淺談數(shù)據(jù)安全運(yùn)營(yíng)的一畝三分地
一、定位與目標(biāo)
近幾年互聯(lián)網(wǎng)公司數(shù)據(jù)安全已從單兵作戰(zhàn)逐步發(fā)到到團(tuán)隊(duì)作戰(zhàn),分工上也朝著精細(xì)化運(yùn)營(yíng)、風(fēng)險(xiǎn)模型建設(shè)、數(shù)據(jù)安全平臺(tái)建設(shè)等細(xì)分方向?qū)I(yè)化演進(jìn)。
其中數(shù)據(jù)安全運(yùn)營(yíng)定位:數(shù)據(jù)分析(掌握核心技術(shù))—數(shù)據(jù)安全運(yùn)營(yíng)(背鍋+其它)– 業(yè)務(wù)(價(jià)值方),數(shù)據(jù)安全運(yùn)營(yíng)漸漸成為公司數(shù)據(jù)安全團(tuán)隊(duì)與業(yè)務(wù)溝通、項(xiàng)目推進(jìn)及價(jià)值輸出(賦能)的窗口,數(shù)據(jù)安全的核心在運(yùn)營(yíng)能力,數(shù)據(jù)、模型、工具都是手段,通過(guò)運(yùn)營(yíng)實(shí)現(xiàn)對(duì)業(yè)務(wù)的價(jià)值輸出目標(biāo),運(yùn)營(yíng)不僅僅要懂技術(shù),還要做到既要、還要的更高要求。
我理解的數(shù)據(jù)安全運(yùn)營(yíng):
(1) 風(fēng)險(xiǎn)管控能力:識(shí)別、治理、收斂,在過(guò)程中結(jié)合業(yè)務(wù)特征提煉真實(shí)的風(fēng)險(xiǎn)場(chǎng)景、及隱私要求通過(guò)技術(shù)手段實(shí)現(xiàn)對(duì)法律法規(guī)的遵從性–來(lái)自業(yè)界大佬語(yǔ)錄(一般管理手段與安全管理、合規(guī)團(tuán)隊(duì)聯(lián)合推進(jìn)),并建立匹配的治理方案及工具、方法論;
(2) 運(yùn)營(yíng)賦能業(yè)務(wù):
- 關(guān)鍵數(shù)據(jù)支撐業(yè)務(wù)決策,影響業(yè)務(wù)在風(fēng)險(xiǎn)環(huán)節(jié)的資源投入;
- 基礎(chǔ)工具、組件服務(wù)支持,安全能力左移(前置),降低業(yè)務(wù)安全上的成本。
二、工作方法
1. 目標(biāo)設(shè)定
- 起步階段,找業(yè)界同行Top1-2家公司這方面的目標(biāo)設(shè)定作為參考,根據(jù)不同業(yè)務(wù)、數(shù)據(jù)安全的發(fā)展階段,設(shè)定目標(biāo);
- 發(fā)展階段,對(duì)比自己的歷史數(shù)據(jù),參考業(yè)界指標(biāo),設(shè)定目標(biāo);
- 特殊時(shí)期的階段性目標(biāo),如疫情期間數(shù)據(jù)安全目標(biāo)的設(shè)定。
2. 技術(shù)手段
數(shù)據(jù)全生命周期管理
圖片來(lái)源:ayazero《企業(yè)數(shù)據(jù)安全體系建設(shè)》
這里暫不涉及具體數(shù)據(jù)安全措施在業(yè)務(wù)的建設(shè)內(nèi)容,這些措施在不同行業(yè)、公司文化、及業(yè)務(wù)不同發(fā)展階段的建設(shè)方向和次第需要講究和考量的。
3. 持續(xù)運(yùn)營(yíng)
(1) 基礎(chǔ)工作:數(shù)據(jù)分類分級(jí)、數(shù)據(jù)標(biāo)簽;建立資產(chǎn)庫(kù)和資產(chǎn)大盤(pán),掌握數(shù)據(jù)資產(chǎn)在業(yè)務(wù)的分布、風(fēng)險(xiǎn)狀態(tài);權(quán)限管理、關(guān)鍵業(yè)務(wù)日志等;
