English | 中文

产品资料

Contact Us

  • Contact:北京炼石网络技术有限公司
  • Phone:010-88459460
  • Address:北京市海淀区北三环西路32号楼7层0710-1
  • Zip Code:100097

Position: product white paper»News & Events

白小勇:数据安全需要新框架、新战法(附下载)

近日,第九届互联网安全大会(简称ISC 2021)在北京国家会议中心成功举办,本届大会以“网络安全需要新战法,网络安全需要新框架”为主题,是网络安全行业的顶级盛会之一。炼石网络创始人、CEO白小勇受邀出席“数据安全与隐私保护战略峰会“,并作《DTTACK:以数据为中心的安全技术框架》主题演讲,分享对数据安全的新框架、新战法的探索。(关注公众号"炼石网络CipherGateway",回复关键词“ISC2021”,下载演讲PDF高清文档)

图1:炼石网络创始人CEO白小勇作主题演讲
本文共计 4085 个字,预计阅读时间 15 分钟。
注: DTTACK技术框架后续将陆续更新迭代,欢迎业界同仁共同完善。


一、数据安全需要新框架



(一)“五法一典”构筑新合规

数据安全需求来源,一是内在的风险驱动,二是外部的合规驱动,两者是辩证统一的。数据泄露等安全事件本身具备经济学的外部效应特征,即消费方与受益方不一致,类似化工厂,如果没有《环境保护法等法律法规制约,在不考虑社会责任的情况下,其最经济的选择是就地排污排废。就个人信息保护来说,如果没有外部的合规要求,数据泄露最直接的受害者就是老百姓,而对企业等个人信息处理者的自身利益没有实质损害,因此,通过合规引导企业实施数据安全建设是非常重要的。

目前,我国初步建立了数据安全相关的法律法规体系,形成“五法一典”共治的新合规局面,包括《国家安全法》《网络安全法》《数据安全法》《密码法》《个人信息保护法(草案)》以及《民法典》。“五法一典“之间紧密关联又各有侧重,《国家安全法》是维护国家总体安全的基础法律,《网络安全法》提出了安全治理道路,《数据安全法》和《个人信息保护法(草案)》明确了保护目标,《民法典》包含了自然人的人格权保护,而《密码法》强调了保护信息与数据的技术手段。


图2:“五法一典”构筑“平安中国”



(二)回顾经典的网络安全框架


ATT&CK是网络安全行业目前公认权威、并被普遍接受的攻击模型框架,由MITRE提出,全称是Adversarial Tactics, Techniques, and Common Knowledge(对抗性的战术、技术和通用知识),其最新版本包括14个攻击战术、205个攻击技术、573个攻击流程,覆盖了绝大多数网络攻击手段,能够为网络安全防护提供专业的技术参考。ATT&CK框架以及关联的Shield主动防御框架,以网络攻防为视角,侧重“以网络为中心的安全”保护思路,通过防漏洞、堵漏洞的应对方式保护数据。而当下来看,网络漏洞始终在所难免,所以直接针对数据本身进行主动式保护,是实现数据安全的最直接有效的手段。因此,企业安全建设趋势正在从“以网络为中心的安全”转向“侧重以数据为中心的安全”。


图3:经典网络安全ATT&CK框架



(三)打造数据安全新框架


进入数据时代,侧重攻防对抗的ATT&CK框架,难以覆盖“主动式保护数据”的各种技术手段。炼石尝试从“以数据为中心”的角度提出DTTACK数据安全技术框架,全称是Data-centric Tactics, Techniques And Common Knowledge(以数据为中心的战术、技术和通用知识)。DTTACK框架尝试填补“以数据为中心”的安全技术体系的空白,它不是网络、服务器或应用程序安全性的模型,更强调数据本身的安全性,并从对数据的“应对式”防护,向“主动式”防护转变,重视从业务风险映射视角列举数据保护需求,可以为信息化建设、企业业务架构设计提供数据安全能力参考。

同时,DTTACK结合NIST安全能力模型和安全滑动标尺模型,选择了六大战术作为基本结构:IDENTIFY(识别)、PROTECT(防护)、DETECT(检测)、RESPOND(响应)、RECOVER(恢复)、COUNTER(反制)。目前,炼石已初步梳理6个战术,36个技术,116个子技术,86个方法,并持续更新迭代,致力于打造数据安全领域的专业权威技术框架,期望为数据安全厂商提供通用知识库,为甲方的数据安全规划和技术对比提供参考依据。我们在此也欢迎业内同仁、相关企业共同参与完善DTTACK框架。


图4:DTTACK数据安全技术新框架

DTTACK不是孤立的,我们认为,“以网络攻防为中心的安全”与“以数据保护为中心的安全”之间是相互关联、依赖、叠加演进的,“网络与数据并重的新安全建设”是当下企业安全建设的方向。网络安全是实现数据安全的基础,但光靠网络安全又很难有效保护数据,数据安全新框架是安全技术演进的必然,把“以网络攻防为中心的ATT&CK框架和“以数据保护为中心的DTTACK框架”相结合,两者相辅相成,全方位保护网络与数据安全。

图5:网络与数据并重的新安全建设



二、数据安全需要新战法



(一)面向失效的数据安全新战法


安全漏洞层出不穷,攻击手段与利用手法日益复杂精妙,攻击方和内部威胁方天然具有单点突破的优势。同时,在构建安全防御体系的过程中,由于防护规则覆盖难以面面俱到,或在具体实施过程中难免疏漏,或内部人员天然有接触数据的风险,这些都可能导致某个安全节点被突破失效,所以简单堆叠防护技术和产品在体系化进攻和日益复杂的内部威胁面前是难以奏效的。DTTACK框架列举了诸多技术,其作用类似于“兵器库”,防守方需要体系化的思路整合这些技术,才能利用好先发优势,精心“排兵布阵”,环环相扣构造纵深防御战线,体系化的防范内外部威胁,提升防御有效性。

基于DTTACK框架,我们考虑要从几个重要维度层层切入,基于面向失效(Design for Failure)的防御理念,综合利用多样化手段构建纵深,当一种保护手段失效后,有后手安全机制兜底,打造纵深协同、而非简单堆叠的新战法。我们选择三个比较重要的维度,一是安全能力维度(I.识别、P.防护、D.检测、R.响应、R.恢复、C.反制),二是数据形态维度(使用态、存储态和传输态等),三是技术栈维度(SaaS/业务应用、Paas/平台、IaaS/基础设施),这三个维度之间关系是独立的、正交的,三者叠加可构建更有效的数据纵深防御体系。


图6:面向失效的数据安全新战法



(二)从安全能力构建数据防御纵深


“IPDRRC”体现了数据保护的时间顺序,基于时间维度,可以有机结合多种安全机制。识别是一切数据保护的前提,在数据识别与分类分级、以及身份识别的前提下,针对数据安全威胁的事前防护、事中检测和响应、事后恢复和追溯反制等多种安全机制环环相扣,协同联动,可以有效构建出面向失效的纵深防御机制