数据安全运营——风险告警识别、解决经验和思考
2022-12-5 15:17:24 Author: NOVASEC(查看原文) 阅读量:20 收藏

本人刚开始接触数据安全不久,目前在甲方做数据安全运营已有半年多,本篇文章主要总结经验分享一下在甲方做数据安全运营对于风险告警识别、解决经验的一点小经验。

由于国内数据安全标准目前还没有发布,每个公司对于数据安全都有不同的实践方法,导致在学习数据安全的时候来来回回发现文章都是讲运营安全如何建设体系,如何分级分类,如何数据安全生命周期,很少有文章以数据安全运营角度去讲述数据安全如何运营。

秉着学习到再输出知识才能知道自己学习到多少想法,笔者决定写一篇主要分享数据安全运营这一块,重点偏向于在安全设备运营出现告警如何处理过程中的经验,下面分享的案列跟思路都是基于公司已经对于数据安全的分级分类、相关规章制度已经逐步完善后的运营。

如有对于数据安全认识有不到位,烦请各位及时纠正。以下观点仅代表个人所了解的微不足道经验,毕竟我只是一个踏入数据安全还不足一年的小菜鸡。

在内部的建设数据安全中,在笔者在数据安全运营角度及接触为例,关于数据安全的建设中,个人比较喜欢gartner 的DSG框架,不像是DSMM的数据安全能力成熟度评估一样围绕数据安全生命周期,在数据安全生命周期中每个环节要落实到一环接一环还是很难的。

DSG框架主要从通过文档跟技术相互结合,以文档驱动技术,以技术实现文档。如果有哪位看官落地了数据安全生命周期的话,麻烦分享一下学习学习~

关于技术的安全设备,目前主要有:数据库审计、应用数据审计、邮件防泄漏、终端防泄漏、水印系统、数据脱敏等数据安全所需重要的系统。使用的安全设备技术涵盖了应用层面、数据库、邮件、终端、WEB页面等一系列防范数据泄露。

做安全运营的小伙伴们都知道,在做运营的过程中,对于风险运营这一块最重要,如何防止内部敏感信息泄露是最需要我们所考虑的事情,最重要的一个就是:如何识别风险?风险的渠道有哪些?如何处理风险?

而我们对于识别风险主要渠道为:告警、事件、情报、复盘,它们分别涵盖了安全设备运营、运营期发现/出现安全隐患、互联网情报、深入挖掘这四个方面来防止公司内部数据敏感信息泄漏。

由于本文主要分享于安全设备如何发现到解决这一块讲解,主要讲解如何通过安全设备识别风险,识别风险后处理的思路与流程。

如何通过安全设备驱动识别风险,在日常运营过程中主要围绕核心点2个去做数据安全运营:防止敏感数据泄露、推动公司数据安全流动。

1、防止敏感数据泄露

告警都是通过安全设备做的策略所命中规则,通过安全设备技术了解数据的整个链路流转:当出现/发现数据泄露的时候,如何快速定位用户行为,用户/ip使用哪个系统,在什么时间段,使用了什么数据,数据流动从哪里到哪里,数据是否存在敏感数据。

除了快速定位用户行为之外,在安全设备里深挖可能会挖掘出系统缺陷问题,如存在于系统使用数据权限过大行为,可以获取在自己职责外的数据,或者系统展示出的多余数据,导致数据采集过多。

2、推动公司数据安全流动

由于公司除了总部之外只有分公司员工,个人觉得安全这一块很多事情比较难覆盖全面,就会导致会存在有照顾不到的地方,又或者说对于整个公司安全意识很难到位,在这个点上,需要我们去引导这些无法覆盖的面,去加强安全意识。

在调查风险时,总是会遇到的场景是内部员工不规范使用数据或者对于安全意识薄弱,可能会出现风险隐患。如:随意拷贝敏感数据或者公司内部重要资料;使用第三方工具传输敏感数据或者重要资料;使用数据过多,如本次业务只需要手机号码,员工导出数据的时候,发现除了手机号码外还存在身份证号码等敏感数据。

