追求完美的数据防泄漏(DLP)是种错误的想法
2024-11-12 14:39:0 Author: mp.weixin.qq.com(查看原文) 阅读量:0 收藏

即使你用尽世界上所有的网络安全措施,来防止你的网站存在漏洞,但如果用户有重复使用密码的坏习惯,导致网络犯罪分子能够像这些用户一样登录到你的应用程序,这些安全措施也不会起作用。

企业正在投入大量资源,教育员工关于点击电子邮件和短信中的不可信链接的危险,但要让 100% 的员工 100% 完美地在 100% 的时间内检测出钓鱼攻击几乎是不可能的
这意味着,对于一个有决心的攻击者来说,只是时间和努力的问题,他们几乎可以访问任何企业网络。
网络安全的长期解决方案,在于区分哪些安全挑战应该是公司的个人责任,哪些应该来自承担基础安全责任的平台和服务。

01


完美 DLP 不存在

也不应该被追求

构建一个完美的数据防泄露系统是许多常见的陷阱想法之一。

当有抱负的创始人进行首席信息安全官(CISO)访谈时询问他们最关心的问题,防止数据丢失(无论是无意还是故意的)无疑会出现在许多安全领导者的十大关注事项列表中。他们会说

任何能够以正确的方式构建 DLP系统的人,即不会产生任何误报或漏报,并且可以在不给员工带来不良体验的情况下部署,都将变得富有。

然后现实是完美的 DLP 系统是不可能实现的事实。请不要误解我的意思,在这个领域确实有一些公司在做着令人印象深刻的事情,所以并不是我们缺乏人才或想象力。问题是,正如我一位朋友曾经说过的那样,“数据防泄露仅仅是有助于让诚实的人保持诚实”,即俗话说的“防君子,不防小人”。

因为能唯一确定某些行为是否恶意的方法是理解意图,而不是识别行为,而这一点目前是不可能的,无论工具可以聚合和关联多少日志源。

比如,当销售员工通过电子邮件发送大文件时,他们应该被阻止吗?好吧,也许不应该,因为在大多数情况下,他们只是试图完成自己的工作。或者,如果这意味着会影响他们的生产力和用户体验,应该阻止吗?

有些人可能会说,当然有一种方法可以分析文档,并决定是否应该分享,但即便如此,如果在第 67 页上写着“本文件应保密”,员工是否就不应该分享这份协议?

问题很多,但结论很简单,完美的 DLP 是不可能实现的。然而,这并不意味着数据防泄露不是一个好的市场细分领域。相反,如果一家公司有一个独特的角度,那么就应该积极追求这一点,但如果不是这样,仅仅想着理想的 DLP 是不够的。安全工具通常需要在准确性和噪声之间做出权衡。总会有误报和一些逃避检测的威胁,完美的安全性是无法达到的。

02


企业建立数据安全

本质是在订立契约

关于安全有一个理论,是这样讲的,你前门上的锁实际上并不是一个锁,而是一种社会契约。当你走到一扇门前时,那里的锁是房子主人对你的一种小小的提醒,表明里面的东西是他的,他希望你不要动那些东西。

我们知道在物理世界中,锁并不是完美的安全措施。一个挂锁很容易在几秒钟内被撬开、推入或切断。然而,我们的社会却像相信我们的储物柜、汽车和家是安全的一样运作。门可以从铰链上卸下来,窗户也可以被打破。从来没有一种锁是不能被打开的。

67 年来,世界认为它拥有了一种完美的锁。约瑟夫·布拉马对自己的锁设计非常有信心,以至于他在锁上写下了挑战,并将其挂在伦敦店铺的窗户外。胜出者将赢得相当于今天大约 25,000 美元的奖金。

通过保密实现安全之所以有效,是因为破解保密需要时间。例如,加密的有效性是以破解所需的时间来衡量的,而不是说加密是不可破解的。我们可以确定,只需几年的时间,计算机的处理能力就能在几分钟内破解现在需要数百年才能破解的信息。

因此,当涉及到计算机时,社会契约的概念更难理解。我认为部分原因是,要进入另一个人的电脑,我从未离开过自己的键盘。这一概念进一步被数字信息的性质所复杂化。如果我闯入你的房子偷走了一些东西,那么很明显我已经违反了社会契约。但如果说我闯入你的房子,只是拍照或用 3D 打印机复制你的物品,情况就不太明确了。这仍然是对社会契约的侵犯,但从心理上讲,这种行为更像是窥探或间谍活动,而不是盗窃。

有没有绝对的网络安全这样的事情?没有。但这并没有阻止人们问这样一个问题:“我们的网络是安全的吗?”仿佛这是一个非黑即白的问题。

Security is mostly a superstition. It does not exist in nature, nor do the children of men as a whole experience it. Avoiding danger is no safer in the long run than outright exposure. Life is either a daring adventure, or nothing.

