《数据安全风险评估白皮书》
知源-数据资产地图系统
知影-API安全管理平台
知镜-数据安全检测工具
一站式-数据安全管理平台
数据出境-合规治理平台
数据安全咨询-服务
数据安全评估-服务
数据安全测评-服务
数据安全认证-服务
轻量合规服务-DiRM
数据安全治理综合方案
数据安全分类分级方案
内部人员数据风险管理方案
黑灰产及护网API安全方案
数据安全风险评估解决方案
数据安全咨询服务规划方案
政务数据共享安全解决方案
银行业数据安全解决方案
保险业数据安全解决方案
运营商数据安全解决方案
互联网数据安全解决方案
教育行业数据安全解决方案news
CEO访谈
”我和我的网安之路“系列专访
第6篇专访--全知科技CEO方兴
我和我的网安之路
第6篇 数据安全实践者之路
本期嘉宾:方兴,现任全知科技创始人兼CEO,曾任南京翰海源创始人兼CEO、阿里巴巴集团安全部资深安全专家、北京知道创宇联合创始人兼首席科学家、美国微软MSRC全球特聘安全顾问、美国EEYE高级安全研究员、启明星辰ADLAB副经理,国际上第一个发布MS03-026漏洞(冲击波使用漏洞)细节和Windows内核远程利用技术,数百个高危安全漏洞的发布者,第一个微软BLUEHAT中国演讲者,知道创宇WEBSCAN产品核心技术开发和架构师,翰海源多款产品的技术专利发明者或架构师,被《WINDOWS利用技术的过去现在和将来》列为影响了WINDOWS安全技术发展进程里的唯一中国人。
索引
数据安全实践者方兴:随着数据时代的到来,能够创造价值的数据的生产、流动迅猛发展,带来严重的资产安全和社会安全问题,然而数据安全在方法论、技术体系和思维模式上与传统信息安全存在非常大的区别,急需构建新型安全治理体系和良性的产业环境,确保整个数据流动的知情和管控。安全从业人员要抓住潜在发展方向,遵守商业规律,在数据安全的蓝海中驰骋遨游。
目录
01 数据安全很重要
02 关键在数据流动的知情和管控
03 数据安全有什么不一样
04 数字化面临的安全风险
05 数据安全的蓝海
06 数据安全治理体系要与时俱进
07 安全的“1+4”结构
08 “术”和“道”的争锋
09 零信任是未来的发展方向
10 商业的本质是平摊价值
11 不能固步自封
01 数据安全很重要
在安全行业中,我非常喜欢创新,喜欢走在最前列的东西,对网络安全方向、创新方向的把握,第一取决于对安全的理解。第二在瀚海源时代,我们主要以跟随国外理念并在上面提出自己的技术理解为主,我是第一个去关注国外公司做什么的人,比如它Anti-APT怎么做、威胁情报怎么做。但到数据安全时,我们在理念上已超过了国外,提出数据流动安全的根本原因在于数据安全有事实基础,即我们在阿里见到了真实面临的数据安全风险以及解决风险的最佳实践。传统安全的核心是从资产的角度保护数据安全,阿里要保护资产固定位置的数据是很容易的,但随着企业的数字化程度越来越高,企业数据是随着业务流动的,企业会主动把数据给合作伙伴、基层业务员工使用,以使数据的利用价值最高。因此我们能看到大量互联网企业、金融企业在这方面面临的真实风险。
02 关键在数据流动的知情和管控
比如我们在阿里时,发现大量的客户数据被窃取了。最后调查发现,阿里是一个电商系统,有很多在阿里上面卖货的电商可看到自身的业务数据。为了管控数据,我们做了一个系统管理客户数据来保护数据安全,电商人员必须通过某软件认证后才能看数据。最后发现搞黑灰产、搞数据的人专门针对该认证软件定制了一个程序,把木马种植在电商客户的机器中,然后批量窃取数据。因为该认证软件客户端数量少,杀毒软件不知道这种软件的存在,也就无法判断这是正常功能还是木马,所以市面上包括赛门铁克在内的所有杀毒软件都查不出来。后来我们开发了专门针对电商木马的查杀工具进行扫描,才把风险抑制住。但我们发现收集的样本中包括大量针对航空订票、酒店等软件的木马。例如酒店有很多分支酒店,在某分支酒店上种个木马即可把该分支酒店的大量数据拿走。阿里自身有防护能力,但其他行业很少有这种能力。所以我们订了票后会接到骗子之类的电话。这是非常大的一个风险点,阿里发现并花了大力来抑制风险,但这些厂商可能连其数据怎么丢的都不知道,所以可以看到在应用数据攻防层面面临巨大的缺口。
03 数据安全有什么不一样
数据安全有三项显著特点,第一,开放的场景。数据需要大量的人来使用、挖掘,才能创造价值,一旦把它锁起来,数据本身的价值就没有了,因此首先要在一个开放的场景中才能发掘数据的价值。第二,关注的核心行为和内容关联。传统网络安全更多的关注攻击行为,但数据安全中更关注对方在拿哪些东西。第三,数据安全的损失会带来社会安全问题。数据本身的价值并不高,它还是未挖掘出来的新矿,它的风险在于这些数据可以去组合出更高的价值。信息安全的损失可能是偷盗绝密的商业文档、独有技术,直接造成的损失。但数据安全的损失很多情况下损失的是第三方(比如你的客户),诈骗者可能会用这些数据进行诈骗,带来了社会安全问题。
