m o h t i g b u c . 5 m o h t i g b u c . 5 本|期|看|点 P04 《数据安全法》下金融数据安全风险评估研究与实践 m o b u c . 5 P12 h t i g 【安全告警数据分析之道:一 】数据透视篇 S 安全月报 2021年第10期 绿盟科技金融事业部 目录 CONTENTS 安 全观点 P04 《数据安全法》下金融数据安全风险评估研究与实践 行 业研究 安全告警分析之道 P12 【安全告警数据分析之道:一】数据透视篇 P25 【安全告警分析之道:三】异常处理篇 P20 c . 5 【安全告警数据分析之道:二】数据过滤篇 安全事件 b u P31 两程序员制作证券软件外挂:可侵入 84 家证券公司交易系统 P36 厄瓜多尔最大私营银行遭遇网络攻击,业务被迫中断 h t i g P33 P39 Firefox 插件“Safepal 钱包”窃取加密货币 FIN7 利用 Windows 11 的发布进行攻击 漏 洞聚焦 P42 P52 安全月报在线阅读 绿盟科技官方微信 m o Oracle 全系产品 10 月重要补丁更新通告 微软 10 月安全更新多个产品高危漏洞通告 安 全态势 P62 互联网安全威胁态势 S c .  全b5 安 u h t 观点 i g m o 安全观点 《数据安全法》下金融数据安全 风险评估研究与实践 绿盟科技 施岭 数据安全现状分析 在《数据安全法》体系之下,2019年至2021年金融行业发生多起事件,相关 b u c . 5 部门对数据安全下达多项指导意见和方针,金融机构应在可见的法律和规范内进 行合规化建设,避免因某些无意识的操作而造成数据泄露,从而遭到处罚。 h t i g 金融行业数据存在四方面特性,一是存在形式多样式,包括结构化数据、半 结构化数据、非结构化数据,二是动态流转复杂性,包括全生命周期动态流转、 实际业务驱动数据动态流转,三是数据主体多样式,包括基础设备、数据中心、 部门间和第三方机构,四是数据价值模糊性,包括数据确权问题、数据归属认 责、数据价值准确评估。 应对上述特性,很多企业都在做数据咨询服务。全行业可以把数据咨询服务 分为数据分类分级、个人信息安全影响评估、数据安全评估、数据安全管理体系 建设、数据安全培训等。 4 安全月报 / 2021.10 m o 安全观点 m o c . 5 b u 数据安全数据安全第一步:分类分级 h t i g 《数据安全法》第三章第二十一条明确提出,国家建立数据分类分级保护制 度,依据危害程度,对数据实行分类分级保护。各地区、各部门应当按照国家有 关规定,确定本地区、本部门、本行业重要数据保护目录,对列入目录的数据进 行重点保护。 在进行数据分类分级之前,首先要明确所有数据的属性,做数据资产的识 别。识别数据资产、建立数据资产清单、掌握数据重要程度是风险评估的基础, 也是数据分类分级管理的基础。 2021.10 / 安全月报 5 安全观点 数据分类分级需要一定原则 性,其中数据分类基于系统性、规范 性、稳定性、扩展性、明确性等,数 据分级基于依从性、可执行性、时效 性、自主性、合理性、客观性等。 《数据安全法》基于敏感赋值,将数 据的类别分为一般数据、重要数据、 m o 核心数据。数据分类分级的目的是将 数据以标签化的模式进行管理。 c . 5 在进行分类分级时,可以利用 扫描工具最大化提升效率。目前,市 面上已经推出一些数据扫描工具, IDR产品设计融入了实施需求,是数 据分类分级的绝佳搭档。 数据的分类分级需要前期准备工作、数据资产调研、数据分类分级、制 b u 定分级管理办法、汇报与总结等必不可少的流程,每一个流程都有其相对应 的服务成果,比如过程文档-项目实施计划、数据资产调研记录、《数据分类 h t i g 分级表》和《数据资产清单》《数据分级管理办法》《数据分类分级服务报 告》等。 以个人金融信息数据分类分级为例,按敏感程度从高到低分为C3、C2、 C1三个类别,即高敏感、中敏感、低敏感三类。两种或两钟以上的低敏感度 类别信息经过组合、关联和分析后可能产生高敏感程度的信息,同一信息在 不同的服务场景中可能处于不同的类别,这些应依据服务场景以及该信息在 其中的作用,对信息的类别进行识别,并实施针对性的保护措施。 6 安全月报 / 2021.10 安全观点 数据分类分级需要明确数据安全的组织责任,将《数据分级安全管理办法》 结合数据分级管控策略,结合数据生命周期的每个阶段,把数据安全的访问控制 落到实处。 m o c . 5 b u h t i g 数据安全风险评估实践 《数据安全法》第四章第三十条明确提出,重要数据的处理者应定期开展风 险评估,并向有关主管部门报送风险评估报告。数据安全风险评估能够帮助组织 发现自身数据安全问题和短板,明确数据安全保护需求,为建设数据安全管理和 技术手段指明方向,给出解决方案。 数据应用场景与数据生命周期息息相关,包括数据收集/产生、传输、存 储、调取、加工分析、外发等数据行为。每个数据类型都对应着多个数据应用场 景,每个应用场景背后都有潜在的安全风险和合规风险。 2021.10 / 安全月报 7 安全观点 对于个人信息而言,需要分析 其中是否存在对个人权益的影响,以 及影响程度。典型的个人权益影响类 型包括影响个人自主决定权、引发差 别性待遇、个人名誉受损或遭受精神 压力、个人财产受损等。 安全事件的可能性分析需要从 m o 网络环境与技术措施、处理流程规范 性、参与人员与第三方、安全态势及 c . 