安全大多是一种迷信。它在自然界中并不存在,人类整体上也没有经历过真正的安全。从长远来看,避免危险并不比直接暴露更安全。生活要么是一场大胆的冒险,要么就什么都不是。

               ---- 海伦·凯勒

海伦·凯勒认为“安全可以是一种冒险”的想法是非常迷人的,我认为这是我们作为社会正在经历的过程。我们每天都面临危险,从小到被盗的银行信息,大到对我们国家所依赖的政治过程的干扰。我们如何应对这些挑战定义了我们是谁,实际上给了我们一个机会,让我们成为比现在更好的人。

与其试图创造完美的安全,不如让我们把自己想象成由缺陷驱使的大胆冒险者。

03

提供整个系统的效能

才是网络安全的方向

Shape Security 的网络统计数据显示,典型的凭证填充攻击指收集从一项服务盗取的登录凭证,用来尝试入侵其他各项服务的相关账户。在主要网站上的成功率高达 2%。换句话说,使用从一个网站窃取的 100 万个密码,攻击者可以轻松接管另一个网站上的 20,000 个账户。现在将这些数字乘以用户重复使用密码的所有网站的总数,以及已报告的数据泄露事件的数量,就可以更好地了解威胁的程度。当然,这仍然只包括我们已知的数据泄露事件。谷歌的新研究指出,网络钓鱼可能是比数据泄露更大的被盗密码来源,这使得问题的范围更大。

那么,需要改变什么呢?网络安全团队当然正在努力解决这个问题。双因素认证(除了密码外,还需要输入发送到移动设备的代码以登录网站)有所帮助。不幸的是,由于用户觉得不便,以及面向消费者的网站不愿意将其作为登录的强制组件,它的采用率极低

公司陷入了建立新服务、经历公共安全事件、然后实施新的安全控制和协议的循环,这些看起来有效,直到它们不再有效。这一循环的一个基本问题是,对于大多数公司而言,攻击者有太多方式可以利用技术基础设施的任何部分来入侵它们或造成伤害。

大型企业通常运营着数十种安全产品,并在其安全组织的所有领域不断增加人员编制。这些团队不断学习新产品,努力跟上新型攻击的步伐,并为其基础设施修补新披露的漏洞。这些系统和流程产生了比大多数团队能够高效处理更多的数据和工作量,这为以 ROI 为导向的攻击者在进行凭证填充等计划时创造了可预测的成功率。

当前企业网络安全的状况,类似于大多数组织在公共云基础设施出现之前处理其 IT 操作的方式。杰夫·贝索斯曾说过,亚马逊网络服务(AWS)的目的就是消除公司为了运营其 IT 基础设施而必须不断执行的“无差别的繁重工作”

同样的原则对于网络安全更为重要。由于网络安全极其复杂,攻击变化迅速,期望每个行业的每个组织都能投入时间和资源,以领先于复杂的网络犯罪分子是不可持续的。此外,他们还面临着一个不断轮换的安全产品选择、部署和最终退役的周期。一位《财富》500 强公司的首席信息安全官说,他现在不仅会询问新安全供应商部署产品需要多长时间,还会询问“卸载”产品需要多长时间,因为他预计任何新的安全产品只会使用大约两年。显然,这种方法不起作用,这体现在过去十年宣布的一系列加速的数据泄露、欺诈攻击和其他安全事件中。

