5月10日,戴尔泄露4900万用户购物数据,疑涉及大量中国用户;
4月份,中国代工巨头旗下芯片公司遭网络攻击,大量数据外泄并被勒索;
同样在4月,美国健康保险巨头联合健康集团(UnitedHealth)表示,今年2月旗下子公司遭遇了勒索软件攻击,已导致大量私人医疗健康数据被窃取。
在数字经济的浪潮之下,随着组织业务的不断扩展,数据量急剧增加,越来越多的组织需要建立数据仓库或数据中台来支持业务需求。然而,这些与业务项目本身相独立的数据基础设施,也带来了日益严峻的数据安全风险和挑战。因此,数据安全态势管理(Data Security Posture Management,以下简称:DSPM)应运而生。据Gartner在《Innovation Insight: Data Security Posture Management》的假设:到2026年,可能超过20%的组织将部署DSPM。DSPM已经成为一个快速增长的数据安全新兴市场。
多源异构数据分析:DSPM的关键特征和独特能力
业内普遍认为,在日益严峻的数据安全形势下,企业迫切需要一个有效的产品技术,来有效管理井喷式增长的海量数据面临的安全挑战,继而帮助企业第一时间发现、追踪并保护这些流转中的数据,无论这些数据位于何处,处于何种状态。DSPM的出现,很好解决了这些难题。
该如何定义DSPM?据奇安信数据安全专班相关产品负责人万磊介绍,DSPM面向业务系统、大数据应用和数据交换共享场景,服务具有一定应用系统、数据量和数据交互规模客户。作为数据安全中位能力平台,DSPM通过收集多种来源的海量日志数据进行综合分析,为客户提供数据资产和数据流动可视化、数据安全风险监测分析、数据安全响应处置的集成化工具,满足客户数据安全合规技术支撑、防范数据泄露等方面的需求。
由于DSPM是数据安全领域的新兴产品,大部分企业客户对其了解非常有限,甚至将其和传统的数据安全防泄漏(DLP)混淆。万磊对此表示,尽管它们都旨在保护企业数据不受威胁,但关注点和应用场景存在显著区别。数据防泄漏(DLP)主要针对办公场景,如电子邮件和文件共享服务,专注于防止敏感信息的非结构化数据泄露。在场景方面,DLP通过设定策略来控制数据的复制、传输和存储,确保敏感数据不离开安全环境。相比之下,数据安全态势管理(DSPM)服务于数据中心和核心业务系统,提供对结构化和非结构化数据的全面管理。DSPM关注数据的发现、分类、访问控制及合规性监控,旨在通过监测和分析数据安全态势来预防安全威胁,适用于数据安全需求高的大规模企业环境。
因此,万磊强调,数据安全态势感知作为一种态势感知类的安全产品,其最突出的能力在于收集并综合分析来自多种来源的海量日志数据,通过结合大数据分析技术,DSPM能够精确地识别数据安全风险和事件。该能力也被称为“多源异构数据分析”,其中“多源”涵盖了来自终端、网络、云平台、服务器以及业务系统的数据和日志;“异构”则表示能够处理并兼容来自多种第三方和不同业务厂商的各类数据格式。
由此看出,“多源异构数据分析”是区分DSPM与其他数据安全产品的关键特征,换句话说,没有此能力则不能称其为真正的数据安全态势感知平台。类比其它数据安全产品:数据库审计的关键能力在于监控和记录所有对数据库的访问和操作;终端数据防泄漏(终端DLP)的关键能力是在终端设备上监控和保护存储、处理或传输的敏感数据;API安全网关的关键能力是管理和保护API通信,防止恶意访问并确保数据交换的安全性。
实例解析:DSPM如何依托多源异构数据分析保护数据安全
万磊通过一个真实案例还原了DSPM保护数据安全的整个过程:一家国际金融服务公司,某日凌晨1:00,员工张三在外地办公室通过其工作站,在非常规工作时间尝试非授权下载敏感的财务报告数据,DSPM通过综合以下多种数据源,第一时间发现了这一行为:
1)终端监控日志:负责记录张三在凌晨时间通过其个人终端访问敏感数据的行为;
2)网络流量分析:详细追踪了从财务服务器到张三工作站的数据传输,包括文件大小和下载时间。
3)数据库访问日志:显示张三访问了特定的财务报告数据表,并执行了数据导出的查询操作。
4)API监控日志:捕捉到张三使用企业内部API进行数据请求的详细参数和访问时间。
5)地理位置信息:通过IP地址分析,确认请求虽然来自公司内部网络,但与张三实际应在的位置有异常。
利用数据关联分析技术,DSPM将这些日志和记录进行交叉验证,发现张三的访问模式与历史上的非法数据访问行为模式相匹配。这一发现立即触发了安全警报,数据安全团队据此迅速采取行动,暂停了张三的系统访问权限并启动了详细调查,有效预防了数据泄露风险。
为什么多源异构数据分析是数据安全态势感知平台的关键
结合上面的案例不难发现:DSPM的核心目标是旨在提供全面的数据资产和数据流动可视化、数据安全风险监测、以及数据安全响应处置。其中数据安全响应处置,是一项相对通用的能力,非DSPM特有;所以为实现这些目标,DSPM需具备强大的数据监控和分析能力,即“监控数据流动态势”和“识别数据安全风险”。
图 奇安信数据安全态势感知平台
•首先,监控数据流动态势的关键,体现在必须对多元异构数据,实现动态监测、综合分析。
在现代组织环境中,数据流动性极其复杂,从前端的业务系统到后端的大数据应用,再到数据的交换与共享。这种流动不仅跨越多个技术节点,如终端设备、应用程序、数据库、数据湖、和云服务等,还涉及多种路径和数据处理层。每一个节点和路径都可能成为数据安全的潜在弱点,需要被监控和保护。
正是因为数据流动的复杂性,依靠单一数据来源往往无法提供足够的信息来全面监控整个数据流动过程;因此,综合分析来自多个源的异构数据变得尤为重要。通过这种多源异构数据分析,可以更准确地捕捉到数据流动中的各种动态,监测数据流动的全过程和全链路,以便有效识别潜在的风险和异常,从而增强数据安全性和运营效率。
•其次,识别数据安全风险的关键,在于要充分结合不断变化的数据安全政策法规,全面覆盖数据处理的任何节点和路径,并根据自己的业务特性和行业要求定制风险管理策略等。其面临的复杂性和挑战,可以用“天时地利人和”六个字来概括:
1)天时:数据安全政策和法规不断变化。随着技术进步和社会对隐私保护意识的提高,政策和法规也在不断更新,这要求组织必须灵活调整其数据安全策略以保持合规。这种不断变化的法规环境增加了数据安全风险管理的难度。
2)地利:数据安全风险可能发生在数据处理的任何节点和路径上。从收集、存储到传输的每一个环节都可能成为风险的发生点。由于数据流动性强和网络结构复杂,单一数据源往往难以全面监控和识别所有潜在的安全风险,这就需要一个多节点、多层面的风险监测和管理系统。
3)人和:风险的定义往往没有统一标准,且与业务紧密相关。不同组织对于哪些数据属于敏感信息、哪些操作构成违规行为的看法可能各不相同,这种主观性和业务的紧密结合使得标准化的风险识别方法难以适用于所有情况。因此,组织需要根据自己的业务特性和行业要求定制风险管理策略。
正因为数据安全风险管理的复杂性不仅体现在技术和操作层面,还受到外部法规环境的影响及业务特性的约束,一个有效的数据安全策略必须综合考虑这些因素。因此,采用多源异构数据分析是至关重要的,DSPM可以通过整合来自不同节点和路径的日志与数据,多源数据分析提供了更全面和深入的视角,使得跨系统和环境的风险分析更加有效。这种分析可以确保策略能够灵活应对变化,并能精确识别及应对各种数据安全风险。
小结:
在当今数据驱动的业务环境中,组织面临的数据量剧增和业务扩展导致数据基础设施变得更加复杂,带来了前所未有的数据安全挑战。为应对这些挑战,DSPM平台发挥了至关重要的作用。该平台通过多源异构数据分析,能够综合多种来源的海量日志数据,实现对数据资产和数据流动的全面可视化,以及对数据安全风险的精准监测和有效响应。
多源异构数据分析是DSPM平台的关键能力,因为它允许系统跨不同系统和环境进行深入的风险分析。通过综合不同数据节点和路径的信息,DSPM能够识别并响应那些可能在单一数据源中被忽视的安全威胁。这种能力使得平台能够适应快速变化的法规环境(天时),全面监控数据在复杂业务系统中的流动(地利),并针对特定业务需求调整风险管理策略(人和)。
因此,多源异构的数据分析不仅是DSPM的一个关键特性,更是确保数据安全态势感知有效性的核心。它为组织提供了一个强大的工具,以实现高效的数据流动监控和数据安全风险管理,确保业务的持续安全与合规。
立即拨打
京公网安备11000002002064号