0
| 本文作者: 李勤 | 2019-11-26 14:30 |
不知道你們有沒有這種感覺,一堆騷擾、推銷電話時常扎堆打過來,清凈一段時間后,又開始如被鞭尸般撈起來繼續(xù)被“騷擾”。
讓人有種恍如隔世的感覺:我的信息到底是在哪個環(huán)節(jié)泄露的?
住過萬豪酒店的朋友們應(yīng)該能體會雷鋒網(wǎng)編輯的這種想法,2018 年 3.83 億預(yù)訂喜達屋酒店客戶的詳細個人信息遭到泄露。今年 7 月,這家公司被英國罰款 1.24 億美元。
畢竟 1.24 億美元的罰款也不會被平分給這些被泄露信息的受害者,說來也沒什么可高興的。它只發(fā)出了一個嚴重警告的信號:出來混,泄露信息,是要挨罰的。
聽起來有點嚴重,前陣子,中國一些涉及非法爬蟲業(yè)務(wù)的所謂“大數(shù)據(jù)風(fēng)控”企業(yè)日子不好過,被抓的傳聞四起,這兩天的一個消息是,江蘇淮安警方依法打擊了 7 家涉嫌侵犯公民個人信息犯罪的公司,涉嫌非法緩存公民個人信息 1 億多條,其中,拉卡拉支付旗下的考拉征信涉嫌非法提供身份證返照查詢 9800 多萬次,獲利 3800 萬元。
因此,考拉征信服務(wù)有限公司及北京黑格公司的法定代表人、董事長、銷售、技術(shù)等 20 余名涉案人員被警方一起帶走了。
看上去,這些“主動”把個人信息拿來賺錢的企業(yè)果然沒有好下場。但對“被動挨打”也要認,被人盯上數(shù)據(jù)的企業(yè)就只能渾渾噩噩過日子了嗎?
并不是。按照一個樸素的道理,如果一個人抱著金銀珠寶上街,起碼也要配備一兩個保鏢,如果是拍賣公司運貨,可能配上的是一個安保公司全方位的服務(wù)。
當(dāng)然,還有一些本來就有錢有勢的“大富豪”,可能直接出手成立一家專為自己服務(wù)的安保公司。
這種樸素的理念映射到現(xiàn)代企業(yè)保護自己的各類數(shù)據(jù)或者數(shù)據(jù)庫,也很好理解:有錢有人的大公司自己有安全部門、安全人員,甚至自己研發(fā)了保護工具,一般企業(yè)還是購買專業(yè)方案,也就是購買“安保公司的服務(wù)”。
由于對數(shù)據(jù)的保護實在迫在眉睫,一家專業(yè)數(shù)據(jù)“安保公司”美創(chuàng)甚至將之前主打的“數(shù)據(jù)庫安全”增長到“數(shù)據(jù)安全”,他們做出這個決定是在兩年前。
為什么會有這種變化?保護數(shù)據(jù)的思路應(yīng)該是什么樣?雷鋒網(wǎng)與美創(chuàng)公司的 CTO 周杰聊了聊。
口述:周杰 | 整理:李勤
我所指的數(shù)據(jù)安全是指要防止數(shù)據(jù)被惡意泄漏,或者是被惡意拖庫、撞庫、弄壞、被加密等。數(shù)據(jù)庫防火墻、數(shù)據(jù)庫審計、防水壩、加解密、防勒索、業(yè)務(wù)安全審計、脫敏等肯定是我們的主流產(chǎn)品,當(dāng)然,災(zāi)備也不可能丟掉,任何系統(tǒng)都需要做災(zāi)備,災(zāi)備嚴格來講也屬于安全產(chǎn)品。現(xiàn)在線下遷移到線上,上云的態(tài)勢很猛,異構(gòu)的數(shù)據(jù)庫遷移產(chǎn)品很重要。
不過,有些公司對數(shù)據(jù)安全的理解就等同于只有數(shù)據(jù)庫災(zāi)備,我理解的是,就算你只用災(zāi)備產(chǎn)品,也不應(yīng)局限在數(shù)據(jù)庫災(zāi)備上,它應(yīng)該是全業(yè)務(wù)的災(zāi)備。
比如,一個企業(yè)可能除了主系統(tǒng),還有很多微服務(wù),應(yīng)用系統(tǒng)宕機后,切換是很困難的,如果有100個微服務(wù),備份順序如何?是否能實時備份?這是很復(fù)雜的情況。
國內(nèi)很多數(shù)據(jù)安全廠商是從傳統(tǒng)安全廠商轉(zhuǎn)型而來,他們的防護理念是從外到內(nèi)的,他們從黑客的角度出發(fā)想問題,并沒有明確的保護對象,是在梳理攻擊者的攻擊路徑,保護程度可能比較淺,從 IP 到端口就完了。沒有實時阻斷,可能只有旁路阻斷,實際上旁路阻斷是偽命題,它不可能實現(xiàn)100%阻斷,流量一大,肯定無法阻斷危險操作。
