<style type="text/css"> .wpb_animate_when_almost_visible { opacity: 1; }</style>

核心數據安全

核心數據安全包括:
l  核心數據分類及特權賬戶管理;
l  敏捷開發及代碼安全;
l  數據備份及業務連續性;
l  數據加密及準出管理。

 
一、核心數據分類及特權賬戶管理

       對于核心數據的保護,首先需要對核心數據資產進行梳理,分類分級進行治理,建立特權賬戶管理平臺,
身份及訪問管理(IAM)的核心就是特權賬戶管理(PAM)。IAM考慮的是確保正確的人能有恰當的權限,在正確的時間,以恰當的方式,訪問該訪問的系統,且所有牽涉其中的人都認為該訪問是正確的。PAM則是將這些原則和操作,簡單應用到“超級用戶”賬戶和管理憑證上。此類憑證的例子包括:Unix和Linux系統的root賬戶、活動目錄(AD)的Admin賬戶、業務關鍵數據庫的DBA賬戶,以及IT運營所需的大量服務賬戶。
PAM是減小數據泄露風險和最小化數據泄露影響的頂級操作。PAM的主要原則有:杜絕特權憑證共享、為特權使用賦以個人責任、為日常管理實現最小權限訪問模型、對這些憑證執行的活動實現審計功能。
不幸的是,太多公司使用的是很原始的工具和實踐來保護并管理特權賬戶和管理員訪問,尤其是:
  • 18%的受訪者承認使用紙質日志來管理特權憑證
  • 36%用電子表格進行管理
  • 67%依賴2種或2種以上的工具(包括紙質和電子表格)來支持他們的PAM項目
盡管很多公司正在嘗試管理特權賬戶(該嘗試用的只是相當有限的工具),真正監視這些“超級用戶”權限所執行活動的,卻相對較少:
  • 57%的受訪者承認僅監視了部分或根本沒有監視其特權賬戶;
  • 21%承認自身并沒有監視特權賬戶行為的能力;
  • 31%報告稱發現不了以管理憑證執行活動的個人,換句話說,近1/3的人實現不了強制性的個人責任,而這對防護和風險緩解又是如此重要。
如果這些數據還不夠嚇人,還有數據表明太多組織(商業、政府和全球各類組織),甚至連最基本的常識性操作都沒能做到:
  • 88%的人承認在管理特權口令上有困難;
  • 86%的人在管理員口令用過后都不修改——為前文提及的提權和橫向移動行為大開方便之門;
  • 40%直接留用系統、服務器和基礎設施的默認管理員口令,徹底消除了壞人費勁獲取權限的必要。
       很多簡單的常識性操作,比如管理員口令每次用過后都做修改、不留下默認口令等,就可以解決很多問題。不過,對技術和實踐進行升級,以清除人為錯誤或因密碼管理實踐繁瑣而產生的懈怠,也可以添加一層保障和個人責任。還有更為重要的一點就是腳本文件和程序源代碼中留存的明文數據庫密碼等也會給組織帶來巨大的數據泄露風險。
因此,可以完成移除IT系統的明文密碼,平臺自動化定期或按需改密,操作審計,最小權限化功能的PAM特權賬戶管理平臺就成為了核心數據保護的零步驟。
 
 

CyberArk特權賬戶管理平臺+RSA雙因素認證系統是此方案的首選產品。
 
 

 
  
 
二、敏捷開發和代碼安全

應用安全自動化需求
       在軟件開發的任何階段忽略不安全代碼的風險都是不負責任的,不安全的代碼編寫是首當其沖的安全風險。隨著軟件逐漸占領這個世界,軟件的安全性變得越來越重要。幾乎每個研究都表明,很多Web應用程序和移動APP都有嚴重的漏洞。
但問題的規模實在太過龐大,導致人為難以控制,這時就需要自動化上場了。我們需要能夠幫助新手開發者可靠地構建和操作安全應用程序和API的工具。我們必須將紙質的安全政策和指導轉變為“安全代碼”,而不破壞現代化的高速軟件開發。
不幸的是,安全的應用程序開發通常不能以所需的速度和規模操作。現在的產品迭代速度十分快,敏捷開發是開發者的必備技能。傳統的安全方法可能會很完備,但破壞了軟件生命周期,這些程序往往很依賴某些專家,工具僅供專家使用。
敏捷開發的今天,如何保證應用程序安全?
 
