English | 中文

Contact Us

  • Contact:北京炼石网络技术有限公司
  • Phone:010-88459460
  • Address:北京市海淀区北三环西路32号楼7层0710-1
  • Zip Code:100097

Position: Company News

白小勇:零信任环境下企业数据安全新战法

近日,第九届互联网安全大会(简称ISC 2021)在北京国家会议中心成功举办,本届大会以“网络安全需要新战法,网络安全需要新框架”为主题,是网络安全行业的顶级盛会之一。炼石网络创始人、CEO白小勇受邀出席“数据安全与隐私保护战略峰会“,并作《DTTACK:以数据为中心的安全技术框架》主题演讲,分享对数据安全的新框架、新战法的探索。(关注公众号“炼石网络CipherGateway”,回复关键词“ISC2021”,下载演讲PDF高清文档)

图1:炼石网络创始人CEO白小勇作主题演讲
本文共计 4085 个字,预计阅读时间 15 分钟。
注: DTTACK技术框架后续将陆续更新迭代,欢迎业界同仁共同完善。


一、数据安全需要新框架



(一)“五法一典”构筑新合规

数据安全需求来源,一是内在的风险驱动,二是外部的合规驱动,两者是辩证统一的。数据泄露等安全事件本身具备经济学的外部效应特征,即消费方与受益方不一致,类似化工厂,如果没有《环境保护法等法律法规制约,在不考虑社会责任的情况下,其最经济的选择是就地排污排废。就个人信息保护来说,如果没有外部的合规要求,数据泄露最直接的受害者就是老百姓,而对企业等个人信息处理者的自身利益没有实质损害,因此,通过合规引导企业实施数据安全建设是非常重要的。

目前,我国初步建立了数据安全相关的法律法规体系,形成“五法一典”共治的新合规局面,包括《国家安全法》《网络安全法》《数据安全法》《密码法》《个人信息保护法(草案)》以及《民法典》。“五法一典“之间紧密关联又各有侧重,《国家安全法》是维护国家总体安全的基础法律,《网络安全法》提出了安全治理道路,《数据安全法》和《个人信息保护法(草案)》明确了保护目标,《民法典》包含了自然人的人格权保护,而《密码法》强调了保护信息与数据的技术手段。




(二)回顾经典的网络安全框架


ATT&CK是网络安全行业目前公认权威、并被普遍接受的攻击模型框架,由MITRE提出,全称是Adversarial Tactics, Techniques, and Common Knowledge(对抗性的战术、技术和通用知识),其最新版本包括14个攻击战术、205个攻击技术、573个攻击流程,覆盖了绝大多数网络攻击手段,能够为网络安全防护提供专业的技术参考。ATT&CK框架以及关联的Shield主动防御框架,以网络攻防为视角,侧重“以网络为中心的安全”保护思路,通过防漏洞、堵漏洞的应对方式保护数据。而当下来看,网络漏洞始终在所难免,所以直接针对数据本身进行主动式保护,是实现数据安全的最直接有效的手段。因此,企业安全建设趋势正在从“以网络为中心的安全”转向“侧重以数据为中心的安全”。



(三)打造数据安全新框架


进入数据时代,侧重攻防对抗的ATT&CK框架,难以覆盖“主动式保护数据”的各种技术手段。炼石尝试从“以数据为中心”的角度提出DTTACK数据安全技术框架,全称是Data-centric Tactics, Techniques And Common Knowledge(以数据为中心的战术、技术和通用知识)。DTTACK框架尝试填补“以数据为中心”的安全技术体系的空白,它不是网络、服务器或应用程序安全性的模型,更强调数据本身的安全性,并从对数据的“应对式”防护,向“主动式”防护转变,重视从业务风险映射视角列举数据保护需求,可以为信息化建设、企业业务架构设计提供数据安全能力参考。

同时,DTTACK结合NIST安全能力模型和安全滑动标尺模型,选择了六大战术作为基本结构:IDENTIFY(识别)、PROTECT(防护)、DETECT(检测)、RESPOND(响应)、RECOVER(恢复)、COUNTER(反制)。目前,炼石已初步梳理6个战术,36个技术,116个子技术,86个方法,并持续更新迭代,致力于打造数据安全领域的专业权威技术框架,期望为数据安全厂商提供通用知识库,为甲方的数据安全规划和技术对比提供参考依据。我们在此也欢迎业内同仁、相关企业共同参与完善DTTACK框架。

DTTACK不是孤立的,我们认为,“以网络攻防为中心的安全”与“以数据保护为中心的安全”之间是相互关联、依赖、叠加演进的,“网络与数据并重的新安全建设”是当下企业安全建设的方向。网络安全是实现数据安全的基础,但光靠网络安全又很难有效保护数据,数据安全新框架是安全技术演进的必然,把“以网络攻防为中心的ATT&CK框架和“以数据保护为中心的DTTACK框架”相结合,两者相辅相成,全方位保护网络与数据安全。




