零信任體系化能力建設(shè)（5）：數(shù)據(jù)安全與控制跟蹤

前言：在數(shù)字化世界中，一切皆源于數(shù)據(jù)。無論任何時(shí)候、任何地方和任何環(huán)境，組織都需要保護(hù)數(shù)據(jù)免受未經(jīng)授權(quán)的訪問和泄露，確保核心資產(chǎn)和業(yè)務(wù)的連續(xù)性，并獲得客戶的信任和忠誠(chéng)度。
然而，這些跨領(lǐng)域、相互交叉的數(shù)據(jù)來自于不同的源頭，并由不同機(jī)構(gòu)和人員以不同的方式處理，要確保所有數(shù)據(jù)在不損失安全、隱私和合規(guī)性的前提下，最大限度地傳播共享以發(fā)揮效用，需要從戰(zhàn)略層面對(duì)數(shù)據(jù)進(jìn)行思考、規(guī)劃和治理。本文從零信任安全能力的體系化建設(shè)入手，討論數(shù)據(jù)在收集、使用、傳播及處置過程中的安全保護(hù)措施，主要包括數(shù)據(jù)的識(shí)別與分類保護(hù)、共享與數(shù)據(jù)血緣、訪問與泄露防護(hù)，以及勒索與數(shù)據(jù)彈性。
關(guān)鍵字：零信任；數(shù)據(jù)分類分級(jí)；數(shù)據(jù)防泄漏；勒索軟件

一

零信任數(shù)據(jù)安全

針對(duì)網(wǎng)絡(luò)的攻擊一般以可用性為攻擊目標(biāo)（例如DDoS），主要影響業(yè)務(wù)運(yùn)行性能和效率，而針對(duì)企業(yè)數(shù)據(jù)的攻擊可以同時(shí)包含對(duì)機(jī)密性、完整性和可用性的攻擊（例如，竊取、破壞、勒索等），對(duì)攻擊者具有高額的回報(bào)，也更具誘惑力。

此外，數(shù)據(jù)通常也是零信任實(shí)施中最薄弱的環(huán)節(jié)，它們以結(jié)構(gòu)化或非結(jié)構(gòu)化的文件、碎片（或元數(shù)據(jù)）等形式，存在于本地（或虛擬環(huán)境）系統(tǒng)、設(shè)備、網(wǎng)絡(luò)、應(yīng)用程序、數(shù)據(jù)庫(kù)、基礎(chǔ)設(shè)施和備份中。在典型的數(shù)據(jù)安全事件中，除數(shù)據(jù)損毀所造成的業(yè)務(wù)影響外，數(shù)據(jù)非法跨境、個(gè)人信息泄露等違規(guī)行為也可能會(huì)導(dǎo)致訴訟、罰款和聲譽(yù)損害等損失，對(duì)組織產(chǎn)生不良影響。

根據(jù)IBM Security《2022年數(shù)據(jù)泄露成本報(bào)告》，全球數(shù)據(jù)泄露的平均總成本為435萬美元，而在受訪的550個(gè)組織中，僅有17%的組織是首次遭受數(shù)據(jù)泄露（參看圖1）。隨著攻擊者越來越多地將注意力轉(zhuǎn)向組織的敏感數(shù)據(jù)，組織迫切需要更強(qiáng)大的數(shù)據(jù)安全控制和程序。

圖1 2022年數(shù)據(jù)泄露的平均總成本（來源IBM）

零信任數(shù)據(jù)安全的總體目標(biāo)是確保關(guān)鍵敏感數(shù)據(jù)不會(huì)暴露和泄露、也不會(huì)因數(shù)據(jù)安全導(dǎo)致組織運(yùn)營(yíng)問題，其能力建設(shè)不僅要考慮數(shù)據(jù)的存儲(chǔ)安全（例如空間和性能），還要考慮數(shù)據(jù)的管理方法、流程和工具，以實(shí)施有效的安全管控。通常，數(shù)據(jù)管理中的典型問題包括：● 如何進(jìn)行數(shù)據(jù)發(fā)現(xiàn)和標(biāo)記？●如何處理過期數(shù)據(jù)？●如何進(jìn)行數(shù)據(jù)備份和恢復(fù)？●如何在數(shù)據(jù)存儲(chǔ)、傳輸和使用中加密數(shù)據(jù)？

