公有云数据防泄漏系统

bt0sea 业务安全 2019年1月2日发布
Favorite收藏

导语:人工智能技术又一次颠覆了传统数据防泄漏安全产品,让我们拥抱这种小趋势,最终革新整个信息安全产业。

0x00、安全业务需求

2018年6月份,IBM针对全球470家公司,2200+数据泄露案例做了深入的调查分析,发现Top5行业分布:金融行业 16%、服务行业 15%、制造业14%、高新技术行业13%、零售业 7%。数据丢失的主要原因:

1、来至外部黑客攻击和来至内部人员窃取48%

2、员工信息处理不当27%

3、系统故障25% (应用错误,以外的数据转存/泄露,数据传输过程中的逻辑错误, 身份验证失败, 数据恢复失败等)

数据泄漏衡量指标:

1、MTTI (Mean time to identify)检测到泄露事件发生的时间

2、MTTC(mean time to contain)解决泄漏时间和最终恢复服务的时间

我们将如何解决呢?

1、组建数据泄露事件响应团队

2、广泛是用加密/DLP/数据分级

3、员工培训

4、威胁情报共享

5、商业保险

看了这份报告后,其实它指出了传统行业数据防泄漏如何去做,但是没有考虑在公有云环境下,我们应该如何去做。

0x01、公有云数据防泄漏解决方案

笔者有幸在前几年参与过国内Top制造业和地图公司的数据防泄漏项目,先聊聊传统行业是如何做的。

1、深入业务部门做涉密数据、数据分级、传输途径、存储位置以及使用人及部门调研,最终形成业务系统数据流转图。(人工)

2、通过数据防泄密系统自动化监控网络、主机的数据泄露风险评估。

3、部署DLP系统阻断以上泄露途径。

传统的数据存储位置一般都是内部网盘、文件服务器、PC本地。泄漏点途径:U盘、打印、MSN、应用程序控制、https上传等。

数据防泄漏产品经过这几年的发展,技术方面已经产生了很大的变化,传统的数据分级已经变成AI方式识别和分类、通过正则表达式、文件指纹的方式也逐步被AI机器学习方式所取代。数据落磁加密已经从传统的Agent透明加密演变成以KMS为核心的文件加密系统。

在公有云上,我们数据存储数据的位置也发生了改变,从文件服务器已经升级成了对象存储OSS。客户端的工作方式已经从传统网络迁移到公有云环境,如何你想获取内部文件一般都是使用CASB客户端或者VPN登陆到云端VPC内部才和获取机密数据使用。

那么公有云数据防泄漏产品需要具备以下功能点:

1、可通过机器学习自动发现、分类和保护云中的敏感数据、建立机密数据流转图。

2、在控制面板中看到敏感数据是如何被使用的、存储到什么位置。

3、有能力检测到未知授权的访问和数据意外泄露报警。

4、有能力满足GDPR、PCI-DSS、国内等保方面的安全合规。

0x02、数据防泄漏产品详细设计

业务流程分析:

· 操作用户:云端的用户身份识别可以从两个方面收集:公有云控制台IAM子账号。在云上做的任何一个API的操作都需要记录下来,另外一方面是通过CASB或者VPN拨入VPC中的账号。

· 敏感数据:无论是在对象存储、RDS、自建数据库(MySQL、redis)、个人PC中、应用系统中等数据。要通过record item方式展示给租户。可以分成两大类:一类是客户数据(信用卡数据、身份证数据、个人医疗金融数据等)、另外一类是公司数据(HR数据、上市计划等)

· 数据流转:静态的数据一定要经过处理才能产生更有价值的业务流程。例如:

· 业务流程:财务人员把各个分公司的基础财务报表生成管理层报表->CFO查看->德勤(财务审计)所以要从全业务链(数据采集、转换、保存和传输)无死角监控。

dataflow.png

在这个敏感数据处理流程中,我们的数据审计人员需要知道的是:

1、本业务流程谁接触了数据:会计、CFO、德勤

2、本业务流程数据处理那些涉密数据:财务报告

3、业务流转中涉及到哪里API操作:业务系统审计API、OSS上传下载API、电子邮件发送API

那么我们可以获取更高级的安全事件:

1、数据越权访问,其他部门的工作人员访问财务报告属于越权访问

2、数据访问异常,整个流程API调用都很少的,如果有海量的调用,有可能被黑客入侵。

数据安全防泄密流程中哪些过程可以自动化?

1、数据发现(OSS上传数据、CASB客户端感知到财务数据下载到终端)

2、数据分级(通过NLP识别财务报告、通过机器学习分类算法归类财务数据)

3、异常告警(数据越权访问、数据访问异常等)

那么这个流程需要人工做什么呢?

人工调整业务流程。

那么我们抽象一下整个业务流程:

DASHBOARD

主要功能:告诉企业内审人员有多少用户、访问多少敏感信息、它们的来源以及衡量数据泄露安全指标。

1、MTTI

2、用户身份  

3、记录条目:record:personal information、username、email、address、salary、文档。

4、数据源: OSS、RDS、自建数据库(MySQL、redis等)、业务系统等。

DATA FLOW

主要功能:自动识别记录工作流,同时兼顾人工调整

1、工作流显示、调整

2、自动导出审计报告

ALERT

主要功能:查询数据泄露告警事件、完成内审流程。

1、查询合规检测、数据越权访问、异常行为等告警事件。

2、提供内审工作流,提高内审效率。

0x03、展望

人工智能技术又一次颠覆了传统数据防泄漏安全产品,让我们拥抱这种小趋势,最终革新整个信息安全产业。

本文为 bt0sea 原创稿件,授权嘶吼独家发布,如若转载,请注明原文地址: https://www.4hou.com/business/15500.html
点赞 5
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论