<style type="text/css"> .wpb_animate_when_almost_visible { opacity: 1; }</style>

核心数据安全

核心数据安全包括:
l  核心数据分类及特权账户管理;
l  敏捷开发及代码安全;
l  数据备份及业务连续性;
l  数据加密及准出管理。

 
一、核心数据分类及特权账户管理

       对于核心数据的保护,首先需要对核心数据资产进行梳理,分类分级进行治理,建立特权账户管理平台,
身份及访问管理(IAM)的核心就是特权账户管理(PAM)。IAM考虑的是确保正确的人能有恰当的权限,在正确的时间,以恰当的方式,访问该访问的系统,且所有牵涉其中的人都认为该访问是正确的。PAM则是将这些原则和操作,简单应用到“超级用户”账户和管理凭证上。此类凭证的例子包括:Unix和Linux系统的root账户、活动目录(AD)的Admin账户、业务关键数据库的DBA账户,以及IT运营所需的大量服务账户。
PAM是减小数据泄露风险和最小化数据泄露影响的顶级操作。PAM的主要原则有:杜绝特权凭证共享、为特权使用赋以个人责任、为日常管理实现最小权限访问模型、对这些凭证执行的活动实现审计功能。
不幸的是,太多公司使用的是很原始的工具和实践来保护并管理特权账户和管理员访问,尤其是:
  • 18%的受访者承认使用纸质日志来管理特权凭证
  • 36%用电子表格进行管理
  • 67%依赖2种或2种以上的工具(包括纸质和电子表格)来支持他们的PAM项目
尽管很多公司正在尝试管理特权账户(该尝试用的只是相当有限的工具),真正监视这些“超级用户”权限所执行活动的,却相对较少:
  • 57%的受访者承认仅监视了部分或根本没有监视其特权账户;
  • 21%承认自身并没有监视特权账户行为的能力;
  • 31%报告称发现不了以管理凭证执行活动的个人,换句话说,近1/3的人实现不了强制性的个人责任,而这对防护和风险缓解又是如此重要。
如果这些数据还不够吓人,还有数据表明太多组织(商业、政府和全球各类组织),甚至连最基本的常识性操作都没能做到:
  • 88%的人承认在管理特权口令上有困难;
  • 86%的人在管理员口令用过后都不修改——为前文提及的提权和横向移动行为大开方便之门;
  • 40%直接留用系统、服务器和基础设施的默认管理员口令,彻底消除了坏人费劲获取权限的必要。
       很多简单的常识性操作,比如管理员口令每次用过后都做修改、不留下默认口令等,就可以解决很多问题。不过,对技术和实践进行升级,以清除人为错误或因密码管理实践繁琐而产生的懈怠,也可以添加一层保障和个人责任。还有更为重要的一点就是脚本文件和程序源代码中留存的明文数据库密码等也会给组织带来巨大的数据泄露风险。
因此,可以完成移除IT系统的明文密码,平台自动化定期或按需改密,操作审计,最小权限化功能的PAM特权账户管理平台就成为了核心数据保护的零步骤。
 
 

CyberArk特权账户管理平台+RSA双因素认证系统是此方案的首选产品。
 
 

 
  
 
二、敏捷开发和代码安全

应用安全自动化需求
       在软件开发的任何阶段忽略不安全代码的风险都是不负责任的,不安全的代码编写是首当其冲的安全风险。随着软件逐渐占领这个世界,软件的安全性变得越来越重要。几乎每个研究都表明,很多Web应用程序和移动APP都有严重的漏洞。
但问题的规模实在太过庞大,导致人为难以控制,这时就需要自动化上场了。我们需要能够帮助新手开发者可靠地构建和操作安全应用程序和API的工具。我们必须将纸质的安全政策和指导转变为“安全代码”,而不破坏现代化的高速软件开发。
不幸的是,安全的应用程序开发通常不能以所需的速度和规模操作。现在的产品迭代速度十分快,敏捷开发是开发者的必备技能。传统的安全方法可能会很完备,但破坏了软件生命周期,这些程序往往很依赖某些专家,工具仅供专家使用。
敏捷开发的今天,如何保证应用程序安全?
 