这种就需与该员工强调安全意识,告知本次行为存在安全隐患,后续及时改正行为。将数据流动安全、有序的在公司内部流转。

围绕着核心点去处理安全设备中出现风险隐患问题时,就会发现始终都是人的行为为主,如何通过人的行为挖掘重要信息?就需要我们值得去思考。

如出现一个场景,某天发现一个风险告警,用户获取了200条敏感数据,那么正常的调查风险行为:

1、识别风险告警是否误报及危害级别;

2、通过安全设备查看IP/用户的操作行为;

3、找当事人确认本次行为是否正常行为;

4、与系统运维负责人确认系统权限是否存在不合理;

5、使用工单记录本次行为。

整个流程很完美的闭环对不对?

但是,以上存在很多问题需要我们去思考的。

第1点第2点跳过忽略不说,运营成员只要熟悉网络层面,看得懂请求包以及返回包一般都没啥误判的,至于危害级别,一般早就已经定好规章制度,只需按照规章制度定级,然后通过安全设备快速定位到某个用户。

我们开始从第3点说。

1、首先,获取敏感数据,通过安全设备无法确认本次行为是属于查询导出行为,第一应该先确认本次操作行为到底是做了什么动作再深入调查。

2、由于我们不清楚当事人到底是不是本人,假设当事人说是我操作,我操作的原因是xxxxxxxx,那么我们是否可能存在当事人的一面之词?假设是确认当事人有导出行为。那么就需要确认权限是自带还是申请权限。这时候就应该要求提供一下证明截图。

3、这时候是不是以为可以走下一个流程了?不是的,还需要再确认再考虑,本次数据是从哪里采集的?系统返回给用户的数据量是否合理?用户使用的数据是否过多?如用户只是获取手机号码,系统直接返回手机号码、身份证号码等多个个人信息给用户。

4、了解完后大概流程,行为的确是合理的,那我们就需要找系统运维负责人,确认这个用户权限是否合理的,系统返回的个人类型是否合理的。

5、记录本次场景。某某员工因为某某事情使用某某数据,某某数据从某某系统采集,确认某某员工权限合理等等。

是不是这样以为就结束了?并不是。

以上的调查都是比较依赖于个人的思考与认知去调查本次行为,又或者按照标准去调查了解,那么很容易会忽略掉深层次问题。

如某员工在测试环境测试的时候使用真实用户数据,在内部规定中,这是属于违规行为,严重行为的话是需要上报被通报的。

可能到了这一步直接结束闭环了,但是如果测试环境又分几种呢?其中一种是可以这种行为呢?

为了防止掉进个人认知陷阱里,忽略掉深入挖掘的场景,我们还设置了审核记录工单。

运营成员A调查本次行为,将会给成员B查看在本次调查行为中有疏忽的地方,如有,驳回,继续深入调查。如无,将工单转至小组长查看,以此类推,若无,结束工单。

结束完工单并不意味着结束。

工单也会流传至项目经理查看,如无异议,那么本次风险才确认无误。

安全设备识别风险到记录行为整个流程大概就是这样,很多时候需要了解业务、场景,站在用户角度去调查,模拟在这个操作过程中的每一步。

每个环节都需要有质疑这个是不是合理的,是不是不合理的。合理点在哪里,不合理点在哪里。

个人以为风险的出现,重点就在于人,是“人”做了这个行为,才会出现这个操作,而这个操作对于数据是否存在风险隐患,这才是值得我们思考的。

数据安全要学习的东西太多了,笔者只是分享所学的一点点小经验,如有纠正可后台私聊联系。

后续有机会的话我们再分享事件、情报、复盘这些是如何识别风险,如何解决以及如何使用结合自动化实现高效化等等一些经验。


文章来源: http://mp.weixin.qq.com/s?__biz=MzUzODU3ODA0MA==&mid=2247488281&idx=1&sn=acbf5632595fa76f36385ef7945f3130&chksm=fad4ce0ecda34718a5e76cbd3ea720c20efea498362c277204d278d3a4390100911d3d5c0af4#rd
如有侵权请联系:admin#unsafe.sh