国内信息安全建设相对于世界同行业来说,在过去二十年经历了从追随者到参与者的转变,目前正在多个细分技术领域向全球领导者迈进。回顾过去20年以来国内信息安全风险的历程,可以划分为三个阶段:

国内信息安全主要历程

第一阶段:单机风险时代

时代背景

从上世纪90年代,个人电脑和服务器开始逐步在国内企业和个人家庭普及,由于网络建设仍是小范围、小众化的使用,导致电脑价值更多体现在独立计算能力所带来的便利,网络应用相对匮乏,大多数普通用户的网络采用Modem(调制解调器)通过电话网络连接上网,可使用的网络应用局限于静态门户网站的内容浏览,文本电子邮件发送,工作组/BBS等相对简单的网络应用,并且普及率极低。作为数据传输手段,多采用3寸/5寸软盘介质进行拷贝。随着电脑计算能力和互联网技术的发展,一直到2000年~2005年左右,才逐步改善。

风险特点

在这个时期,由于电脑使用的特点和局限性,主要面临的风险是单机病毒对于文件或操作系统可用性的影响,比如文件破坏、系统破坏。比较著名的病毒包括CIH、I love you、红色代码、梅丽莎等等,而病毒的传播途径基本是依靠软盘作为传播介质。

第二阶段:互联网1.0风险时代

时代背景

第二个时代与上一个时代存在部分渐进式重叠,跨度大约是2000年以后到2010年之间,我们姑且称这个时代为互联网1.0时代。在这个期间,国内ADSL、宽带业务渐渐普及,随着计算机、网络、流媒技术体等的发展网络上出现了更多业务形式,并可提供更为丰富的服务,主要以to C为主。各大门户网站、社区、网络游戏的兴起使互联网出现了第一次空前繁荣。政府、机构、民间企业也大范围通过互联网建立网站和初步基本业务的方式。但相对现在而言,终端网络接入仍采用单一方式,也就是网线接入,并且还极少在企业间存在大规模、频繁业务数据交换的现象。

风险特点

在这个时期,风险主要体现在两个大的方向:

第一个是在原有恶意代码的基础上,更为多元化组合,破坏性更强的恶意代码层出不穷。例如熊猫烧香,通过U盘引导和蠕虫两种手段作为传播载体,能够更快的在网络中进行传播,恶意代码的破坏组件对于目标exe文件进行改写和破坏,导致应用程序损坏不可用,该病毒的破坏最终蔓延到全国,造成上百万终端电脑受到破坏。同样在当时国内比较著名的还有冲击波、震荡波等恶意代码。

第二个是随着网络技术的发展,网络速度性能有了极大提升,基于网络技术的应用方式也出现了多元化。在这个时期除了常规对网站的篡改和破坏之外,还逐步形成了DOS、DDOS(分布式拒绝服务攻击)等新的网络攻击模式。该模式通过各种手段使海量的数据流量经由网络对特定目标(通常是网站或者基于互联网的对外服务)进行投递,最终导致目标不堪重负无法响应正常请求,对于服务的使用者来说是无法在访问和使用该服务了。随后由此技术演化除了僵尸网络,即在大量互联网终端上安装潜伏的插件,在需要的时候通过C&C服务器指挥这些被感染电脑加入到对特定目标的攻击中来,最终这类攻击还形成了产业化链条。

总 结

通过以上主流风险特点,我们可以看出,在这个时代,虽然技术在不断进步,但无论是恶意代码还是网络攻击,依旧是以破坏目标可用性为主,但是破坏方式更多需要与网络技术相结合。

第三阶段:互联网2.0风险时代(数据安全时代)

时代背景

这个时代时间跨度大约是2010年至今,在这期间,整个社会通过互联网建立了形形色色的商业模式,纸质货币逐渐被数字货币所取代;个人和企业的越来越多的信息资产逐渐转化成数字化形式,我们身边很多工作、生活的事务现在都可以经由互联网轻易完成,这一过程导致互联网数据流转比前两个阶段成数量级的增长;数据资产成为价值可被量化的无形资产;云、大数据、人工智能成为业内讨论主要话题。