软件安全越来越难以确保
让我们来看看难以确保现代软件安全的一些因素:
首先,自从依赖管理工具(如Maven)诞生以来,框架和库开始爆炸式增长,这导致应用程序有几百个库,而不仅仅是几个。这种大规模的增长使得更难找到漏洞。因此,必须知道这些库的作用及其如何通过自定义应用程序代码实现。
此外,还存在使用API(REST,SOAP,RPC等)来创建Web 应用和移动应用的趋势。这些API很难评估和保证,因为它们的通信结构难以理解。除非有好的工具可以理解,否则不会产生很好的效果。
最后,高速软件开发实践(如敏捷开发和DevOps)已经破坏了传统的安全方法。以前的公司一般是等到部署之前,一次性做一个深入的安全审查,可能需要几个星期才能完成。然而,当项目按每周,每天或每小时部署时,就完全没时间进行深入安全审查了。我们需要一种不同的方法和工具。
 
在现代软件项目中自动化应用程序安全的最佳实践
现代软件开发需要持续的安全性以及持续集成、交付、部署。简而言之,挑战就是在现在的开发流程中保证软件的安全可靠。
  1、选择应用程序安全工具,以提高速度,易用性,准确性和可扩展性。实时反馈和易用性至关重要。Appsec工具可在开发和操作中使用,而无需有安全经验。
  2、将安全直接集成到管道中。为了缩短反馈周期,寻找能够将结果直接提供到已使用的工具中的,例如Slack,HipChat,JIRA,Maven,Jenkins,SIEM和PagerDuty,使安全问题看起来就好像是开发或操作中遇到的普通问题。
  3、检测漏洞。现代软件开发过程需要对漏洞快速反馈,传统静态(SAST)和动态(DAST)扫描仪难以自动化反馈并容易生成假警报。可以使用较新的交互式(IAST)工具,使用最新的技术从内部评估应用程序。
  4、避免被攻击。应用程序防攻击保护不仅仅是针对已知攻击的防御,它提供了一种快速和灵活的方式来阻止未知攻击。传统的Web应用程序防火墙(WAF)创建网络架构的方式既复杂又不准。幸运的是,运行时应用程序自我保护(RASP)得到了广泛采用,其灵活部署和准确性令人印象深刻。
  5、使用威胁情报和安全研究来改善安全架构。使用通用工具搜索出较差的编码是一个好的开始。但是当程序逐渐成熟,你可能希望你的工具自动执行预先选择的安全模式。这是一种“积极”的安全方法。最终,你希望能够自动验证所有应用程序是否具有正确的安全防御措施,所有防御措施是否正确,以及这些防御措施是否已在适当的位置使用。
因此,敏捷开发和代码安全要求一个可以配置的,完全的,自动化的,简单的,贯穿开发全过程的应用程序安全工具,可以即时反馈漏洞和攻击,可以创建一个软件开发流水线,可靠地保护代码和应用程序操作过程的每个阶段。

CheckMarx应用安全测试是此方案的首选产品。
 
 
三、数据备份及业务连续性

数据迅速增长,在众多的云、虚拟环境以及日益变化的应用程序平台中变得更加支离破碎。海量数据,使得传统数据保护解决方案无济于事,因此需要一款可以支持企业核心数据资产无限扩展,无单点失效风险,灵活交付和部署,可以快速实现应用恢复的统一数据保护平台解决方案。满足无论是跨云、虚拟化环境,还是物理数据中心的统一数据保护和业务连续性需求。
统一数据保护平台可以保证 IT 部门在控制成本和风险的同时,实现规定服务级别的唯一方式,不管数据位于内部还是云,一概适用。平台需要具备以下特性:
  • 消除单点解决方案和基础架构管理的复杂性。
  • 从容扩展,减缓存储成本的暴涨并扩展至云。
  • 保护最严苛的大数据和超融合环境。
  • 用户的管理任务简化成几次单击操作。
·         加快保护数 PB 规模的群集化、分布式处理环境
·         智能发现数据和节点位置,进一步优化性能和存储
·         以服务方式交付,简化操作并提高服务级别。
·         通过一款解决方案、一个控制台无缝管理多云数据保护
·         软件、硬件和虚拟一体机,可灵活部署到任何位置

