2022超级CSO高峰论坛|数字安全最佳实践研讨会:10.29深圳 热点回顾
数字经济方兴未艾,作为数字经济之底座,数字安全尤为重要且渐成热点。对业界来说,数字安全是继计算机安全、网络安全、数据安全之后,将大安全及泛安全态势,与社会经济发展现实紧密结合的新的时代特征和前进方向,当然,无可避免地,其中也存在前所未有的巨大挑战。为了更好地应对挑战夯实底座,网安业者共同聚焦、蓄力协作也是必然。
在此背景下,继上海站大获成功之后,10月29日,2022超级CSO高峰论坛·数字安全最佳实践研讨会(深圳站),在深圳腾讯滨海大厦圆满举行。
本次研讨会由安在新媒体联合腾讯安全共同主办,持安科技、火线安全、联软科技、指掌易冠名支持。50多位来自诸子云的甲方专家出席了本次活动,同时多家典型创新安全厂商受邀参与。充实的分享、热烈的讨论、足金的奖品以及快乐的相聚,为到场的每一位来宾都留下了一个难忘的周末。
深圳广电技术中心网络技术部副主任查亚东,深信服安全负责人周智坚分作上下午两场主持。
来自指掌易、腾讯安全、持安科技、火线安全、联软科技的安全专家及两位甲方代表分别进行了分享。
官卫国 指掌易解决方案专家
万物互联加速数字化转型,疫情催化各行各业向数字化、混合态的工作模式转变,而数字化移动业务实现,使得重心由功能优先逐渐转移至安全基础支撑。
指掌易的数字化移动安全基座采用虚拟安全域和零信任技术,包含了SDP软件定义边界技术、SDP应用安全防护技术、移动应用沙箱技术、桌面终端沙箱技术。同时其数字化移动安全基座有四大能力:移动终端安全,电脑终端安全,终端接入安全和移动应用安全。
其中COPE派发移动设备强管控, 保障移动终端数据安全;BYOD个人设备构建安全工作空间,安全隔离企业数据;PC终端有着专属工作空间,随时随地能保证PC终端安全办公;SDP安全网关,构建一体化全链路访问安保护;应用商店实现应用上架分发,实现指定应用的安装和使用;数据防泄漏DLP,全面保障应用数据安全。
在应用和实践部分,指掌易具备了金融行业混合办公安全实践的解决方案,互联网行业远程开发安全实践的解决方案,制造行业移动设备安全管控实践的解决方案,集团企业数字化工作空间实践的解决方案,地产行业零信任安全办公实践的解决方案。其业务痛点和实现效果都被一一展现。
腾讯云原生数据安全治理实践
谢灿 腾讯安全数据安全产品经理
在国内日益完善的数据安全法律监管体系下,企业该如何管理好数据安全合规风险?IT架构及威胁持续演进,数据安全事件频发,企业该如何应对?不同业务场景数据形态差异巨大,控制要求不同,企业该怎么把控?数据安全面临的风险面多,安全管理工作复杂,企业该怎么管理?这是数字经济时代企业面临的普遍性的数据安全挑战。
腾讯安全数据安全中心DSGC提供给用户全方位的数据安全风险发现和处置响应工具,其能力包含了敏感数据发现与分类分级、数据安全风险评估与收敛、数据安全策略及管控闭环,以及持续数据安全监控及响应。
其中主要的关键技术包括结构化与非结构化敏感数据发现能力、数据分类分级及模版配置,用户可通过合规模版架构灵活配置自定义分类分级策略,给出精确分类分级结果;在数据安全风险评估与处置响应层面,资产的脆弱性分析、安全威胁分析、异常行为监测等,旨在对潜在的泄漏风险、隐私合规风险进行监控及告警,并提出相应的风险修复建议;在数据安全策略管控层面,包括免应用改造数据加密、数据脱敏DMASK、腾讯数字水印、API数据安全、机密计算等,用户可基于数据安全策略对敏感数据不同状态提供相应的数据安全策略防护,实现风险的收敛;
最后在数据安全场景最佳应用实践方面,腾讯提供了基于数据资产分类分级的数据安全策略管控,围绕数据流转状态的数据共享场景安全策略,运维细粒度安全防护及特权账号管控,ISV合作方数据安全安全管控,全场景数据安全防护和公有云原生数据安全治理方案实践。
零信任:安全与业务效率的最优解
孙维伯 持安科技联合创始人
企业安全建设的完美形态是做到三个零:
零损失:风险的解决,效率的提升,都是为了保障业务的损失减少到最低,零损失是业务的终极目标;
零摩擦:因为业务的效率要求,需要以零摩擦的理念来解决,因此零摩擦是安全与业务之间的效率体验;
零信任:大量风险的增加,需要以零信任的理念来解决,所以零信任是业务的安全基石。
持安远望办公安全平台是采用微服务模式进行开发的,能满足不同企业、不同用户的需求,其所有安全能力均不需要业务进行二次开发,在不影响企业业务效率的同时,提供更多安全能力。微服务,集中管理架构,可以满足不同组件同时统一管理的需求。持安零信任超强的融合能力,可以与企业已经购买部署的安全产品能力打通,拒绝安全能力碎片化,实现安全一体化,联防联控,真实保护企业业务不受攻击和损害。
目前,持安远望办公安全平台已经对接了数千个身份系统和业务应用,可以真正实现无侵入无打扰的对接。
持安零信任在4层(网络层)的特点是,分布式访问模式可以让业务就近访问,智能对BS、CS应用流量进行分流,解决传输效率和响应时延的问题;而在7层(应用层),其应用安全网关致力于安全防护和权限管控,安全防护包含实现业务隐身,防范攻击者恶意扫描、添加动态水印、彻底防范未知人员发起的未知攻击,权限管控包含与身份管理系统的深度融合、基于策略进行动态访问控制、来源合法性检查等。
火线安全-洞态IAST的理念与实践
邬迪 火线安全创始人
火线安全的使命是解决企业在基础设施云化过程中所遇到的安全风险。目前为止,火线安全运营注册有过万个全实名认证白帽的安全众测平台,以及全球首个开源的IAST产品—洞态IAST。其他成绩包括云安全攻防知识库、云安全攻防矩阵Matrix、云安全攻防白皮书、开源云安全靶场等。其可提供的服务有火线众测,已覆盖国内主流大型互联网、科技、金融公司,还有洞态IAST,拥有客户900多。
IAST的技术原理是在应用程序的服务端插桩(Agent),对测试请求触发的方法调用链做数据流分析。其技术优势在于,相比SAST白盒漏洞发现的准确率更高;相比DAST覆盖度高,相比SAST可覆盖间接引用包的Sink点;相比DAST/主动插桩,无需发送Payload,检测快且无脏数据。
洞态IAST使命是让Dev/Sec/Ops一起成功,其中洞态IAST只做被动插桩,被动插桩最大的特色是完全没有任何流量的重放, 部署上去之后不需去关心如何处理脏数据,如何去和业务那边处理各种发包的问题;在稳定性方面,洞态IAST将Agent端和server端进行了分离,其Agent端只采集数据,之后把所有数据都放到服务端,服务端的引擎再做检测,这样就能保证Agent端比较清亮,更新的频率会非常低。
为了避免安全和运维之间有不信任的风险,洞态IAST的核心理念是“宁可漏报,不要误报”,在确保高危严重漏洞准确度的基础上,持续提升漏洞的检出率。
除此之外,无论是IAST还是SAST,长期的准确度都需要持续的运营,而火线安全会配套提供安全运营服务,并与客户共创各种新型场景。
洞态IAST具有开源版和商业版,社区版本大家可自行部署使用(https:// dongtai.io)。
从应急响应看可观测性数据安全
刘志诚 乐信集团安全总监
数据安全从体系化上来看,如何确定企业的数据是安全的?一旦出现安全事件后,能不能去回溯源头出在哪儿?这两点企业在处理数据安全时遇到的最大的问题。其次,安全发展到一定的阶段,从数据驱动的角度来看,无论是流量、日志、关联分析、SIM都是事后的运营,因此没办法在过程中去观察安全到底出了什么问题。
对金融网络信息安全来说,最重要的数据就是个人数据,个人数据是关键生产要素,为的是精准营销,源于获客能力是核心的竞争力。数据泄露后进行排查时,首先需要知道有多少数据资产,其次要知道数据资产在内部是怎么流转的,最后得明确自身存在怎样的风险,遭受过怎样的攻击。
数字化转型带来的挑战,如自主开发的系统,要如何在保障效率的情况下保证它的安全;用容器化去实现私有云、公有云办公时,该如何保障安全;为了支撑业务的快速交付,用微服务、API的方式去处理时,该如何保障安全;在快速交付、敏捷交付的背景下,又该如何保障安全。此外,中国当前的数据泄露中,70%以上都是在短信渠道里泄漏的。
在可观测性解决数据攻防过程的可视化中,重点在于分类分级、流转跟踪、风险度量、安全控制、威胁情报和编排响应。
做数据分类分级时一定要考虑资产的上下文或数据资产所在的场景,有了对分类分级控制的要求后,再对整个数据流转过程进行跟踪,通过网关的方式,看流转于上下文的数据的分类分级标签是什么。
陈伟伟 联软科技产品总监
根据2021年Gartner CIO调查结果显示,目前64%的员工可以在家办公,40%的员工实际上已经在家工作。值得注意的是,从网络安全角度来看,未来社会实现远程办公,需要企业重新制定安全策略和工具以更好地降低安全风险。
联软金融移动展业的方案,通过在企业配发智能设备上安装联软客户端,这个客户端会将智能设备上的原生桌面替换成自己的桌面,无法退出。智能设备无论是开机还是解锁,默认打开联软客户端的桌面。这个桌面兼顾在行和离行两种场景,企业客户经理可以根据情况自由一键切换,一机两用。在行时可以和企业内网802.1X网络准入联动,客户端一次登录,先完成网络准入,再打开客户端桌面。该桌面内的功能和应用均由平台管理员在后台设置定义,保证企业配发设备的专机专用。
联软的移动办公方案通过在智能设备上构建应用级沙箱的方式将企业应用和数据与个人应用和隐私进行双向隔离,禁止个人应用访问沙箱内数据,同时也可限制企业应用违法窥探个人隐私。即保证了企业应用和数据安全,同时也保护了员工的个人隐私不被违法窃取。
联软对医院移动查房移动护理业务的解决方案,通过锁定智能设备的桌面只允许医护人员使用医院内部应用,医院内部的业务应用可以通过平台统一推送安装,实现远程维护。
联软为学校提供了WEB安全网关的解决方案,该方案能够将学校的web系统进行统一收口,将学校大量的互联网暴露端口,集中到一个,减少被攻击的风险。
企业数据安全治理1+3+1+1
李磊 某互联网公司高级安全专家
什么是数据安全?数据安全=数据+安全。数据是基础,安全是动作,依赖管控措施和手段,有数据的地方就会有数据安全;没有纯粹的数据安全,其和网络安全、应用安全及个人隐私安全息息相关,而且高度耦合。
1+3+1+1治理框架,分别为1管理能力,3个场景,1原子能力和1运营能力。具体来讲,1管理能力由数安组织和数安制度两部分组成。数安组织因企业情况而定,数安制度包括一个总纲(数安总纲)2个支柱(基础制度、场景制度)。其中基础类制度如数据分类分级、数据安全事件应急响应规范,场景类制度是支撑常见特定业务场景的制度,如外部数据引入规范、公有云数据安全管理。
3场景分别为终端数安、应用数安和大数据数安。其中终端数安面向的是人(包括员工、外包、三方等),管理的对象为端,管控的对象为权限;应用数安面向的是应用(对客应用和对内应用),管理的对象为应用,管控的对象为权限;大数据数安面向的是大数据平台,管理的对象为平台,管控的对象为权限 。应用安全实践有“安全左移”概念,数安同样适用,应将数安管控更多前置到应用数安中,最后落脚在终端数安。数安左移越多,终端管控越轻,体验越好。
3场景落地,需要原子能力支撑。具体原子能力包括数据标识能力、数安评估能力数据删除能力、数据恢复能力、权限控制能力、数据加密能力、数据脱敏能力和水印能力。其中后4种能力是数安管控的4把抓手。需要明确的是,只有和业务平台强关联和耦合的情况下,数安原子能力才能发挥最大的效果和价值。
数安原子能力是用来支撑3场景下数据更好的流动和使用。但是要做到数据更好的流动和使用,需要依赖另一个重要能力:运营能力。运营能力是指以日志能力为基础,以分析能力为手段,以指标能力为度量,优化风险管控闭环,提升服务和体验的一种能力。
值得注意的是,没有“万能药”通解百病,期望出现一个新的产品或技术能够解决所有数安问题是不现实的。单纯的追求0到1,忽视运营能力1到N的持续投入和长期建设,期望做好数据安全是不现实的。
圆桌论坛
在本届研讨会上,“数据分类分级”“数据安全治理”等话题成为了与会嘉宾们实际工作中最头疼、最关注的内容。因此,圆桌论坛环节,周智坚、黄凤翔、谢灿、肖文棣、李磊,五位专家,共同围绕大家最关心的数字安全问题展开了热烈的讨论。
话题一:数据分类分级如何应用?