04 数字化面临的安全风险
目前数据安全面临最大的问题,是大多数的企业(特别是乙方)不了解企业数字化后在数据安全方面面临的真正风险在哪里,很多乙方企业仍使用僵硬的思想、方法论指导他们对数据安全的看法。同时由于没有一个真正有说服力的数据安全体系、没有共同的认知,企业也不知道自身的数据安全体系该怎么建。
目前必须加强数据安全方面的宣传。很多企业(特别是数字化程度很高的企业)经过宣传,马上就能够理解它的风险点。此外,现在很多企业容易被传统安全牵着鼻子走,数据安全和传统信息安全、网络安全在技术上有共用的地方,但若在思想、体系、认知等方面不清晰,就会阻碍业务的发展(如数据强管控对业务的影响非常大),很可能会走向两个极端,要么数据虽然安全了,但对业务影响太大;要么对业务无控制措施,导致风险不断暴雷。
05 数据安全的蓝海
数据安全的发展前景是非常大的,国外某评估报告认为五年后隐私安全、个人数据安全市场的量级会和网络安全一样大,即2025年的数据安全市场等于2020年全球网络安全市场。实际上在国外做数据安全的创业公司中,现在估值最离谱的是成立于2016年底主要做隐私数据安全的数据安全公司OneTrust,依据全球对隐私安全市场空间的评估,他在今年3、4月份的A轮融资中的估值已经达到27亿美金了。
国内数据安全方面,第一,隐私保护方面可能比欧美滞后一些,但也在逐步启动。第二,数据安全融合了很多东西,其中很大一部分的驱动力来自于合规。合规是安全的保障,与法律、法务结合起来,对数据合规的驱动力会更大。第三,国家将要或已经出台的三部最有影响力的顶层设计法律(《网络安全法》、《数据安全法》、《个人信息保护法》)中,1/3《网络安全法》涉及数据安全,《数据安全法》《个人信息保护法》跟数据安全直接相关,故这三部最重要的法律中,二又三分之一都在讲数据安全。而且,数据安全会是未来国家介入最多的地方,其损失会涉及到社会安全和国家安全,一旦影响了社会和国家安全,国家就应该强力介入进行管理。
06 数据安全治理体系要与时俱进
随着近几年国家对安全的重视,网络攻防等技术层面的人才在逐步增加,但在产业层面,真正思考如何做好安全体系,进行技术、体系创新,提出更好的方法论的人才非常缺乏。我们应思考如何用创新的理念和技术去更好的解决用户真实场景下有价值的问题。
多年来我们在安全上都没有走出学习西方的范畴。以前国外的IT技术比我们发达,我们可以用最低的成本跟随人家。但今天第一我们走向了信创,第二我们在数据的使用、融合、用数据创造价值等方面,已经走在西方前面了,欧美由于各种隐私保护法的限制,在数据使用和场景上的发展远低于中国。中国的业务场景资源丰富而且希望利用大数据创造价值以实现产业上的超越,比欧美相比开放一些,但风险更大。如果我们未能形成既能保证业务发展,又能控制风险的新安全体系、方法论,那就是最大的雷。我们需要在推动数据创造价值的场景上提出创新的数据安全体系来解决我们独有的问题,这样才能在保障安全的同时在产业上超越别人。原来我们跟随别人做一些技术上的创新就可以了,但是对于数据安全,我们需要在方法论、认知、体系、理念上全面的超越别人,这已经上升到支撑国家的层面了。
07 安全的“1+4”结构
从技术域上,安全体系可划分成几大框。最基础、最底层的是网络系统基础安全,是所有安全的基础,若存在漏洞会影响所有的业务。上面可分为信息安全、数据安全、业务安全、内容安全四大块。信息安全更多的是我们传统的敏感信息的安全,他本质上是资产程度的安全,控制企业重要的资产能给谁访问,基本上管控越严越好,减少其泄露风险。数据安全是生产视角的安全,是企业的生产要素,是从公众利益和企业收益考虑,在数据合理发挥价值时能平衡、控制其风险。业务安全就是跟人打交道,比如欺诈、薅羊毛等均属于业务安全的,其主要靠风控,核心是收益远大于损失。内容安全(比如互联网企业的UGC(用户生产内容)部分)是国家管控最严格的部分,因为它最后会影响意识形态。
上述划分清晰地阐述了整个安全体系,其每项安全的目标是不一样的。基础安全更多的是从整体上将能被人渗透的东西阻挡好;信息安全比较严格;数据安全是对整个数据流、资产流动方面的管理、控制以及对风险的实时监测;业务安全更多在关注人的行为;内容安全更偏人工定义。
08 “术”和“道”的争锋
