,漏洞也沒修復,監控沒人看,規則告警也沒有優化,就想著上DLP,甚至“0信任”。 7、一張圖讓領導知道啥是縱深防御:(自己畫的圖,有點丑,意思到了就行)
注:文章轉自FreeBuf,如有侵權請聯系刪除!
與50位技術專家面對面20年技術見證,附贈技術全景圖總結
以上是生活随笔為你收集整理的聊聊“数据安全与数据治理”那些事的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: Homebrew软件包管理器中发现RCE
- 下一篇: 华为HCIE实验考试险过,考试真题分享、