以下文章来源于数世咨询 ,作者数世咨询
国内与西方的“数据安全治理”有何异同?
近半年来,数据安全领域发生了许多大事件。无论是安全圈内部,还是普通群众,甚至外交部发言人,都表现出了对数据安全的更多担忧与重视。在这样的大背景下,话题 —— 自然而然从大家都关注的西方和国内数据安全治理的异同开始聊起。
刘霖认为,到了今天,西方和中国的数据安全治理,最大的区别是驱动力不同,相同点则都是落地难!国外是技术发展促进数据安全治理的落地;国内则是数据量空前庞大,丰富多彩的各种数据应用,倒逼数据安全治理的落地。
西方的数据安全治理起步更早——大概15年前,以德勤为首的“四大”就已经开始抓住全球数字化转型潮流的契机,逐步建立了一套企业风险评估服务体系,开始提供数据安全的咨询与服务——但在提供咨询服务的过程中,德勤发现“数字化”中的数据是全程流动的,不同的人、不同的部门,使用不同的数据,为企业创造价值。而传统的安全技术,很难解决数据全程流动的问题,主要原因:缺少有效的落地手段。于是,西方开始对技术和产品进行更新换代。当时,“四大”进行数据安全治理的技术抓手是以赛门铁克为代表的洋公司的数据泄露防护(DLP)。
国内的数据安全治理起步稍晚,但在十年前,像中国信息安全测评中心(简称国测)等国字头的安全测评机构就开始在国内大型企业推广数据安全治理体系,因为越大的机构业务数字化之后,面临数据安全的风险越大。刘霖举了一个真实的案例。十年前,国内最大的能源企业提出了数据安全治理的需求,找到了国测。但遗憾的是当设计好理论框架后,找遍了国内安全企业,没有一家满足要求,最后只好找了某知名洋DLP产品。国内的需求和理念并不落后于西方,很早就有人想做数据安全治理,只可惜当时没有国产技术落地,无论是全局管控所需的“策略能力”还是具体抓手所需的“know how能力”都很难。提起洋产品、洋咨询公司在中国数据安全市场独领风骚的当年,刘霖不胜唏嘘。
到了今天,国内的数据安全治理技术落地,仍然落后于数据业务的发展,甚至也落后于数据安全法的要求。《数据安全法》第一章第四条已明确提到数据安全必须要建立健全数据安全治理体系。然而从数安法草案发布到现在两年的时间里,像滴滴、中国最大的公有云服务提供商等,作为行业内技术领先的佼佼者,近年来仍然先后出现了重大的数据安全事故,也成为数据安全治理缺少落地手段的一种间接体现。
具体来说,刘霖认为落地难点主要有三处:
(1)技术手段匮乏
传统数据安全技术主要是加密和隔离技术,对于数据安全治理流程难以覆盖。比如数据库安全,数据一旦出了“库”,传统手段就失效了,离了就隔不了;同时数据流通环节全部做管控又难以实现——大规模的数据采集、传输、使用,全部加解密,处理能力远远跟不上时效性需求,无法做到全流程加解密。
(2)覆盖度不够
数据安全治理不是数据库安全治理!很多单位的数据安全治理只解决了数据库中结构化数据的治理,最多只占整个数据体量的20%。而占据绝大多数的非结构化数据,目前仍然处于“采集数据不遗余力,保护数据无能为力”的尴尬境地。
(3)新技术使用少
人工智能在数据安全领域的应用仍远远不够,例如国内少有真正的UEBA产品——这个领域Gartner认可的国内厂商,包括天空卫士在内目前只有1-2家。大部分数据安全平台还需要像态势感知一样依靠“堆人”才能真正发挥效能,后果就是大量的低成本人员导致数据安全的分析质量堪忧。随着数据量越来越大,数据安全的隐患自然也会越来越大。按照MTTD/MTTR的响应标准,国内相比西方的技术差距已经出现代差。因此必须要靠人工智能等新技术,才能发挥出数据作为“第五大生产要素”的价值。
上述三个数据安全治理落地难的问题,并不是中国独自面临的问题,欧美也有。那欧美是怎么应对的呢?
