2023.6.6 - freebuf企业安全俱乐部深圳站 - 数据安全·安全运营
2023-06-08 09:03:17 10 举报
AI智能生成
登录查看完整内容
2023.6.6 - freebuf企业安全俱乐部深圳站 - 数据安全·安全运营
作者其他创作
大纲/内容
https://www.freebuf.com/fevents/368076.html
活动介绍:
宁晟宇,平安产险资深数据安全工程师
个人信息与个人授权信息的概念区别
个人授权信息的主要操作还是增删改查。
授权的细化,颗粒化
《关于平台经济领域的反垄断指南》
自动化决策个保评估的合规依据
参考资料
算子?原始数据?
隐私计算的概念
数据难以溯源
删除不净
数仓应用,删除困难
无法删除
数据的完整性、一致性
不敢删除
个人信息删除的问题
《互联网服务管理办法》
《互联网上网服务营业场所管理条例》
《电子商务法》
《网络交易监督管理办法》
《反洗钱法》
《金融机构客户禁止调查和客户身份资料及交易记录保存管理办法》
《征信业管理条例》
《非银行支付机构网络支付业务管理办法》
《电子签名法》
《信息安全技术网络支付服务数据安全指南》
《单用途商业预付卡管理办法》
5-10年
《保险法》
《证券法》
《证券基金投资法》
《医疗机构管理条例实施细则》
《精神卫生法》
数据存储期限
60天
3年
5年
20年
15-30年
《网络安全法》
《APP违法违规收集使用个人信息行为认定方法》
《信息安全技术个人信息安全规范》
《民法典》
《个人信息保护法》
《深圳经济特区数据条例》
数据删除标准
较宽泛
承诺15日内
逐步细化
是一种删除的替代方式
数据如果难以删除,个人意见,建议停止使用
个人信息保护二三问题的实践与构想
邱立宏,薮猫科技数据安全专家
数据分类复杂,难度高
不支持上下文,只识别单点
误报率高,系统敏感而不准确
处理不了加密信息
安装agent,要考虑到操作系统的兼容性,如mac,各种版本
对apt攻击防护有限
安全策略严苛,影响用户体验
DLP的问题
青骓 DDR(Data Detection and Response)
薮猫的一种产品,数据检测与响应
(没听……)
DDR
从DLP到DDR,不一样的数据防泄露体验
听说是阿里
李磊,某互联网科技公司高级安全专家
Operation运营
Control 控制
Baseline 基准
cloud Native Security 云原生安全
OCBC是演讲者自创的一套说法
(没听……,感觉是大杂烩,作者没讲清楚。)
以前好象在oswap会上讲过
OCBC框架下企业云化数安管控实践
周大斌,某新能源企业信息安全负责人
按照目前的共识,工业1.0是蒸汽机时代,工业2.0是电气化时代,工业3.0是信息化时代,工业4.0则是利用信息化技术促进产业变革的时代,也就是智能化时代。13;这个概念最早出现在德国,2013年4月的汉诺威工业博览会上正式推出。
*工业4.0
2025,工业4.0,制造业强国
全流程过程
全生命周期
数据全场景
维度
数据资产梳理
数据分类分级
数据安全策略
治理
如果安全投入不够,不要向老板保证数据不会泄露,而要强调做好数据备份的意义。
业务战略
合规评估
责权划分
基本内容
数据安全方针
数据安全规范
数据安全流程
表单、记录
数据安全管理制度
数据安全治理
数据全流转过程
数据全生命周期
数据安全建设维度分析(同上面的笔记)
认证管理
权限管理
身份管理
访问控制
加密
脱敏
防泄漏
保护
数据库审计
运维操作审计
业务应用审计
审计
可用不可见
备份
水印
处理
数据安全管控技术能力
决策委员会
管理委员会
执行工作组
审计督查组
数据安全组织
整体数据安全体系
数据清单及归属责任部门划分
数据属主部门责任
数据使用部门责任
信息安全部门数据保护责任
业务部门数据保护责任
审计部门数据保护责任
明确责任
数据的收集最小化判断标准
数据收集
数据分级分类管控方法
数据流转、存储和销毁
数据使用流程和方法
流程安全
日常管理
通知通报
监管沟通
危机公关
应急处置
数据泄露应急总体流程
应急管理
数据安全管理组织架构
技术工具支持
(略)
(类似ISO标准结构,略)
数据安全管理制度体系
数据安全管理体系
数据标记
数据加密策略
数据访问策略
元数数据访问策略
数据流向区块链化
数据操作证明(采集、销毁)
数据流向可视化
数据权限视图
数据审计告警
元数据操作审计
数据安全审计
数据安全管理中心
数据授权凭证管理
授权凭证多渠道审批
数据共享凭证校验
数据凭证区块链化