二、数据安全需要新战法



(一)面向失效的数据安全新战法


安全漏洞层出不穷,攻击手段与利用手法日益复杂精妙,攻击方和内部威胁方天然具有单点突破的优势。同时,在构建安全防御体系的过程中,由于防护规则覆盖难以面面俱到,或在具体实施过程中难免疏漏,或内部人员天然有接触数据的风险,这些都可能导致某个安全节点被突破失效,所以简单堆叠防护技术和产品在体系化进攻和日益复杂的内部威胁面前是难以奏效的。DTTACK框架列举了诸多技术,其作用类似于“兵器库”,防守方需要体系化的思路整合这些技术,才能利用好先发优势,精心“排兵布阵”,环环相扣构造纵深防御战线,体系化的防范内外部威胁,提升防御有效性。

基于DTTACK框架,我们考虑要从几个重要维度层层切入,基于面向失效(Design for Failure)的防御理念,综合利用多样化手段构建纵深,当一种保护手段失效后,有后手安全机制兜底,打造纵深协同、而非简单堆叠的新战法。我们选择三个比较重要的维度,一是安全能力维度(I.识别、P.防护、D.检测、R.响应、R.恢复、C.反制),二是数据形态维度(使用态、存储态和传输态等),三是技术栈维度(SaaS/业务应用、Paas/平台、IaaS/基础设施),这三个维度之间关系是独立的、正交的,三者叠加可构建更有效的数据纵深防御体系。



(二)从安全能力构建数据防御纵深


“IPDRRC”体现了数据保护的时间顺序,基于时间维度,可以有机结合多种安全机制。识别是一切数据保护的前提,在数据识别与分类分级、以及身份识别的前提下,针对数据安全威胁的事前防护、事中检测和响应、事后恢复和追溯反制等多种安全机制环环相扣,协同联动,可以有效构建出面向失效的纵深防御机制
当然,从当前企业的数据安全建设重点看,越靠近“事前防护”,投资回报率越高,如果仅依靠检测/响应、恢复以及反制等环节,损失已经发生,企业会付出更高成本。因此,数据安全建设之初,应当优先建设事前防护能力,需要综合应用多种安全技术,尤其是采用密码技术开展数据安全保护,比如加密、脱敏等。



(三)从数据形态构建数据防御纵深


数据大致可以分成传输态、存储态和使用态,而身份鉴别及信任体系则是对数据访问的补充或者前提,基于“数据三态”可延伸出数据全生命周期。围绕数据形态,可以构建多种安全机制有机结合的防御纵深。我们梳理出20种密码应用模式,采用IPDRRC中数据防护段的密码技术,进入了数据形态维度的纵深防御构建。

在信息系统中,数据在传输、存储、使用等不同形态之间的转化,每时每刻都在发生,在这种转化过程中,可以利用多种安全技术构建协同联动的纵深防御机制。

在传统网络安全防护中,边界是非常重要的概念,边界上可以构建防火墙或IDS等规则。但数据防护过程中,数据没有边界,如果应用密码技术,则可以起到一种虚拟边界的作用,从而在虚拟边界基础上对数据实施保护,形成有效保护作用。在数据存储和使用态的切换中,如果不经过数据加密,只进行访问控制和身份认证,当明文数据在数据库或归档备份时,数据访问容易被绕过。但当我们在数据流转的关键节点上,对数据进行加解密,并结合用户的身份信息和上下文环境做访问控制,可以构建防绕过的访问控制、高置信度的审计,进而在数据存储、使用形态上形成防护纵深,构建出密码安全一体化的数据防护体系。



(四)从技术栈构建数据防御纵深


信息系统的技术栈体现了空间维度,这也可以作为数据保护的纵深。沿着数据流转路径,在典型B/S三层信息系统架构(终端侧、应用侧、基础设施侧)的多个数据处理流转点,综合业内数据加密技术现状,总结出适用技术栈不同层次的数据保护技术。我们继续前文所述的IPDRRC中数据防护段的密码技术,保护数据存储态,再结合典型信息系统的技术栈分层,可以从技术栈维度构建数据防御纵深。

本文列举了10种数据存储加密技术,在应用场景以及优势挑战方面各有侧重:DLP终端加密技术侧重于企业PC端的数据安全防护;CASB代理网关、应用内加密(集成密码SDK)、应用内加密(AOE面向切面加密)侧重于企业应用服务器端的数据安全防护;数据库加密网关、数据库外挂加密、TDE透明数据加密、UDF用户自定义函数加密则侧重于数据库端的数据安全防护;TFE透明文件加密、FDE全磁盘加密则侧重于文件系统数据安全防护。其中,覆盖全量数据的FDE技术可作为基础设施层安全标配,进一步的,针对特别重要的数据再叠加AOE等技术实施细粒度加密保护,两者的结合可以面向技术栈构建出数据防护纵深。

综上所述,数据时代面临新威胁、新合规,呼唤数据安全新框架、新战法。以数据为中心的安全防护体系,应当采用面向失效的防御理念,在安全能力、数据形态、技术栈等多个不同维度上,有机结合多种安全技术构建纵深防御机制,形成兼顾实战和合规、协同联动体系化的数据安全新战法。

(关注公众号“炼石网络CipherGateway”,回复关键词“ISC2021”,下载演讲PDF高清文档)