数据流转安全如何守护（上） – 作者:观安信息

数据安全成为安全领域新的风向标已经是大势所趋。数据安全区别于网络安全和信息安全的一个点在于需要具备持久化的安全运营能力。在整个数据安全生命周期中，数据传输/共享阶段是数据安全事故频发重灾区。

对于企业而言，如何基于已有的业务数据，从容的应对数据经济下的数据传输流转过程中产生的一系列安全问题，已成为企业安全建设新的命题。对此，以数据为核心和视角的数据流转监测能力崭露头角。本文我们将分上下两篇，围绕以数据为核心的数据安全流转监测能力建设进行分析讨论。上篇为理论建设篇，下篇为方案建设篇。本篇主要从理论建设和认知层面介绍数据流转监测。

一、什么是数据流转监测？

数据流转监测是为了应对日益严峻的数据传输/共享安全问题而形成的新的数据安全共识性能力。它关注的是如何在企业当前业务零打扰、网络环境零侵入的前提下，提供一种打破数据流转黑盒、自动化发现并测绘出重要业务系统的重要/敏感数据的流转链路视图，并基于该流转链路视图下，进一步对数据资产进行安全监测、对高敏数据传输风险进行识别监测的综合性业务数据监护能力。

在金融、电信等代表性行业中，数据流转在安全方面的监测能力，已经作为合规项，列入到检查清单当中。而企业也不断对流动的数据安全监测提出了内生要求。数据流转监测在数据安全领域，有着向标品化愈演。数据流转监测不同于以往网络安全或信息安全监测类产品的点在于：

以数据富集资产（核心业务系统）为核心。以数据为核心在企业安全建设的现实映射是以数据富集资产为核心。数据富集资产往往是企业的核心业务系统，对核心业务系统中的高敏数据的流动情况进行监护，才能找到流转监测的抓手。

基于业务而非流量进行监测。数据作为生产要素，数据安全必须与业务相结合，数据流转监测需要从【人】-【业务】-【应用】抓起。

精耕细作式流量处理模式。不局限单纯的五元组等流量信息，更侧重流量中业务数据信息的细粒度提取、加工和处理。

被动式监护向主动安全转变。不再强调基于安全域构建的护城河，被动式安全监护，无法满足数字化安全需求，数据流转监测重在未雨绸缪，将风险前置，预测监测安全能力左移。

打破单点能力边界，强调联防联动。单点防御转向全网联防联动，基于全链路统一数据源的流转监测能够支持一体化的数据安全运营。

二、顶层设计上如何统筹数据流转监测能力？

安全体系建设是根据企业自身业务特性和规模等因素进行的。没有统一的方法论来统筹数据流转监测能力。但遵循以下原则或要素，可以保障数据流转监测能力不失真的同时发挥出积极的效益：

（1）长效的持久化运营。动态流量本身是日常业务生产消费产生的，生产业务的持续化决定了对数据的安全监测也需要持久化、周期化的运营和管理，成为企业安全部门日常安全运营工作的一部分。譬如常见的内鬼利用职务便利，碎片化持续地窃取企业内部重要业务信息，是无法靠一时的安全策略发现的，而需要在数据安全监测和运营的多个周期中，利用机器学习、基线模型和UEBA等技术手段，通过横纵向的定量分析比对来发现。

（2）全链路数据全覆盖。在企业生产消费网络环境中，存在各种各样的流量。既包括外部web网络流量，也包含办公访问的文件、邮件流量，还有生产产生的数据库流量。基于数据为核心的动态数据流量监测，必然应支持常见全链路应用层协议，对web应用接口的应用服务、文件服务、邮件服务、数据库服务产生的重要敏感数据信息进行实时动态监测。避免在企业数据安全体系建设初期，单纯为了应对某类合规要求，而饮鸩止渴，为后面建设制造障碍，埋下隐患。

（3）不侵入，不占用，业务零打扰。动态流量本身来源于实时的业务，因此对业务零打扰是数据安全监测的基本要求。具体体现在，不影响企业的网络和业务系统结构，无需与业务系统对接，不需要数据库服务器提供用户名密码、无需增加额外网络设备等，也无需对现有网络结构进行改造等。

（4）基于企业业务安全的监测闭环。流转监测效果是否能够满足企业对数据安全的期望和要求，离不开数据安全监测体系对企业业务的理解。在此基础上，能够形成从流量采集、结构化处理、业务化处理、业务数据安全动态分析、业务数据溯源反演、业务数据安全运营报告等的全业务安全能力闭环。只有能力上形成闭环，才能使得安全监护对业务流量数据发挥最大的效用。