數(shù)據(jù)可見性是建立有效控制的前提。隨著用戶工作方式的變化，復(fù)雜而又動(dòng)態(tài)的IT環(huán)境將數(shù)據(jù)置于嚴(yán)重的“蔓延”風(fēng)險(xiǎn)下，組織甚至無法了解數(shù)據(jù)所在的位置，以及哪些實(shí)體正在訪問數(shù)據(jù)。例如，在一個(gè)組織中，員工可能使用數(shù)十種以不同方式收集、分析和共享數(shù)據(jù)的SaaS應(yīng)用，不同應(yīng)用形成了組織內(nèi)數(shù)據(jù)的孤島。這些“數(shù)據(jù)孤島”阻礙了安全措施的實(shí)施，組織不僅要關(guān)心傳統(tǒng)安全邊界消失所帶來的風(fēng)險(xiǎn)，更要關(guān)注數(shù)據(jù)本身的安全問題，包括數(shù)據(jù)的流動(dòng)方式和去向。

圖2 適用于不同生命周期階段的數(shù)據(jù)安全控制

控制能力不足是現(xiàn)階段數(shù)據(jù)安全面臨的主要問題。為了實(shí)施零信任數(shù)據(jù)安全，需要數(shù)據(jù)（業(yè)務(wù)）所有者理解數(shù)據(jù)的生命周期，全面規(guī)劃數(shù)據(jù)安全策略和控制，包括完善在數(shù)據(jù)發(fā)現(xiàn)、監(jiān)控、跟蹤和審計(jì)方面的可見性，強(qiáng)化組織內(nèi)存儲(chǔ)、傳輸和使用中數(shù)據(jù)的加密保護(hù)，控制對(duì)進(jìn)入/離開組織的數(shù)據(jù)的訪問，并提供快速識(shí)別、應(yīng)對(duì)數(shù)據(jù)安全問題的策略、流程和工具。

二

數(shù)據(jù)安全的關(guān)鍵能力

在零信任安全框架中，數(shù)據(jù)安全能力需要從宏觀上進(jìn)行規(guī)劃建設(shè)，覆蓋數(shù)據(jù)在生成、存儲(chǔ)、傳輸和處理過程的全生命周期安全，包括對(duì)高價(jià)值數(shù)據(jù)的分類分級(jí)保護(hù)、數(shù)據(jù)跟蹤控制，敏感數(shù)據(jù)防泄漏，以及數(shù)據(jù)彈性能力等。

1

識(shí)別與分類保護(hù)

數(shù)據(jù)安全需要將策略控制直接應(yīng)用于數(shù)據(jù)對(duì)象本身。盡管有些數(shù)據(jù)看起來更重要一些，但即使是不太關(guān)鍵的信息，如果在錯(cuò)誤的時(shí)間丟失或泄露，也可能對(duì)組織造成損害，例如，待發(fā)布產(chǎn)品的性能參數(shù)等。

