【A9】数据安全运营告警处置实践分享
文摘
科技
2023-09-11 09:22
广东
“A9 Team 甲方攻防团队,成员来自某证券、微步、青藤、长亭、安全狗等公司。成员能力涉及安全运营、威胁情报、攻防对抗、渗透测试、数据安全、安全产品开发等领域,持续分享安全运营和攻防的思考和实践。”
在数字化时代,大量的信息和数据以数字形式存储和传输,如果这些数据遭到未经授权的访问、篡改、泄露或破坏,将对个人、组织和国家造成严重的损失。因此,数据安全显得非常重要,加强数据安全措施,确保数据的保密性、完整性和可用性,以应对不断增长的安全威胁。
笔者接触数据安全不久,主要负责数据安全运营这一块,本次和大家分享在数据安全运营告警处置的流程中如何对告警进行处置,重点分享在员工外发敏感数据时该如何处置,都是笔者在实战中的处置思路。
从用户外发敏感数据导致触发告警到如何处置告警,在处置的过程中,通过调查识别哪些是业务需求,哪些可能存在可疑行为,哪些属于个人行为,出现的告警超出个人范围内该如何处置。
由于数据安全是近期开始运营,但是笔者认为运营的流程其实跟漏洞区别性不大,使用技术手段来防止数据泄露,就像内部处理漏洞一样,本质上都是防止因为某些漏洞/数据外泄,对公司造成任何的损失。
数据安全出现的告警处理和漏洞亦是一样,都是有对触发的告警进行优先级处理,如果出现外发数据量比较大的话,那么处理的优先级会比数据量小的优先。
数据安全的目标和漏洞的目标,在笔者看来也是差不多,数据安全主要包括为及时响应威胁防止数据泄露、保护数据的完整性、遵守法规和合规要求、学习和改进,进一步降低敏感数据泄漏风险。
及时响应威胁:数据泄露是严重的安全威胁,当数据安全告警触发时,可能表示存在潜在的安全威胁,如未经授权的访问、敏感数据暴露在外部导致泄露。通过处置告警流程,可以迅速采取行动,以减轻潜在的损失和风险。
保护数据完整性:数据安全告警可以涉及数据的篡改或破坏。通过迅速处置这些告警,可以确保数据的完整性得到维护,防止数据被损害。
遵守法规和合规要求:许多法规和合规性要求要求组织采取措施来保护数据安全,并在发生安全事件时进行报告。处置数据安全告警流程有助于确保组织遵守相关法规和合规性要求。学习和改进:通过分析和记录数据安全告警的处置过程,可以通过这些告警分析,提取有关安全事件的信息,改进安全策略和措施,以提高未来的安全性。
在上篇文章中,小伙伴有分享数据安全运营告警处置流程,这边主要分享数据安全运营告警处置实战分享,就不再做进一步阐述,但是建议读者结合一起食用,这样理解起来效果更佳:https://mp.weixin.qq.com/s/TEf9gx9oI1GJq_J0HHrckw。
笔者公司内部有日常办公工具,是不允许使用第三方工具或软件外发敏感数据,如X信、XQ、U盘等这些第三方。除非是无法避免的特殊场景,比如刻录光盘存档,拷贝敏感数据去某地现场处置等场景,对于特殊场景,可以以报备流程作为闭环。
从数据安全处置流程中可以了解到,笔者公司在处置告警中是有职责划分的,每个职责负责的领域不同,像对于调查的告警,起码有三次复核,这也是防止在处置过程中,由于个人的知识局限性导致遗留了可进一步挖掘分析的问题。
当接收到数据安全告警信息时,先核实该告警是否误报,这其实和漏洞一样,是存在可能有误报的情况。
告警的接收一般是以SOAR自动化推送告警到工作群里和创建工单方便跟进。
SOAR自动化可以省去很多时间,比如在推送告警前,对告警信息先做一遍分析,如:告警是从哪个区域触发的,触发的员工是谁,岗位职责是什么,外发的数据有多少,通过哪些渠道外发的,当前是否离职等信息,有兴趣的小伙伴可以了解一下SOAR。
在核实告警无误后,下一步对告警确认是否需要跟进,由于在运营过程中,随着不断完善覆盖公司区域,每天产生的数据也不断增加,具体触发敏感数据量多少以实际运营情况而定。
数据安全告警以人、敏感数据、行为三个维度开展调查:
1)维度一:人,每个人在做操作时,都会有任何的理由驱动去做这个行为,需要了解员工的需求,如本次行为是个人行为还是业务行为,详细说明本次行为的需求,因为什么事情需要将数据外发,如果有证明就需要提供证明来确认属实。
2)维度二:敏感数据,了解数据的来源,数据从哪里来的,到哪里去,员工使用敏感数据是否是必要,是否遵守数据的最小化原则,后续是否还需要该数据以及确认使用完数据是否及时删除。
通过以上判断是否需要进一步深入挖掘或者上报给告警运营小组长。
3)维度三:行为,在通过第三方软件外发的这件事情上,是否是个人行为,还是经过领导授权,如果经过领导授权,如果有证明就需要提供证明来确认属实,如果没有就需要找该员工领导核实。
当收集完以上信息的时候,就可以根据以上信息分析调查告警是否存在可疑行为,核实这个行为是否存在异常,如果存在异常,第一时间上报给告警运营小组长,也会在每日运营晨会中,由安全运营组审核告警是否还有进一步挖掘的空间或者升级处置。
安全运营组审核在审核告警过程中,如果有出现可疑行为,会深一步核实,如果出现违规事件,那么会进一步对告警升级处置,会对该告警上报事件;如果需要对策略改善需求,那么就会把该告警传至策略组进行完善策略;如果出现泄露行为,将会把告警上报给安全总监核实是否由合规法务部介入。
当然,除了技术层面的措施,教育和培训也是至关重要的。用户需要了解数据安全的重要性,学习如何保护自己的个人信息和数据。很多时候在外发敏感数据时,员工可能只是习惯性,组织也应该加强员工的安全意识,提供培训和指导,以防范社会工程和钓鱼等攻击手段。
