七步走,搞定数据安全风险评估
前言
在数字化时代,各行业企业机构目前正在从 “信息化” 转型到 “数字化” 中,数据成为生产要素推动企业业务发展变革,数据的重要性受到前所未有的重视。与此同时,数据所面临的安全风险也急剧增加,如何精准识别基于数据自身的风险,成为数据安全治理与防护的前提条件。
数据安全风险评估意义
数据具有多样性、复杂性等特征,如果没有合适的数据安全风险评估方法和体系,就无法针对性地摸清所有面临的安全风险,也无法评估与法律合规要求的差距。同时,根据《数据安全法》以及各行业相关标准要求,数据安全风险评估是开展数据安全治理工作的基础,是各行业机构必要的数据安全保护义务。
传统安全防护采用边界防护的策略,只是保证静态数据安全,而现实中企业一旦开展业务,必然涉及数据流动过程中的安全风险评估和监测。而数据安全风险评估不仅是一套简单的评估流程或一系列的评估工具,其核心是如何平衡企业数据价值和数据风险之间的冲突。
数据安全风险评估难点
● 随着数据量爆炸式增长与数据应用的范围不断扩大,出现数据访问账号和用户权限管理不清晰、数据在使用过程中审批流程不明确、数据共享交换时的控制措施不可靠等等一些数据问题。
● 数据一旦生产出来后就会进入传输、存储、处理、分析、访问与服务应用等各环节且循环往复,重要数据在流动过程中,会产生大量的接触和交互。如内部的研发和运营管理角色,服务器、云平台、大数据处理与分析系统中的流动,与众多伙伴、客户等进行互动和推送,涉及面异常广泛。
● 非敏感的数据可以通过二次组合或通过数据的聚合分析,形成更有价值的衍生敏感数据,若对数据安全级别判断不足,存在保护强度不够的情况,将导致数据泄露风险,且责任难以界定。
安恒信息深耕数据安全领域多年,在对金融、政府、国企等行业的数据安全风险研究和评估方面积累了丰富的实战经验,关于数据安全风险评估开展工作,将采取以下7步走的动作进行开展:
数据安全风险评估咨询服务过程实践
第一步(资产与数据发现)
基于企业机构所属行业标准规范指南识别相关系统的敏感数据,如金融行业的《个人金融信息保护技术规范》《金融数据安全·数据安全分级指南》等,确定不同安全级别的数据类型,进而形成业务场景下的敏感数据范围。
第二步(业务数据流调研)
依据敏感数据资产及对应的承载体,分析业务逻辑架构及数据资产,整合梳理出数据流转走向。从数据、场景、用户、环境多个维度分析数据流现状,基于业务场景梳理敏感数据流走向,识别数据流转过程中的关键节点要素,输出数据流走向分析图。
业务数据流调研建议内容
第三步(生产环境靶场搭建)
基于前期业务与数据环境的咨询调研结果,明确靶场搭建的资源环境以及已有安全防护设备配合验证的需求进行搭建靶场环境工作,为数据安全攻击模拟实施奠定基础。其中靶场的搭建以保障企业业务正常进行为首要目标,通过模拟场景测试,发现目前业务环境下数据安全面临的实际安全风险威胁。
第四步(安全威胁分析)
基于安恒信息原有数据安全威胁库积累,结合实际业务及数据流分析结果、敏感数据识别结果等咨询调研材料,以数据为中心,重点关注数据流转中的动态安全风险,从数据泄露、数据篡改以及数据不可用等层面分析数据流转各要素的安全威胁。
基于数据生命周期的数据安全威胁分析简图
以金融行业为例,数据应用典型业务场景分析举例如下:
1.数据访问账号和用户权限管理:通过账号专人专用、账号独立、账号授权审批、最小授权、账号及时回收、行为内部审计、定期账号稽核等方式控制。
2.数据使用过程的访问权限管理:批量操作审批、高敏感数据访问审批、批量操作和高敏感数据访问的指定设备、地点、访问过程内部审计记录、开发测试访问模糊化、访问行为定期稽核等方式控制。
3.数据共享(提取)权限管理:通过最小共享和泛化、共享(提取)审批、最小使用范围、责任传递、定期稽核等方式控制。
4.定期权限稽核:通过数据安全合规检查、操作监管或稽核、数据访问账号和权限的监管与稽核、业务单位和运维的数据访问过程的合法性监管与稽核、日志风险分析与数据安全性测试等方式控制。
5.数据存储管理:通过涉密数据存储的网络区隔、敏感数据存储加密、备份访问管理、存储设备的移动管理、存储设备的销毁管理等方式控制。
第五步(安全脆弱性分析)
通过工具监测、人工核查、渗透测试、文档查阅等手段,分别分析管理以及技术层面在数据安全管理、系统运维管理、数据库、数据应用各模块具体内容的数据安全脆弱性节点,明确数据安全脆弱性分布。
第六步(数据安全攻击模拟)
结合业内成熟的攻防框架,例如MIRTE推出的ATT&CK,并基于数据安全威胁场景以及勒索攻击威胁场景,划分攻击模拟战术,具体从数据使用时的初始访问、数据的收集、数据的渗出及数据处理、销毁等造成的影响等威胁场景处出发,针对每一威胁场景,确定所需战术对应的技术手段,进行数据安全攻击突破模拟。
基于ATT&CK框架解析勒索软件威胁场景模拟评估
第七步(数据安全风险识别)
最后以数据安全咨询以及攻击模拟的结果,分析基于业务场景的数据全生命周期过程中存在的风险,通过定性分析展现风险严重程度以及分析可能性,通过定量计算输出风险分值,综合得出数据安全风险评估结果。
数据安全风险识别
随着《数据安全法》和《个人信息保护法》相继推出,以及各行业数据安全标准的不断完善,建立完整的数据安全治理体系已是迫在眉睫。其中,数据安全风险评估作为数据安全建设的基础和前提,在发现数据安全威胁和风险方面意义重大。
传统的信息安全风险评估服务,依靠信息系统为单位进行经验分析,难以聚焦梳理数据安全威胁场景,仅通过通用的技术手段进行辅助安全验证,难以准确且有效的分析数据安全风险。安恒信息数据安全风险评估服务的最佳实践,基于业务场景的数据安全风险评估服务,能够在获得授权的前提下,以攻击者的角度,通过真实模拟攻击者使用的工具、分析方法进行模拟攻击,验证当前业务场景下数据全生命周期的各种事前事中事后安全措施,找出数据安全风险点,提供有价值的数据安全整改建议和提升举措,全面、有效保障数据的安全性。