軟件安全越來越難以確保
讓我們來看看難以確保現代軟件安全的一些因素:
首先,自從依賴管理工具(如Maven)誕生以來,框架和庫開始爆炸式增長,這導致應用程序有幾百個庫,而不僅僅是幾個。這種大規模的增長使得更難找到漏洞。因此,必須知道這些庫的作用及其如何通過自定義應用程序代碼實現。
此外,還存在使用API(REST,SOAP,RPC等)來創建Web 應用和移動應用的趨勢。這些API很難評估和保證,因為它們的通信結構難以理解。除非有好的工具可以理解,否則不會產生很好的效果。
最后,高速軟件開發實踐(如敏捷開發和DevOps)已經破壞了傳統的安全方法。以前的公司一般是等到部署之前,一次性做一個深入的安全審查,可能需要幾個星期才能完成。然而,當項目按每周,每天或每小時部署時,就完全沒時間進行深入安全審查了。我們需要一種不同的方法和工具。
 
在現代軟件項目中自動化應用程序安全的最佳實踐
現代軟件開發需要持續的安全性以及持續集成、交付、部署。簡而言之,挑戰就是在現在的開發流程中保證軟件的安全可靠。
  1、選擇應用程序安全工具,以提高速度,易用性,準確性和可擴展性。實時反饋和易用性至關重要。Appsec工具可在開發和操作中使用,而無需有安全經驗。
  2、將安全直接集成到管道中。為了縮短反饋周期,尋找能夠將結果直接提供到已使用的工具中的,例如Slack,HipChat,JIRA,Maven,Jenkins,SIEM和PagerDuty,使安全問題看起來就好像是開發或操作中遇到的普通問題。
  3、檢測漏洞。現代軟件開發過程需要對漏洞快速反饋,傳統靜態(SAST)和動態(DAST)掃描儀難以自動化反饋并容易生成假警報。可以使用較新的交互式(IAST)工具,使用最新的技術從內部評估應用程序。
  4、避免被攻擊。應用程序防攻擊保護不僅僅是針對已知攻擊的防御,它提供了一種快速和靈活的方式來阻止未知攻擊。傳統的Web應用程序防火墻(WAF)創建網絡架構的方式既復雜又不準。幸運的是,運行時應用程序自我保護(RASP)得到了廣泛采用,其靈活部署和準確性令人印象深刻。
  5、使用威脅情報和安全研究來改善安全架構。使用通用工具搜索出較差的編碼是一個好的開始。但是當程序逐漸成熟,你可能希望你的工具自動執行預先選擇的安全模式。這是一種“積極”的安全方法。最終,你希望能夠自動驗證所有應用程序是否具有正確的安全防御措施,所有防御措施是否正確,以及這些防御措施是否已在適當的位置使用。
因此,敏捷開發和代碼安全要求一個可以配置的,完全的,自動化的,簡單的,貫穿開發全過程的應用程序安全工具,可以即時反饋漏洞和攻擊,可以創建一個軟件開發流水線,可靠地保護代碼和應用程序操作過程的每個階段。

CheckMarx應用安全測試是此方案的首選產品。
 
 
三、數據備份及業務連續性

數據迅速增長,在眾多的云、虛擬環境以及日益變化的應用程序平臺中變得更加支離破碎。海量數據,使得傳統數據保護解決方案無濟于事,因此需要一款可以支持企業核心數據資產無限擴展,無單點失效風險,靈活交付和部署,可以快速實現應用恢復的統一數據保護平臺解決方案。滿足無論是跨云、虛擬化環境,還是物理數據中心的統一數據保護和業務連續性需求。
統一數據保護平臺可以保證 IT 部門在控制成本和風險的同時,實現規定服務級別的唯一方式,不管數據位于內部還是云,一概適用。平臺需要具備以下特性:
  • 消除單點解決方案和基礎架構管理的復雜性。
  • 從容擴展,減緩存儲成本的暴漲并擴展至云。
  • 保護最嚴苛的大數據和超融合環境。
  • 用戶的管理任務簡化成幾次單擊操作。
·         加快保護數 PB 規模的群集化、分布式處理環境
·         智能發現數據和節點位置,進一步優化性能和存儲
·         以服務方式交付,簡化操作并提高服務級別。
·         通過一款解決方案、一個控制臺無縫管理多云數據保護
·         軟件、硬件和虛擬一體機,可靈活部署到任何位置

