诸子云 | 甲方 :数据库水印好用吗?开发如何下沉安全?

admin 2024年2月24日01:59:26评论7 views字数 3156阅读10分31秒阅读模式
甲方话题

关键词:数据库水印、安全开发、安全下沉、数据跨境、东南亚安全合规认证。

话题一:综合评估数据库水印的效果、成本
Q1:请问大家,有哪家用过数据库水印,效果、成本如何?https://www.secrss.com/articles/29189

A1:DLP的厂家都有这个功能,我原来在明**达也是做过实际的项目。

A2:数据库水印,之前我们自己搞了一个,但是要改动业务数据,不好推落地。

A3:如果泄密文件被转版之后,再流出来呢?这个加密之初是不是要在数据库录入信息的时候就加密上?会不会有数据的格式、文本参差不齐的情况,导致加密水印的失效。

A4:我离开明**达很久了,你说的后面这几种情况都会有,文件格式版本适配是工作的大头。数据库水印是不影响可用性的,但与业务强绑定,需要跟业务沟通。

A5:要做到较好的追溯,水印需要动态生成吧,水印最好可以标识出如什么时间什么ip什么用户,都是变化的,这成本是不是就更高了。

A6:业务系统读取含水印数据库还是原始数据库?原始数据库到含水印数据库,技术上就类似ETL,做个spark/flink调度任务就能解决。

A7:数据库水印还是数据血缘啊?

A8:血缘,需要有元数据管理,否则上下游调用库表字段是关连不上血缘关系。看介绍就是数据库表里插一些特殊值,数据泄露了,根据特殊值关联,想的有点太理想化了,DBA首先就跳出来挑战,插入多少,样本量少,也还不一定能泄露覆盖到样本。

诸子云 | 甲方 :数据库水印好用吗?开发如何下沉安全?
话题二:安全开发准备安全下沉,具体怎么落地、有什么经验教训?

Q2:有家公司的安全开发准备搞一个安全下沉,安全部门的职责是监督、检查、指导,具体的安全事务由各开发部门自己做。请问大家是否了解过周围哪家公司有做到过的,想了解下具体怎么落地、有什么经验教训。

A1:听说过有些公司,安全团队专职提供工具和流程,把应用安全部分的一些安全扫描测试,下沉给软件测试了。PS.下沉的scope有限。

A2:评审工作呢?

A3:厂商平台能获取的是已销售给客户的产品的运行及状态信息;但是海外经销商会提到这些是他们获取的客户,那产品也是他们推广的,产品的状态信息为他们独有—且不能进行商业使用?这是重点…经销商不允许厂商基于商业目的使用这个数据(非用户及个人隐私类)。

A4:实际上,你会发现很多部门很防着安全的,特别是IT其他部门。例如运营,开发。所以他们自己搞安全基线,安全通过就行。而且惯例来看,大公司的安全部门的职责也很少有下沉的。特别是央企,就几个人管安全,根本管不来。

A5:这么玩也不是不行,减少安全团队编制,不做背锅侠,压实主体责任。无非就是定好基线,合规和审计一起上,做好奖惩制度。

A6:我们就是这样做的,我们提供工具与服务。只要明确安全是谁的责任就好了。

A7:这要看企业管理层对安全运作方式怎么看,一种是安全作为管理部门,制定标准与监管落实;第二种就是自己做标准,自己去落地。常见的第二种,缺点就是经常和业务吵架,措施难落地。第一种需要管理层支持才可以较好的落地。

A8:先说这种效果吧,效果不佳,首先需要运维团队,开发团队,测试团队有安全大佬在才行。如果是从 0-1 完全就是一个人的安全。

A9:给好基线,开发部门没有就设定一个。企业如果有安全委员会类似的组织,且能实际运作起来。可以从高层推动将安全责任写入各部门长的绩效考核内(可以作为扣分项)。

A10:这种很得罪人,你想,原来做运维的,做测试的都不懂安全,现在你给他们绑定安全绩效。其实下沉很难的,安全要堆人,而且业务部门要接受。

A11:跟你说一个实在场景,你让下面的人去安装一个扫描工具,下面人说,我比较忙,你自己先弄吧,然后给你服务器资源,然后你挺尴尬,一边是公司人员在裁员,一边大家工作都不少。而且现在要求业务部门公司化,这个墙马上就高高的了。

