一說到追溯,在大家的腦海中馬上就會浮現一連串的諸如“網站被***、業務被黑、防火牆被繞過……等等的安全事件”,這已經成爲長時間投身IT行業的人之本能反應了。今天,全息君也來蹭蹭數據安全的熱點,聊聊數據安全領域的數據追溯,數據追溯除具有傳統意義上的追溯功能外,其重要性和功能也在發生延展。
1、傳統的網絡安全追溯
我們說到網絡安全事件追溯,主要包含兩方面內容,一方面是要對已經發生的安全事件進行溯源取證、明確界定責任,從而能夠追責去責;另一方面是覆盤整個事件,分析事件的成因,重新對整個IT環境進行完整的安全評估和檢查,查漏補缺,杜絕再次發生類似事件。
企業在網絡安全防護上投入大量資源,確保其IT環境安全穩定,安全事件的發生概率相對更小,就追溯和審計的需求來說,很多情況下企業只部署某個設備供應商提供的具備一些日誌功能的系統或者一個簡單的日誌服務器;從另一方面來看,事後追溯是針對已經發生的事情進行的一系列動作,“事後”的特點決定了相對於事前和事中來說,企業在事後追溯環節上投入的重視程度和資源則相對要少很多,這是當前的普遍現狀。
隨着雲計算、物聯網、5G、人工智能興起,當人類社會大踏步邁入數字化時代後,接踵而來的各種讓人觸目驚心的數據安全事件,將數據安全推向信息安全的最前端,數據追溯的重要性也在慢慢發生變化。
2、數字化時代,圍繞數據的三個趨勢
1)數據安全事件危害性更大
企業數字化轉型的核心基石是數據,從企業業務系統到與其關聯的整個上下游產業鏈中,都在源源不斷產生大量數據,這些數據能夠給企業帶來無限機會,數據被看作新經濟時代的新貴:“石油“和”黃金”。
相比於網絡安全事件等所造成的影響、損失程度來說,數據安全事件造成的危害性更大,這是由數據的資產化特性決定的。在數據沒有受到安全威脅的網絡安全事件中,企業網絡的恢復和損害是相對可控的,而在數據安全的事件中,數據的損壞或盜竊通常是不可逆的,其危害是深遠的、難以預測的。所以,從實際意義上來說,網絡安全的終極目標是數據的安全。脫離了這個實質目標,網絡安全的投入就會事倍功半。
2)數據追溯重要性日益凸顯
不計其數的安全事件表明,***的核心目標已經轉向爲竊取或破壞有價值的數據。在現有複雜和成體系的網絡安全防護體系面前,數據安全事件卻頻繁發生,說明企業的網絡安全防護體系無法有效應對以數據爲目標的各種安全威脅行爲,今後企業需要將重點放在以數據爲核心的安全體系方面。
一方面數據的重要性,決定了數據安全事件(如數據泄露)造成的影響範圍更廣、損失更大,追責也更加嚴厲。相應的溯源取證、界定責任,追責去責的需求更加迫切,數據追溯的重要性日益顯現。
另一方面,傳統意義上的追溯偏向事後,有點類似亡羊補牢。數據本身其特點是抽象、流動化、敏感度隨着複雜的生命週期動態變化,這決定了在數字化時代,對於數據不在只是事後追溯,應該進行實時和週期性的數據追溯審計,從而對敏感數據全週期做到完全可見。
3)法規政策趨細,監管趨嚴
“數據即資產”的觀念成爲共識,說明了數據的價值和重要性。隨着數字經濟的深入發展,各類數據迅猛增長、海量聚集,對經濟發展、社會治理、人民生活都產生了重大而深刻的影響,數據逐步實現了從“資產“到”生產要素“的轉變,2020年3月30日中共中央、國務院《關於構建更加完善的要素市場化配置體制機制的意見》中,明確將數據作爲一種新型生產要素寫入了政策文件。與此同時,數據安全已成爲事關國家安全與經濟社會發展的重大問題,去年國家相繼出臺了《數據安全法(草案)》和《個人信息保護法》,旨在爲落實數據安全保護責任,規定支持促進措施,可以預見今後與數據安全相關的更多支撐性法規政策、以及各種規範和標準將會相繼出臺,企業需要高度重視以數據爲核心的安全體系構建。
3、數據追溯
1)數據追溯的現狀和挑戰
企業每天都在產生大量的數據,數據安全涵蓋如何分級分類、識別、控制、監測、追溯各種數據。根據第三方機構的調查報告,當前大部分企業都沒有部署數據安全防護措施和手段,更不用說數據追溯系統了,使得企業面臨嚴峻的數據安全形勢,一旦發生數據安全事件,溯源和取證無法進行。很多企業依然使用日誌系統應對數據追溯,如果企業沒有部署DLP類產品,很難有效識別敏感數據,對於日誌系統來說也就無從談起數據追溯;對於部署了EDR或者NTA類產品的企業,也存在同樣的問題。
相比網絡安全追溯,數據追溯功能外延很多,在流動的數據中高效識別出敏感數據,追溯到敏感數據的全流轉路徑,不僅僅只是IP地址路徑,而是實時將數據的使用者賬號,設備、應用等做全方位的關聯,發現敏感數據泄漏行爲和違規使用行爲,這些都是數據追溯所要覆蓋的,只有具備前述功能,當發生數據安全事件後,才能夠高效追溯。
當前的DLP類產品基本都是基於靜態規則來識別敏感數據,對於匹配規則的敏感數據進行記錄以便追溯。但是,數據是隨時隨地不斷產生的,其敏感性也可能隨着時間而變化,所以對於數據追溯功能來說,需要能夠在無規則情況下,全量追溯所有數據,包括敏感數據和非敏感數據,只有這樣才能保證全面無遺漏追溯。大部分DLP類產品,不具備或者當配置規則開啓全量識別數據時,性能就會急劇下降,很難做到全追溯。
2)全息數據追溯
全息數據追溯先天具備全量追溯,高效、高性能的處理能力支持海量數據中識別敏感和非敏感數據,以數據爲核心,與其他多個維度進行關聯,爲每個敏感數據提供5W1H的畫像( What:針對活動的數據對象,When:什麼時候發生,Who:誰做的,Where:從哪裏發起,在哪裏做的,Which:什麼設備,How:怎麼樣做的),目的是將複雜的數據安全追溯過程盡最大可能簡單化,並且能夠快速追溯到源頭,提供翔實和完整的證據鏈,明確安全事故的相關人,追責和去責。