Rubrik下一代統一數據保護管理系統是此方案的首選產品。

 
四、數據加密和準出

       對于核心數據資產來說,在數據泄露或破壞的情況下保持數據的不可解密和敏感數據不外泄就成為了最后一道防線。
       事實上,核心數據資產的重要性很多企業都明白,不少企業采用網絡封鎖、行政約束、物理隔絕來防止機密外泄,但這些傳統的思路打造的嚴苛企業文化,往往使員工感到窒息,創造激情完全消失,工作效率降低,更無法全面保障企業機密。
  哪些數據需要保護?
       保護數據第一步就是審計。組織持有何種數據?數據被存儲在何處?哪些供應商、客戶、監管機構或工作人員有權訪問?這些問題十分重要,因為數據存在多種形式,而所有權卻十分晦暗不明。
       第二步,數據需要分級分類。不是所有數據都屬相同情況,有些不需要保密,如銷售手冊。而另一方面,客戶數據將被列為機密,特別是最近通過的立法中對泄露客戶數據的嚴懲更是推動了這一行為。所以,組織需要識別出高價值和具有戰略重要性的信息。
       因此,要想解決企業商業機密外泄,最根本的方法就是采用技術化的手段對數據資料的流轉進行靈活的管理和控制,確保數據從建立到訪問權限控制,以及流通的每一個環節都是安全的。技術性的解決方案相比傳統的解決思路更加靈活、更易控制、且更有效率。
       一旦將數據分類,三種減少數據泄露風險的策略性方法就出現了。
       第一種策略是用防護性壁壘保護敏感信息,這可以采取給信息加密的方式。對核心數據資產的文件及數據庫進行加密,確保在數據泄露或破壞的情況下保持數據的不可解密性。但這種方法有一些弊端。加密信息可能會致使工作流程繁瑣,也可能無法阻止擁有密碼且被信任的組織內知情人。這種策略會導致虛假的安全感。
      第二種策略是通過積極避免攜帶敏感信息以降低數據的價值。比如中興事件。
      第三種策略是部署DLP數據防泄漏系統。
傳統的DLP系統大多采用代理安裝模式,可以設定復雜的規則對已知的漏洞進行防護,來防止數據外泄。有以下幾種DLP的形式。
發現 DLP
發現DLP主動掃描您網絡上的筆記本電腦、服務器、文件共享和數據庫,提供一個駐留在所有這些設備上的敏感信息的分析。執行數據發現的一些解決方案,也需要在被掃描的機器上安裝一個代理
網絡 DLP
網絡DLP,通常稱為無代理DLP,提供網絡流量的可見性并可以對流量進行控制。檢查物理機或虛擬機的所有流量,如:郵件、網絡、即時通訊,然后可以執行強制的數據策略。部署則是通過物理設備或者虛擬機,然后配置網絡流量通過其進行檢查
終端 DLP
終端DLP主要依賴于運行于桌面、筆記本電腦、服務器、Windows、Linux、Apple OS的設備上的軟件客戶端。該客戶端提供可見性,并且在有需要的時候,對數據進行控制
應用 DLP
應用DLP提供在數據中心運行的應用系統數據安全保護,對進入應用系統的數據和應用系統中處理的數據提供敏感內容檢測和阻斷能力
云 DLP
云DLP,實際是將本地部署的DLP解決方案整體遷移至云上。解決遠程辦公場所和移動終端設備的敏感數據保護的問題,從而減少用戶需要購置多臺DLP硬件設備產生的額外費用
下一代增強DLP
增強DLP系統采用機器學習和AI技術,支持無代理安裝,免規則設定,旁路部署的簡單交付方式,可以及時發現一些無意識的、未知的泄漏行為,避免數據資產外泄。
 
 

Holonet下一代DLP系統是此方案的首選產品。
 
 
 
 
 
 

Date

2019年 03月 07日

Custom Field

Enter some text here

乒乓球直播吧