一说到追溯,在大家的脑海中马上就会浮现一连串的诸如“网站被***、业务被黑、防火墙被绕过……等等的安全事件”,这已经成为长时间投身IT行业的人之本能反应了。今天,全息君也来蹭蹭数据安全的热点,聊聊数据安全领域的数据追溯,数据追溯除具有传统意义上的追溯功能外,其重要性和功能也在发生延展。
1、传统的网络安全追溯
我们说到网络安全事件追溯,主要包含两方面内容,一方面是要对已经发生的安全事件进行溯源取证、明确界定责任,从而能够追责去责;另一方面是复盘整个事件,分析事件的成因,重新对整个IT环境进行完整的安全评估和检查,查漏补缺,杜绝再次发生类似事件。
企业在网络安全防护上投入大量资源,确保其IT环境安全稳定,安全事件的发生概率相对更小,就追溯和审计的需求来说,很多情况下企业只部署某个设备供应商提供的具备一些日志功能的系统或者一个简单的日志服务器;从另一方面来看,事后追溯是针对已经发生的事情进行的一系列动作,“事后”的特点决定了相对于事前和事中来说,企业在事后追溯环节上投入的重视程度和资源则相对要少很多,这是当前的普遍现状。
随着云计算、物联网、5G、人工智能兴起,当人类社会大踏步迈入数字化时代后,接踵而来的各种让人触目惊心的数据安全事件,将数据安全推向信息安全的最前端,数据追溯的重要性也在慢慢发生变化。
2、数字化时代,围绕数据的三个趋势
1)数据安全事件危害性更大
企业数字化转型的核心基石是数据,从企业业务系统到与其关联的整个上下游产业链中,都在源源不断产生大量数据,这些数据能够给企业带来无限机会,数据被看作新经济时代的新贵:“石油“和”黄金”。
相比于网络安全事件等所造成的影响、损失程度来说,数据安全事件造成的危害性更大,这是由数据的资产化特性决定的。在数据没有受到安全威胁的网络安全事件中,企业网络的恢复和损害是相对可控的,而在数据安全的事件中,数据的损坏或盗窃通常是不可逆的,其危害是深远的、难以预测的。所以,从实际意义上来说,网络安全的终极目标是数据的安全。脱离了这个实质目标,网络安全的投入就会事倍功半。
2)数据追溯重要性日益凸显
不计其数的安全事件表明,***的核心目标已经转向为窃取或破坏有价值的数据。在现有复杂和成体系的网络安全防护体系面前,数据安全事件却频繁发生,说明企业的网络安全防护体系无法有效应对以数据为目标的各种安全威胁行为,今后企业需要将重点放在以数据为核心的安全体系方面。
一方面数据的重要性,决定了数据安全事件(如数据泄露)造成的影响范围更广、损失更大,追责也更加严厉。相应的溯源取证、界定责任,追责去责的需求更加迫切,数据追溯的重要性日益显现。
另一方面,传统意义上的追溯偏向事后,有点类似亡羊补牢。数据本身其特点是抽象、流动化、敏感度随着复杂的生命周期动态变化,这决定了在数字化时代,对于数据不在只是事后追溯,应该进行实时和周期性的数据追溯审计,从而对敏感数据全周期做到完全可见。
3)法规政策趋细,监管趋严
“数据即资产”的观念成为共识,说明了数据的价值和重要性。随着数字经济的深入发展,各类数据迅猛增长、海量聚集,对经济发展、社会治理、人民生活都产生了重大而深刻的影响,数据逐步实现了从“资产“到”生产要素“的转变,2020年3月30日中共中央、国务院《关于构建更加完善的要素市场化配置体制机制的意见》中,明确将数据作为一种新型生产要素写入了政策文件。与此同时,数据安全已成为事关国家安全与经济社会发展的重大问题,去年国家相继出台了《数据安全法(草案)》和《个人信息保护法》,旨在为落实数据安全保护责任,规定支持促进措施,可以预见今后与数据安全相关的更多支撑性法规政策、以及各种规范和标准将会相继出台,企业需要高度重视以数据为核心的安全体系构建。
3、数据追溯
1)数据追溯的现状和挑战
企业每天都在产生大量的数据,数据安全涵盖如何分级分类、识别、控制、监测、追溯各种数据。根据第三方机构的调查报告,当前大部分企业都没有部署数据安全防护措施和手段,更不用说数据追溯系统了,使得企业面临严峻的数据安全形势,一旦发生数据安全事件,溯源和取证无法进行。很多企业依然使用日志系统应对数据追溯,如果企业没有部署DLP类产品,很难有效识别敏感数据,对于日志系统来说也就无从谈起数据追溯;对于部署了EDR或者NTA类产品的企业,也存在同样的问题。
相比网络安全追溯,数据追溯功能外延很多,在流动的数据中高效识别出敏感数据,追溯到敏感数据的全流转路径,不仅仅只是IP地址路径,而是实时将数据的使用者账号,设备、应用等做全方位的关联,发现敏感数据泄漏行为和违规使用行为,这些都是数据追溯所要覆盖的,只有具备前述功能,当发生数据安全事件后,才能够高效追溯。
当前的DLP类产品基本都是基于静态规则来识别敏感数据,对于匹配规则的敏感数据进行记录以便追溯。但是,数据是随时随地不断产生的,其敏感性也可能随着时间而变化,所以对于数据追溯功能来说,需要能够在无规则情况下,全量追溯所有数据,包括敏感数据和非敏感数据,只有这样才能保证全面无遗漏追溯。大部分DLP类产品,不具备或者当配置规则开启全量识别数据时,性能就会急剧下降,很难做到全追溯。
2)全息数据追溯
全息数据追溯先天具备全量追溯,高效、高性能的处理能力支持海量数据中识别敏感和非敏感数据,以数据为核心,与其他多个维度进行关联,为每个敏感数据提供5W1H的画像( What:针对活动的数据对象,When:什么时候发生,Who:谁做的,Where:从哪里发起,在哪里做的,Which:什么设备,How:怎么样做的),目的是将复杂的数据安全追溯过程尽最大可能简单化,并且能够快速追溯到源头,提供翔实和完整的证据链,明确安全事故的相关人,追责和去责。