我們的思路是從內(nèi)而外出發(fā),有明確的保護對象,也就是數(shù)據(jù)。
我們首先會定義“有什么東西”,梳理核心資產(chǎn),從保護對象出發(fā),可以精確了解攻擊方式,從而縮小攻擊面。比如,對一個數(shù)據(jù)庫的破壞有哪些形式?用勒索病毒加密、物理拷貝、 通過 SQL 語句刪除數(shù)據(jù)或竊取數(shù)據(jù)等。
除了縮小攻擊面,還要盡量隱藏攻擊面。
比如,MySQL 的默認連接端口是3306,如果把 MySQL 的 3306 端口變成了 3308,就可以在黑客撒網(wǎng)式批量掃描過程中增加一些免疫的效果,雖然只是一點點,但它是有作用的。如果我們的敏感資產(chǎn)不會被發(fā)現(xiàn),自然受攻擊的可能性大大減小。
我們還可以在 3306 的端口上放個陷阱,模擬 MySQL,把攻擊流量引入陷阱,用于來分析或定位黑客。
很多廠商的思路是,“漏報”比“誤報”好,如果當(dāng)下對一個“威脅”不能確定,會先放過,等問題上報、分析、檢測這一套漫長的運營流程下來后,事情就可能已經(jīng)發(fā)生了,傷害已經(jīng)造成,要有什么效果也只能等到下一次。
面對核心資產(chǎn),不能放過任何一個危險操作。美創(chuàng)的理念還是實時阻斷,采取動態(tài)的策略,知白守黑。好人是可被窮盡的,壞人是不可被窮盡的。
比如,做 PDF 防篡改,能夠編輯 PDF 的軟件有多少?95% 的企業(yè)用的都是同一種,我們只要做出一個畫像,確定了關(guān)鍵指標(biāo),別人想偽造這個軟件也很難,只有具有合法身份的訪問才被允許。
安全要上馬,對用戶來說,也不是一件容易的事情。
我們在和用戶交流中,常常發(fā)現(xiàn)他們有這樣的疑慮:上了安全系統(tǒng)是否會影響業(yè)務(wù)系統(tǒng)?業(yè)務(wù)系統(tǒng)可能在 99% 的時間保持工作狀態(tài),安全系統(tǒng)可能是在 1% 的時間里抵御攻擊,所有的安全系統(tǒng)都是為了保障業(yè)務(wù)的正常進行,不能上了一套系統(tǒng)把業(yè)務(wù)搞癱了。
所以,我們研究數(shù)據(jù)安全防護必須盡量取得平衡。
首先,安全策略要盡可能動態(tài)化,減少對用戶正常工作的打擾。引入自學(xué)習(xí),讓策略更加聰明。
其次,當(dāng)安全系統(tǒng)真出現(xiàn)異常的時候,讓安全系統(tǒng)從串行變成旁路,保證業(yè)務(wù)系統(tǒng)正常運行,讓業(yè)務(wù)系統(tǒng)先好好干活,稍微閑余時再抓包分析。
我們始終認為,安全應(yīng)該是一個防護鏈,而不是某個點。
在數(shù)字化轉(zhuǎn)型的大背景下,數(shù)據(jù)一直在流動,也就導(dǎo)致了數(shù)據(jù)所處的位置是不同的。根據(jù)數(shù)據(jù)所處位置的不同,可以把數(shù)據(jù)分為三類:在數(shù)據(jù)中心、在流動路上、在終端上。
對不同位置上的數(shù)據(jù),保護策略不一樣。
對于在數(shù)據(jù)中心的數(shù)據(jù),因為對“云廠商”天然的不信任,對數(shù)據(jù)進行加密災(zāi)備是必須的。數(shù)據(jù)中心的數(shù)據(jù)本來就是供人訪問的,要進行數(shù)據(jù)交換,因此在校驗身份上沒那么簡單,進行多因子身份認證是必須的,對這一點,各家都有自己的方案。
我們的思路是,除了驗證最基本的賬號和密碼,還要驗證訪問者的操作系統(tǒng),用何種應(yīng)用程序連接,如果說我們只是解析協(xié)議,得到的信息是有限的,因此我們可能需要在訪問者的終端上安裝一個代理,報告進程的哈希值或者簽名,從源頭上控制訪問端,排除惡意軟件的連接。
確認身份后,還需要分析上下文的語境,弄清楚為什么這個訪問者需要訪問,為什么是這個時間段,在這個地址發(fā)起訪問。對于工作時間以及常用地址之外的訪問,我們會先判斷有風(fēng)險。
