在数字化世界中,一切皆源于数据。无论任何时候、任何地方和任何环境,组织都需要保护数据免受未经授权的访问和泄露,确保核心资产和业务的连续性,并获得客户的信任和忠诚度。
然而,这些跨领域、相互交叉的数据来自于不同的源头,并由不同机构和人员以不同的方式处理,要确保所有数据在不损失安全、隐私和合规性的前提下,最大限度地传播共享以发挥效用,需要从战略层面对数据进行思考、规划和治理。本文从零信任安全能力的体系化建设入手,讨论数据在收集、使用、传播及处置过程中的安全保护措施,主要包括数据的识别与分类保护、共享与数据血缘、访问与泄露防护,以及勒索与数据弹性。
关键字:零信任;数据安全;数据分类分级;数据防泄漏;勒索软件
一、零信任数据安全
针对网络的攻击一般以可用性为攻击目标(例如DDoS),主要影响业务运行性能和效率,而针对企业数据的攻击可以同时包含对机密性、完整性和可用性的攻击(例如,窃取、破坏、勒索等),对攻击者具有高额的回报,也更具诱惑力。
此外,数据通常也是零信任实施中最薄弱的环节,它们以结构化或非结构化的文件、碎片(或元数据)等形式,存在于本地(或虚拟环境)系统、设备、网络、应用程序、数据库、基础设施和备份中。在典型的数据安全事件中,除数据损毁所造成的业务影响外,数据非法跨境、个人信息泄露等违规行为也可能会导致诉讼、罚款和声誉损害等损失,对组织产生不良影响。
根据IBM Security《2022年数据泄露成本报告》,全球数据泄露的平均总成本为435万美元,而在受访的550个组织中,仅有17%的组织是首次遭受数据泄露(参看图1)。随着攻击者越来越多地将注意力转向组织的敏感数据,组织迫切需要更强大的数据安全控制和程序。
图1 2022年数据泄露的平均总成本(来源IBM)
零信任数据安全的总体目标是确保关键敏感数据不会暴露和泄露、也不会因数据安全导致组织运营问题,其能力建设不仅要考虑数据的存储安全(例如空间和性能),还要考虑数据的管理方法、流程和工具,以实施有效的安全管控。通常,数据管理中的典型问题包括:
- 如何进行数据发现和标记?
- 如何处理过期数据?
- 如何进行数据备份和恢复?
- 如何在数据存储、传输和使用中加密数据?
数据可见性是建立有效控制的前提。随着用户工作方式的变化,复杂而又动态的IT环境将数据置于严重的“蔓延”风险下,组织甚至无法了解数据所在的位置,以及哪些实体正在访问数据。例如,在一个组织中,员工可能使用数十种以不同方式收集、分析和共享数据的SaaS应用,不同应用形成了组织内数据的孤岛。这些“数据孤岛”阻碍了安全措施的实施,组织不仅要关心传统安全边界消失所带来的风险,更要关注数据本身的安全问题,包括数据的流动方式和去向。
图2 适用于不同生命周期阶段的数据安全控制
控制能力不足是现阶段数据安全面临的主要问题。为了实施零信任数据安全,需要数据(业务)所有者理解数据的生命周期,全面规划数据安全策略和控制,包括完善在数据发现、监控、跟踪和审计方面的可见性,强化组织内存储、传输和使用中数据的加密保护,控制对进入/离开组织的数据的访问,并提供快速识别、应对数据安全问题的策略、流程和工具。
二、数据安全的关键能力
在零信任安全框架中,数据安全能力需要从宏观上进行规划建设,覆盖数据在生成、存储、传输和处理过程的全生命周期安全,包括对高价值数据的分类分级保护、数据跟踪控制,敏感数据防泄漏,以及数据弹性能力等。
1.识别与分类保护
数据安全需要将策略控制直接应用于数据对象本身。尽管有些数据看起来更重要一些,但即使是不太关键的信息,如果在错误的时间丢失或泄露,也可能对组织造成损害,例如,待发布产品的性能参数等。
宏观来看,数据安全策略不应仅限于保护最有价值的数据,但也并非所有数据都需要进行平等的保护。组织需要了解持有的数据,识别不同数据的安全风险,以便能够确定重点保护的区域和对象。通常,组织的高价值数据资产可能包括:
- 组织数据资产,例如CRM数据库中的信息;
- 业务关键文件,例如战略计划和协议;
