“A9 Team 甲方攻防团队,成员来自某证券、微步、青藤、长亭、安全狗等公司。成员能力涉及安全运营、威胁情报、攻防对抗、渗透测试、数据安全、安全产品开发等领域,持续分享安全运营和攻防的思考和实践。”
01
—
前言
(1)数据安全治理
① 结构化与非结构化数据的管理
对于非结构化数据,在进行类型与级别的定义后,需要给出尽量多的举例进行参考,使得数据的创建者能够进行必要的密级与传阅范围的标注。同时,良好的数据分类、分级标准,也可以输入给数据防泄露及文档加密产品,作为数据安全控制实施策略的依据。对于结构化数据,主流数据安全厂商均有数据发现产品,可以根据定义好的分类分级标准,采用主动网络扫描与授权账号读取的方式,自动化对数据进行识别。为敏感数据资产发现、分布展示,以及数据安全的监控、审计,提供良好的基础支撑作用
② 应用账号权限管理
账号权限管理机制可以在SIEM(或UEBA)中完成,也可以在自身系统中实现。比较好的做法是应用集成在自身系统功能中,设备、操作系统等非应用账号管理集成到SIEM(或UEBA)中。账号权限管理机制包括建立账号权限清单、管理授权期限、监测账号行为异常活动等。
③ 企业知识产权与数字品牌保护
信息资产中还有一类叫无形资产,知识产权、数字品牌就属于无形资产。源代码、重要文档资料被上传互联网属于知识产权受损,钓鱼网站、假冒APP、品牌滥用则属于数字品牌受损。知识产权与数字品牌保护不善,不但影响企业自身的形象,还可能带来实质性的利益损失。
目前很多机构通过SaaS方式提供知识产权与数字品牌保护服务,对代码站点、知识社区、应用商店等进行持续在线监控,发现知识产权泄露与数字品牌侵权事件能够实时预警,提供风险预警数据与事件分析报告,并提供知识产权与数字品牌保护服务处置服务
④ 资产管理的总结
在安全运营中,互联网暴露面收敛、安全漏洞修复与验证、威胁检测与分析、安全事件响应与处置,这些日常安全运营与攻防对抗中的关键活动,都需要完善的资产信息的支撑,而对于数据安全运营来说,也同样适用。
(4)风险管理
在CISSP中关于风险管理的描述,将实现风险管理目标的过程称为风险分析,包括:
-
检查环境中的风险
-
评估每个威胁事件发生的可能性和实际发生后造成的损失
-
评估各种风险控制措施的成本
-
完成风险防护措施的成本、收益报告并向管理层汇报
-
在数据安全中上述的风险分析内容也同样适用。
数据安全防御
(1)物理与人员安全
物理安全是指为了保证计算机系统安全、可靠地运行,确保系统在对信息进行采集、传输、存储、处理等过程中不会受到人为或自然因素的危害而使信息丢失、泄露和破坏,对计算机系统设备、通信与网络设备、存储媒体设备和人员所采取的安全技术措施。
因为人不仅是信息系统建设与使用的主体,同时也是参考安全管理时的重要组成因素与对象。因此在进行网络安全管理中,对人员的安全管理体现得非常重要,为了实现信息系统的信息安全,必须大力加强对人员的管理。
(2)访问控制
(3)纵深防御
(4)安全运维
1、数据安全事件应急预案:可以通过建立数据安全事件应急响应机制,提高数据安全的应急能力,预防和减少数据安全事件对公司造成的危害和损失。
2、事件响应:数据安全数据响应机制,需要落地且执行行之有效,不同公司对处置数据安全事件的切入点不同,分为以技术部门、业务部门、合规法务部门。以上途径各有 优劣,适合才是最好的。
1、备份:制定备份策略,并且将数据的重要性来确定备份频率,越重要频率越高;数据的时间窗口考虑也很重要,备份可能会影响业务,一般选在非业务高峰期,备份的持续时间和恢复时间一般按照备份方式和备份的数据量来决定。
2、恢复:选择合适的备份文件恢复,恢复前停止相关业务运行,恢复时需要注意数据的一致性,避免数据丢失。
通过对数据进行安全检测,监控数据安全告警情况,分析数据安全告警,同时与风险识别,防御,响应,恢复相结合,实现数据安全的落地。
1)人员能力
2)度量
3)制度流程
事件的响应:通过内外部的数据安全事件,形成可持续优化的数据安全能力。
https://baijiahao.baidu.com/s?id=1710162799891893374&wfr=spider&for=pc
原文始发于微信公众号(A9 Team):【A9】基于IPDRR网络安全框架,浅谈数据安全运营
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论