宏觀來看，數(shù)據(jù)安全策略不應(yīng)僅限于保護(hù)最有價(jià)值的數(shù)據(jù)，但也并非所有數(shù)據(jù)都需要進(jìn)行平等的保護(hù)。組織需要了解持有的數(shù)據(jù)，識(shí)別不同數(shù)據(jù)的安全風(fēng)險(xiǎn)，以便能夠確定重點(diǎn)保護(hù)的區(qū)域和對(duì)象。通常，組織的高價(jià)值數(shù)據(jù)資產(chǎn)可能包括：●組織數(shù)據(jù)資產(chǎn)，例如CRM數(shù)據(jù)庫(kù)中的信息；●業(yè)務(wù)關(guān)鍵文件，例如戰(zhàn)略計(jì)劃和協(xié)議；●合規(guī)監(jiān)管數(shù)據(jù)，例如未經(jīng)審計(jì)的財(cái)務(wù)報(bào)表；●知識(shí)產(chǎn)權(quán)文檔，例如產(chǎn)品設(shè)計(jì)和技術(shù)規(guī)格；●個(gè)人隱私信息，例如員工的詳細(xì)信息。

數(shù)據(jù)分類是根據(jù)數(shù)據(jù)的類型、敏感性和業(yè)務(wù)價(jià)值對(duì)數(shù)據(jù)進(jìn)行標(biāo)記的過程，以便可以在組織內(nèi)部和外部就如何管理、保護(hù)和共享數(shù)據(jù)做出策略選擇。通常，大多數(shù)組織需要采用自定義的分類（例如表1）和粒度，以匹配其數(shù)據(jù)安全解決方案的分類保護(hù)和控制能力。

表1 按敏感級(jí)別的數(shù)據(jù)分類示例

數(shù)據(jù)標(biāo)簽可以作為可視化標(biāo)記附加在數(shù)據(jù)上，并嵌入文件的元數(shù)據(jù)中。通過與數(shù)據(jù)安全解決方案結(jié)合，元數(shù)據(jù)標(biāo)簽有助于為數(shù)據(jù)實(shí)施基于規(guī)則的安全控制或使用。

2

共享與數(shù)據(jù)血緣

在現(xiàn)代企業(yè)的IT環(huán)境中，數(shù)據(jù)不斷積累，并高速流入和流出組織，如何清理、組織、存儲(chǔ)和維護(hù)這些數(shù)據(jù)對(duì)組織至關(guān)重要。數(shù)據(jù)血緣是數(shù)據(jù)管理領(lǐng)域的重要概念，最早起源于數(shù)據(jù)倉(cāng)庫(kù)和ETL（提取、轉(zhuǎn)換、加載）過程，用于跟蹤數(shù)據(jù)記錄從創(chuàng)建、使用和處置的完整過程。

在數(shù)據(jù)血緣技術(shù)中，數(shù)據(jù)在其生命周期中的每個(gè)操作步驟的元數(shù)據(jù)都會(huì)被收集、存儲(chǔ)起來（如圖3），并通過血緣分析來構(gòu)建數(shù)據(jù)映射框架，幫助組織確認(rèn)數(shù)據(jù)來自可信來源、并進(jìn)行了安全轉(zhuǎn)換和存儲(chǔ)。

圖3數(shù)據(jù)血緣在數(shù)據(jù)操作后的更新方式

在使用數(shù)據(jù)血緣時(shí)，不同的組織角色通常有不同的需求，管理層希望理解數(shù)據(jù)在整個(gè)業(yè)務(wù)流程中的作用，比較關(guān)注數(shù)據(jù)的準(zhǔn)確性，而IT和安全團(tuán)隊(duì)則更關(guān)注數(shù)據(jù)的血緣關(guān)系，以滿足運(yùn)營(yíng)、合規(guī)和流程的要求。

雖然詳細(xì)記錄每個(gè)數(shù)據(jù)的來源非常繁瑣，但這些信息使組織能夠識(shí)別潛在的安全漏洞，并實(shí)施適當(dāng)?shù)谋Ｗo(hù)措施來保護(hù)敏感數(shù)據(jù)，確保遵守?cái)?shù)據(jù)安全法規(guī)。