5 处理的规模等四个方面入手。 风险分析的各项活动在识别出 的具体数据应用场景中展开,从场景 当数据安全发生风险时,需要采取适当方式进行处置,一是控制风险, b u 中识别数据威胁、脆弱性、已有安全 即及时发现风险,降低损失,二是转嫁风险,即可利用安全公司、保险公 发生可能性、脆弱性和可利用性、脆 关人员的安全意识,四是接受风险,即在无法避免风险的前提下,及时溯源 措施、数据资产,进而判断数据威胁 弱性对数据影响严重程度、数据重要 程度,进而得出安全事件可能性、安 全事件后果,然后将其赋值,变成一 种风险值,最终形成风险分析报告。 8 安全月报 / 2021.10 司等第三方机构进行风险转嫁,三是避免风险,即做好日常监测,培养相 h t i g 处置。风险处置措施的涉及风险描述、风险值、风险处置措施、风险处置步 骤、相关责任人、预计时间、风险级别等。 根据数据安全风险评估结果,针对每一个数据的安全风险,结合被影响 的数据资产重要程度,应选择恰当的数据安全控制措施,实现数据分级分类 管理与保护。 安全观点 数据安全治理全景介绍 依据方法论,绿盟科技通过五个阶段对数据安全进行治理。一是“知”, 即制定规范与定义敏感数据,二是“识”,即数据分类分级与风险评估,三是 “控”,即安全策略与控制敏感数据,四是“察”,即安全监察与行为追踪溯 源,五是“行”,即安全事件处置与持续运营。 m o c . 5 h t i g b u 2021.10 / 安全月报 9 安全观点 m o b u c . 5 h t i g 10 安全月报 / 2021.10 S c .  业b5 行 u h t 研究 i g m o 行业研究 安全告警分析之道 【安全告警数据分析之道:一】数据透视篇 绿盟科技 天枢实验室 摘要 日前,在企业安全运营当中, SIEM的热潮已经逐渐淡去,很多 企业已经逐渐成立了安全运营中心 (SOC),收集到了海量安全数据。 但是如何利用这些数据,如何进行分 析等问题并没有很好地解决。数据往 m o c . 5 条件,但这一前置过程往往被忽略。本文为系列文章的首篇,浅谈对安全告 警数据分析的思考,并且以一次实际网络攻防演习数据为例,介绍对告警数 据进行标记的方法,分析并总结可能的研究点和数据的潜在价值 一、概述 h t i g b u 随着现代企业网络结构的复杂化,如复杂的网络分区、企业上云、新型 往只是做简单存储,数据价值未得到 网络设备等,安全设备的告警量与日剧增。虽然SOC团队一般会对这些告警数 还是“数据”,做攻击离不开各种资 的压力。根据实际经验,一般来说,一个业务稍微复杂一点的大中型企业, 体现。其实在网络安全领域最重要的 产数据、漏洞数据,做防御离不开资 产数据、设备告警数据,对各种攻击 活动的分析更是离不开DNS、样本、 用户行为等数据,《安全告警数据分 析之道》为系列文章,旨在对企业网 络侧安全告警数据进行深入分析,挖 掘数据的潜在价值,助力企业日常安 全运营。 实际上为了分析安全告警,近 年来一些公司以数据分析、人工智能 的方法来分析这些数据,而分析、理 解数据,进而对数据进行标记往往是 使用人工智能算法等高级算法的必备 12 安全月报 / 2021.10 据进行存储,但是暴增的数据量与合理分析方法的缺失进一步加重了SOC团队 每天的告警数据量会达到百万量级。在工业界,这类数据基本组成少有暴 露,数据的整体轮廓往往不得而知,而处理方法往往太过抽象,如使用UEBA 的方法,目前笔者也尚未接触到对此类数据进行完整分析的方法;另一方 面,在学术领域,对IDS的数据研究从本世纪初就开始了,然而那时候的网络 结构比较简单、攻击手法较为单一,近些年虽然也有零星的研究成果出现, 但依然使用20年前的数据集,借鉴意义不大。那么安全告警分析之路该何去 何从?安全告警数据到底有何价值?本文将给出见解。 二、安全告警分析的能与不能 如图1所示,企业一般会在内网和企业网络出口部署安全设备,这些安全 设备会对流经的网络流量进行威胁分析。而主流的安全设备的检测方式还是 行业研究 安全告警分析之道 基于规则的检测,并且对于加密流量并没有什么好方法,最多也就是能记录一些 加密通信的日志,如SSL协商日志。总结来说基于网络侧的安全告警数据分析无 法解决以下问题: 1. 不经过安全设备的流量。实际上这种场景很常见,企业往往只会在重要资 产前或者大的区域前部署安全设备,而且攻击者也有各种各样的方式让流量不经 过安全设备; 2. 不在规则中的攻击行为。大型网络演习中,攻击者往往会掏出珍藏的 m o 0-day漏洞进行攻击,这种攻击不会在网络侧产生告警,往往需要在主机

pdf文档 绿盟科技 金融行业安全月报 第202110期

文档预览
中文文档 76 页 50 下载 1000 浏览 0 评论 0 收藏 3.0分
温馨提示:本文档共76页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
绿盟科技 金融行业安全月报 第202110期 第 1 页 绿盟科技 金融行业安全月报 第202110期 第 2 页 绿盟科技 金融行业安全月报 第202110期 第 3 页
下载文档到电脑,方便使用
本文档由 路人甲 于 2022-07-17 01:21:44上传分享
站内资源均来自网友分享或网络收集整理,若无意中侵犯到您的权利,敬请联系我们微信(点击查看客服),我们将及时删除相关资源。