如數(shù)據(jù)在收集階段的涉敏資產(chǎn)發(fā)現(xiàn)服務(wù);數(shù)據(jù)在存儲(chǔ)中的掃描服務(wù)、加密存儲(chǔ)服務(wù);數(shù)據(jù)在使用過(guò)程中的文件分發(fā)平臺(tái)等,這些基礎(chǔ)能力的建設(shè)堅(jiān)持對(duì)標(biāo)業(yè)界,避免走彎路的同時(shí)提升效率;
(2) 風(fēng)險(xiǎn)評(píng)估:一般通過(guò)事件發(fā)生概率與影響來(lái)評(píng)估風(fēng)險(xiǎn)值,這也是很多咨詢類公司的常見(jiàn)做法,或者套用DREAD模型的計(jì)算方式:等級(jí)=危害性+復(fù)現(xiàn)難度+利用難度+受影響用戶+發(fā)現(xiàn)難度來(lái)進(jìn)行數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估,這些方法的使用無(wú)可厚非,其最終能與業(yè)務(wù)達(dá)成一致的風(fēng)險(xiǎn)認(rèn)知很關(guān)鍵。
(3) 風(fēng)險(xiǎn)識(shí)別:在基礎(chǔ)工作上利用多維度數(shù)據(jù)進(jìn)行風(fēng)險(xiǎn)行為分析,如UEBA。
風(fēng)險(xiǎn)場(chǎng)景識(shí)別,除了運(yùn)營(yíng)同學(xué)深入業(yè)務(wù)比業(yè)務(wù)還要了解業(yè)務(wù)外、還可以將特征數(shù)據(jù)進(jìn)行重組或進(jìn)一步深挖數(shù)據(jù),進(jìn)而發(fā)現(xiàn)新風(fēng)險(xiǎn)、另外一個(gè)就是內(nèi)外部情報(bào)數(shù)據(jù)。
在風(fēng)險(xiǎn)管控過(guò)程中 逐步建立工具和平臺(tái),實(shí)現(xiàn)自動(dòng)化,如建設(shè)UEBA平臺(tái)、安全運(yùn)營(yíng)平臺(tái)(SOAR-安全編排、自動(dòng)化及響應(yīng))。
這里假設(shè)來(lái)自上級(jí)的靈魂拷問(wèn):你的地盤(pán)還有沒(méi)有不在視野范圍內(nèi)的數(shù)據(jù)安全風(fēng)險(xiǎn)?嘗試界定數(shù)據(jù)安全邊界并關(guān)注核心風(fēng)險(xiǎn),如數(shù)據(jù)泄露、人員舞弊,加上資源總是稀缺的,即主要風(fēng)險(xiǎn)應(yīng)該都在視野內(nèi)。
(4) 安全治理:兩種自上而下的推進(jìn)方法
單純的自上而下,本質(zhì)上利用權(quán)力來(lái)威懾業(yè)務(wù)達(dá)到安全目的,通常效果有了也隱藏了業(yè)務(wù)的怨言。
利益共同體式的自上而下(來(lái)自我的領(lǐng)導(dǎo)多年經(jīng)驗(yàn)),即通過(guò)聯(lián)合作戰(zhàn)項(xiàng)目安全牽頭發(fā)起、業(yè)務(wù)主導(dǎo)共同推進(jìn)安全治理并共享成果。這也是自上而下的模式,其實(shí)這種是需要更強(qiáng)的組織機(jī)制來(lái)保障的。
技術(shù)上實(shí)操上結(jié)合數(shù)據(jù)全生命周期管理過(guò)程中涉及到的安全措施,可以聯(lián)合業(yè)務(wù)方、或安全自研或采購(gòu)工具進(jìn)行治理,如水印服務(wù)、數(shù)據(jù)加密、漏洞掃描、B\C端涉敏根服務(wù)調(diào)用鏈治理等,通過(guò)有序的治理工作,有時(shí)候會(huì)獲得較好的安全回報(bào),如風(fēng)險(xiǎn)收斂、勾搭上業(yè)務(wù)MM又熟悉業(yè)務(wù)了。
