金融实践群精华回顾之十-小议数据安全场景应对之道

admin 2022年5月12日23:43:39企业安全评论5 views3137字阅读10分27秒阅读模式
目录:

篇一:浅谈root账号安全管理
篇二:供应商及人员安全管理
篇三:职业欠钱理解的安全运营
篇四:测试环境安全管理漫谈
篇五:流量层检测的未来何去何从?
篇六:安全资产管理
篇七:操作系统补丁管理与代码扫描工具探讨
篇八:矛与盾,攻与防杂谈集锦
篇九:如何进行有效的安全规划与汇报?
篇十:小议数据安全场景应对之道
篇十一:众说纷纭聊安全弹性与韧性

金融实践群精华回顾之十-小议数据安全场景应对之道

1 数据加密 VS 脱敏

总结一下数据加密相较于脱敏的不足之处: 

  • 数据加密不能完全从技术上保证数据的安全。严格来说,任何有权访问用户数据的人员,如ETL工程师或是数据分析人员等,均有可能导致数据泄漏(数据脱敏能够更好地保证数据隐私性)。

  • 存在对该数据进行分析挖掘的需求,加密数据的使用约束大大限制了充分挖掘数据价值的范围(数据脱敏能保证数据的可用性)。 

  • 解密密钥存储位置、如何存储以及确定谁具有访问权限等工作都会给整个安全项目增加额外的成本、故障点,扩大复杂度。

2 开放数据给第三方

向第三方开放敏感信息该怎么做?如何防控敏感信息泄露风险?主要考虑两个方面 :

  • 数据开放前的评审,包括数据量级、敏感程度(包含哪些字段)、第三方的安全评审、开放方式及存在风险 ; 

  • 数据开放后,第三方公司的定期审计、数据的使用范围及安全控制、数据泄露影响分析等。 

  • 这些方面都要注意:鉴权、日志、字段收敛、资质审核、数据染色、脱敏、加密,保密协议。

3 数据安全案例讨论

3.1场景描述

有个朋友创业,做了一个行业软件并在行业里面推行了100多个企业客户了。软件本质就是一个Web系统+SQL Server,用户登录上去登记、管理各种文档、信息,信息本身具有一定的敏感性、但不是要命的那种,内外部的威胁都存在。客户网络环境比较开放、简单,就是办公网+几台服务器,办公网访问互联网相对自由,最多就是加了一道“员工在外网访问系统要登录VPN”的措施。

3.2客户需求

现在客户对数据安全开始重视了(但是自身连基本的IT能力都很弱),愿意投资一些加强系统的数据安全。对于这100多个企业客户,短期(3年内)无法上云,想基于目前本地化部署的形态,做一些安全改造。基本需求是:

(1)比当前“裸奔”状态,显著提升数据安全防护效果,无需客户在IT改造、安全改造、安全运营上投入什么人力、精力;不指望100%防住,但至少有基本控制手段,万一出事、有追溯能力; 

(2)成本低,单个客户一次性投入不超过1万,单个客户5年内持续投入不超过5万; 

(3)对于客户来说易于实施,对于我朋友公司来说,可以具备一定的复杂度。

3.3建议汇总

考虑到内外部都有威胁,和客户的额外安全投入很有限的条件,那就主要从加强自身产品的安全性改造入手。后续可以考虑更复杂的安全控制手段或产品,甚至云化。包括但不仅限于:

  • 增加一个加密网关,下载必须通过加密网关出去,加密权限与应用的结合;
  • 对服务器主机做安全基线配置;
  • 购买云服务商的WAF程序agent,主机入侵检测程序agent,安装在客户的服务器上;agent的控制端在云上,在网络路径上允许从客户服务器到云服务商的IP链路,用于规则更新、agent升级、告警数据;
  • 增加日志记录;
  • 增加白名单机制,但由于客户基础环境、管理水平不一,可能需要一定的差异化控制,如基于IP,终端,用户等不同纬度的控制;
  • 对裸奔状态的产品做渗透,然后修复已知的漏洞并更新到客户;
  • 数据加密存储。

4 面对数据兜售如何处理?

近日网上出现关于“某银行数据泄露”的新闻,一时间在网安圈物议沸然。由于大家都是从业人员,所以对此类现状的看法并不同于普通吃瓜群众流于表面,而是产生了更多深层次的思考。有人问:发现有人在暗网上出售自己公司数据的情况,如果你是这家公司的安全负责人,该怎么处理?

