荣获 RSAC创新沙盒冠军
美国时间2月24日(北京时间2月25日),备受瞩目的全球盛会RSA 2020在旧金山正式开幕,在当天下午,创新沙盒大赛尘埃落定,冠军花落Securiti.ai公司。凭借其在隐私保护与合规领域的技术创新和突破,Securiti.ai公司从十家初创企业中脱颖而出,拔得头筹,荣膺“RSAC 2020最具创新初创企业”。
Securiti.ai公司成立于2018年,总部位于美国加利福尼亚州的硅谷地区,其基于AI的PRIVACI.ai平台,可在数据发现、数据处理方面为企业用户提供创新性的思路和手段,进而为企业用户提供应对数据合规需求和隐私保护的解决方案。
我们还可以发现,2018年冠军BigID同样也是数据治理的创新企业,可见数据安全治理与隐私保护必将成为未来安全的热点方向。
数据安全风险触目惊心
近年来,数据的发展呈现出规模大、种类繁多、价值密度低、处理速度快等特点。随着信息技术的发展,目前全球数据规模和应用模式已经发生了变化:到2020年,全球将总共拥有35ZB的数据量,相较于2010 年数据量将增长近30倍。这也预示着大数据时代的到来。
同时,在全球范围内,针对数据的攻击行为不断加剧。根据Risk Based Security公布的数据,2019年的数据泄露事件达到了一个高峰,上半年有超过3800多起针对企业或者机构的数据泄露攻击事件,在过去四年中增加了50%甚至更多。
报告指出,在2015年至2018年期间,数据泄露事件数量变化不到200起。但在2019年的前六个月,数据泄露事件的数量与去年同期相比增加了54%。分析人士估计,有关数据的网络犯罪的年利润已经增长到2.5万亿美元。预计到2021年,针对数据方面的网络犯罪造成的损失将达到6万亿美元。
随着数据安全环境的变化,企业和组织用户对现有的存储和安防措施提出了更高的要求,采用新型数据安全治理的重要性和紧迫性日益凸显。
数据安全治理的误区
01
“以系统为中心的安全”思路解决问题
以系统为中心的安全是传统的安全方法,关注点在于某个应用、某个服务器或某个终端安全与否。如今,数据在越来越多的系统之间流转,数据与单一系统的黏性越来越低。而系统与数据的关系类似于“石油管道”和“石油”的安全管理,前者关注的是石油输送系统自身的安全(运转正常),后者则是要保障管道系统内石油的安全。两者显然有关系,但又有很大不同。单个系统的安全并不等价于数据的安全,系统被入侵也不等于数据一定会被偷走,每个系统都固若金汤也不等于数据就不会被滥用或误用。解决数据自身的安全问题,需要切换到“以数据为中心”的安全思路上来。
02
传统的方法解决新时代的数据安全
数据安全是最古老的安全概念。自从古代就产生了数据安全的需求,并推动了相关技术的不断发展。但是随着技术的发展,如今数据的存在形式、使用方式和共享模式与过去有了极大的变化。在一个业务里,数据可能涉及很多设备、服务器、产品、用户和不同部门的人的信息。然而真正需要考虑的是数据在这么复杂的全过程中,从用户的角度来说安全不安全?是否实施了数据防泄漏,数据的安全就可以高枕无忧?显然,这和传统的“数据安全”概念有很大区别。
03
强调数据管理而非数据治理
这里说的管理,指的是根据事务的规律制定一整套规则,然后自上而下进行规则的执行落地,控制系统达到预期状态。而治理指的是找到若干关键抓手和基本逻辑,调动多方力量和资源形成某种协同或者生态,通过社会协同引导整个系统达到预期状态。新时代的数据安全治理无法使用传统的管理模式达到目标,必须走协同治理的道路。
随着智慧城市等项目的建设以及各行业的深度融合,数据安全问题也将涉及所有行业。采用传统的某个垂直领域的知识或者某个层面的单一方法无法解决现有的数据安全问题。如果按照过去管理某个垂直特定行业的方式,设立若干部门自上而下进行管理,不但成本无法承担,效率也无法适应今天的实际情况。因此,政府、行业、企业、安全、第三方机构等需要发挥各自的优势,形成有效的配合,才能建立适应当今数字时代的协同治理模式,共同提升全社会的数据安全水平。
数据安全治理与“人为因素”
在IBM最近的一份调查中,我们可以看到,相当一部分企业和组织的安全或管理人员对数据的安全管控力度非常薄弱,导致数据安全事件层出不穷:
• 3/4的成员不清楚特权用户对数据进行过何种操作
• 2/3的成员不能有效防止特权用户对数据的非授权访问
• 85%的成员将真实数据不加防范地交与开发人员或第三方人员
• 将近一半的成员对其非特权用户访问敏感数据毫无措施
• 大多数成员都未能及时采取防范SQL注入的攻击
据权威部门统计,在数据风险中70%以上属于操作风险,即由人工操作不当(无意或故意)引起的风险。因此,有效地控制人为风险,尤其是操作风险,对企业和组织的数据安全运营至关重要。
数据安全治理与优秀的人员的管理是分不开的,良好的人员素质是数据安全的必要条件,最好的数据安全治理体系也只有通过人员的积极响应才会取得预期效果。
同时,企业和组织数据安全治理的战略目标也不能只有少数人清楚,数据安全治理需要企业和组织全员参与才能成功实施。因此,企业和组织在规划好数据安全治理战略后,首先要做的就是数据安全治理战略的宣贯,让企业和组织全员都能清楚和理解其数据安全战略。从而建立全员的数据安全意识,并将这种意识转化为行动力,在潜移默化中提升数据的安全防护。
数据安全治理的必由之路
当前,数据所面临的内部威胁远大于外部威胁,所面临的安全问题防不胜防。数据安全治理需要以“数据全流程安全使用”为目标来建立安全管理体系,它的核心内容如下:
首先是来自对数据所在业务的梳理,把握住需求与风险、威胁、合规性之间的平衡。
其次,要绘制相关数据地图,确定数据的优先级,尽可能对数据做到有差别和针对性的防护,实现在适当安全保护下的数据自由流动。
在数据分级和分类后,需要弄清数据的描述特征以及这些数据在系统内的分布,了解这些数据在被谁访问,这些人是如何使用和访问数据的。这就需要完整的数据梳理过程。
在数据有效梳理的基础上,我们需要制定出针对不同数据、不同使用者的管理控制策略,构建身份和访问控制管理体系,除了数据管控策略,我们还需要对数据的访问行为进行记录,对收集的日志记录进行合规性分析和风险分析。
数据安全治理的具体实现还需要遵循四个原则:一是要遵守相关行业的政策法规,二是要确保数据的机密性、完整性和可用性,三是要紧紧围绕最小数据丢失原则,四是要符合审计合规性原则。
结束语
伴随着时代和技术的发展,数据安全治理越发重要。新时代的数据安全治理,不仅仅需要考虑数据自身的安全性,还需要结合企业和组织的战略、文化、组织建设、流程重构、规章制度、技术工具等各方面综合考虑。通过采用身份认证与访问控制、数据申请及审核、数据分级与授权、数据脱敏、数据加密、数据安全审计等技术手段,从而大幅提升和优化数据的安全防护能力。