授权
采集合规校验
采集机脱敏
最小化按需采集
敏感数据识别
敏感数据自动加密
采集
传输通道安全隔离
数据传输加密
数据采集流控
双向证书认证
转移
数据脱敏处理
数据质量稽核
数据重算补算
数据分类分级识别(结构、非结构)
数据库透明加解密
数据隔离存储
备份恢复框架
存储
ABAC数据访问控制
IBC分布式身份认证
数字暗水印
数据共享审核
使用
到期自动销毁
数据销毁证明
人工数据销毁
数据销毁服务
销毁
数据处理流程(由上到下)
统一认证
日志管理
密钥管理
证书管理
安全启动
备份恢复
安全加固
安全技术层
分支主题
一个拓扑示意
数据安全技术架构
数据分布、数据分级分类数据风险、数据流向可视化
数据可视化
风险可感知
可感知
敏感数据防泄漏数据脱敏、数据加密、访问控制
可管控
数据事件趋势量化、数据风险趋势量化、用户风险趋势量化
可量化
数据流程可追溯、数据操作可追溯、数据流向可追溯
可追溯
安全运维流程、数据安全合规
可运营
数据安全态势感知平台
某新能源企业数据安全建设实践分享
蒋竞阳,亿格云解决方案专家
(没兴趣,没听)
基于SASE架构落地办公数据防泄漏XDLP
李少鹏,数世咨询创始人兼总经理
攻防对抗时代的网络安全,是成本中心
(不知道什么是数字健康,但安全是生产力是一种新颖的营销话术)
数字健康时代,安全是生产力。
(不知道在说啥)
数字安全时代,数字秩序
不同时代的网络安全
原来是soc,现在态势感知,成了安全运营
安全管理平台发展现状
安全不是独善其身的事,是个特殊行业,特种行业
(老soc的概念已经落伍,一直没有真正落地)
在国内,soc就是个产品,唯产品论,没能力
态势感知从兴起到落伍。(态势感知的概念也有问题,太贵,不会用,现在成了专给领导看的装逼产品。)
态势感知,买不起,用不了,最后只好给领导看大屏,成为锦上添花的价值。
网络安全态势感知是一种由内外部多维数据驱动的,综合性的安全管理与运营体系。该体系对网络安全态势相关的所有安全要素进行收集并处理,结合大数据平台进行智能化关联分析,以实现对网络安全态势的全面感知、主动防护风险预测和联动响应。(数世咨询2020.3)
态势感知的定义
(检测与响应的概念之所以流行,是因为比态势感知的概念更简单一些,没那么虚了)
威胁检测与响应(TDR)是指: 以全流量检测与分析技术为核心,并结合威胁情报、脆弱性检测、加密流量解析、日志分析、EDR、SOAR、沙箱、专家服务等功能模块,以网络攻防对抗为主要场景的一体化解决方案。
检测告警
报案
关联分析
立案
破案
响应处置
结案
检测响应的定义
从ipdrr到态势感知
精准依赖人工高手
检测好做,精确难
*soar
自动依赖soar
响应好做,自动难
核心是分析
安全运营
(漏洞管理的概念也比较夸张,实际上没补丁,有补丁也不敢打)
漏洞 > 补丁 > 打补丁的能力
了解漏洞利用(exp)的关键路径,分析控制关键路径,收敛攻击面,如使用IAM技术
资产、暴露面,漏洞
基于场景
基于风险
基于验证
攻击面精细化运营
组织、产品、流程、平台、人
安全运营的五要素
安全有效性验证
渗透测试
攻防演练
入侵攻击模拟
产品-能力化
安全-业务化
运营
SASE-ZTE场景(不知道想说什么)
?(没记下来)
未来
安全体系建设
贵,频度低,效果差
安全运营的未来
防病毒
IDS/IPS
防火墙
上网行为
UTM/NGFW
内存安全
终端审计
主机加固
HIDS
黑白名单
终端管理
基线
扫描
EPP/EDR/CWPP
单点登陆
统一身份认证
双因素认证
特权账号管理
生物识别
身份访问
堡垒机
IAM
大数据关联
资产管理
漏洞扫描
SIEM
行为分析
威胁情报
威胁捕捉
检测响应
态势感知
产品分类
安全运营现状及发展趋势
孙亚东,腾讯安全运营资深专家
识别、防御、检测、响应、恢复
*ipdrr
可以简单理解为描述攻击者技战术的知识库。13;MITRE在 2013 年推出了该模型,它是根据真实的观察数据来描述和分类对抗行为。13;ATT&CK将已知攻击者行为转换为结构化列表,将这些已知的行为汇总成战术和技术,并通过几个矩阵以及结构化威胁信息表达式( STIX )、指标信息的可信自动化交换 TAXII )来表示。
*att&ck
(没听,就是滥用了一下ipdrr与att&ck的概念,感觉是瞎编)
如何发挥安全原子力效能助力企业发展
刘志诚,乐信集团信息安全中心总监
多个agent同装一个电脑的例子
重叠
(没记住,没听明白)
遗漏
ips的例子
误报
(没听明白)
无法实际运行模仿全量可能性?