事件触动、技术驱动、围绕数据、强调业务、强强联合
事件触动是指2015年美国的大规模公务员信息泄露事件,即人事管理局OPM数据泄露事件。该事件发生后,美国联邦政府加速建成了国家数据安全防护系统"Continuous Diagnostics and Mitigation(CDM)持续诊断与缓解计划 ",立志通过技术驱动解决此类问题。这个项目的核心是数据安全防护,而非网络安全防护。该系统符合欧美的安全界目前的普遍认知:
2、攻破以后就是为了拿数据
3、保护数据是安全的核心(见下图)
CDM项目,由隶属于美国土安全部DHS的网络安全和基础设施安全局CISA主导
官网介绍参考链接:https://www.cisa.gov/cdm
CDM的特点是强调业务,强调从业务角度切入安全,强调业务部门对数据安全的重视。据公开资料显示,CDM做的很缓慢,2015年开始加速,2018年才做完第一期。整个防护链条都是围绕业务数据进行技术落地的。诸如统一身份认证、加解密、DLP、UEBA等里面都有。美国大量的安全服务公司、产品公司、咨询公司都参与其中。除了 IBM、DELL、Symantec、McAfee 等知名企业外,刘霖的老东家 Websense 被雷神 Raytheon 以21亿美元收购并更名为 Forcepoint,就是参与到这个项目中,此为强强联合。
刘霖介绍,Gartner提出的数据安全治理DSG其实就是CDM项目的民用精简版。这几家西方知名企业,做完CDM,转头就一起高举着DSG的大旗,抱团攻城略地。
我们应该正视客观现实,学习硅谷这种合作共赢,而不是宣布自己什么都有、什么都做的非健康技术生态。虚心学习CDM系统和DSG体系中先进的地方,同时结合中国特色,在产业生态中强强联合,走合作路线。
这也是为什么天空卫士会提出“数据安全治理自动化体系(DSAG)”的原因,与DSG相比,DSAG最大的创新点就在于大量使用了人工智能的技术,把DSG从一个要靠不同产品、不同服务、不同类型的框架,变成了一个智能化、自动化、可持续优化的数据安全治理自动化系统。
什么是DSAG?为什么是DSAG?
刘霖将DSAG的能力概括为了“六化一管”,具体来说:
数据分类分级的自动化
我们接触到很多用户在做数据安全治理时,最头疼的第一步是数据分类分级。传统的数据分类分级多数是需要靠人做的。现在随着数据量越来越大,必须要使用自动的聚类分类工具和技术来进行海量数据的分类分级。
通过基于人工神经网络的深度学习、自然语言处理等聚类分类技术,再结合不同行业的“数据管理模板”实现数据分类分级的自动化。其中的重点是非结构化数据的行业模板——结构化数据是不需要那么多模板的,非结构化才需要。
数据安全处理的自动化
DSAG能够基于人工智能判定,哪种数据应该用加解密的方式,哪种数据应该用标签,哪种数据可以用水印,哪个数据文件做指纹……目标就是做到数据安全处理的自动化,缓解人的工作。我们可以看到,无论是把这个数据进行加解密,进行数据脱敏,数据标签,打水印,甚至指纹技术,这些都有对应的技术以及合作伙伴能提供的。我们数据安全工作部的伙伴,像昂楷、鸿翼、IP-Guard、永安在线,包括整体对数据进行访问控制的芯盾时代,都可以在接入DSAG平台的基础上进行联动和处理。无论是什么数据类型?最终要把它处理成什么方式,我们都可以进行有效的配合。
数据行为分析智能化
DSAG专注对数据使用者的行为进行分析,目前已经积累了 500+威胁因子,300个威胁模型。此外专家分析团队通过使用大量的AI技术、贝叶斯算法、神经网络等,解决异常行为和异常内容的比对问题,目的同样是降低人工投入的复杂度。这里和传统UEBA的区别是,DSAG只看数据相关的内容,漏洞和防火墙等是不对接的。
数据脱敏全面化
特别要强调的 - 数据脱敏的全面化。目前市场上接触到的数据脱敏技术,基本上叫数据库脱敏,属于结构化数据脱敏。实际上在海量的数据里,大量的都是非结构化的,像Word文档、电子表格,我们使用带有文字的图片等等…… 这些数据又是在流通的,特别是一些结构化数据一旦离开了数据库,脱敏技术便覆盖不了。对于DSAG来讲,整个数据的脱敏,无论是结构化的还是非结构化的,都可以处理。
API内容分析细粒度化
目前国内做API安全的同行,已经实现了针对病毒防护、漏洞补丁的对接,但是针对API中数据流动的深度分析能力还较为欠缺,例如API数据中若混杂了财务数据,传统手段很难发现。DSAG可以依靠内容深度分析能力,在不影响业务的同时,对API中的数据和行为来做判定,快速把有害数据拦截住,有用的数据放行进行正常流通。