(5) 業(yè)務(wù)賦能:數(shù)據(jù)賦能,對(duì)業(yè)務(wù)輸出高質(zhì)量數(shù)據(jù),支持業(yè)務(wù)決策發(fā)展,安全能力賦能業(yè)務(wù)方,從服務(wù)業(yè)務(wù)方變成業(yè)務(wù)的安全伙伴,給業(yè)務(wù)以力量,自己也硬氣了。
4. 效果驗(yàn)證
通過(guò)數(shù)據(jù)指標(biāo)量化驗(yàn)證,數(shù)據(jù)指標(biāo)變化應(yīng)與采取措施的預(yù)期一致,我們對(duì)某個(gè)指標(biāo)采取了措施,一種情況是觀察一段時(shí)間后對(duì)指標(biāo)沒(méi)有影響,很可能是我們沒(méi)有找到根因,另一種情況可能是采取的多種措施對(duì)指標(biāo)都有正向影響,此時(shí)我們需要選擇一個(gè)性價(jià)比最高的措施,考慮ROI。
案例A
案例B
5. 論與業(yè)務(wù)關(guān)系
安全運(yùn)營(yíng)離不開(kāi)業(yè)務(wù)這個(gè)衣食父母,要有服務(wù)意識(shí),這是基礎(chǔ),但在筆者看來(lái),怎么向業(yè)務(wù)闡述清楚業(yè)務(wù)面臨的數(shù)據(jù)安全風(fēng)險(xiǎn)更為關(guān)鍵,這也是運(yùn)營(yíng)的基本功之一吧,如果能與業(yè)務(wù)就風(fēng)險(xiǎn)達(dá)成一致的認(rèn)知,以覆蓋率、收斂為目標(biāo)的安全措施、治理項(xiàng)目就更多的變成在業(yè)務(wù)側(cè)怎么協(xié)調(diào)資源、排期的執(zhí)行層面的問(wèn)題了。
在運(yùn)營(yíng)的過(guò)程中,除了業(yè)務(wù)外,兄弟團(tuán)隊(duì)如HR、合規(guī)、內(nèi)控等也是數(shù)據(jù)安全運(yùn)營(yíng)要協(xié)作的,其實(shí)大家目標(biāo)都是一致的,在實(shí)際工作中明確各自的主戰(zhàn)場(chǎng)并建立協(xié)同作戰(zhàn)機(jī)制,如內(nèi)部人員舞弊需要數(shù)據(jù)運(yùn)營(yíng)團(tuán)隊(duì)的數(shù)據(jù)支持與合規(guī)團(tuán)隊(duì)的情報(bào)線索、線下調(diào)查結(jié)合才能打一個(gè)漂亮的組合拳。
三、提煉總結(jié)
(1) 根據(jù)業(yè)務(wù)形態(tài)不斷調(diào)整數(shù)據(jù)安全打法:
- 成熟業(yè)務(wù),側(cè)重推進(jìn)基礎(chǔ)安全能力提升,典型問(wèn)題溯源到底,防御為主;
- 快速發(fā)展業(yè)務(wù),安全容忍度適當(dāng)放寬,抓典型案例震懾,事前工作做足,如SDL能力覆蓋;
- 成長(zhǎng)業(yè)務(wù):介于兩者之間,借業(yè)務(wù)系統(tǒng)升級(jí)、轉(zhuǎn)型接入推進(jìn)安全能力提升,標(biāo)本兼治;
(2) 通用性數(shù)據(jù)安全風(fēng)險(xiǎn)要有統(tǒng)一的成熟技術(shù)方案,覆蓋率、風(fēng)險(xiǎn)收斂作為核心指標(biāo),涉敏數(shù)據(jù)外發(fā)、賬號(hào)風(fēng)險(xiǎn)治理、反爬等;
(3) 堅(jiān)持對(duì)標(biāo)的意義:最大化的提升效率,避免走彎路,但對(duì)標(biāo)并不能保證風(fēng)險(xiǎn)收斂,因此需要運(yùn)營(yíng)的投入,與業(yè)務(wù)做自適應(yīng)匹配。
