美创荣获“中国数据安全领域最具商业合作价值企业”
2024-08-28
国家数据局:数据产业和企业数据资源开发利用政策即将出台
2024-08-28
从这三方面入手,杜绝“删库跑”!
2024-08-22
2024网安创新大赛,美创产品方案双获奖!
2024-08-19
美创科技登榜《2024信创500强》!
2024-08-12
存储域
数据库加密 诺亚防勒索访问域
数据库防水坝 数据库防火墙 数据库安全审计 动态脱敏流动域
静态脱敏 数据水印 API安全 医疗防统方运维服务
数据库运维服务 中间件运维服务 国产信创改造服务 驻场运维服务 供数服务安全咨询服务
数据出境安全治理服务 数据安全能力评估认证服务 数据安全风险评估服务 数据安全治理咨询服务 数据分类分级咨询服务 个人信息风险评估服务 数据安全检查服务在日益复杂的现代网络安全领域,SOC(security operations center,安全运营中心)和数据安全团队时常处于各自的信息孤岛之中,使用不同的门户进行工作,双方之间的合作有限。尽管这种分隔意在简化运营,但可能会导致严重的盲点,使得组织陷入对威胁和数据事件的被动应对局面。数据安全团队专注于保护敏感数据,而安全团队则优先考虑威胁的检测和响应。它们之间的协同作用需求经常被组织所忽视。因此,在增强威胁检测与响应能力的过程中,关键的决策和其所需的背景信息之间存在着脱节。
这种碎片化的工具环境造成了一种虚假的安全感,因为使用16及以上个工具的组织与使用较少且更集成解决方案的组织相比,所经历的数据安全事件数量要高出2.8倍。于是,在数据和安全运营之间手动进行关联变得必不可少,这也导致了在识别和解决潜在安全漏洞方面的低效率和高延迟。
只有弥合数据安全和安全运营中心之间的鸿沟,组织才能更加有效地抵御不断演变的网络威胁。同时这也有助于确保组织在现代安全方面采取一种全面的解决方案,将有关敏感数据及其使用方式的见解融入到SOC经验中去。
01、数据是攻击者的主要目标
由于蕴含着巨大的价值,数据已然成为攻击者的首要目标,数据安全在保护敏感信息免受网络威胁方面起着关键作用。无论是个人可识别信息(PII)、财务记录还是知识产权,未经授权的数据访问都可能会带来灾难性的后果。据统计,受严重安全事件影响的组织每年应对安全事件的成本高达1500万美元。
数据泄露会给受影响的组织带来财务损失、声誉受损、法律后果以及客户信任丧失等后果。因此,对于组织来说,重要的是实施健全的数据安全治理、风险管理以及合规标准,以降低数据泄露带来的风险,从而保护其最有价值的资产。
02、了解攻击者的策略
随着,攻击频率和复杂性的不断攀升,SOC也在持续应对着不断演变的网络威胁。在大多数事件中,攻击者通常都以数据为目标。在过去的一年里,大约63%的公司数据泄露是由有意或恶意的内部人员造成的。攻击者使用的主要策略包括对存储敏感数据的设备进行加密,以获取赎金;窃取认证密钥以访问数据库;冒充员工;以及通过电子邮件外泄财务数据等。攻击者入侵成功后,他们便聚焦于像地址、出生日期和社会安全号码等敏感数据,意图通过在暗网上出售这些数据来获利。遭受攻击的组织所面临的危机往往是客户信任的丧失,恢复成本的增加,而受影响的个人则面临着身份盗窃的风险。
这就是为什么说SOC团队需要使用数据安全工具,来获取内部风险感知、数据敏感性分析以及数据安全预警等背景信息。这种额外的背景信息可以帮助安全团队及早发现潜在的数据威胁,在其演变成重大事件之前,更好地按照优先级来处理事件,调整警报级别,并有效地分配资源。因此,数据安全必须贯穿于SOC流程的各个方面。
在一些安全事件中,攻击者成功获取了用户的登录凭证,并将数据从受内部系统中外传,但该情况却往往会被误判为正常操作。例如将一个不涉及敏感信息的压缩文件复制到个人云存储账户中,这种行为只能引发较低严重等级的警报。但如果SOC结合着内部风险洞察信息来对安全事件进行分析时,就可以在预警发出之前察觉到那些可疑行为,并对其严重性程度有一个准确的评判。这些可疑行为包括将文件的敏感性标签降级以掩盖其实际内容,以及将文件压缩成zip格式,然后上传到个人云存储中等,并且这些都超出了SOC在受监管设备上的监视范围。
03、构建以数据为中心的SOC实践
将数据中心化贯穿于整个安全工作有助于SOC更加有效、快速地识别并应对数据泄露事件,从而降低组织所面临的安全风险。以下是每个步骤中需要考虑的因素:
调查: 确保将数据丢失预防(DLP)和其他以数据为中心、与内部风险相关的警报纳入到组织的威胁事件中。
搜寻: 建立积极主动的搜寻实践,利用审计日志来跨文件、位置以及用户来进行搜寻,以便更好地发现潜在威胁。
定制化: 根据文件的数据敏感程度,来制定安全事件列表,并对事件进行优先级排序。
随着安全实践的不断增强,安全团队需要一个强大的SOC,来提供超越终端和身份的数据源可见性,以及一个可以通过DLP工具、内部风险信息、电子邮件安全等方式来提升安全事件上下文洞察力的全面策略。通过将数据安全无缝整合到SOC框架中,组织可以建立一个促进各部门协同的平台,使其能够在数据泄露事件中迅速做出处理并适应。
点评
与依赖安全日志和网络流量来检测安全事件的传统SOC不同,以数据安全为中心的SOC主要关注的是数据本身的流动以及利用情况,需要通过监控数据访问、检测异常行为和分析数据活动来识别潜在的数据安全风险。
如今,涉及数据泄露的场景繁多且复杂,单纯依靠传统的被动式防御措施已无法抵御精密谋划的攻击手段,任何基于单点防御的体系都存在被绕过或欺骗的风险。因此,组织需要采取更加综合和多层次的安全策略,来应对复杂的数据泄露威胁,以提高整体的安全性。