- 合规监管数据,例如未经审计的财务报表;
- 知识产权文档,例如产品设计和技术规格;
- 个人隐私信息,例如员工的详细信息。
数据分类是根据数据的类型、敏感性和业务价值对数据进行标记的过程,以便可以在组织内部和外部就如何管理、保护和共享数据做出策略选择。通常,大多数组织需要采用自定义的分类(例如表1)和粒度,以匹配其数据安全解决方案的分类保护和控制能力。
表1 按敏感级别的数据分类示例
数据标签可以作为可视化标记附加在数据上,并嵌入文件的元数据中。通过与数据安全解决方案结合,元数据标签有助于为数据实施基于规则的安全控制或使用。
2.共享与数据血缘
在现代企业的IT环境中,数据不断积累,并高速流入和流出组织,如何清理、组织、存储和维护这些数据对组织至关重要。数据血缘是数据管理领域的重要概念,最早起源于数据仓库和ETL(提取、转换、加载)过程,用于跟踪数据记录从创建、使用和处置的完整过程。
在数据血缘技术中,数据在其生命周期中的每个操作步骤的元数据都会被收集、存储起来(如图3),并通过血缘分析来构建数据映射框架,帮助组织确认数据来自可信来源、并进行了安全转换和存储。
图3数据血缘在数据操作后的更新方式
在使用数据血缘时,不同的组织角色通常有不同的需求,管理层希望理解数据在整个业务流程中的作用,比较关注数据的准确性,而IT和安全团队则更关注数据的血缘关系,以满足运营、合规和流程的要求。
虽然详细记录每个数据的来源非常繁琐,但这些信息使组织能够识别潜在的安全漏洞,并实施适当的保护措施来保护敏感数据,确保遵守数据安全法规。
以数据销毁为例,作为数据安全的一个重要方面,通常组织更擅长(或乐意)创建和聚合数据,而不是删除数据。数据血缘可以使组织了解数据生命周期,提供敏感数据在整个组织中如何处理、存储和访问的精细可见性,有助于提高数据安全和隐私保护能力,例如,识别并确定必须进行数据备份或销毁的时间点。
3.访问与泄露防护
访问控制是安全策略实施的重要组成,细粒度访问控制需要将数据敏感等级纳入决策条件中。可见,数据分类是在零信任中实施细粒度访问控制的先决条件。
在零信任体系化能力建设中,请求者(人类用户或NPE)的身份安全能力主要通过“身份”支柱建设。在实施访问控制时,访问策略引擎需要将“身份”和“设备”信息映射、关联到“数据”支柱所建设的数据清单上,以便限制它们对目标数据的访问,从而降低可疑用户或失陷设备所带来的数据安全风险。
通过加密技术保护存储、传输中的数据是安全团队的通用做法,但有些组织可能会忽视对动态数据的加密(即通信加密)。实际上,即使在部署VLAN、分段或其他隔离措施的网络中,攻击者也可以通过对路由器或网关的攻击,来窥探网络流量,获取敏感信息。因此,对数据(包括传输中的数据)进行加密,是建设零信任数据安全的重要内容。
数据防泄露(DLP)是一项比较成熟的数据安全技术,组织在设计实施DLP时,需要考虑因素主要包括:
- 数据安全策略和合规监管需求的复杂程度;
- 持续运营DLP所需要依赖的资源,及其来源;
- DLP覆盖的通信渠道,例如,电子邮件、Web、FTP、内容协作平台、云存储等;
- 数据的多样性和类型情况,例如,结构化、非结构化和半结构化(例如表单数据);
- 数据存储的方式,例如,云存储、本地文件服务器等。
DLP的关键能力(例如,数据可见性及与访问位置的关联)对零信任整体数据安全建设非常重要,通过协调零信任策略与DLP策略的一致性,可以集成DLP的产品能力,并根据DLP的输出(例如,敏感数据泄露警告),实现与数据移动上下文相关的安全策略。
4.勒索与数据弹性
无论对组织还是个人,勒索软件都具有不容置疑的巨大危害。根据Statista的报告,自2018年以来,全球组织遭受勒索软件攻击的比例每年持续上升,并于2021年达到峰值68.5%。
在如此普遍的勒索软件攻击趋势之下,组织关心的问题已经从“是否会受到攻击”,转为“何时遭到攻击”。更糟糕的是,勒索软件攻击的重点是备份系统,在传统采用温/热备进行灾难恢复的方法中,由于备份数据已被勒索软件加密,导致最终的恢复失败。在这种情况下,除了从冷备份中进行复杂、耗时的恢复之外,组织别无选择。
按照Gartner的观点,为了应对勒索软件攻击,用于灾难恢复的隔离恢复环境(IRE)应具备写保护、勒索软件检测、即时自动化恢复和隔离部署等能力。在IRE技术成熟之前,用户在运行独立的备份系统时,则应通过实施3-2-1备份规则(每个数据必须至少有3个副本,其中2个副本必须存储在不同位置的系统中,并且至少1个与生产环境隔离),提高数据的可恢复能力。
备份不能阻止勒索软件攻击,但对于事件发生后的恢复至关重要,可以提供一定的数据弹性,使组织在发生数据意外时确保业务连续性。不管组织使用私有化部署的数据灾备系统,还是云原生的数据弹性平台,数据安全建设都需要关注数据的灾难恢复能力,对恢复点目标(RPO)和恢复时间目标(RTO)负责,并将数据备份和恢复连接融入零信任安全能力框架。
三、数据安全的最佳实践
通过保持零信任数据安全策略与业务目标的一致,组织能够安全地生成、处理和存储更有价值的数据,从而使企业改进决策获得竞争优势,并提高业务敏捷性,同时防御日益复杂的安全威胁。
1.自动化分类标记
伴随数据量和产生速度的不断增加,数据可见性对组织来说是一个巨大的挑战。通过利用自动化的数据分类标记工具,可以使数据识别以更快的速度、覆盖更广泛的范围,最重要的是能实现对数据映射的持续更新和维护,以跟上业务、技术和威胁的发展。
自动化的敏感数据发现可以识别数据的位置,并根据预定的敏感度级别对数据进行分类,然后将适当的元数据应用于每个文档(包括电子邮件和文档),为下游的安全生态系统(例如DLP、CASB)提供决策控制信息,包括数据清单、敏感等级、结构类型、数据来源和交换记录等。
2.增量式逐步推进
在面对复杂业务的数据安全场景时,用户可能会因试图发现、分类和保护组织的所有数据,而感到无从下手,特别是在一些数据管理能力不足和技术手段落后的环境中,实施零信任数据安全的任务更加艰巨。
解决该问题的最佳方法是采用循序渐进的实施策略,客观地规划能力目标与进度,将与业务相关的最终产出结果,分解为可实现的里程碑,并在推进过程中,确保能按时间表获得相应的资源或调整时间表。另外,在实施过程中,保持与利益相关者的沟通,保证他们了解当前的进度状态和新变化。
在实施方面,从小事做起,逐步提高。例如,考虑首先保护电子邮件和文件,然后转向SaaS应用和云。安全计划的实施也从基础级别开始,将精细的策略控制应用于电子邮件和非结构化数据,然后从逐步开始扩展到流入和流出企业的数据。
3.持续性审查治理
成功的数据安全计划需要能够循环反馈和定期审查。数据永远存在并持续变化,控制措施也需要紧跟技术发展进行演进,以适应威胁变化。除了定期(例如每年)审查数据安全的实施和计划外,也可以在以下情况下触发审查:
- 组织管理层发生重大变动;
- 法律或监管发生重大变化;
- 内部或外部发生了重大事件或违规;
- 出现了重大的技术变革。
四、结语
通过将零信任原则应用于数据安全能力建设,组织可以实现更全面、细粒度的数据保护和访问控制,增强对敏感数据的安全性和可控性,减少数据泄露和损失的风险,提高整体的安全防御能力。但数据安全是一个持续的过程,组织需要综合考虑技术实现、用户体验和文化变革等方面的挑战和因素,根据自身情况制定适合的计划和策略。同时,也需要确保与合规要求和业务需求的一致性,以最大程度地提高数据安全性和保护组织的利益。
最后,本系列文章从零信任成熟度模型的五个能力支柱,讨论了在零信任实施过程中,组织需要关注和建设的关键能力集,包括建立多层次的身份验证和访问控制、采用加密和加密技术、实施持续监控和分析等措施。
零信任并非一劳永逸的解决方案,而是一个持续的过程和理念,它需要组织在不断演化的威胁环境中保持警惕,并根据实际情况和需求调整和改进零信任策略,以逐步达到更高水平的安全性和成熟度。