  • 先通过放出来的部分样本核查确认数据的真实性,如果虚假数据,如实反馈监管。如果真实数据,找到渠道获取到全量数据,确认受影响客户范围;
  • 根据验证、排查结果决定事件等级、后续处理方式,决定后续汇报范围,决定舆论处理方式;
  • 为防止数据被利用做诈骗,联动客服部门和运管部门对外泄数据客户进行通知预警。注意话术(不说数据泄露,仅提醒防范诈骗);
  • 内部通过数据dlp平台查证数据如何外泄,哪些内部员工接触过受影响客户数据,逐一核查;
  • 准备pr,如果特别严重先收集线索,上报监管;
  • 如果量非常大,建议联系网信办、网警,协助抓人,下架数据,并提交一份自查说明;
  • 建设情报体系,实时监控TG、暗网等渠道。

4.1数据真实性验证

重点之一就是对被出售数据的真实性进行验证,这次网传的某银行数据泄露,银行经过对数据进行购买,核查,最终确定被出售的数据“与我行真实客户信息不符”,银行数据不存在泄露。那么,如何针对数据的真实性进行调研呢?

把数据全买回来是不现实的,例如这次某银行花费了8个btc买到了卖家声称是银行客户的数据,但经过验证全是假的,这8个btc的成本该如何追回?

一般暗网上出售都会给一部分验证数据,有数据样本也可以验证,但样本有的时候与真实数据质量不同,比样本证数据有可能是精心收集过的。或者可以根据打码数据的各字段去验证。甚至有群友指出,不提供验证数据的肯定是骗子,1000条样本数据覆盖率90%以上再考虑购买部分数据,这个过程可以跟乙方对接,一来财务支出有依据,二来可以减轻自己的负担,待确认真伪之后再进一步的处理后续事宜。而企业的安全团队要提前做好购买数据的预算,然后通过自己的经验,判断样本与支付的风险。

暗网上假数据的确比较多,真真假假辨别成本高昂,有些数据是通过多种方式洗出来的,N年前的老酒新装,就怕数据是真实的,或者是第三方泄露的数据,导致诈骗引起的进一步索赔。

真的遇到数据泄露问题,最紧要的还是要在尽可能短的时间内找到泄露途径,这样上报才能有的放矢,否则会很被动。

4.2数据泄露途径

现在大部分的数据泄露途径是怎样的呢?大部分泄露事件都不是企业自身泄露,因为现在从内部泄露数据的成本越来越高,所以从第三方、供应链等泄露的可能性反而更大。

如果是真的出现了数据泄露事件,安全团队负责人肯定不能安稳渡过。一定会各种复盘自查搞建设,还要举一反三,从积极方面来说,处理过大规模数据泄露实践对于网安人也可以算是一种宝贵经历,但一定还是会受到来自企业内部或来自监管机构处罚。

虽然在1月11日银行官方就出面辟谣,考虑到发布辟谣公告之前要做的数据购买和内部验证调查等工作,官方的回应速度不可谓不快,但是即使已经尽快澄清辟谣,然而谣言流转的效率在互联网时代是以秒记,所以大家才会吐槽“谣言一张嘴,辟谣跑断腿”,已经造成的负面舆情导致的名誉损失和背后的核查成本,都给企业单位带来了影响。

当我们从业人员自嘲为背锅侠的时候,也需要提升我们每一个人独立思考和判断的能力,因为我们深知,假若连自己这个为数不多的从业者群体都没法保持理性,出了新闻就被舆论媒体牵着鼻子走,人云亦云,不核实就转发,那么网安工作未来将会面对更加波谲云诡的环境,大家的生存条件亦会更加苛刻。

最后,欢迎各位读者畅所欲言,您可以在留言区写下您的想法和建议,我们一起讨论。同时,小编也会在后续的群精彩话题中,尽可能结合您的建议来组织编辑,并会将您的问题向强大的群组织请教解题之法,期望能为您带来最大的帮助。


来源:企业安全建设实践群 | 作者:群友 
本期编辑:aerfa

往期精彩群话题

办公安全实践讨论:沙盒的用户体验、终端DLP+虚拟化浏览器+上网行为管理+网络DLP的互联网方案以及数据网关作用

因勒索软件攻击,数据被加密:IT主管和工程师被开除,并要求索赔 21.5 万元


SOC技术架构及运营讨论

更多精彩内容,点击阅读原文



如何进群?

请见下图

金融实践群精华回顾之十-小议数据安全场景应对之道

原文始发于微信公众号(君哥的体历):金融实践群精华回顾之十-小议数据安全场景应对之道

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月12日23:43:39
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  金融实践群精华回顾之十-小议数据安全场景应对之道 http://cn-sec.com/archives/1002607.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: