企業(yè)信息安全數(shù)據(jù)保護解決方案

1、企業(yè)信息安全數(shù)據(jù)保護解決方案議程當(dāng)前的威脅趨勢法規(guī)的影響和驅(qū)動數(shù)據(jù)保護的各種場景數(shù)據(jù)保護的實踐2當(dāng)前的威脅趨勢3更多的業(yè)務(wù)數(shù)據(jù)分散在更多的地方結(jié)構(gòu)化數(shù)據(jù)非結(jié)構(gòu)化數(shù)據(jù)大數(shù)據(jù)SaaS更加豐富的應(yīng)用Web AppsCustomerportalMobile AppsWeb Services or APIs 更多的業(yè)務(wù)數(shù)據(jù)分散在更多的地方結(jié)構(gòu)化數(shù)據(jù)非機構(gòu)化數(shù)據(jù)大數(shù)據(jù)SaaS更多黑產(chǎn)途徑Web AppsCustomerportalMobile AppsWeb Services or APIs 結(jié)構(gòu)化數(shù)據(jù)非機構(gòu)化數(shù)據(jù)大數(shù)據(jù)SaaS更多的業(yè)務(wù)數(shù)據(jù)分散在更多的地方更加豐富的應(yīng)用更多可以訪問業(yè)務(wù)數(shù)據(jù)的人更多黑產(chǎn)途

2、徑StructuredUnstructuredBig DataSaaSWeb AppsCustomerportalMobile AppsWeb Services or APIs 更多的業(yè)務(wù)數(shù)據(jù)分散在更多的地方更加豐富的應(yīng)用KnowledgeWorkersCustomersContractorsPrivileged UsersMore People Can Access ItMore Data in More PlacesMore Places to Sell ItMore Apps are AvailableStructuredUnstructuredBig DataSaaSWeb AppsC

3、ustomerportalMobile AppsWeb Services or APIs KnowledgeWorkersCustomersContractorsPrivileged Users拒絕服務(wù)攻擊DDoSattacks勒索軟件攻擊Ransomwareattacks應(yīng)用攻擊Application attacks內(nèi)部威脅Insider Threats(compromised, careless, malicious)DATAAPPS企業(yè)的數(shù)據(jù)資產(chǎn)EXTORTIONTHEFTCybercrime MonetizationMore People Can Access ItMore Data

4、in More PlacesMore Places to Sell ItMore Apps are AvailableStructuredUnstructuredBig DataSaaSWeb AppsCustomerportalMobile AppsWeb Services or APIs KnowledgeWorkersCustomersContractorsPrivileged UsersDDoSattacksRansomwareattacksApplication attacksInsider Threats(compromised, careless, malicious)DATAA

5、PPSOrganizational AssetsIncapsulaThreatRadarSecureSphereCounterBreachSecureSphereCamouflageImperva Data Protection Product Portfolio10CounterBreachSecureSphereCamouflage針對數(shù)據(jù)庫、大數(shù)據(jù)、共享文件的保護解決方案發(fā)現(xiàn)數(shù)據(jù)庫漏洞、數(shù)據(jù)分類監(jiān)控和審計所有的用戶操作行為基于無監(jiān)管機器學(xué)習(xí)的用戶行為分析解決方案零安全策略設(shè)置自動化偵測各種異常的數(shù)據(jù)訪問行為數(shù)據(jù)脫敏解決方案使用接近真實的偽造數(shù)據(jù)替代敏感數(shù)據(jù)避免敏感數(shù)據(jù)被非生產(chǎn)系統(tǒng)使用法規(guī)

6、的影響和驅(qū)動REGULATIONSMonetaryAuthorityof SingaporesoxAssessment and Risk ManagementForensicsIB-TRMHITECHPCI-DSS 刑法NCUA748FISMAGLBAHIPAA網(wǎng)安法ItalysL262/2005GDPRBASEL IIMANDATESAudit and ReportingAttack Protection13中華人民共和國網(wǎng)絡(luò)安全法（簡稱“網(wǎng)絡(luò)安全法”）全文共7章79條 第一章 總則 第二章 網(wǎng)絡(luò)安全支持與促進 第三章 網(wǎng)絡(luò)運行安全 第一節(jié) 一般規(guī)定 第二節(jié) 關(guān)鍵信息基礎(chǔ)設(shè)施的運行安全 第四

7、章 網(wǎng)絡(luò)信息安全 第五章 監(jiān)測預(yù)警與應(yīng)急處置 第六章 法律責(zé)任 第七章 附則2017年6月1日起正式施行史上最嚴(yán)格的數(shù)據(jù)保護法案General Data Protection Regulation (GDPR)針對整個歐盟以及和歐盟關(guān)聯(lián)機構(gòu)的法規(guī)主要針對:為個人提供個人數(shù)據(jù)保護的權(quán)利，監(jiān)管收集、生成和使用這些數(shù)據(jù)的政府或者業(yè)務(wù)單位整個歐盟統(tǒng)一的數(shù)據(jù)保護法規(guī)提供了明確的遵從法規(guī)的方法2018年5月25日正式執(zhí)行14Imperva方案應(yīng)對網(wǎng)安法中數(shù)據(jù)保護需求條款對應(yīng)條款數(shù)據(jù)安全方案需求Imperva ProductsImperva Value第三十一條 , 三十二條對關(guān)鍵信息基礎(chǔ)設(shè)施進行等級保護；

8、對關(guān)鍵信息基礎(chǔ)設(shè)施安全規(guī)劃數(shù)據(jù)風(fēng)險最小化用戶訪問權(quán)限最小化數(shù)據(jù)庫自身安全數(shù)據(jù)的分級數(shù)據(jù)訪問的審計CamouflageSecureSphere數(shù)據(jù)發(fā)現(xiàn)和分類數(shù)據(jù)掩碼用戶權(quán)限管理數(shù)據(jù)庫弱點評估和基線檢查特權(quán)用戶監(jiān)控數(shù)據(jù)訪問審計第四十二條 網(wǎng)絡(luò)運營者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施，確保其收集的個人信息安全，防止信息泄露、毀損、丟失。在發(fā)生或者可能發(fā)生個人信息泄露、毀損、丟失的情況時，應(yīng)當(dāng)立即采取補救措施，按照規(guī)定及時告知用戶并向有關(guān)主管部門報告數(shù)據(jù)掩碼或者數(shù)據(jù)脫敏減小泄露和丟失風(fēng)險積極主動的防護方案確定違規(guī)事件的影響和范圍CamouflageSecureSphereCounterBreach數(shù)據(jù)掩碼

9、數(shù)據(jù)訪問審計可疑訪問行為偵測第四十四條，第四十五條任何個人和組織不得竊取或者以其他非法方式獲取個人信息；依法負(fù)有網(wǎng)絡(luò)安全監(jiān)督管理職責(zé)的部門及其工作人員，必須對在履行職責(zé)中知悉的個人信息、隱私和商業(yè)秘密嚴(yán)格保密防止個人信息被竊取和泄露:任何個人和組織網(wǎng)絡(luò)監(jiān)督職責(zé)部門和工作人員SecureSphereCounterBreach實時訪問監(jiān)控和告警外部及內(nèi)部特權(quán)人員的可疑訪問行為偵測第三十七條關(guān)鍵信息基礎(chǔ)設(shè)施的運營者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲。監(jiān)控和阻斷不符合規(guī)范的跨境數(shù)據(jù)訪問SecureSphere數(shù)據(jù)邊界安全策略15處罰1-10倍1-100w5-50w5

10、0條Imperva方案應(yīng)對GDPR中數(shù)據(jù)保護需求ArticleWhat it MeansData Security RequirementsImperva ProductsImperva Value25: Data protection by design and by defaultImplement technical and organizational measures to show consideration and implementation of Data Protection Principles and appropriate safeguardsData minimiz

11、ationUser access limitsCamouflageSecureSphereData maskingUser rights managementPrivileged user monitoring32: Security of processingImplement appropriate technical and organizational security controls to protect personal data against accidental or unlawful loss, destruction, alteration, access or dis

12、closurepseudonymisation and encryptionOngoing protectionRegular testing and verificationCamouflageSecureSphereCounterBreachData maskingDatabase vulnerability assessmentData activity monitoringDetect suspicious data access33 and 34: Data breach notification72 hour notification to Data Protection Auth

13、ority following discovery of data breach, and notification to affected individualsBreach report that includes:what happenednumbers of affected individualwhat data was breachedSecureSphereCounterBreachData activity monitoringReal-time analysis and alertingDetect suspicious data access35: Data protect

14、ion impact assessmentAssessment of the purpose, scope and risk associated with processing personal dataInventory of personal data across organization, access rights to data, and risk associated with that accessSecureSphereDatabase discoveryData classification44: Data transfers to third country or in

15、ternational organizationPermit transfers only to entities in compliance with GDPR regulationMonitor and block access to entities or regions that do not meet requirements.SecureSphereData across borders policy enforcement162%2%2%2%4%Fine數(shù)據(jù)保護的各種場景關(guān)鍵信息保護18發(fā)現(xiàn)和分類數(shù)據(jù)分類數(shù)據(jù)庫服務(wù)器漏洞服務(wù)器和數(shù)據(jù)的分布監(jiān)控和分析同類用戶訪問比較惡意訪問偵測用戶

16、行為分析數(shù)據(jù)訪問行為審計修復(fù)、保護和報告 脫敏阻攔惡意訪問告警和報告漏洞管理Imperva 數(shù)據(jù)保護應(yīng)用場景19數(shù)據(jù)發(fā)現(xiàn)和分類數(shù)據(jù)脫敏敏感數(shù)據(jù)的審計數(shù)據(jù)違規(guī)偵測漏洞評估和管理數(shù)據(jù)隔離墻數(shù)據(jù)發(fā)現(xiàn)和分類20Related GDPR ArticlesArticle 25Article 32Article 35Imperva 解決方案SecureSphereCamouflage主要作用可視化企業(yè)當(dāng)前擁有和正在處理的個人數(shù)據(jù)地圖了解敏感數(shù)據(jù)都存儲在哪里開發(fā)和維護分散在整個組織的數(shù)據(jù)清單確定需要遵從法規(guī)的系統(tǒng)范圍相關(guān)網(wǎng)安法條款第三十一條 第三十二條漏洞評估和管理、基線檢查Imperva 解決方案Secur

17、eSphere主要作用鑒別系統(tǒng)是否存在黑客可以利用的漏洞減少數(shù)據(jù)違規(guī)的可能滿足法規(guī)中的相關(guān)要求21Related GDPR ArticlesArticle 25Article 32相關(guān)網(wǎng)安法條款第三十一條 第三十二條敏感數(shù)據(jù)的審計和異常偵測22Imperva 解決方案SecureSphereCounterBreach主要作用提供詳細(xì)的審計信息，顯示誰在訪問什么數(shù)據(jù)監(jiān)控所有的數(shù)據(jù)訪問行為，包括特權(quán)賬戶和服務(wù)賬戶自動檢測數(shù)據(jù)訪問異常行為告警或者直接阻止未授權(quán)的數(shù)據(jù)訪問不同數(shù)據(jù)場景下統(tǒng)一的策略管理和設(shè)定Related GDPR ArticlesArticle 5Article 25Article 3

18、2Article 33Article 34Article 44相關(guān)網(wǎng)安法條款第三十一條 第四十二條第四十四條第四十五條數(shù)據(jù)隔離墻23Imperva 解決方案SecureSphere主要作用控制個人數(shù)據(jù)跨境傳輸和使用檢測不符合規(guī)定的數(shù)據(jù)庫訪問行為阻止未授權(quán)的訪問Related GDPR ArticlesArticle 44相關(guān)網(wǎng)安法條款第三十七條數(shù)據(jù)掩碼24Imperva 解決方案Camouflage主要作用方便為各種系統(tǒng)提供接近真實的個人數(shù)據(jù)和業(yè)務(wù)數(shù)據(jù)降低數(shù)據(jù)違規(guī)的風(fēng)險遵從個人數(shù)據(jù)的傳播范圍根據(jù)最小化原則幫助遵從法規(guī)中關(guān)于數(shù)據(jù)保護架構(gòu)設(shè)計的要求Related GDPR ArticlesArti

19、cle 5Article 25Article 32相關(guān)網(wǎng)安法條款第三十一條 第三十二條第四十二條數(shù)據(jù)違規(guī)偵測和安全事件響應(yīng)25Imperva 解決方案CounterBreachSecureSphere主要作用自動識別和發(fā)現(xiàn)可疑的數(shù)據(jù)訪問利用機器學(xué)習(xí)識別真正令人擔(dān)憂的事件阻止或提醒可疑的活動隔離有風(fēng)險的用戶記錄事件細(xì)節(jié) - 誰，發(fā)生了什么，什么數(shù)據(jù)，什么時候，泄露了多少數(shù)據(jù)符合GDPR違規(guī)要求 - 72小時內(nèi)上報Related GDPR ArticlesArticle 33Article 34相關(guān)網(wǎng)安法條款第三十一條 第四十二條第四十四條第四十五條不同的需求部門 一樣的數(shù)據(jù)保護要求26Risk

20、and legalSensitive Data AuditingData Theft PreventionData Across BordersITDatabase Virtual PatchingChange management and reconciliationLine of BusinessMalware and Targeted Attacks DefenseVIP Data PrivacyEthical WallsAssessment and Risk ManagementUser Rights ManagementAudit and ReportingAttack Protec

21、tion數(shù)據(jù)保護最佳實踐27目前企業(yè)實踐數(shù)據(jù)保護的各種思路和挑戰(zhàn)全面的數(shù)據(jù)治理數(shù)據(jù)治理是一個非常宏大的項目，如何能夠落到實地是最大的挑戰(zhàn)數(shù)據(jù)治理需要多個部門的協(xié)調(diào)合作和CXO的全力支持項目的實施周期漫長針對敏感數(shù)據(jù)的訪問進行審計可以記錄和保留所有的數(shù)據(jù)訪問日志，但是存儲空間、性能、檢索是最大的挑戰(zhàn)很難主動的發(fā)現(xiàn)數(shù)據(jù)違規(guī)數(shù)據(jù)訪問審計+SIEM平臺關(guān)聯(lián)分析SIEM平臺可以收集各種平臺的日志進行關(guān)聯(lián)分析，但是如何設(shè)置這些關(guān)聯(lián)分析的規(guī)則是最大的挑戰(zhàn)安全態(tài)勢感知收集各種安全日志+威脅情報，機器學(xué)習(xí)發(fā)現(xiàn)潛在威脅28思路一：全面的數(shù)據(jù)治理數(shù)據(jù)治理貫穿這個數(shù)據(jù)使用的生命周期規(guī)范整個數(shù)據(jù)使用的流程可以有效的減少

22、數(shù)據(jù)違規(guī)的可能挑戰(zhàn)：自上而下的支持漫長的實施周期效果很難立即體現(xiàn)29思路二：對所有數(shù)據(jù)的訪問進行審計僅做數(shù)據(jù)訪問記錄也是有方法論的挑戰(zhàn)：全審計會帶來存儲、查詢性能的問題部分審計又意味著監(jiān)控范圍的缺失審計是事后的追蹤，CSO更希望主動發(fā)現(xiàn)潛在風(fēng)險如何設(shè)置安全告警策略30思路三：利用SIEM平臺來關(guān)聯(lián)安全事件通過SIEM平臺搜集各種安全工具和IT系統(tǒng)的日志來做關(guān)聯(lián)分析用戶鑒別：利用用戶登錄登出行為異常發(fā)現(xiàn)被劫持的賬號和主機（Ad日志、惡意軟件偵測、數(shù)據(jù)庫登錄登出日志等）網(wǎng)絡(luò)流量鑒別：利用流量異常識別數(shù)據(jù)滲漏（Fw日志、DLP日志、網(wǎng)絡(luò)流量日志等）數(shù)據(jù)訪問鑒別：利用數(shù)據(jù)的訪問日志來關(guān)聯(lián)分析異常訪問行

23、為（數(shù)據(jù)庫訪問日志等）31惡意軟件偵測防火墻DLP數(shù)據(jù)庫監(jiān)控各種安全工具和IT系統(tǒng)結(jié)果 = 來自各種系統(tǒng)的成千上萬的安全日志以及操作日志SIEM結(jié)果 = 海量的安全日志和告警信息在同一平臺顯示收集關(guān)聯(lián)/分析AD 日志SIEM發(fā)現(xiàn)數(shù)據(jù)違規(guī)的挑戰(zhàn)大多數(shù)的訪問行為都是正常訪問行為。如何定義什么是異常行為？海量的不同系統(tǒng)的日志應(yīng)該選擇哪些日志來進行關(guān)聯(lián)分析，怎么關(guān)聯(lián)？關(guān)聯(lián)后得到的安全告警仍然很多管理人員被告警淹沒思路四：安全態(tài)勢感知平臺威脅情報的準(zhǔn)確性和及時性內(nèi)部授權(quán)用戶的惡意訪問是沒有威脅情報的機器學(xué)習(xí)的范圍太大，還沒有落地33數(shù)據(jù)保護項目中的小確幸利用Imperva解決方案快速啟動數(shù)據(jù)保護(SOW

24、) 自動化學(xué)習(xí)，報告和告警，策略執(zhí)行34數(shù)據(jù)庫和文件訪問監(jiān)控 - CounterBreach - 數(shù)據(jù)庫和文件防火墻數(shù)據(jù)庫自身弱點和配置檢查敏感數(shù)據(jù)分類用戶和服務(wù)賬號登錄行為跟蹤各種形式數(shù)據(jù)被訪問的行為跟蹤無監(jiān)管機器學(xué)習(xí)數(shù)據(jù)風(fēng)險安全儀表盤對各種數(shù)據(jù)違規(guī)行為自動告警僅提示真正有風(fēng)險的告警內(nèi)容根據(jù)風(fēng)險提示，增加新的安全策略和審計策略隔離高風(fēng)險的IP或用戶數(shù)據(jù)監(jiān)控安全儀表盤阻攔Plan準(zhǔn)備階段后續(xù)工作后續(xù)的培訓(xùn)季度的巡檢和最佳實踐回顧同行業(yè)經(jīng)驗交流項目達成在45天內(nèi)保護企業(yè)最關(guān)鍵的業(yè)務(wù)數(shù)據(jù)35UEBA無監(jiān)管機器學(xué)習(xí) 技術(shù)讓各種數(shù)據(jù)違規(guī)都無處遁形:無論是感染受控的用戶、粗心大意的用戶、別有用心的用戶，

25、UEBA都可以檢測到期異常行為。系統(tǒng)開機即用，無需特別設(shè)定。 領(lǐng)域?qū)＜抑R 可以自動識別數(shù)據(jù)類型、賬號類型、數(shù)據(jù)庫類型，以及內(nèi)建數(shù)據(jù)違規(guī)的各種場景:無需設(shè)定任何學(xué)習(xí)條件或者手工干預(yù)，基于專家知識無監(jiān)管自動學(xué)習(xí)全面覆蓋 對所有的數(shù)據(jù)訪問行為都進行分析:利用機器學(xué)習(xí)來完成人力無法完成的重復(fù)工作利用機器學(xué)習(xí)中主題抽象、違規(guī)聚類等技術(shù)自動提取最具風(fēng)險的安全事件45天從無到有，建立數(shù)據(jù)違規(guī)監(jiān)控面板讓數(shù)據(jù)違規(guī)項目真正可以快速落地，利用有效的輸出促進其他數(shù)據(jù)安全環(huán)節(jié)的進行來內(nèi)部授權(quán)用戶很難偵測安全范圍覆蓋、安全人員缺乏安全人員不知道業(yè)務(wù)相關(guān)信息項目成效慢利用CounterBreach來破冰CounterBr

26、each 解決方案的實踐某企業(yè)客戶2% 的數(shù)據(jù)庫流量被監(jiān)控0.25 全職人員負(fù)責(zé)1,000 SIEM平臺平均每天告警1% 以下的安全事件會被仔細(xì)查看0 個有效的安全事件被發(fā)現(xiàn)100% 的數(shù)據(jù)庫流量被監(jiān)控0.25 全職人員負(fù)責(zé)15-30 CB平均每天告警100% 的安全事件被仔細(xì)查看2 個有效的安全事件被發(fā)現(xiàn)實施之前實施之后50倍 的數(shù)據(jù)庫流量被監(jiān)控相同 的人力1000倍減少 安全事件從無到有 發(fā)現(xiàn)有效的安全事件成效CounterBreach在沒有增加人力的情況下大大提高了數(shù)據(jù)安全的效率 謝謝聆聽！DAP Feature Considerations OverviewEnterprise Des

27、ign/DeploymentArchitectureScale DAP to DB Server RatioDB Agent Monitoring OnlyHybrid Monitoring Agent/DAPDAP Inline EnforcementHigh AvailabilityClusteringDAM AgentsAgent Deployment/AutomationCentralized Agent ManagementUpgrades/Backward-Forward CompatibilityManageabilityEnterprise Central Management

28、Role Based Management (LDAP)DAP Upgrades/PatchesBackward/Forward CompatibilityCapacity ManagementAudit, Security & ComplianceDatabase AuditEffective Policy ManagementStorage AnalyticsData EnrichmentSecuritySecurity User ProfilingThreat ManagementAnti-Malware IntegrationMalicious User DetectionCompro

29、mised ApplicationsOperations/NotificationsReal-Time Notification3rd Party IntegrationsDiscovery & AssessmentDB Vulnerability AssessmentData DiscoveryUser Rights ManagementMap Requirements To An Data Audit and Protection Lifecycle39DiscoverClassifySet ControlsAudit & Secure Measure & ReportReview, ce

30、rtify and investigateSensitive dataClassify and minimize private dataAccess rights and policiesMonitor, alert and blockData Protection Assessment 40SecureSphere DASRogueSSNCredit CardsPIIDiscovery & ClassificationDiscover DBs and classify private informationDiscover active DB servicesIdentify rogue

31、DBsSample data, auto-identify private dataDetermine what needs to be monitoredIntellectual PropertyData Minimization: Anonymization / PseudonymisationRealistic fictional data maintains operational and statistical accuracySensitive data is permanently removedSecurity and compliance overhead are reduc

32、ed41BEFOREAFTER NameSSNSalaryMller756-2121-9812-2277,000Bohren756-4321-3421-2383,500NameSSNSalarySchmidt756-5167-5273-0979,250Billeter756-7044-0492-9381,250Locating and replacing sensitive datawith realistic, fully-functioning, fictional dataMask Private Data In Test, Training, and Reporting Databas

33、esData Minimization - Database Access42SELECTUPDATEDELETEINSERTUsersRolesPrivilegesObjectsUser Rights AnalysisScan for granted user rightsEliminate unwarranted accessEnsure business need-to-knowReduce risk of data breachesPrivate Data Audit and Privileged User Activity Monitoring43Activity AuditingCollect and record database activity detailsSatisfy compliance requirementsConduct forensic analysis DatabasesUsersSecureSphereDAMAudit DetailsAudit PoliciesPrivileged User MonitoringMonitor privileged usersEnforce separation of dutiesSee all activity including lo