解决问题的答案是公司需要以不同的方式来应对,提高整个系统的效能。我们可以在其他领域找到这样的系统改进的例子。历史上最成功的公共卫生干预措施之一是从 1924 年开始在食盐中添加碘。人体需要碘,但要确保大多数人持续改变饮食以摄取足够的碘几乎是不可能的。与其试图改变整个社会的行为,不如改变系统本身来或多或少无形地解决问题。这并不意味着我们不需要公共卫生运动和个人对健康饮食和锻炼的责任,但它确实意味着大多数人不再需要担心碘缺乏症了。

同样,网络安全的长期解决方案在于区分哪些网络安全挑战应该是单个公司的责任,哪些应该由负责基础安全的平台和服务来承担。这种模式允许技术和服务业提供商不仅进行必要的,而且是卓越的研发投资,以为所有公司创建最佳的安全能力和实践。一个平台提供商花费 10 亿美元,并从顶级安全人才池中招聘,为100 家公司提供共享能力,产生的效益远大于这 100 家公司各自花费 1 亿美元进行同样的“无差别的繁重工作”。

这并不意味着企业内部的网络安全和反欺诈团队将会缩小或消失,远非如此。事实上,网络安全已经成为,并将继续是一个连 CEO 和董事会都要承担责任的问题,因此重大的内部投资是有保证的。但是,这些团队将不再从事与其他组织的网络安全团队相同的商品化活动,而是能够专注于其业务的独特方面,并利用其改进的专业知识在工作中创造更大的影响。

那么,更有效的网络安全团队,使用内置基础安全性的平台组合能否提供 100% 的安全呢?当然不能。绝对保证任何系统安全的唯一方法是关闭该系统。相反,实际的安全性涉及权衡和投资回报率(ROI)。通过仔细考虑个体公司责任和平台责任之间的区别,各方可以更有效地投资,我们可以在绝大多数时间内为最多的用户提供最高的安全性。

04


数据安全的系统效能提升

你有没有想过改变“浏览器

浏览器,从信息窗口到工作平台的演变。在互联网早期,浏览器作为访问网页内容的主要工具,其角色相对单一。但随着 Web 技术的不断进步,云计算的成熟,SaaS 应用的普及,浏览器逐渐转变为一个功能强大的应用运行平台。如今,通过浏览器,用户不仅能浏览信息,还能直接在云端处理文档、召开视频会议、管理项目进度、甚至是进行复杂的图形设计和数据分析,而无需安装任何本地软件。

浏览器已经能成为了企业办公的“第二操作系统”。

企业信息安全团队,有没有统计过有多少数据是从浏览器里泄露出去的,当然不是指浏览器本身在偷企业的数据,而是只以浏览器为途径将企业内数据不断往外顺走。答案是,根本无法统计,因为浏览器还不在绝大多数安全团队的控制能力范围内

看看现在人人都在用的 GPT 插件,有多么强的数据读取权限,就能感受一下来自浏览器的数据风险。

    • 公司的源代码:用浏览器打开 Gitlab 访问。

    • 公司客户数据:用浏览器打开 CRM 系统访问。

    • 公司财务数据:用浏览器打开财务系统访问。

    • 公司订单数据:用浏览器打开电商后台系统访问。

与其追求传统的完美数据安全,不如重新审视企业的第二操作系统,想想如何系统化的改变数据安全格局,提升整体安全效率。(当然了,最后这一章节,是数影星球的广告推广。


参考链接:
[1] https://www.forbes.com/sites/forbestechcouncil/2018/03/27/the-illusion-of-perfect-cybersecurity
[2] https://gizmodo.com/in-1851-a-man-picked-two-unpickable-locks-and-changed-1698557792
[3] https://hbr.org/2017/12/you-cant-secure-100-of-your-data-100-of-the-time
[4] https://substack.com/home/post/p-151267934

往期回顾:

[1] 漫山遍野的网络安全公司,归宿在哪里
[2] 秉持独特安全价值观的团队,立志为企业打造属于自己的办公星球
[3] 退缩型 CSO,让老板更加忽视自家安全团队
[4] 防君子不防小人,公司搞数据安全到底还有没有意义

文章来源: https://mp.weixin.qq.com/s?__biz=Mzg2MTk4MDM1Mg==&mid=2247484877&idx=1&sn=b3dce396307be2061b30eeabbaa42563&chksm=ce0f9662f9781f744f9b4d1ca806e1ca2b678d87daea738e176b6973b438a4b1fa3895b2ec90&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh