2024,数据泄露“灾年”的安全治理变革思路——火山引擎数据安全趋势访谈
2023年全球数据泄露规模创下历史新高,给个人和企业带来巨大损失。根据苹果公司近日发布的数据泄露报告,2023年前九个月有3.6亿人的敏感数据遭泄漏,比2022年全年高出20%。
全球企业面临的数据安全危机,与网络犯罪和黑客活动密不可分,2023年勒索软件、供应链攻击、APT组织空前活跃。
即将到来的2024年,随着网络犯罪的规模化和新兴网络威胁的快速增长,全球进入欺诈和身份滥用的新时代,数据安全管理将面临前所未有的艰巨挑战。基于身份的攻击、云集中风险、生成式人工智能技术的武器化更是给数据安全威胁态势增加了新的不确定性、不对称性和复杂性。根据Cybersecurity Ventures的预测,到2024年底,网络攻击给全球经济造成的损失预计将高达10.5万亿美元。
面对数字化转型的安全需求和挑战,传统的 “封控策略”已经不再适用,如何平衡数据安全管理与数字化业务需求,围绕“业务弹性”开展数据安全管理的体系化、平台化建设成为企业风险管理的新课题。
近日,GoUpSec有幸邀请到火山引擎数据安全专家刘海洋,围绕数据安全管理的痛点与难点,结合火山引擎数据安全业务和产品演进策略,深入探讨了数据安全体系化、平台化建设的关键需求、关键方法和关键趋势,以下为采访内容实录:
火山引擎数据安全专家——刘海洋
从事数据安全领域工作十八年,曾主导编制并发布了《数据安全体系建设指南》系列白皮书(包括政务、银行、车联网等),提出数据安全应遵规守序的理念,数据安全微评估创立人,基于微代理技术解决数据安全运营问题的方案签头人,并为多家头部企业提供安全与合规评估服务。
GoUpSec:
在数字化转型的大背景下,数据的流转和访问才能产生业务价值,随着数据流转的业务场景和规模不断增长,数据安全防护面临哪些新问题、新需求?
刘海洋:
1)首要任务是审计
数据安全的首要工作,就是全面的审计,能够清晰的掌握数据的使用状况,从而发现潜在的风险和违规的操作。随着企业对于数据安全审计的要求越来越高,当前的数据安全技术已经无法满足。传统的数据安全审计产品,只能集中在数据库层,无法审计到具体的使用者身份。另外一种是基于流量的接口审计,它能够审计流量中的接口使用状况,具体到哪个人使用的,以及涉及到的具体数据情况,是无法满足的。这种情况下,信息产业中的数据安全管理者就亟需继续扩充审计维度,采用更强的技术来实现更精准地安全审计。
2)平衡安全与效率
保障数据安全与保障业务效率两者一直是矛盾关系。保障数据安全的技术手段如数据库的网关、动态脱敏、访问控制等技术,从业务的角度看会影响数据的使用逻辑,甚至使用性能。如今,数据使用量之大、使用之频繁,一旦对性能和便捷性产生影响,必然会阻碍数据价值的释放,这是一个持续存在的挑战。那么,如何在最小影响情况下实现对数据的有效管控呢?这也是大家普遍非常关注的点。
随着数据量越来越大,场景越来越多,使用量也在同步剧增,如何才能快速找到违规使用数据的情况呢?首先,靠人力发现肯定不现实。那么,就需要引入 AI 、大数据分析等技术来辅助开展数据安全管理工作,快速锚定违规点。针对已经确认的威胁,摆在企业数据安全管理者面前的挑战就是,在强管控和数据使用的便捷性方面,如何平衡?管得太松,容易发生风险,一旦发生数据泄露,对于企业的品牌、公信力都会造成影响。数据使用跟数据安全是一对天然的矛盾,这个矛盾会一直存在,我们能做得就是不断追求两者间的平衡。
GoUpSec:
根据GoUpSec的调查,企业安全主管关于数据安全建设的主要痛点包括“人员安全意识”、“特权账户”、“内部威胁”、“第三方威胁”、“API安全”、“合规”和数据安全工具蔓延等,您如何看待企业当下面临的数据安全威胁态势?
刘海洋:
数据安全的问题无处不在,从人本身的意识到其认知,再到其知识结构,加之使用数据的一些基本状况,都可能导致风险的发生。针对这些风险,传统的应对方式已然不再适用。传统方式中,为了防止数据泄露,去做加密;为了减少数据暴露面积,去做脱敏,这些都是纯技术性的应对方式。这种方式来应对当前态势已经不再适用,想要做好数据安全建设,需要同时考虑组织、制度、技术、运营四个维度。
接下来,重点聊一下人员安全意识这块。随着 2021 年《数据安全法》、《个人信息保护法》的相继出台,以及后续一系列数据安全相关法规的发布,对数据安全的管理者也提出了更高的要求。做好数据安全工作不仅需要懂安全技术,还需要掌握和了解数据安全相关的法律。
GoUpSec:
面对上述的新问题、新需求,数据安全防护思路有哪些转变?贵单位数据安全技术思路和理念是怎样的?
刘海洋:
面对新需求以及当下对数据安全多方面的要求,我们梳理了一套总体思路,也可以称之为方法论,将数据安全体系的建设分五个步骤。
第一步,厘清数据资产现状。我们到底有什么样的数据,有多少,如何分布上的,这样才知道防护对象在哪里,涉及到哪些法律法规,辅助建设思路的决策。
第二步,掌握数据使用状况。从海量数据中划出敏感数据,甚至是高敏感数据,搞清楚这些数据在被谁使用?有没有外部人员?具体是怎么使用的?使用频率如何?全面的捋清楚数据的使用情况,才能知道用什么方式做管控。
第三步,明确数据使用风险。风险可以分成两类,第一类是合规风险,当前的数据使用中是不是违反了某一个法律法规里的条款,这要进行一个详细的研判和判断。第二个是数据泄露的一些风险,比如有一些存在明显的这种数据结构的可能性,发生概率也比较高,或者业内已经发生了案件,我们是不是具备发生这样风险的条件?所以第三步我们要明确自己的风险。
第四步,制定安全建设路径。结合对产业的了解和我们做的一些项目,我们发现每一个客户在数据安全领域的建设方式、建设路径和建设重点都会存在差异,不存在一个方案可以适配很多行业和企业的情况。每个行业和企业的数据安全都有其特征,这个特征的形成是基于其自身人员的知识结构、管理特征、企业文化等因素,在此基础上融入这些以后就会影响它的数据安全建设的一个方式方法。所以说一定要制定适合自己的数据安全体系建设路径。
第五步,建立安全运营机制。并非风险找到了,对应措施也找到了,措施上线了,就可以放任不管了。数据安全建设并非一朝一夕,它是一个持续动态的状态。从国家法律法规陆续发布可知,企业需要基于政策法规来动态、持续的开展常态化工作,去做好去维护和变更。所以第五步就要做到建立好自己的运营机制。
基于总体思路,我们在自己的技术演进方向上,会遵循三个原则进行平台化能力搭建:
首先,轻量化。我们选择那些对数据应用系统和数据使用产生最小影响的数据安全管控技术,只有这样才能更好地适应数据环境应用。
第二,平台化。数据安全的产品非常多,如果一个一个去搭建的话,对于企业的运营压力巨大,企业自身的学习成本也会非常高。所以我们在产品规划研发过程当中趋于平台化,即安全能力集中在一个统一平台里,使用的时候随需调用,从而减轻组织对于数据安全工作的投入和成本。
第三,智能化。面对海量的数据使用,如何快速找到风险是智能化的第一个维度。第二个维度,如何发现疑似风险?最常见的是内部员工利用自己的权限偷看数据。同时,我们也会利用人工智能技术来发现一些潜在问题和风险。
以上三个方向,是我们现在对于数据安全产品的研发以及方案设计普遍遵循的三个原则。
GoUpSec:
防护思路的转变肯定会体现在产品上,贵公司的产品和市场策略是什么?在数据安全生态中如何定位?
刘海洋:
目前火山引擎数据安全解决方案,整体策略是构建运营级数据使用安全管控平台化能力。
从定位角度来看,每一项数据安全技术都会有它适应或者擅长的数据场景,以数据安全管控平台化产品为例,它会更擅长业务复杂的、敏感数据多、数据使用量大的场景,比如大型集团,其应用可能达数千个,其数据量每天甚至呈几何式增长。以汽车行业为例,就很适合引入数据安全管控平台,为其提供数据安全运营和管控能力,因为它本身的技术原理能够从性能、便捷性上做到对业务很小的影响。
基于企业自身来看,业务复杂也好、数据敏感也好、数据量大也好,问题的核心在于开展数据安全的管控,是不是存在很大阻力?如银行业,都是复杂业务场景,动辄上千个应用。加上现在流行微服务的架构,可能有几千个应用,如此应用规模使用任何一种数据安全的手段,往往会对业务产生巨大影响。基于此,我们引入 AOP(Aspect Oriented Programming,面向切面编程) 技术来解决数据安全问题。
接下来,我简单介绍一下数据安全管控平台化的优点:
首先,无感知集成。进行产品集成的时候免改造,无论是应用系统、数据库,甚至网络结构都无需改造。
第二,分布式部署。审计日志的抓取不依赖于某一数据安全系统,借助应用系统的服务器进行相关的运算和处理,所以说这种分布式性能保证了它的性能是高的。
第三,旁路模式。旁路方式是产业里普遍容易接受的集成模式,它并没有影响数据应用系统,以及应用跟数据之间原有的访问结构,不影响网络访问结构,带来的直接好处就是不会出现单点故障,不会影响业务连续性。即使平台宕掉了,或里面的服务宕掉了,也不会影响数据的使用。
基于以上三点,以及当前产业里做数据安全的一些顾虑,就形成了我们自己的这个定位。
GoUpSec:
您认为,数据使用安全管控平台在功能特性上,哪些功能是基本功能或者说通用功能,是业界认为应该具备的,哪些功能是独特的,或者在基本功能中,哪些做到了业界领先呢?
刘海洋:
平台底层的技术原理采用的是面向切面的编程技术,从而实现了数据在使用过程中的全链路审计,甚至可以实现访问控制。可以从“监”和“运”两个维度总结一下其特点:
“监”指监测,可以监测到每一次数据使用的情况,监测的要素包括终端层、应用层和数据层。
“运”指运营,在获取到数据使用过程当中的全链路信息,这么多信息是可以用来进行分析的,形成这种安全模型、安全画像,来辅助运营人员发现潜在风险。
做为数据安全管理者,最担心的是数据正在泄露,而我们不知道。所以我们一定要能无死角地掌握数据的使用状况,这样才能给专业的数据安全人员提供素材,才好判断是不是存在风险。因此,从功能上来讲,数据使用安全管控平台所擅长的与当前企业需求吻合:能够全面、全链路地监控到数据的使用状况。从先进性或是独特性上来讲,平台在免改造的情况下,能够实现动态脱敏和访问控制,这个技术目前在数据安全行业里较为领先且表现突出的,也获得了企事业单位的一致认可。
GoUpSec:
未来,随着数据被更加深层次的挖掘和利用,应用场景也会产生爆发式的增长,可以说是非常充满想象力的,在新的数据应用场景方面,您有哪些看法(行业洞察)?
刘海洋:
我想引用《数据安全法》的一句话:“以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展”。从中能够看到数据安全和数据业务发展被放在了同等重要的位置,无安全不使用,这样的趋势已经形成。
数据安全的体系化建设或是能力建设,也需要遵循三同步原则,任何一个企事业单位都需要遵循这样的原则,也就是数据安全要跟数据业务要同步规划、同步建设、同步使用。但即使我们采用很多的安全技术,也无法做到百分百的绝对安全,因为安全无绝对,这是客观现实,也无法回避,因为数据是要用的,把数据锁在保险箱里最安全,但这是不现实的。所以我们认为,未来的数据安全工作更多的并不是“防”和“控”,而是能够让数据在我们建立好的秩序中去使用。
总结下来,“遵规守序”应该成为数据安全未来发展的一个方向。“规”,指的是法律法规,无论是国内的,还是国际上各个国家的法规,都要去遵守。所谓的“序”就是秩序,任何一个数据处理者,一定要建立好自己的数据使用秩序,数据应该怎么用?申请流程应该是怎样的?从A端到B端经过什么,应该怎么去控制?这些秩序都是由我们数据处理者去建立的,我们更多的是去看怎么维护这个秩序。举个例子,安保领域的措施比如上一些闸机门禁,在一些关键点安插一些安保人员,这些都比较容易理解,反映到数据安全的管理上也一样,你永远无法阻止数据的使用,因此,要把重心放在如何把秩序建立好。因此,我们认为数据安全的核心工作,就是遵规守序。
此外,纵观数据安全的发展以及未来,可以把这个发展趋势归纳为“五化”建设:
首先,可量化。我们在数据安全建设领域做的任何一个动作,比如投入人力、财力的一个产品,其效果到底如何衡量?不能说我买了一个加密机解决加密问题就够了,要量化到能解决多少风险;解决了我们当前现状的哪些问题;它的价值到底在哪里?所以说数据安全工作一定要可量化,只有量化了以后,才能明确下一步投入的是什么,才能得到企业更高级别管理者的支撑。
第二,轻量化。技术的发展和选择,一定要选对应用、对数据使用影响最小甚至没有影响的。因为如果对业务影响很大,就需要做出取舍,到底是业务为大还是安全为大?这是一个棘手的问题。所以说技术的选用和发展,需要朝这个方向做轻量化。
第三,体系化。我们不能从单点去做,比如建了一大堆的制度、建了一大堆规范,但没有办法落地,这也不现实。所以从人员的能力、制度的落地性、技术的可用性,以及最后的运营能力,这四个维度综合考虑。因此,数据安全建设是一个体系化的工作。
第四,多元化。多元化指的是人员能力的多元化。对于数据安全管理者来说,除了技术以外,要认真、深入地研究本单位的业务情况,到底做的是什么业务?这些业务的流转情况、使用情况如何?另外一个就是法律法规,要跟公司法务一起,共同研究数据安全相关法律法规,只有这样才能真正地做好数据安全的管理工作。
最后,常态化。数据安全的管理和能力建设,是一个常态化的工作,没有终点可言,会持续下去。除非数据不使用了,终局是销毁。常态化是一个趋势,而且是目前每个企业一定要着重考虑的问题。然后在常态化的基础上再细化,比如做一些影响评估、安全评估、风险的自动检测等,这些都可以划到常态化的范畴里面。
未来,我们将持续通过输出体系化数据安全建设方案和平台化产品能力,辅助产业开展数据合规和安全工作、可落地应用和最大化价值释放,赋能各行业数字化业务安全增长。
说明:目前火山引擎数据安全业务为包含隐私计算、数据合规能力在内的数据合规安全整体解决方案,本次访谈未重点聚焦数据安全平台化解决方案,隐私计算、数据合规部分内容涉及较少,未来有机会再分享相关能力。