编程管理可视化
欧美的产品功能很强,但是可视化展示普遍简单甚至简陋;国内用户,希望展示的更直观、全面、详尽,除了让领导能看懂,也能够降低运维成本,这是有其正面效果的。为了满足用户这个要求,DSAG的“天空之眼”功能,强调可编程的可视化,让用户自己就能够相对灵活的去配置。
“一把手管理一支笔”(管理平台)
业务部门往往对数据安全的技术不了解,要指望单位的一把手去了解数据安全技术是很困难的,但同时这些人又都知道机构的核心数据威胁。因此,针对国内的数据安全治理特点——高层领导要看懂、看清、管透,所以DSAG的管理平台,不但要能生成报表,还要真正能够管理。领导可以随时下指令,“一支笔”直接批示,直接处理!对应到《数据安全法》中的要求,这即是一个有效的落地手段。这也是我们看的到,跟传统的数据安全平台和技术有很大差距的一点。
业务部门往往对于安全的技术不了解,要指望公司的一把手去了解数据安全技术是很困难的,但是对于DSAG来讲,它的好处是因为和业务结合的很紧,老板或者一把手一定是了解这个企业最核心的哪些数据不能出去,哪些数据需要保护,他可以随时的下命令,一支笔直接批示,直接处理!哪些数据需要他亲自抓,哪些数据是他亲自要过问的,甚至没有他的批准,这些东西不能被使用。这个也是我们看的到,跟传统的数据安全平台和技术有很大差距的一点。
总体来说,这个系统的结构是稳固的,但能力是模块化的,不同的场景,不同的应用、不同的系统都可以通过API对接。目前天空卫士的核心业务合作伙伴已经多达150+,有前面提到的昂楷、鸿翼、IP-Guard、永安在线、芯盾时代这样的能力企业合作商,也有浪潮云、华讯、东软、神州新桥这样的优秀技术服务交付商。
行业会接受DSAG吗?接下来有什么打算?
截至目前,DSAG体系已经在一些国家级项目中得到了深度应用,北京、上海大数据中心也已经开始设计部署,接下来,天空卫士将会重点在智慧城市、政务云场景中布局DSAG体系。原因很简单也很直接,眼下大量的政务网系统,都面临着海量的数据管理与数据保护的需求,需要一个能够提供支撑与兜底的平台系统。刘霖认为天空卫士有技术能力、有责任义务配合政府相关部门把这些数据管理好。除此以外,中国最大的高科技制造企业,乃至世界500强中超过40%的中国大企业都已经是天空卫士的重度用户,接下来,天空卫士也会继续在这类客户中深耕。
临近专访结束,在被问到天空卫士联合多家企业发布《数据安全治理自动化技术框架》,这对于产业有何意义时,刘霖有些兴奋和喜悦。
天空卫士联合多家能力企业组建的“数据安全治理自动化体系”,本质上其实是一个中国数据安全技术的联合体,数据安全技术工作部成员相互之间没有技术冲突,是一个真正的技术联合,不是一个市场宣传联合,是要在用户侧做落地的,最终目标是通过合作、团结、共同推动的力量,将关键技术牢牢掌握在自己手里,让数据安全技术追赶上西方,为数字中国的安全底座添砖加瓦。
在外企多年,刘霖对西方的积累优势有深刻的认识——所有顶级的技术,都需要长期的研发积累,更需要和顶级用户的业务挂钩。无论是技术积累还是业务深耕,都离不开人才,硅谷有那么多做数据安全的牛人,其实都是中国人,都有一身专业技能和一腔报国热情,国内若有合适的承接这些牛人的良好平台与土壤,海外人才是愿意回来的,这是一种身份认同,更是民族认同。
目前天空卫士已经在不断从硅谷引进人才归国。刘霖认为,国内与欧美数据安全技术的差距不是我们说追赶上就能轻松赶上的,比如现在有国家级用户对工作部提出的产品需求CDR(CDR - 内容解除和重建,是一种安全技术,根据所涉及的 CDR 类型,它可以扁平化恶意文件,删除活动内容如:宏、插件以及OLE文件等,或清除文件中的恶意代码。)欧美2005年就开始研发的技术,10年前开始销售,现在我们中国很多数据安全同行还是第一次听说,这么明显的差距,不取长补短,迎头追赶能行吗?“雄关漫道真如铁,而今迈步从头越”,我们应该联合起来,正视数据安全的现状与现实,取长补短,减少内卷,形成良好的生态,迎接优秀人才回来。
刘霖的这番话充满情怀感,让人想起《星球大战》中的绝地武士 Luke Skywalker ,天行者的成长道路是坎坷不平、充满斗争和痛苦的,但他为JADE理想奋斗的决心从未更改!
和 Skywalker 一样,刘霖的英文名也是 Luke ,不同之处在于,刘霖是创业路上的“天行者”,而他创立的 SkyGuard,守卫的是数据安全这片“天空”。我们相信未来一定也是坎坷不平、充满斗争和痛苦的,这是 Luke和他的JADE兄弟们作为“天行者”的成长必经之路,数世咨询会一直持续关注。