白盒测试的例子?
漏报
还原论
发现,分析,响应,评价
发现威胁,脆弱性,事件
纽约律所使用chatgpt提供的案例,上当受骗的例子,没有一个案例是真的,都是chatgpt编的。
智能化,自动化,简单化
数据驱动,有效评价
系统论
(没太听明白作者想说什么,可能是强调单点,孤立的概念,不如全局,系统的概念好?)
从还原论到系统论--安全运营再讨论
吴致远,万科集团信息安全负责人,广东省互联网协会副会长
1. 漏洞管理
2. 产品管理
3. 基线管理
4. 风险管理
以及应急响应等
没听全,主要是说万科自己开发了一个安全运营平台,功能由少到多,一个个往上叠加,现在主要是四个功能,不断迭代出来的。
万科集团信息安全运营实践
覃阳青,安信证券开发安全负责人
一些有技术难度的项目
厂商定制开发
一般难度的项目
合作开发
低难度的项目(券商自己开发水平一般)
券商内部开发
券商开发模式
(记录不全)13;版本多13;……
复杂性
软件风险获取不及时
漏洞整改依赖上游更新
升级变更后稳定性得不到保证
依赖性
业务与安全目标的冲突
*应该是技术栈的问题
实际使用很多开源版本,不一致
评估、准入流程不一致
冲突性
漏洞多
*不知道指什么?信创?
特殊场景功能稳定性问题
断更、停更风险
风险性
开源软件的痛点
自研+合作开发
软件开发安全
外购软件+软件供应商
外购软件安全治理
开源组件+开源代码+开源系统+开源工具等
开源软件治理
软件供应链安全解决方案实践
*敏捷开发类
流水线(DevSecops)
*传统瀑布开发类
流水线(SDL)
外购(软件供应链治理)
管理流程
技术培训
流程培训
制度宣贯
文化建设
管理体系
项目需求评审
版本需求评审
安全需求
架构安全设计
功能安全设计
安全设计门禁
安全设计
代码安全检查
组件安全检查
IDE自查
代码安全门禁
组件安全门禁
安全编码
安全需求测试
灰盒测试
应用安全门禁
安全验证
基线检查
系统漏扫
上线/发布审批
安全发布
devops&SDL
容器安全
IDE
数字签名
IAST
主机漏扫
SAST
基线扫描
DAST
基线加固
SCA
APP加固
MAST
扫描与加固工具
安全漏洞库
安全知识库
开源组件库
安全组件库
支撑工具
需求管理平台
漏洞管理平台
度量平台
开发安全管理平台
支持平台
信息安全管理办法
数据安全管理办法
软件研发管理办法
管理规范
信息安全技术规范
客户数据安全管理规范
数据分类分级规范
安全配置基线
(具体的规范分类略)
技术规范
(第三方)人员安全管理细则
安全培训管理细则
技术风险评估管理细则
供应商安全管理办法
组织保障
软件安全开发规范
APP加周
自动化扫描/加固工具
安全合规库
安全需求库
安全威胁库
安全测试用例库
安全代码/组件库
安全库/清单
安全需求管理平台
安全漏洞管理平台
安全度量平台
安全工具管理
需求申请
安全需求评估
项目规划
架构安全评审
架构设计
详细设计
威胁建模
安全编码指南
开发环境搭建
编码
组件入库检测
IDE代码安全扫描
编译构建
编码部分
单元测试
代码安全扫描
代码扫猫
打包
制品上传
组件安全扫描
部署
DEV
代码扫描
API自动化
应用安全扫描
UI自动化
SIT全阶段
SIT
路径一
拉取制品
APP安全扫描
APP安全加固
APP签名
UI测试
路径二
安全验收测试
UAT全阶段
UAT
安全检测
安全审批
上线评审
例外管理
收尾阶段
主要是以下内容:(图是从左到右,导图是从上到下,带星的是安全环节)
软件开发流程
应用安全外部形式
安全事件影响
漏洞产生原因
安全意识培训
安全开发流程
安全活动及要求
安全卡点设置
安全规范制度介绍
安全质量红线
流程规范培训
安全测试
开源软件安全使用
安全工具使用指引
安全技术培训
定期+不定期各项安全考试
安全比赛
安全社区
安全考试与活动
安全培训
监管
能力
开发过程接触点
部署&运维
(具体内容略)
S-SAMM 4大评估域及下属15个评估子域