风险特点

这个时期的风险特点在于攻击者的意图从针对计算机、数据、网络的可用性转而变为以获取利益为主要目标的攻击形式。风险形式主要表现为两种极端:一种是通过专业水平较高的团队合作方式,通过长时间精心准备实施的攻击行为,相对过去而言,攻击手法更加多元化,复杂化,使传统安全防护技术-以静态策略和定义码为主的风险防护手段无法感知,我们对这类攻击归结为APT攻击。这类攻击通常有明确的攻击目标,为了获取价值较高的信息,因此投入成本也会较大。另一种风险相对而言技术门槛更低,相对第一种更具备普遍性,就是采用内外结合的社会工程学方式,由更为熟悉数据价值和存储位置的内部人员有意识或无意识地直接泄露数据或提供必要信息给攻击者。

除此之外,勒索软件、恶意钓鱼等直接或间接的恶意获利手段也层出不穷,WannaCry及其家族系列变种在国内肆虐,造成海量的数据损失。

总 结

在这个时期,安全风险从本质上转移到以获取有价值数据谋取利益为目标,导致数据安全重要性逐步在整体信息安全保护领域中突显出来,成为优先级最高的保护对象之一,数据安全的防护技术也逐步成为安全行业关注的对象。

见证的国内IT风险演进的历史,最终我们进入了数据安全的时代,在这个技术飞速发展的大变革时期,作为数据安全建设者我们有需要如何转变原有的防护理念,并了解和掌握哪些信息及技术呢?

什么是数据安全?

由于篇幅的关系,这里只作简述,并没有展开。

今天的数据安全(Data Security)脱胎于以往信息安全(Information Security),并是信息安全的延申。而信息安全的整体建设都需要从设计图开始,而设计图又始于建设思想,只有明确建设的目标、掌握保证建设顺利完成的方法论,建设才能有条不紊的走向成功,接下来对上面几张图的关系进行简单的描述:

目前国际普遍认可的IT整体架构安全的方法论指导是ISO27000系列,该系列把信息安全管理控制划分成多个控制域,而数据安全作为信息安全的子集贯穿于这些控制域的始终。

ISO27000系列提供了作为IT整体架构安全的方法论指导,已修订多个版本

而NIST800-53在此基础上定义了过程控制要求(除了美国的NIST,其他各国也采用类似方式提出自己的过程控制要求,但相对而言NIST的最为全面、实践性强,因此广泛作为参考标准),它把信息安全以及数据安全的实际建设过程进行排列,并通过控制手段保证建设能够顺利执行。

NIST800-53在此基础上定义了过程控制要求

通过参考以上方法论和最佳实践指导并结合数据自身属性的特点,Gartner的DSG模型(数据安全治理模型)为我们从数据治理角度阐述了如何使数据安全在企业和组织中成功实行的方法指导。

这个模型强调了数据安全涉及整个企业组织架构,需要通过自上而下的方式来实现企业数据安全从治理到管理的过程。通过DSG模型的指导,结合数据生命周期,采用必要的技术支撑,形成周期性循环的管理办法,最终实现数据安全防护措施顺利执行。

数据安全生命周期与数据安全技术之间对应关系

国内数据安全的历史

与方法论相配套底层技术支撑工作是落地实现安全的最直接表现,相对于目前整体社会对互联网的使用习惯从封闭到开放的变化,为了实行普遍转变新的适用场景,例如WiFi技术、BYOD(移动办公)、云、大数据平台、基于SOAP的跨平台联合业务等等,原有的数据安全技术格局也在发生巨大变化,之前在国内一直水土不服的DLP(Data Loss Prevention)技术由于其自身的优势站回到数据安全技术舞台的C位。

目前国内涉及数据安全的技术种类很多,但是归结起来主要表现形式分为三类:

第一类是审计取证类,例如DLP、数据库审计(DCAP)、流量审计、录屏等等;

第二类类是加密类,例如文件加解密、数据库加解密、传输加密、脱敏等;

第三类是访问控制类,例如身份和访问管理(IAM);

这些技术和衍生出的产品各有所长。

也许很多人没有听说过数据防泄露(DLP),但你肯定曾经因信息泄露而困扰:房地产中介泄露你买卖房产的信息,导致的无数骚扰电话,新闻中提到的机票诈骗,个人信息在网上被公开叫卖。可以说,信息泄露已经充斥了我们现在的生活。

数据防泄露(DLP)这一概念,因地区政治、法律及人文的背景差异,在中西方有着明显的不同。在技术路线方面,DLP这个名词首先出现在美国,其全称是Data Loss Prevention,最早是为了合规需要采取的审计措施,而后逐步发展成现在的DLP,它关注的是基于内容分析来进行的数据泄密行为识别和管控。

