继2016年大规模数据泄露事件集中爆发之后,2017年数据泄露形式仍不容乐观。
去年互联网门户网站巨头雅虎因被曝出总计15亿的用户账户信息遭黑客入侵泄露,而成为史上最大规模已公开“数据泄露”事件的主角;而美国民主党全国委员会某工作人员邮箱遭入侵并曝光希拉里竞选团队内部邮件,在特朗普最终获胜美国大选进程中可谓“功不可没”的邮件门事件,也让所有企业高管和各国政要敲响了内部威胁警钟。
企业内部敏感数据流转链条长,攻击面广,特别是有众多员工、承包商和第三方供应商参与的世界500强企业,使得企业对数据泄露的防护难度巨大;再加上行业监管机构的罚款影响,如发生企业将承受巨大经济损失。
在数据泄露事件发生后,企业和用户对事件本身的关注点也不完全一致。比起迫切需要泄露信息细节以及相应赔偿措施的用户,拥有大量客户或业务敏感数据的企业则更关心公司要弥补此次数据泄露事件带来的负面影响所要付出的成本,以及之后安全能力建设的侧重方向。
去年6月,由Ponemon Institute和IBM联合发布,对全球12个国家/地区、383家曾遭遇过数据泄露企业进行的一项数据泄露成本调研,表达了下面3个主要观点。
1. 医疗行业每条记录平均泄露成本最高
受到行业严格监管的如:医疗、教育、金融等重点行业其每条记录的平均泄露成本远高于行业数据泄露每条158美元这一整体平均值。
此外,金融、医疗、服务等重点行业更容易因数据泄露流失客户,且客户流失量越大,每条记录的平均泄露成本也越高。
2. 由网络钓鱼等外部犯罪和内部威胁所组成的恶意/犯罪攻击成为数据泄露事件主要根源
在所有接受调研的企业发生数据泄露的根本原因中,48%涉及恶意/犯罪攻击(包括感染恶意软件、网络钓鱼、社会工程、SQL注入和内部人员犯罪),25%人为错误(内部员工或承包商的疏忽),另有27%为系统故障(IT和业务流程故障)。而这其中,由恶意/犯罪攻击引起的数据泄露事件每条记录的平均成本最高,为170美元。
同时,调研显示,任一国家/地区由恶意/犯罪攻击所导致的单条记录的平均泄露成本均高于由人为错误或系统故障所导致的数据泄露事件。
3. 事件响应、威胁情报共享等防护措施可有效降低数据泄露成本
专业的事件响应团队、敏感数据的广泛加密、员工安全培训、威胁情报共享等防护措施可以有效降低数据泄露事件发生后每条记录的平均泄露成本。相对的,第三方参与、大规模数据往云端迁移等动作则会对增加平均泄露成本。特别的,数据防泄漏(DLP)市场在2015年之后的新一轮快速增长的原因,从其对降低数据泄露成本的积极作用中可见一斑。
从上面的调研结果中不难看出,如何有效预防和阻止数据泄露事件的发生,以及泄露事件发生后的快速响应,都已成为许多行业巨头IT/安全部门工作中的重中之重。但是,只是部署用户行为分析(UBA)、企业防数据泄露(DLP)等安全产品,便试图彻底杜绝数据泄露发生的可能性,是不现实的。任何安全产品都有其独特的适应场景和限制,只有将恰当的安全能力融入到一个完善的安全架构中,进行叠加式创新和体系化安全建设,才会达到真正的防护效果。
我们要意识到一点,无论是通过钓鱼或社会工程等手段的外部渗透,还是内部人员的“刻意为之”,对企业管理层来讲,结果上是殊途同归。那么诉诸于技术手段后相对应的防护思路,也应该是一致的。企业防数据泄露,要靠“对特权账号权限的管控”以及“多视角的发现与快速响应”这两条腿来走路。
斯诺登事件本质是特权账号权限管控不严格
2013年,爱德华·斯诺登作为美国国家安全局(NSA)一军事承包商雇员的4年时间中,利用NSA对开放给承包商的数据库访问权限没有严加管控这一漏洞,在未触碰NSA自身业务系统安全基线的前提下,拷贝并下载了大量NSA内部的机密文件。而在斯诺登选择曝光之前,NSA对此事仍一无所知。
虽然在斯诺登事件曝光后,NSA就立即由上至下对所有安全措施进行了体系化的升级,但企业安全和高层管理者则应该认识到,内部威胁的防范最重要的是防止权限被滥用,而不只是找出某个“坏人”。因为内部账号权限管理的疏忽,承包商等内部人员在数据泄露方面可能带来的安全威胁是巨大的。
还应注意到的一个细节是,斯诺登是以系统管理员的身份和权限,才得以接触到高达20万份NSA的最高机密文件。所以,从特权账号的角度对内部人员和权限进行监控,是权限管理的重中之重。
以IBM的特权账号管理平台(PIM)为例,它类似于一个特权帐号凭证管理平台,任何对业务敏感应用系统的访问均需要通过这个平台进行凭证签出(Credential Check Out)。人员获得访问凭证后并不能获得特权帐号的密码,从而避免企业内部因业务系统账号共享等管理不严格而导致更多的泄露风险;同时,这个平台还可以对特定敏感应用操作全程录屏,并记录原始登录人、系统账号、登录设备等信息,方便事后追溯和责任落实。
当然,如果特权账号管理产品能够和其它安全产品,如数据库安全产品,有很好的协同和联动,而不是单纯利用产品的某些功能像“打地鼠”那样出现一个问题解决一个问题的话,将会有1+1>2的防护效果。