三、动态数据流转监测可以解决哪些问题？

动态数据流转过程中，按照传统的事前、事中、事后，以及日常安全运营视角，对应的问题整理如下图：

（下篇方案篇将揭示对应问题的解决方案）

将上图中问题抽象得到的关键问题有以下三点：

（1）数据在流转过程中存在哪些业务资产和敏感信息、分布情况如何。

对流转过程中数据的识别和监测，可以解决企业对网络流量中的重要敏感数据、业务系统、接口、数据库服务等有哪些、分布在哪里等的一系列问题，其中包括对诸如对外接口、下载导出接口等接口的定义和识别。只有知道不同网络节点流量中的资产信息，才能基于这些业务信息，针对性地做出恰当的安全监护决策，部署相应的安全能力。

（2）流动的敏感数据信息有哪些，流向了哪里，流经了哪些业务系统或接口节点。

核心业务系统的重要/敏感业务数据流转过程对于企业和安全人员来说，基本是黑盒状态。“有哪些”和“在哪里”只解决了静态节点信息有无问题，对于重要敏感数据信息如何流转的需要进一步测绘。摸清重要/敏感数据信息的流入流出大小、流向、流经业务节点等信息，如同摸清人体的奇经八脉一般，对于摸清重要/敏感数据的脆弱性和暴露面有清晰的认知，方可进行全面诊断并对症下药。这时候基于全链路全协议的数据监测能力，比单协议审计类产品，能更全面帮企业形成整体的数据流动健康性认知。

（3）业务流量中是否存在异常风险，具体如何帮助企业或安全部门进行判断、决策，避免“亡羊补牢”的弊端。

业务流量中的异常和风险，更多来自业务侧的业务高敏数据或资产的不合理、非法违规访问，可能产生的一些合规性、高危操作、疑似泄露等问题，以及部分来自网络安全侧的诸如爬虫爬取识别、恶意扫描注入等安全问题。

这些业务异常行为和风险倾向伴随业务展开，可能时刻都在发生，监测下的异常和风险判断则可以从风险安全运营的视角进行持久化辨识和预警。传统的被动式识别和判断，误报漏报问题普遍，严重影响了企业对风险的判断和决策能力，降低了企业对安全的敏感性，往往是亡羊补牢式的做法。

以数据为核心、业务安全为目标的数据动态流转监测，应更注重以安全左移为理念的主动辨识能力，将访问异常和访问风险差异化处理，从主动预测-主动识别-主动预警着手，自动化或半自动化处理，帮助企业快速形成异常和风险的判断、决策能力，防患于未然。

（4）数据安全事件发生后，如何快速定位事故、追踪责任人，及时止损。

安全事件总是概率性的不可避免会发生。发生后如何在第一时间内找到事故源头，排查出肇事者、定位到责任人，才能尽可能止损。数据流转安全监测要解决的其中一个命题就是如何在茫茫的海量数据中，抽丝剥茧，寻迹排查，为安全部门提供高价值的溯源线索，结合业务认知、专家经验，形成事后安全监护能力，从而进一步体现安全部门的专业能力和价值。

四、对于流转监测安全能力，常见的误区有哪些？

（1）数据安全监测，对数据标准化治理或分类分级安全建设，没有强制性要求。

企业即使没有做数据标准化治理、没有做数据分类分级安全建设，也可以建设动态数据安全监测体系。后期企业如果做了数据分类分级安全建设，可以无损添加到动态安全监测清单中进行数据的分类分级合规性监测。当然数据分类分级工作是一项漫长且艰难的工作，无需等数据分类分级完成后再进行数据安全监测。

（2）数据安全≠数据防泄漏。

数据防泄漏只是数据安全中最常见最典型的一类数据安全建设命题，数据泄露也是当前相对最严峻的数据安全问题。从体系化建设视角来看，仅仅着眼于数据防泄漏，不仅会限制数据安全和网络信息安全能力在中后期的联动联防，还弱化了数据持久化安全运营的整体安全价值。从数据流转监测的视角来看，数据防泄漏是数据流转监测所需关注和解决的诸多数据流转安全问题中的一个。

（3）流量监测≠数据流转监测。

流量监测和数据流转监测，从技术角度来看，使用的是相同的技术能力，如基于探针或采集器的流量采集、解析等；网络安全中的流量监测类的产品常见如NTA等，和数据流转监测相比而言，无法对业务数据进行提取识别并对其敏感数据进行流转测绘和监护。有的厂商基于商业机会，直接将自家原有的探针相关产品稍作改造，换个名称就称为数据安全的流转监测能力，这种观点和做法虽然在原来的网安信安领域屡见不鲜，但从企业侧来看，是一种不负责任且无视市场背后客观的技术和业务发展规律的体现；从厂商侧来看，是纯技术思维在产品和商业上的局限性体现，对市场对自身发展都无益。

当然，数据安全大背景下，动态数据的安全监测，更强调如何在适应企业内部网络结构、业务结构下，形成体系化的落地监护能力。具体落地建设方案，敬请期待。

来源：freebuf.com 2021-05-27 17:35:47 by: 观安信息