A12:是的,今年流行的一句话就是。饭都吃不起了,还谈啥安全。业务没了,也安全了。

A13:这种模式还是有局限性,安全运营必须要专业团队才行,否则护网打起来,研发运维都搞不定。几个做安全管理的人员也不行。这种下沉,实际就是将安全部门引入仅管理视角,是管理部门。技术落地工作逐渐削弱。但安全技术专业度比较难下沉,管理(责任)反倒好下沉。

A14:也就是需要安全管理人员7分技术3分管理,对于不会的要教会他们,对于他们会的还得做好审计。下沉模式,互联网企业多一点。下沉也得分领域:开发安全、分支机构区域网安全和终端安全管理(前提是得教会他们);主要是将日常运维工作下沉,安全攻防、运营等专业技术工作还是要留在安全团队。

A15:开发安全其实就是做好sdlc的各种要求和复核工作,下沉之后,产品、系统、APP、小程序等“自负盈亏”。安全团队做好边界苍穹堡垒就好了。

A16:也不是,安全牵头只是对此项工作统筹全局负责,一旦有攻击、勒索等还得看是谁的错导致,谁就负责。

A18:看情况吧。假设主机弱密码、系统口令策略复杂度不够,字典一撞就可猜测、业务逻辑、风控触发条件不严谨等导致的入口,安全需要有精准判断能力,就不负主要责任了,但可能要负次要责任。

A19:工具做得好,管控体系做得到位,开发测试的意识和能力培训到位,可以下沉。但是这个前提很难。能否下沉,是否需要下沉,还是要看安全的规模、成熟度、价值和领导意愿,得先说清楚了,组织下沉的 roi 要高于安全独立运行,控制模式有很多组,参考项目管理就差不多了

A20:我个人感觉,现在安全团队工作职责的一般分两类:(1)强制执行的,所有业务团队都得按照这个执行。(2)为业务提供服务的,帮业务解决一些他也认为是风险的点。关于第一点,就是安全团队保证所有业务都在一个基本的安全水位上,不会出一些低级或常见的安全问题,这个怎么落地,怎么让业务全覆盖,就是安全团队的责任,也是安全团队要背的锅。关于第二点,就是增强安全,安全团队可以提建议,或者专业能力,但具体要不要做,做成什么样,还是看业务自己的认知。

诸子云 | 甲方 :数据库水印好用吗?开发如何下沉安全?
话题三:因业务需要,数据出境至新加坡,需要哪些新加坡本地的安全合规认证?

Q3:请问,在新加坡部署零售类的SaaS软件,有包含个人隐私数据,涉及到跨境的业务数据出入境,需要做哪些新加坡本地的安全合规认证呀?我们国内有这方面的认证机构或咨询公司能够提供服务,还是一定要新加坡本地的认证机构或咨询服务机构来做的?

A1:新加坡有个人数据保护法PDPA。认证的话有个DPTM,不过认可度不高。

A2:这个是必须要做认证的,还是可以先不做的呀?

A3:小公司可以选SME,DPTM可以减缓处罚金额,还是有点用处。

A4:SME是企业级的安全认证吗?全称是什么?

A5:中小企业认证

A6:DPTM认证这个我查了一下https://www.imda.gov.sg/how-we-can-help/data-protection-trustmark-certification这个网站,都是新加坡本地的认证机构和咨询服务机构。我是想了解一下,是否一定要做这个认证,还有除了新加坡本地的机构和服务商外,是否我们国内也有可以提供此类服务的?

A7:这个是有什么约束条件吗?

A8:没啥约束条件,爱做不做,很多企业也没做

A9:哦,对我们SaaS软件正常运行不会有影响,是吗?

A10:你SAAS行不行,和这个认证无关...但你违反PDPA,是可以处罚的。

A11:OK,那我是否可以理解为我们只要遵循PDPA,不做这个认证也是可以正常运行的。做这个认证只是可以减轻处罚的风险,是吗?另外,是否有类似于我们国内的安全等保认证的要求。国内针对SaaS应用是需要做安全等保认证的。

A12:你符合PDPA就行,东南亚普遍比国内要求低得多,没有等保认证这一类强制。

原文始发于微信公众号(安在):诸子云 | 甲方 :数据库水印好用吗?开发如何下沉安全?

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年2月24日01:59:26
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   诸子云 | 甲方 :数据库水印好用吗?开发如何下沉安全?http://cn-sec.com/archives/2521068.html

发表评论

匿名网友 填写信息