控制开发过程风险
控制交付过程风险
按制运营过程风险
沟通控制风险
《研发运营一体化(DevOps)能力成熟度模型 第6部分 : 安全及风险管理》
安全度量
基于风险度量
基于工具有效性度量
推广情况度量
方案效果度量
软件安全开发度量
制度、流程、规范
主要内容
重要软件供应商
外购软件
主要管控对象
供应链引入环节
软件生产环节
软件应用环节
主要环节
供应链风险评分
优质供应商推荐
供应商风险监控
管理
软件供应链治理框架
(略)
软件供应链交付流程
企业资质
财务实力
项目经历
技术储备
安全管理规范能力
安全开发管控方案
安全组织建设状况
安全交付能力
产品安全能力先查
……
软件供应商存在的问题
(开发框架类)
组件依赖
中间件
数据库
操作系统
容器类
基础平台
虚拟化类
基础设施
运维工具
开发工具
开源软件范围
漏洞等级
可靠性
易用性
成熟度
兼容性
可用性评估
更新能力
维护团队/人数
服务能力评估
开源协议分类及评估
开源软件风险约束
开源软件治理组织架构
软件供应链安全治理及软件安全运营实践方案
张志遥,斗象科技解决方案专家
劳动力
农业经济时代
技术、资本
工业经济时代
数据
数字经济时代
不同时代的关键生产要素
客户画像
精准营销
风险管控
运营优化
“数据”目前在企业的主要应用
两者有较大重叠
落地难
数据安全与业务关系密切,超出了安全部分职责的范围,比如有些属于业务部门管理。
网络安全更多偏于基础设施。
数据安全现状--数据安全与网络安全的关系
说的主要是与数据库相关的,如数据库防火墙,数据库审计,数据库脱敏,数据库加密之类
数据安全现状--企业现有常常见数据安全措施
数量庞大,资产梳理与分类级落地难
数据交互多样,风险暴露点多
工作边界模糊,风险追溯困难
单点防御薄弱,难以应对数据流通风险
技术体系
1、缺乏合规确定性依据
2、权责不分,数据安全人员不足
3、流程不严,安全措施无法固化
数据安全体系化建设痛点
《数据安全能力成熟度模型(GB/T37988-2019)》站在数据生在命周期维度,给出不同级别安全建设能力的方法论
数据安全体系化建设目标与方法论
全面盘点,数据资产目录
数据资产管理
业务活动,需要数据管理团队参加
识别有价值的数据类别
数据分类管理
不同级别,不同管控策略
数据分级管控
数据安全体系化建设关键点
数据源认证
数据采集
加密技术
脱敏技术
数据传输
备份/恢复
数据存储
数据处理
数据接口管理
数据交换监控
数据交换
数据清理/销毁
介质清理/销毁
数据销毁
权限管理平台
流程审批平台
数据资产管理平台
监控/审计平台
日志管理平台
数据供应链管理平台
数据安全门户
元数据管理
数据关联管理
数据质量管理
数据合规管理
通用技术工具
数据安全体系化建设关键点--技术基础能力建设
有哪些API?
有哪些核心数据的API?
有哪些提供对外调用的API?
缩减核心业务API的暴露面
API资产梳理
有哪些敏感数据?
有哪些对外暴漏的敏感数据?
有哪些核心业务相关的高敏感数据?
缩减高危敏感数据暴露面
敏感数据分类分级
有哪些存在安全漏洞的API?
有哪些要紧急修复安全漏洞的API?
有哪些具有数据泄露的安全隐患的API?
发现API安全漏洞,推动修复,消除数据安全隐患
API弱点发现
监测尝试利用API漏洞的风险。
监测大量外发高敏感数据的风险。
监测异常访问核心业务API的风险。
监测网络攻击和API异常行为,及时响应避免引发安全事件
风险监测
四步法
数据安全体系化建设关键点一场景化落地保护
新增业务系统
新增数据
业务系统变更
数据变更
数据安全标识
自动化识别率XX%13;人工校验与更正XX%
数据安全管控
数据安全运营
能力复用率XX%(访问控制:过滤、脱敏、加密、水印、限流、阻断、监控)
数据安全运营--技术指标
企业数据安全能力体系化建设
2023.6.6 - freebuf企业安全俱乐部深圳站13;数据安全·安全运营
0 条评论
回复 删除
下一页