比如数据库安全产品(Guardium)就可以结合特权账号管理类实现对核心敏感数据的保护,包括将所限定的访问权限与允许使用的SQL语句或者数据库表格内容相对应,对敏感数据可以实现遮挡对可疑的操作进行报警甚至阻断。
特权账号管理和数据库安全的配合,使其成为一个集身份与访问权限、访问流程和事后追溯的全线监控体系。
任何数据防泄漏产品如果不体系化,如同“鸡肋”
网络钓鱼攻击,尤其是其和社会工程手段的结合,是非常特别且难以通过传统技术手段防范的。对于一般的民众,它可以通过骚扰短信中的钓鱼链接实现电信与网络诈骗;而针对企业高层或处于特别位置的敏感人员(如财务),钓鲸邮件(商业电子邮件欺诈)则更具欺骗性。一旦人们不小心踏入钓鱼攻击的陷阱,那么你所有的账号和口令就可以轻松获得,传统只靠对访问权限的控制来实现数据防泄露便不再有意义。
企业除了在终端设备和邮件网关需要在防钓鱼方面投入安全成本以外,找出隐藏在正常业务流程中的异常行为,并在最终核心数据的泄露出口把关,也是目前大部分企业在数据泄露方面的主要防护思路。
但是,对于甲方来讲,实际的安全防护效果,并不那么尽如人意,至少不像各UBA、DLP厂商的售前们说的那样可以化腐朽为神奇。试图单靠UBA“抓贼”,或者DLP将敏感数据“困在”企业内部是不现实的。
DLP本质上是一个基于敏感词的过滤器,其利用自然语言处理实现文档的识别能力,并通过机器学习来实现对不同行业敏感数据特征的建模。虽然DLP可以提供在数据的内容和文档特征层面的理解能力提供更多的视野,却有着对用户及权限不敏感,缺少对数据泄露全流程的时序关联与分析能力、无法实现对所有行业业务特点紧密贴合等问题。
数据防泄露产品所依赖的安全规则/策略必须保障正常的工作流程是不能被阻断的,而且要避免安全人员被误报所湮没,那么这条依靠大数据算法和机器学习建立的安全基线也一定与企业理想中的基线是有距离的。所以目前企业防数据泄露产品都存在着一定被绕过的可能。
以由IBM QRadar联动的安全体系为例,它可以在一定程度上通过体系化的安全建设,并不断扩展集成新的能力,来弥补单个产品所具有的缺陷和不足。
结合数据库安全和特权账号管理,还可以加入日志/网络流量分析来“牵线搭桥”,通过日志/网络流量的分析处理进行联合监控,可以发现用户对核心数据库访问后一段时间内的异常数据泄露行为。同时,如果可以融入网络层面的深度包检测能力,并结合第三方威胁情报,则可以对钓鱼链接/附件和已知钓鱼网站的通信行为进行告警甚至阻断,达到更完善的体系化防护效果。而在用户行为分析方面的能力,也可以在一定程度上帮助定位可疑对象并进行针对性监控。但是在核心的“威胁发现”能力上,则还要倚赖日志/网络流量分析产品自身强大的关联和分析判断能力。
当然,这就要求企业自身在特定敏感应用的开发阶段,设计权限管理措施的同时,通过日志的方式对用户行为进行全面的记录。但现状却是企业普遍在开发阶段缺少安全的意识,在没有相关行业标准的强制要求下,安全开发甚至全开发声明周期的安全管理,难以落实。而这就使得从系统层面对用户行为进行风险评估极其困难。
回到现今非常火爆的企业数据防泄漏产品,虽然目前商业DLP在安全能力上还有很多不足和瓶颈,但是其所能提供的在终端和内容层面的“视野”,对于专精于网络层面的日志分析产品也是不可或缺的。通过将本地的商用DLP产品集成到整个安全架构中,可以补充目前尚缺乏的在终端、网关、邮件服务器等层面的对文档特征的理解(包括文档修改、收发邮件、外接移动存储设备等敏感操作)能力。同时,日志/网络流量分析自身在网络层面的分析发现和联动能力,也会对本地的DLP的发现能力有所补充。例如,用户分别触发了敏感数据库访问和DLP的中级告警,则其安全事件级别会在关联分析后会被迅速提升,并要求安全人员优先处理。
除了以日志/网络流量分析为中心的安全体系所能提供的发现能力以外,专业的事件响应也是在减少企业数据泄露成本中起着举足轻重的作用。除了配备或外包专业的响应团队以外,自动化的响应流程控制也是非常关键的。就像安全牛之前介绍的Resilient Systems,这个自动化事件响应平台(IRP)集流程、人员和技术,并以安全事件为导向,将响应流程细化分解后自动化对进度监控并与企业现有ITSM进行无缝对接。而事件响应平台如果可以和一个安全体系的“大脑”进行无缝集成,实现事后的快速响应,整体的安全能力将会有非常大的提升。
总结
总而言之,在安全能力建设方面,盲目的进行“迭代式创新”是不可取的。企业首先要做的应该是搭框架、建体系,并基于此框架不断外延扩展以应对不断出现的最新安全威胁。
特别在防数据泄露方面,DLP和UBA产品会在“能力”和“视角”上与以特权账号、数据库防护、智能分析和应急响应为核心的安全体系形成良性互补,在事前的预防(告警;完善的安全机制对内部人员的威慑)、事中的发现和阻断外,事件响应和事后取证和追溯这四方面,这个具有更加严格和强大的权限管控和威胁发现能力的安全体系,将能够切实降低企业在数据泄露事件中所承担的损失。