李磊:针对数据库,当敏感数据识别出来之后,添加贴合数据库使用的系统,在查询、导出、变更时做权限的控制。针对离线情况,思路是一致的,最重要的点在于大数据平台,此外不同等级的数据的权限控制得有所区别。针对端上的管控,遵循“围圈打场”思路,一般来讲沙箱或云桌面是较为可行的方案。
黄凤翔:分级分类中最重要的是给企业内部的各个部门场景化定责任,找到最熟悉业务场景的主责部门,防止落地时责任不清,互相扯皮。
话题二:数据安全治理的内涵和外延是什么?
谢灿:数据安全不是单独的模块,它和网络安全、业务安全强耦合,又和业务强相关,因此数据安全治理一定是组织的行为,其中就会涉及到组织的设计,比如数据安全治理流程的设计,以及技术工具的设计。
黄凤翔:数据安全治理的内涵在国家层面和企业层面上是不一样的,量变引起质变,个别企业可以接受的风险,可能在国家的数据安全治理层面不可接受,需要用法律法规保证国家利益。
话题三:数据分类分级之后如何实现数据变更中的自动化和标签管理?
肖文棣:自动化无非是把标签打在实体上,这样数据才能分析出来,这是实现自动化的一个基础条件。关键在于一点点建设起来,不要追求一步到位,比如在数据收集阶段就去和各种流程结合起来,然后通过敏捷迭代、逐步推演,这样才能实现自动化。
李磊:对于识别规则无法识别到的数据,如果是结构化的数据,就需要持续迭代、优化识别规则和识别引擎,比如总结未识别数据的特征和规律,把它们置换成规则。
谢灿:从管理维度,在业务层面把标签打进数据业务流中,这能大大减少之后安全运营的工作量;要实现数据变更的自动化标签管理,最终还是需要技术兜底,也就是采用自动化的分类分级工具。这里涉及三个核心技术,第一个,资产的自动发现;第二个,自动化的分类分级模版,也就是数据是归属哪一类别,这一类别属于哪种风险等级;第三个,就是对数据识别,也就是对数据进行特征提取和采样,判断一段字符是什么数据。对于结构化和结构化数据分别有不同的识别策略,包括自然语言识别,词法分析,以及机器学习算法、专家规则等,这个也是技术上相对有门槛的一步。
话题四:数据治理该怎么落地?
谢灿:不同业务场景下的数据治理工作有所不同,采用不同的管控措施也有所差异。比如在大数据平台里,数据结构、数据类型非常丰富,数据量大,所以在大数据场景之下,权限控制、审计、脱敏等都是常见方式。如果是研发环境,需要重点关注敏感配置数据,AKSK、特权账号的权限的控制等。
李维春:对于代码模型等各场景都集中在终端上,而研发也需要用到敏感数据的情况,有两套方案可以处理。一套建立在用得起云桌面的基础上,用华为的云桌面方案,此方案可以烧录到设备,并在这个过程中,它可以对协议里传输的内容进行控制和识别。第二套,如果用不起,那就不要加密了,该封封,该关关,把包装面尽可能缩小,然后做全监控,把所有操作记录下来,后台就拿这些记录做审计。
现场花絮
注:继深圳站圆满举办后,2022超级CSO高峰论坛还计划于11月在北京举办第三站活动,欢迎垂询合作,名额抢手,提前预定,先到先得。
活动相关课件已上传诸子云知识星球,扫码即刻下载。
齐心抗疫 与你同在