總之,還是盡可能地描述訪問者的畫像,并在數(shù)據(jù)中心進行相應(yīng)的防護。從不信任,永遠驗證。
審計也是很重要的一環(huán),把所有的操作都審計下來,有助于事后的分析,回溯。
因為數(shù)據(jù)是流動的,我們要對敏感數(shù)據(jù)進行脫敏,對脫敏之后數(shù)據(jù)進行全鏈路加密。
所謂脫敏,就是去掉敏感信息,保留原來數(shù)據(jù)一定特征,即保持數(shù)據(jù)原有的可用性。也是說對數(shù)據(jù)進行脫敏過程中,得到的結(jié)果一定是這個數(shù)據(jù)還是可以用的,能保持原有的特征,能讓數(shù)據(jù)共享方獲得的數(shù)據(jù)仍然可以用、可以處理、可以提取相應(yīng)的特征價值,從而獲得原有對數(shù)據(jù)的要求。
脫敏分為靜態(tài)脫敏和動態(tài)脫敏。
靜態(tài)脫敏往往是線下的、旁路的;動態(tài)脫敏往往是線上的、活的數(shù)據(jù)。
靜態(tài)脫敏一般用在非生產(chǎn)環(huán)境,把數(shù)據(jù)批量離線做脫敏,把生產(chǎn)環(huán)境里結(jié)構(gòu)化數(shù)據(jù)、非結(jié)構(gòu)化數(shù)據(jù)進行脫敏之后,加載到非生產(chǎn)環(huán)境使用。用于開發(fā)測試等。動態(tài)脫敏是實時脫敏,一般應(yīng)用環(huán)境是生產(chǎn)環(huán)境,訪問敏感信息時再脫敏。根據(jù)場景、權(quán)限、角色不一樣,對同一個敏感信息時有可能進行統(tǒng)一的屏蔽,也可能不同的屏蔽,根據(jù)場景操作。
此外,大家都在提數(shù)據(jù)水印,就是防止在數(shù)據(jù)的流轉(zhuǎn)中泄密而找不到流失源頭。
我們一直想實現(xiàn)的是一種透明水印,使用者看不到,但一旦泄密,可以通過水印逮到泄露者,這種靈感來源于“藏頭詩”:如果我發(fā)給你10000 行記錄,在第一行某個地方寫一個字,在其他行寫一個字,用戶對此是無感知的。
數(shù)據(jù)安全技術(shù)還會有這些趨勢:
第一,隱私計算,我們經(jīng)常有一些數(shù)據(jù)需要流動和外發(fā),不可能把所有的數(shù)據(jù)進行脫敏,有些數(shù)據(jù)的脫敏程度不高的話,復(fù)原也不是難事。
數(shù)據(jù)隱私的保護手段,主要分為可信硬件和密碼學(xué)兩個流派。硬件方面主要是可信執(zhí)行環(huán)境(Trusted Execution Environment,TEE),而密碼學(xué)方面有同態(tài)加密(Homomorphic Encryption),安全多方計算(Multi-party Computation)和零知識證明(Zero-knowledge Proof, ZKP)。
TEE 可能會是個方向,但是 TEE 這條路大家也是剛開始走。基于硬件的方案也有問題,比如升級困難。當(dāng)MPC,同態(tài)加密等有重大突破的時候,TEE 會退休。
第二,就是云化和大數(shù)據(jù)化,我們在這里也要做很多東西,未來的數(shù)據(jù)安全在云端。
第三,自適應(yīng)安全架構(gòu)。以一些安全策略為例,如果安全策略定得太寬松,沒什么用,定得太細致則會干擾正常業(yè)務(wù),所以我們要讓策略根據(jù)情況調(diào)整。
第四,數(shù)據(jù)庫加解密也是方向之一,數(shù)據(jù)庫加解密一直是個業(yè)界難點。國內(nèi)很多企事業(yè)單位用的加密算法是國外算法,在過保上可能會遇到一些問題,現(xiàn)在有國密算法,在安全可控的大背景下,數(shù)據(jù)庫加解密支持國密算法大有可為,但國產(chǎn)替代會是一個比較長期的過程。
雷峰網(wǎng)原創(chuàng)文章,未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。