以數(shù)據(jù)銷毀為例，作為數(shù)據(jù)安全的一個(gè)重要方面，通常組織更擅長(zhǎng)（或樂意）創(chuàng)建和聚合數(shù)據(jù)，而不是刪除數(shù)據(jù)。數(shù)據(jù)血緣可以使組織了解數(shù)據(jù)生命周期，提供敏感數(shù)據(jù)在整個(gè)組織中如何處理、存儲(chǔ)和訪問的精細(xì)可見性，有助于提高數(shù)據(jù)安全和隱私保護(hù)能力，例如，識(shí)別并確定必須進(jìn)行數(shù)據(jù)備份或銷毀的時(shí)間點(diǎn)。

3

訪問與泄露防護(hù)

訪問控制是安全策略實(shí)施的重要組成，細(xì)粒度訪問控制需要將數(shù)據(jù)敏感等級(jí)納入決策條件中。可見，數(shù)據(jù)分類是在零信任中實(shí)施細(xì)粒度訪問控制的先決條件。

在零信任體系化能力建設(shè)中，請(qǐng)求者（人類用戶或NPE）的身份安全能力主要通過“身份”支柱建設(shè)。在實(shí)施訪問控制時(shí)，訪問策略引擎需要將“身份”和“設(shè)備”信息映射、關(guān)聯(lián)到“數(shù)據(jù)”支柱所建設(shè)的數(shù)據(jù)清單上，以便限制它們對(duì)目標(biāo)數(shù)據(jù)的訪問，從而降低可疑用戶或失陷設(shè)備所帶來的數(shù)據(jù)安全風(fēng)險(xiǎn)。

通過加密技術(shù)保護(hù)存儲(chǔ)、傳輸中的數(shù)據(jù)是安全團(tuán)隊(duì)的通用做法，但有些組織可能會(huì)忽視對(duì)動(dòng)態(tài)數(shù)據(jù)的加密（即通信加密）。實(shí)際上，即使在部署VLAN、分段或其他隔離措施的網(wǎng)絡(luò)中，攻擊者也可以通過對(duì)路由器或網(wǎng)關(guān)的攻擊，來窺探網(wǎng)絡(luò)流量，獲取敏感信息。因此，對(duì)數(shù)據(jù)（包括傳輸中的數(shù)據(jù)）進(jìn)行加密，是建設(shè)零信任數(shù)據(jù)安全的重要內(nèi)容。

數(shù)據(jù)防泄露（DLP）是一項(xiàng)比較成熟的數(shù)據(jù)安全技術(shù)，組織在設(shè)計(jì)實(shí)施DLP時(shí)，需要考慮因素主要包括：●數(shù)據(jù)安全策略和合規(guī)監(jiān)管需求的復(fù)雜程度；●持續(xù)運(yùn)營(yíng)DLP所需要依賴的資源，及其來源；●DLP覆蓋的通信渠道，例如，電子郵件、Web、FTP、內(nèi)容協(xié)作平臺(tái)、云存儲(chǔ)等；●數(shù)據(jù)的多樣性和類型情況，例如，結(jié)構(gòu)化、非結(jié)構(gòu)化和半結(jié)構(gòu)化（例如表單數(shù)據(jù)）；●數(shù)據(jù)存儲(chǔ)的方式，例如，云存儲(chǔ)、本地文件服務(wù)器等。

DLP的關(guān)鍵能力（例如，數(shù)據(jù)可見性及與訪問位置的關(guān)聯(lián)）對(duì)零信任整體數(shù)據(jù)安全建設(shè)非常重要，通過協(xié)調(diào)零信任策略與DLP策略的一致性，可以集成DLP的產(chǎn)品能力，并根據(jù)DLP的輸出（例如，敏感數(shù)據(jù)泄露警告），實(shí)現(xiàn)與數(shù)據(jù)移動(dòng)上下文相關(guān)的安全策略。

4

勒索與數(shù)據(jù)彈性

無論對(duì)組織還是個(gè)人，勒索軟件都具有不容置疑的巨大危害。根據(jù)Statista的報(bào)告，自2018年以來，全球組織遭受勒索軟件攻擊的比例每年持續(xù)上升，并于2021年達(dá)到峰值68.5%。