例如“态势感知”是我们最先提出的,但现在很大程度上变成了一个可视化的东西。当时我提的“态势感知”,这四个字是有逻辑关系的。首先是“感”,整个网络的威胁、安全方面的内容,需要通过部署各种各样的感应探头将信息感应回来。“感”之后是“知”,是把信息很好地呈现出来,能看到、知道所有情况。然后才是“态”,即把我知道的、感应的东西形成一个整体、全局的“态”,从而掌握大局。最后“势”(趋势)是通过历史数据的“态”的积累,能区分出未来会向什么方向发展,应该采用何种措施使其向好的方向发展,应该如何积极促成、控制“势”的趋势,即如何在“感”的基础上把我的响应和“态”、“势”结合起来。所以这四个字不是随便提的,但现今很少人知道当初提这个理念背后的思考,导致“态势感知”最后变成了一个为了说而说的名词,真正理解这四个字中的理念的人太少了。
当我们提出一个体系理论的时候,很多人是没有对其进行思考的。Gartner提出依据数据的生命周期做安全时,我提出三个问题,但很多人都难以回答。数据生命周期可分成采集、传输、存储、使用、共享、销毁6部分,其中传输、存储、销毁是物理过程;采集、使用、共享是业务过程,故第一个问题是为什么把两个不同维度的东西凑成一个生命周期,他们两个是交叉关系不在一个层面,为什么要划这六个周期,以此为凭据做安全会有什么问题?第二,数据生命周期描述的是一个业务系统的数据流动,但是数据安全、数据流动最大的问题来自于跨系统、跨业务、跨组织的流动,数据生命周期能不能覆盖、解决这个风险?第三,数据生命周期是一个很典型的拆解法(例如把一幢大楼拆成门、窗等组件),对事物认知很容易,但是如果要去建一栋大楼,核心考虑的不是它有什么结构,而是这个结构是如何一层层传递到地基的,数据安全也是这样,其本质是风险的传递。所以用数据生命周期这样的拆解法,作为测评没有问题,但是数据安全建设体系能用拆解方来做吗?
09 零信任是未来的发展方向
身份认证一直是老大难的问题,现在包括密码、人脸、指纹、生物认证、令牌在内所有的身份认证都具有或多或少的问题,缺乏安全、简洁、低成本的身份认证方式。例如人脸识别等生物认证的操作很方便,但安全性太差且一旦泄露终身泄露,人脸可以通过照片窃取,指纹可通过特殊的握手窃取,还没有在安全、简洁等方面取得最佳平衡的方式。身份认证是所有安全的基础,有很大的需求(如零信任的前置部分中包含各种场景要素的身份认证),若有创新突破则可能会颠覆这个行业。
10 商业的本质是平摊价值
像工控安全、物联网安全等特殊领域,其本身技术受限影响其发展前途。工控安全实际上以实时性为主,如果真正做到安全一定会影响到实时性,这可能会造成更大的灾难。工控安全还面临着商业上的困难,一个核心问题是你的客户是谁。若想做到深入又不影响实时性,就一定要做到芯片层次,会面临跟芯片厂商合作的问题。这涉及一个商业逻辑,客户度集中越高时,别人去干的驱动力就越大。假设这是一个很有价值、很有利润的事情,厂商会自己做安全。商业的本质是平摊价值,平摊研发成本,所以客户集中度越高,客户可能会觉得自己干比较合适,当客户很广的时候,客户自己干要几千万,买一个100万就够了,那他肯定倾向于购买。
11 不能固步自封
我做安全这么多年,觉得安全最大的弊病就是太容易固步自封。一个人的发展首先是眼界的扩充,看到、听到不同的东西。首先我们要虚下心来,看到不同的东西,思考更多的东西,别人有什么长处,为什么要这样做,他的出发点、要解决的问题是什么,我们能学到什么。很多搞技术研究的人是很厉害,但去做产业时要了解用户真实的痛点,真实的问题,站在业务角度为客户解决问题。所以我想对乙方的老同学说:多走出来,多听一听,多去了解。
其次,每个人都有自己的时代,不要永远把自己局限在技术域,当你年纪大了,永远会有年轻人超越你,所以为了这个产业我们一定要扶持年轻人。当然年轻的同学要承认老同志的历史价值,老一辈的人愿意去给自己更好的职业规划,并且带动、鼓励更多的新鲜血液加入这个产业,只有这样才能形成一个良性的产业环境。受到尊重的老一辈人,可以更好的规划自己的职业方向,比如技术人员未来可以尝试带团队,努力在产业上进行创新,开创更有价值的东西。目前有些人太容易固步自封,不愿意去看外部的东西,实际上这对他们的未来发展是有限制的。英雄再厉害都有老去的时候,你今天擅长挖漏洞,明天能不能更擅长带团队,后天能不能创造一个新的产品理念去打造产品,只有这样你的人生规划才是一步步走向更高境界的,所以要鼓励新人,然后把自己上升到更高的高度中去。
我的精力比不过年轻人了,但我积累的经验、对产业的认知,可以支撑我做比技术研究更能创造价值的事情,让更多的人在我这里创造价值。哪怕新人只能创造你原来80%的价值,但带10个人就是8个你,有100个人就是80个你,所以何乐而不为呢?
