风险是可以具象化和可感知的对象,是数据安全的衡量标准之一,上期「构建适应性进化的韧性数据安全体系」专栏,对韧性数据安全体系的组成-适应性动态风险展开介绍。
本期内容,将介绍韧性数据安全体系的另一个重要组成—多层级快速响应。更多内容将陆续呈现,请持续锁定。
作 者 ⎪ 柳遵梁
▲ 韧性数据安全体系的组成
往期内容
韧性数据安全体系缘起与三个目标
韧性数据安全体系的原则和组成
体系组成:身份和身份安全
体系组成:资产和资产安全
体系组成:运行保障与底线防御安全
体系组成:适应性动态风险
多层级快速响应
当组织很好的对风险进行了定义和检测,并且有效的检测出风险并通知。但这种风险响应如果都需要依靠人来处理,安全和风险管理都将失去意义。适合上下文环境的适当响应措施是构建韧性体系的核心组成部分。
保护、检测和响应
数据安全体系在整体上围绕着保护而展开,辅助以检测和响应。
在日常风险运营中,需要持续的把检测和响应迁移到保护体系上,保护体系越丰富,数据安全体系在某种程度上防御重大风险的能力就越强。检测响应体系越丰富,对于未来可能发生的复杂事件响应能力就越强。
封闭边界和直接反应
在保护体系上,封闭边界是基本的防御手段。封闭边界上的行为具有确定无疑的确定性,几乎可以不依赖任何上下文进行。
简单响应
对于简单的明确许可、禁止或者未许可做出简单的直接反应。所有这些反应都在简单的上下文空间内去完成,响应虽然较封闭边界复杂但是差别不大。
条件反射
条件反射是对复杂响应的简化。条件反射基于过去的威胁分析形成简单反馈,基于检测和响应执行,但是具有类似于简单响应的速度。但是条件反射是基于过去经验的直接映射,可能会出错,对于条件反射系统需要有简单的回退措施。
简单复杂响应
复杂响应涉及到统计、概率和拓扑,涉及到时间窗口和空间窗口。简单复杂响应是过去经历的不断重复,基本类同于简单响应。大部分简单复杂响应可以基于保护体系给出响应。
复杂复杂响应
复杂复杂响应涉及到适应性进化,也就是说新的选择或者突变。复杂复杂响应很难通过保护体系表现,大部分需要通过检测响应体系来完成。
流程干预或者人工干预
人工干预是响应中具有重要地位的一种响应方式,当面临突变或者其他流畅性影响可控的场景下,对于灰度决策的响应引入流程干预或者人工干预是一种合适的响应方式。
应急响应
当安全事件发生之后,需要人工干预修复或者人工发起修复的一种响应机制。应急响应需要很好的可观测性和分析性支持,通过可观测性和分析性来选择正确的恰当的快速的响应措施。
恢复响应
当安全事件造成实质性破坏,需要底线防御措施来恢复数据或者业务或者环境。