近几年来,随着国外DLP技术的兴起,国内很多传统安全厂商出现的DLP在名义上尽力向国际化靠拢(之前都称为加解密产品),关注的是以文件为对象进行强制加密保护,其核心技术多采用文件透明加解密技术。出现这个现象的原因在于加密技术更适合于过去传统的纵深防护体系,在这种安全体系下数据对外交互少,此时数据使用加密易于保护。而在现今普遍互联网化的开放办公场景和数据传输更为频繁的业务场景下单纯使用加解密技术会使对业务、办公产生严重禁锢,从而导致整体使用成本提高。

除此之外,近年来国内安全厂商也逐步探索的基于云计算的数据安全,例如云访问安全代理(CASB),实际上是下线数据安全技术在云端的应用和整合,属于理念相同形式不同;结合人工智能和大数据分析的数据安全,例如用户和计算实体行为分析(UEBA),紧随国际技术理念,并呈现出百花争艳的态势。

目前国内DLP市场的发展状况

国内DLP市场上主要存在三种类型的产品:

1. 符合国际对DLP技术定义,采用内容分析为核心的数据防泄露产品

2. 以国内传统透明加解密技术为核心的终端产品

3. 以国内传统透明加解密技术为基础,逐步扩展内容分析技术的产品

第一类是常规意义上的DLP(Data Loss Prevention),通过网络数据内容监控或者终端数据内容监控的方式,依据统一的内容策略,对存储中、处理中、流转中的数据进行深度内容分析,再配合以必要的自动管控措施。

这类产品最早在2009-2010年由国外厂商诸如Symantec、ForcePoint、Mcafee引入中国,随着国际政治形势的改变,近两年来国外厂商在国内市场投入逐年下降,市场不断萎缩,取而代之的是国内新兴的安全厂商,其中以天空卫士为代表的国内厂商完整延续相同技术理念,并不断探索发展。

这类产品的优点在于:

1.填补了数据安全在内容监控维度的空白。由于以内容为监控对象,直击数据安全本质,因此相对传统数据防护措施更加难以规避;

2.对受保护系统性能消耗大大降低;

3.补充了传统安全在对内部安全防护上的短板;

其缺点在于:

前期策略配置需结合内容,标准做法是配合数据梳理完成数据分级分类,但目前国内普遍在这个领域仍处于初级阶段,随着国内各行业目前正在完善相关标准和指导,在不久的未来这个障碍将不复存在。

总体来看,这种产品是适合目前主流的办公和业务环境的数据安全防护手段,在对数据保护的同时最大限度的避免了对数据交互的影响,配合以整体数据安全治理框架和指导可作为数据安全整体安全建设的核心组件。

第二类是国内传统加解密厂商,他们仍旧以传统加解密技术并冠以Data Leakage Prevention,以文件为对象,通过对同类型文件采取统一加密,防止文件被篡改和被非授权人员获取其中的内容。

其主要优点在于:

1.对外部攻击窃取数据防护能力较强,及时获取文件仍要付出很高成本对加密进行破解;

2.加密本身对于授权用户在打开文件时会自动触发解密显示正确内容,而非授权用户打开文件将显示乱码。

其缺点在于:

1.改变了用户整体架构和使用习惯;

2.对应用程序兼容性问题多;

3.对于授权用户的监守自盗无法识别。

总体来看,这类产品目前仍适用于管控级别较高的重点保护域,例如研发部门内网,政府、军队涉密网络或主机,但在普遍化的开放式办公环境和业务环境的使用将慢慢淡出用户的视野。

第三类是介乎于前两者之间,原始的技术积累仍旧是加解密技术,但是正逐步向内容分析类靠拢。

总体来说,由于原始技术积累仍是透明加解密技术,在内容分析技术上也是从头做起,由于研发投入有限,这部分技术基本只能作为噱头用于广告推广或者只实现了一些简单的功能。

随着国内市场的发展,各安全厂商在数据安全领域都在思考目前国内主要数据安全风险的本质并不断探索如何更好的保护用户数据而做出自己的努力,但是发展速度各有不同,基本分为三个不同层次:

第一个层次:大部分国内厂商仍处于这个层次,即销售单一DLP产品,作为单独产品工具以满足用户特定场景的特定需求,相对比较片面。

第二个层次:国际主流安全厂商在长时期发展,形成了固定的多种类DLP产品,例如:网络DLP、终端DLP、邮件DLP等,并实现了统一管理和分析,初步形成了整体基于内容感知的数据防泄露解决方案,能够帮助用户在相对整体的办公环境或业务环境建立起数据防泄露体系架构。

第三个层次:根据Garter数据安全理论体系实现在整体数据安全架构基础上,1技术发展变化带来的新数据场景(例如云计算、虚拟化等带来的用户使用习惯的改变);2以动态、自适应的人和计算实体为数据保护对象,以避免内部威胁和ATP攻击导致的数据安全防护死角。

天空卫士自2015年成立,经过不断努力探索,研发出的内部威胁防护体系(ITP)是国内第一家实现第三个层次的整体数据安全防护技术体系,该体系通过多维度监控,结合人工智能、大数据分析,以人、计算实体为对象进行数据安全风险画像,并对可能的风险暴露面进行自动化调整,形成一套自适应的闭环数据安全防护体系。

作为国内数据安全的领导者,天空卫士对于当前国内用户面临的数据安全风险的看法:

数字化转型对于数据资产的定义新的技术形态带来了新的风险,企业数字化转型进程中越来越多的数据成为了前所未有的高价值资产,很多业务的命运与关键数据紧密相连,来自内外部的针对数据窃取、滥用、破坏的意图可能直接颠覆掉企业数字化业务。新技术形态不仅自身引入了技术的不成熟与不确定性,同时也对于传统 IT 管理域、安全边界、数据安全能力带来更多挑战与威胁,包括:

云计算、大数据的应用导致企业 IT 失去了可视化

• 数字化转型中云计算被大量使用以实现弹性的 IT 架构

• IaaS、SaaS 等服务模式大大降低了 IT 可视化管理能力

企业安全边界消失

• 大量云计算的应用导致传统的基于防火墙、IPS 构建的企业安全边界失效

• 更多的企业员工、外包、第三方来自于互联网带来的威胁无法有效保护

数据资产安全考虑不足

• 多数企业更关注业务支撑系统的建设,而忽视数据安全建设

• 传统的 IT 系统安全建设主要考虑是以网络和威胁为主

• 缺乏原生的数据安全手段对数字化转型带来的海量数据资产进行保护

数据资产保护体系发生变化

按照数据的生命周期阶段性特性,数据资产保护的理想路径是从数据生成到存储、传输到可信应用的使用,建立企业的数据保护体系。因此,传统防护体系通常采用简单的“点”状保护措施构建,如 SSL、透明数据库加密、WAF、IAM 等。数据成为企业资产被充分共享后,情况要复杂的多且动态地变化,数据交换与存储不会总停留在固定的地方,也不会沿着固定的路径传输;数据处于加密状态仅仅是阶段性的,解密后的数据会出现多处暴露。

针对当前面临的数据安全现状,天空卫士为用户提供了全面、自适应的闭环数据安全防护体系-内部威胁防护体系,该体系以内容感知、人工智能、大数据分析等技术为核心,以人和计算实体为对象,通过统一管理-监控-分析-控制的方式保证用户在开放式数据安全域内全面管控。

通过网络、终端、移动办公设备、业务系统等多维度统一监控管理,用户的数据操作行为统一汇集到管理控制台,并通过内部威胁分析(ITP)技术对于每一个人员对象进行大数据分析和人工智能画像,对可能的数据泄露行为进行预判,并动态的以人为单位进行策略和管理的自动调整。

除了产品技术的部份外,对于成功的DLP实施,还需要从数据安全治理开始做起,从企业的战略、合规、IT规划等入手,对数据集进行分级分类,通过对数据集的使用情况进行分析,产生相应的数据安全策略,最终,选择合适的产品与技术在不同的位置上实现全面的数据安全防护。

关于天空卫士

在国内数据安全厂商如雨后春笋般繁荣发展的大背景下,天空卫士作为专业型数据安全厂商,从以内容感知为核心的DLP出发,以Gartner DSG模型为指导,围绕统一内容安全、用户和计算实体行为分析两大核心技术,在五年中逐步完成自己的数据安全产品体系,并形成完整的可自适应型技术架构,最终成为国内数据安全技术领导者,被国际权威咨询机构在多年《企业级数据防泄露产品市场指南中》评估为亚太区唯一DLP代表性厂商。

天空卫士专注在本技术领域耕耘,在国内多个主要行业为客户数据安全建设提供服务,不断累积和丰富对用户真正有用的案例和解决方案,在未来将在数据安全领域为国内外企业级客户提供更大助力,陪同客户一起成长。