Rubrik下一代统一数据保护管理系统是此方案的首选产品。

 
四、数据加密和准出

       对于核心数据资产来说,在数据泄露或破坏的情况下保持数据的不可解密和敏感数据不外泄就成为了最后一道防线。
       事实上,核心数据资产的重要性很多企业都明白,不少企业采用网络封锁、行政约束、物理隔绝来防止机密外泄,但这些传统的思路打造的严苛企业文化,往往使员工感到窒息,创造激情完全消失,工作效率降低,更无法全面保障企业机密。
  哪些数据需要保护?
       保护数据第一步就是审计。组织持有何种数据?数据被存储在何处?哪些供应商、客户、监管机构或工作人员有权访问?这些问题十分重要,因为数据存在多种形式,而所有权却十分晦暗不明。
       第二步,数据需要分级分类。不是所有数据都属相同情况,有些不需要保密,如销售手册。而另一方面,客户数据将被列为机密,特别是最近通过的立法中对泄露客户数据的严惩更是推动了这一行为。所以,组织需要识别出高价值和具有战略重要性的信息。
       因此,要想解决企业商业机密外泄,最根本的方法就是采用技术化的手段对数据资料的流转进行灵活的管理和控制,确保数据从建立到访问权限控制,以及流通的每一个环节都是安全的。技术性的解决方案相比传统的解决思路更加灵活、更易控制、且更有效率。
       一旦将数据分类,三种减少数据泄露风险的策略性方法就出现了。
       第一种策略是用防护性壁垒保护敏感信息,这可以采取给信息加密的方式。对核心数据资产的文件及数据库进行加密,确保在数据泄露或破坏的情况下保持数据的不可解密性。但这种方法有一些弊端。加密信息可能会致使工作流程繁琐,也可能无法阻止拥有密码且被信任的组织内知情人。这种策略会导致虚假的安全感。
      第二种策略是通过积极避免携带敏感信息以降低数据的价值。比如中兴事件。
      第三种策略是部署DLP数据防泄漏系统。
传统的DLP系统大多采用代理安装模式,可以设定复杂的规则对已知的漏洞进行防护,来防止数据外泄。有以下几种DLP的形式。
发现 DLP
发现DLP主动扫描您网络上的笔记本电脑、服务器、文件共享和数据库,提供一个驻留在所有这些设备上的敏感信息的分析。执行数据发现的一些解决方案,也需要在被扫描的机器上安装一个代理
网络 DLP
网络DLP,通常称为无代理DLP,提供网络流量的可见性并可以对流量进行控制。检查物理机或虚拟机的所有流量,如:邮件、网络、即时通讯,然后可以执行强制的数据策略。部署则是通过物理设备或者虚拟机,然后配置网络流量通过其进行检查
终端 DLP
终端DLP主要依赖于运行于桌面、笔记本电脑、服务器、Windows、Linux、Apple OS的设备上的软件客户端。该客户端提供可见性,并且在有需要的时候,对数据进行控制
应用 DLP
应用DLP提供在数据中心运行的应用系统数据安全保护,对进入应用系统的数据和应用系统中处理的数据提供敏感内容检测和阻断能力
云 DLP
云DLP,实际是将本地部署的DLP解决方案整体迁移至云上。解决远程办公场所和移动终端设备的敏感数据保护的问题,从而减少用户需要购置多台DLP硬件设备产生的额外费用
下一代增强DLP
增强DLP系统采用机器学习和AI技术,支持无代理安装,免规则设定,旁路部署的简单交付方式,可以及时发现一些无意识的、未知的泄漏行为,避免数据资产外泄。
 
 

Holonet下一代DLP系统是此方案的首选产品。
 
 
 
 
 
 

Date

2019年 03月 07日

Custom Field

Enter some text here