【A9】数据安全运营告警处置流程实践
文摘
科技
2023-09-01 13:50
广东
“A9 Team 甲方攻防团队,成员来自某证券、微步、青藤、长亭、安全狗等公司。成员能力涉及安全运营、威胁情报、攻防对抗、渗透测试、数据安全、安全产品开发等领域,持续分享安全运营和攻防的思考和实践。”
数据安全是个严峻的问题,在国家大力推出保护个人隐私时,数据泄漏还是穷出不尽,在今年影响较大的,国内2月份某快递泄漏的2022年前的45亿个人信息,国外的1月份T-MT-Mobile泄漏3700万用户账号泄漏数据,更别说其他未统计出的泄漏数量,数据泄漏的方法和手段不一。数据泄漏并非是无迹可寻,如果及时发现数据泄漏的源头,那么就可降低泄漏风险的危害。笔者在甲方做数据安全一年之久了,主要负责数据安全运营,在运营的过程中,学习了点数据安全运营经验,于是在领导的带领和指导下,与组内小伙伴一起制定数据安全运营告警处置流程,在处置数据安全运营告警做标准规范。秉着对学习的知识进行输出,才属于是自己的知识点心态,向各位读者分享下在数据安全运营告警过程中处置流程,也想在分享过程中,如有遗落之处,还请大家海量和指出,一起学习/进步。
内部敏感数据流传到外部时会存在泄漏风险行为,如果没有标准运营,无法判断数据外部流传的过程中,是正常业务还是数据外泄行为。今天分享通过运营数据安全设备,梳理外发行为,降低敏感数据泄漏的风险。
内部运营的数据安全设备主要为终端DLP/邮件DLP/应用数据审计,分别审计办公终端外发/邮件外发/应用系统下载/查询等敏感行为。
在笔者看来,上述运营的安全设备覆盖到了公司内部外发渠道。无论通过个人办公终端使用第三方软件,如QQ/微信/第三方移动介质等外发/邮件外发/应用系统下载/查询敏感数据。
除了覆盖外发渠道外,安全运营设备中关联人或账号尤其重要,无论是员工外发敏感数据或者黑客偷窃敏感数据,都是以人的操作行为为主,有操作就有记录,当发现异常行为时,可快速溯源定位具体位置。如将安全设备做成自动化告警,每个小时获取告警,并将告警发到固定的地方,可方便查看,及时响应确认是否内部人员操作行为。自动化非本文讨论重点,故不重点赘述。
设备的规则则根据公司内部场景定义,笔者内部开始使用的是默认规则,在运营期间后因识别场景不断完善覆盖各种未覆盖的场景。如检测工作时间外下载/查询大量敏感数据,某个时间段内外发的敏感数据量总和较大和使用第三方软件外发敏感数据等场景的识别和制定检测行为,这些场景都是比较通用的。
在检测告警调查中,联动其它部门一起进行处置,降低风险,且在告警调查中,有些告警,运营成员并没有权限处置,需要上报升级事件,进一步核实。
组织职责一般分为如下:
告警运营分析专员:负责数据安全告警调查,且将调查完成的告警记录。
告警运营小组长:审核告警工单是否有遗漏,若有,要求告警分析专员进一步深入调查。
安全运营组审核:审核告警调查是否存在疑点,是否进一步深入调查或上报事件。
事件报告组:责撰写事件报告流程和审核事件报告
策略组&合规组:将调查的告警需要进一步内推完善公司内部策略。
安全总监:上报事件审核及请示是否将告警转至合规法务部介入。
合规法务部:公司合规法务部介入调查告警,进一步确认是否数据存在泄漏。
在数据安全告警运营中,如果不对告警定级,就无法评估该严重性,无法评估就无法采取措施,所以定级告警必不可少的一部分,对定级告警可采取不同措施,例如当员工外发涉及严重时,会通过告警或电话同步该领导知悉,确认该风险以及做员工做安全意识培训。告警调查根据不同的定级采取不同的处置,处置的过程中如果发现存在疑点时,将会对调查结果进行升级为事件,通过事件的形式确认是否泄漏或推动完善公司策略。根据公司内部的分级分类做参考定级风险,可分为严重高中低四种风险,可根据公司场景自行定义定级,示例如下:
严重:含有3类及以上个人信息敏感数据(如手机号、身份证、姓名)外发条数达到xxxx条数据及以上;高危:含有3类及以上个人信息敏感数据(如手机号、身份证、姓名)外发条数达到xxxx条数据以上及xxxx条以下;中危:含有3类及以上个人信息敏感数据(如手机号、身份证、姓名)外发条数达到xxxx条数据以上和xxxx条以下;低危:含有3类及以上个人信息敏感数据(如手机号、身份证、姓名)外发条数达到xxxx条数据以下。
开展调查事件标准以人、敏感数据、行为作为三个维度开展。人:个人行为或组织行为(提供证据自证清白)、外发动机、是否离职;敏感数据:客户数据还是公司员工数据、数据是否必要性、数据量大小、后续是否仍需使用、数据是否扩散、数据是否删除;行为:数据流程是否合规、合理和授权,权限、举措是否正当。
在数据安全运营告警,针对于外发行为开展调查过程中,除了确认外发需求外,有些员工安全意识不高,安全团队还需对其行为进行纠正和指导。例如员工发送客户资料通过微信/QQ等第三方通讯外发,使用U盘备份办公资料等潜在风险泄漏场景。另外,除了会关注到员工业务/非法操作之外,还可能存在离职员工将敏感数据考出的潜在风险,这种行为也是值得重点关注,可以根据公司场景考虑制定离职审计。以上处置流程只针对于敏感数据外发行为,只做到抛砖引玉的效果,但笔者以为数据安全不仅仅只有三要素敏感数据,只要是可识别出个人身份的都是敏感数据,且除了敏感数据,公司还有商业秘密,机密等等敏感数据,这些也应该纳入保护。以上便是笔者分享,在数据安全领域接触不久,只是学到半点皮毛,如对上述思路有更好的建议,欢迎留言一起讨论。