在如此普遍的勒索軟件攻擊趨勢(shì)之下，組織關(guān)心的問題已經(jīng)從“是否會(huì)受到攻擊”，轉(zhuǎn)為“何時(shí)遭到攻擊”。更糟糕的是，勒索軟件攻擊的重點(diǎn)是備份系統(tǒng)，在傳統(tǒng)采用溫/熱備進(jìn)行災(zāi)難恢復(fù)的方法中，由于備份數(shù)據(jù)已被勒索軟件加密，導(dǎo)致最終的恢復(fù)失敗。在這種情況下，除了從冷備份中進(jìn)行復(fù)雜、耗時(shí)的恢復(fù)之外，組織別無選擇。

按照Gartner的觀點(diǎn)，為了應(yīng)對(duì)勒索軟件攻擊，用于災(zāi)難恢復(fù)的隔離恢復(fù)環(huán)境（IRE）應(yīng)具備寫保護(hù)、勒索軟件檢測(cè)、即時(shí)自動(dòng)化恢復(fù)和隔離部署等能力。在IRE技術(shù)成熟之前，用戶在運(yùn)行獨(dú)立的備份系統(tǒng)時(shí)，則應(yīng)通過實(shí)施3-2-1備份規(guī)則（每個(gè)數(shù)據(jù)必須至少有3個(gè)副本，其中2個(gè)副本必須存儲(chǔ)在不同位置的系統(tǒng)中，并且至少1個(gè)與生產(chǎn)環(huán)境隔離），提高數(shù)據(jù)的可恢復(fù)能力。

備份不能阻止勒索軟件攻擊，但對(duì)于事件發(fā)生后的恢復(fù)至關(guān)重要，可以提供一定的數(shù)據(jù)彈性，使組織在發(fā)生數(shù)據(jù)意外時(shí)確保業(yè)務(wù)連續(xù)性。不管組織使用私有化部署的數(shù)據(jù)災(zāi)備系統(tǒng)，還是云原生的數(shù)據(jù)彈性平臺(tái)，數(shù)據(jù)安全建設(shè)都需要關(guān)注數(shù)據(jù)的災(zāi)難恢復(fù)能力，對(duì)恢復(fù)點(diǎn)目標(biāo)（RPO）和恢復(fù)時(shí)間目標(biāo)（RTO）負(fù)責(zé)，并將數(shù)據(jù)備份和恢復(fù)連接融入零信任安全能力框架。

三

數(shù)據(jù)安全的最佳實(shí)踐

通過保持零信任數(shù)據(jù)安全策略與業(yè)務(wù)目標(biāo)的一致，組織能夠安全地生成、處理和存儲(chǔ)更有價(jià)值的數(shù)據(jù)，從而使企業(yè)改進(jìn)決策獲得競(jìng)爭(zhēng)優(yōu)勢(shì)，并提高業(yè)務(wù)敏捷性，同時(shí)防御日益復(fù)雜的安全威脅。

1

自動(dòng)化分類標(biāo)記

伴隨數(shù)據(jù)量和產(chǎn)生速度的不斷增加，數(shù)據(jù)可見性對(duì)組織來說是一個(gè)巨大的挑戰(zhàn)。通過利用自動(dòng)化的數(shù)據(jù)分類標(biāo)記工具，可以使數(shù)據(jù)識(shí)別以更快的速度、覆蓋更廣泛的范圍，最重要的是能實(shí)現(xiàn)對(duì)數(shù)據(jù)映射的持續(xù)更新和維護(hù)，以跟上業(yè)務(wù)、技術(shù)和威脅的發(fā)展。

自動(dòng)化的敏感數(shù)據(jù)發(fā)現(xiàn)可以識(shí)別數(shù)據(jù)的位置，并根據(jù)預(yù)定的敏感度級(jí)別對(duì)數(shù)據(jù)進(jìn)行分類，然后將適當(dāng)?shù)脑獢?shù)據(jù)應(yīng)用于每個(gè)文檔（包括電子郵件和文檔），為下游的安全生態(tài)系統(tǒng)（例如DLP、CASB）提供決策控制信息，包括數(shù)據(jù)清單、敏感等級(jí)、結(jié)構(gòu)類型、數(shù)據(jù)來源和交換記錄等。

2

增量式逐步推進(jìn)

在面對(duì)復(fù)雜業(yè)務(wù)的數(shù)據(jù)安全場(chǎng)景時(shí)，用戶可能會(huì)因試圖發(fā)現(xiàn)、分類和保護(hù)組織的所有數(shù)據(jù)，而感到無從下手，特別是在一些數(shù)據(jù)管理能力不足和技術(shù)手段落后的環(huán)境中，實(shí)施零信任數(shù)據(jù)安全的任務(wù)更加艱巨。

解決該問題的最佳方法是采用循序漸進(jìn)的實(shí)施策略，客觀地規(guī)劃能力目標(biāo)與進(jìn)度，將與業(yè)務(wù)相關(guān)的最終產(chǎn)出結(jié)果，分解為可實(shí)現(xiàn)的里程碑，并在推進(jìn)過程中，確保能按時(shí)間表獲得相應(yīng)的資源或調(diào)整時(shí)間表。另外，在實(shí)施過程中，保持與利益相關(guān)者的溝通，保證他們了解當(dāng)前的進(jìn)度狀態(tài)和新變化。

在實(shí)施方面，從小事做起，逐步提高。例如，考慮首先保護(hù)電子郵件和文件，然后轉(zhuǎn)向SaaS應(yīng)用和云。安全計(jì)劃的實(shí)施也從基礎(chǔ)級(jí)別開始，將精細(xì)的策略控制應(yīng)用于電子郵件和非結(jié)構(gòu)化數(shù)據(jù)，然后從逐步開始擴(kuò)展到流入和流出企業(yè)的數(shù)據(jù)。

3

持續(xù)性審查治理

成功的數(shù)據(jù)安全計(jì)劃需要能夠循環(huán)反饋和定期審查。數(shù)據(jù)永遠(yuǎn)存在并持續(xù)變化，控制措施也需要緊跟技術(shù)發(fā)展進(jìn)行演進(jìn)，以適應(yīng)威脅變化。除了定期（例如每年）審查數(shù)據(jù)安全的實(shí)施和計(jì)劃外，也可以在以下情況下觸發(fā)審查：●組織管理層發(fā)生重大變動(dòng)；●法律或監(jiān)管發(fā)生重大變化；●內(nèi)部或外部發(fā)生了重大事件或違規(guī)；●出現(xiàn)了重大的技術(shù)變革。

四

結(jié)語

通過將零信任原則應(yīng)用于數(shù)據(jù)安全能力建設(shè)，組織可以實(shí)現(xiàn)更全面、細(xì)粒度的數(shù)據(jù)保護(hù)和訪問控制，增強(qiáng)對(duì)敏感數(shù)據(jù)的安全性和可控性，減少數(shù)據(jù)泄露和損失的風(fēng)險(xiǎn)，提高整體的安全防御能力。但數(shù)據(jù)安全是一個(gè)持續(xù)的過程，組織需要綜合考慮技術(shù)實(shí)現(xiàn)、用戶體驗(yàn)和文化變革等方面的挑戰(zhàn)和因素，根據(jù)自身情況制定適合的計(jì)劃和策略。同時(shí)，也需要確保與合規(guī)要求和業(yè)務(wù)需求的一致性，以最大程度地提高數(shù)據(jù)安全性和保護(hù)組織的利益。

審核編輯 黃宇