查看原文
其他

信息泄露渠道及风险感知;数据脱敏规则探讨 | FB甲方群话题讨论

群助手 KiKi FreeBuf 2023-02-26


各位 Buffer 晚上好,FreeBuf 甲方群话题讨论第206期来了!FB甲方社群不定期围绕安全热点事件、前沿技术、运营体系建设等话题展开讨论,Kiki 群助手每周整理精华、干货讨论内容,为您提供一手价值信息。

注:上期精彩内容请点击:SIEM/SOC核心需求匹配;K8s的作用到底几何?| FB甲方群话题讨论


本期话题抢先看


1.大规模信息泄露,除了被拖库,是否还有其他获取渠道,企业如何增强数据泄露风险的感知?


2. 数据脱敏一般规则可以如何制定?


3. 如何理解WAF的API保护能力?


4. 面向公司全员的安全考核应该怎么做?



 话题一 

最近曝出45亿条快递信息泄露,涉及国内多个电商平台。这是否意味着这些企业的数据库一定是被拖库了?是否也还存在其他获取、汇总这些信息的方式?


A1:

肯定被拖了,不拖难道自己造真数据吗?

A2:

并且流出的数据库字段或元数据规则基本一致,都是同一体系供应商或者可能对接中间库外流。

A3:

这份数据,我觉得是数据汇总后的集合吧,数据泄露无时无刻在发生,以我们不知道的形式在泄露,只是这个库将这些信息关联起来了,并且明目张胆的对外销售、对外宣传。

A4

数据量这么大,有相关的流量监控应该早就发现了,不是脱裤就是有接口分批拉走的。

A5:

感觉上下游的数据泄露或者是某些边缘系统的API数据泄露会比较多点,拖库感觉现在不多了吧。

A6:

商家自己本身就有仓库,买家下单的时候他在仓库的电脑上打单,有团伙去端上安装木马用于电诈,单量大的 一天能有10w+。

A7:

还有很多电商公司,也存有大量的订单数据,然后做数据关联。


Q:许多数据泄露的消息都来自暗网、社区,并在初步发酵后企业才得知具体情况,因此,对于数据泄露风险的感知,企业应该如何提高?


A8:

虚拟桌面+DLP+态势感知,当然预算也要给够。

A9:

做互联网、暗网监测,一旦发现及时处理,阻止事态继续发展。

A10:

这个有点类似舆情一样,需要平台支撑,早点发现,早点和谐。

A11:

一个内卷方向是暗网监控,好像有很多收费的服务,乙方厂商机器人监控后做人工研判,出现与企业相关的数据第一时间打电话通知。

A12:

感觉API安全要重视起来,这么大量的数据直接搞进去拖库得概率估计比较小,大概率是业务系统得某个接口未授权或水平越权被发现了,让人把数据慢慢给薅走了。最近这两年大量的数据都是通过API泄露的,我们也最近也在研究一些API安全的解决方案。

A13:

主要未授权接口太很多了,国外不是隔三岔五就出现未授权接口。


Q:大家所在的企业关于数据保护有哪些实际落地措施或解决思路?


A14:

1、首先进行数据识别,通过分级分类的方式进行管理,不同级别的数据采用不同级别的安全管理方式。


2、进行数据风险识别,针对可能存在或者已经存在的数据安全风险制定针对性的风险控制措施。


3、深化梳理数据处理流程,从数据产生到数据销毁的全流程进行管控,针对可能产生数据泄露的环节和控制点进行监控,实现自动化告警,及时响应告警。


4、控制敏感数据的访问权限、建立审批程序的同时通过内部审核程序定期检查。


5、定期重新进行数据识别、流程识别、风险评估等程序,对比当前安全控制措施的有效性并有针对性的进行改进。

A15:

数据资产梳理起来就很困难,公司没有任何一个人能说清楚各个应用系统所涉及的数据信息,我们讨论分级分类的依据和怎么分就是一大难点。


 话题二 

数据库脱敏会不会产生对重要数据进行破坏的可能?一般脱敏规则可以如何制定?


A1:

脱敏为什么会对数据产生破坏?

A2:

指混淆吧,直接做了处理再入数据库。这种可能破坏数据可用性,一般最多加密再入。

A3:

首先要识别重要数据,然后再脱敏。重要的数据不脱敏,敏感的数据才脱敏,敏感的可以重要,重要的不一定敏感,这个时候可以考虑加密。

A4:

这个问题,主要是脱敏策略不对,脱敏不达标,不到位,比如手机号,只脱第1位的话,跟没脱敏是一样一样的,就算不达标。

A5:

脱敏分前端脱敏(展示)和后端脱敏(数据库内变化),后端如果匿名化处理了 那数据的确破坏了。

A6:

本地敏文只能说数据库的数据没被破坏。但是前端展示还是破坏了。

A7:

规则的话,根据业务需求进行数据分类:将数据按照敏感等级进行分类,将敏感度高的数据进行重点脱敏处理,如加密或者脱敏,同时尽量保留数据的可用性。


选择适当的脱敏方法:根据数据类型和业务需求,选择合适的脱敏方法,例如数据加密、数据掩码、数据随机化等方法。


定期检查数据安全性:定期对脱敏后的数据进行检查,确保脱敏处理不会对重要数据造成破坏,并及时修正发现的问题。


保证脱敏算法安全:脱敏算法的安全性也很重要,需要确保脱敏算法不会被黑客攻击或者破解,以避免数据泄露。


合理控制访问权限:对脱敏后的数据设置访问权限,确保只有授权人员才能访问,同时建立审计机制,监控数据的访问情况。


制定合适的规则:在进行数据库脱敏时,需要根据具体业务制定合适的规则,包括数据分类、脱敏方法、数据存储位置、访问权限等,以确保数据安全性和可用性的平衡。

A8:

我看有大佬说数据处置分为匿名化和非匿名化, 非匿名化主要指去标识化 ,去标识化里包含一种技术(效果)叫脱敏,但我搜的资料说不是去标识化里包含脱敏,是脱敏包含了去标识化。

A9:

这篇文章可能讲的比较清楚:《数据脱敏:不同法域下匿名化、去标识化、假名化的含义一致吗?》


A10:

脱敏、去标识化可以用加密来做,对于超期数据有点可以用高加密算法做去标识存储。


Q:匿名化一般用于什么场景?


A11:

退出、涉密、监管要求。退出包括兼并、重组、并购、收购、控资、注销等。个保法出台之前,退出只是注销。

A12:

我看个人信息保护法里面有关于敏感数据匿名化就不是敏感数据了,如果是监管要求,监管拿过去也不能反向解密,这个数据没什么意义呀。

A13:

你想想你的匿名化算法是不是监管批准的?在咱们眼里是不可逆,在算法持有人手里呢?

A14:

那可不就违背匿名的不可复原了。

A15:

对啊,数据生成者、使用者、管理者不可复原,没问题啊,看站哪个角度。


 话题三 

WAF的API保护这个能力该怎么理解,跟我配置一个目标IP有什么区别?



A1:

API保护不是说配置目标为IP、域名的区别吧?而是开启API保护后可以分析API数据内容和用户请求URI的习惯,针对性的拦截。

A2:

起码能识别API资产,能够发现越权,能够分析数据内容,才能叫防护API。

A3:

机器学习的方式吧,除了五元组之类的,有其他维度,比如API的访问时间、访问频率、参数、内容、上下文这些,给一个判定。


Q:我们互联网系统未来都走全流量加密,存量系统重要的,也在改造全流量加密,这样的话API检测还具备意义吗?


A4:

有啊,加密流量撞情报、解密流量做监听。

A5:

流量加密是流量加密,API检测是API检测,不一样的。

A6:

流量都加密,API怎么检测?没能理解。我说的是应用层面,实际情况是不同应用系统不同加密方式,怎么解密,我感觉不适用我现在的企业。

A7:

肯定要考虑解密,不然后面攻击流量都识别不出来。

A8:

从客户端到应用层再到服务层的所有流量都是加密的,也无法客户端请求的数据是合法有效的,同样无法保证服务层提供的数据是应该提供的,API检测还包括内容安全。


 话题四 

请问各位有没有面向公司全员的安全考核项?


A1:

1.面向全员考核的目的是啥;


2.要达到考核目的的手段是啥;


3.如何把握这个考核项的度;


4.这种手段是必须可以举证和审计的。

A2:

主要的目的就是通过绩效考核的手段,起到一定程度的约束作用,把安全考核和奖金挂钩,多少能起到点约束作用。

A3:

全员不建议做考核,以结果为导向,对事件当事人进行处罚。考核建议面向中高层管理者,作为管理能力的一部分,一样是以结果导向。

A4:

全员考核,我觉得不妥,非技术线的会有特别大意见,这个我当时和人力VP讨论过。考核到管理层也非常好管理,你不可能把基层一线销售都考核了吧,这不现实。先从内部技术线开始,先抓研发漏洞率,ROI明显。

A5:

我们有次给我们老板汇报安全的时候,说安全考核非技术人群,被我们老板狠狠臭骂了一顿,权责没想明白,我们科技线不够格去考核别人的,除非把要求作为建议推出去 由总裁办来推考核。

A6:

可能和企业的性质有关,如果是对全员有统一要求的应该可以针对性考核,比如医疗、研发型企业,对数据安全特别看重。

A7:

KPI要不是就HR定,要不是就直接部门管理者来定,肯定轮不到IT来定。如果全员要考核,那也是把考核标准和要求给HR,让他们来统一定。

A8:

全员考核其实也没有那么难一般制度都有处罚条款,在处罚条例加上安全相关的内容不就是全员考核了么。单独出考核,那确实难。

A9:

还没见过全员安全考核的企业,如果只是为了应付合规审计,弄个安全答题就完事了,出题的难易程度,自己拿捏下。

A10:

如果公司有培训考核要求,比如一年要达到多少培训积分,那可以考虑把安全相关的东西放进这里,搞成必考科目,考试不通过不给培训分,不过实施主体还是要人力部门来,科技部门协助。


FreeBuf 观点总结

信息泄露一直是企业的心头痛,尤其是对一些掌握大量个人隐私数据的企业,可能因此遭到监管的严苛处罚。如果数据泄露涉及上下游产业链、传播渠道网络社区化,企业可通过暗网监测、态势感知都方式,增强数据泄露的感知能力。


在数据库脱敏规则的讨论中,如果规则不清晰、熟练,可能会导致对一些数据产生不可恢复的破坏性影响。因此,脱敏的第一步是要识别其中重要数据中的敏感数据,哪些能够脱敏;其次是要前端脱敏还是后端脱敏,是去标识化还是匿名化。要弄清各种含义的区别,对数据采取精细、准确的脱敏策略。


本期话题还聊到了关于企业安全考核的内容。关于如何面向公司全员的考核办法中,大家给出了不同意见,有人认为全员考核不具有必要性,应该从管理岗、技术岗落实,也有人认为要做到这一点,除了技术人员给出具体标准,更需要企业制度及管理层支撑,否则将难以推动。


本期话题讨论到此结束啦~此外,FreeBuf甲方社群每周开展不同的话题讨论,快来扫码加入我们吧!



【申请流程:扫码申请-后台审核(2-5个工作日)-邮件通知-加入社群】


注:目前1群、2群已满,如有疑问,也可添加Kiki群助手微信:freebuf2022,备注:甲方会员


“FreeBuf甲方群”帮会已建立,该帮会以三大甲方社群为基础,连接1100+甲方,持续不断输出、汇总各行业知识干货,打造网安行业甲方专属资料留存地。现“FreeBuf甲方群”帮会限时开放加入端口,扫描下方二维码加入,共同建设帮会内容体系,丰富学习交流地。



FreeBuf甲方群成员(因篇幅限制仅展现部分行业成员):


金融行业:贝宝金融 安全负责人、成都农商银行 信息安全负责人、晋商银行 安全负责人、北京银行 安全负责人、君龙人寿 技术负责人、合合信息 合规负责人、合生 信息安全负责人、航天产业投资基金IT负责人、工银金融 信息安全负责人、前海联合基金 信息安全负责人、天弘基金 安全负责人、阳光保险 信息安全部负责人、南京证券 安全负责人、宝马金融 信息安全经理  

运营商:中国联通 网络安全主管、中国电信 信息安全技术主管、上海电信 网络安全主管、天津电信SOC主管、太平洋电信 研发总监

互联网:云畅游戏 信息安全总监、飞点网络 技术总监、聚水潭科技 信息安全总监、诺亚控股 业务安全中心总监、哥伦比亚中国 信息安全总监非夕科技信息安全总监、赫基国际 信息安全部负责人、熵通科技 信息安全负责人、建发集团 信息安全经理 
其他:大学长教育 数据安全与合规总监、温州城市大学 信息技术服务中心科长、作业帮 安全负责人、同程艺龙 安全总监、新奥集团 安全总监、中译语通 安全总监、集贤科技 安全总监、德邦快递 安全总监、盒子科技 安全总监、猎豹移动 安全总监、蚂蚁集团 实验室负责人、结行科技 数据安全负责人、苏宁 网络安全经理、新浪 网络安全经理、吉利汽车 信息安全经理 

精彩推荐







您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存