数据脱敏、智能安全运营视角下的新基建安全

11月26至27日,INSEC WORLD成都·世界信息安全大会在成都举行。本届大会的主题是“新基建——以安全为本”。两日的议程,囊括了讨论全球信息安全顶层设计和发展趋势的主论坛,以及围绕“数据安全与云安全”、“智能安全运营”等主题进行更具针对性分享的六个分论。三名来自绿盟科技创新中心天枢实验室的研究员,作为演讲嘉宾参与了此次盛会,并分别以《合规视角下数据脱敏效果的评估研究与实践》和《AISecOps:多维度可扩展的企业侧威胁评估》为题,进行了分享。

隐私合规背景下数据脱敏需关注效果评估

11月26日“数据安全与云安全”分论坛,绿盟科技天枢实验室的陈磊博士首先带来了数据脱敏效果评估的相关议题。该议题对应论文成功入选本届INSEC WORLD大会优秀论文,并于《信息技术与网络安全》提供完整版阅读。

传统意义上,数据脱敏(Data Masking)主要用于数据分析和产品测试场景下保护企业敏感数据。即需要在将含敏感信息的数据流从真实生产环境引入非生产环境前进行,属于“数据处理”阶段的必要安全措施。大数据时代,数据、信息不断要素化,其重要意义和价值不言而喻。新基建大力发展的同时,为有效应对数据泄露、非法采集、数据滥用、隐私侵权等关乎个人隐私的问题,各政府和机构也在相继推出对应法律、规范,以约束企业,使其在享受护具带来商业利益的同时,承担起数据和隐私保护的相应责任。

因为面临巨额的经济惩罚和法律风险,满足数据安全和隐私保护的合规性要求的重要性对于相关企业而言不容忽视。以我国《个人信息保护法(草案)》为例,“情节严重,处罚最高5000万元或者上一年度营业额5%罚款,同时对直接负责的主管人员最高可罚款100万元。此外,可以责令暂停相关业务、关闭网站、吊销营业执照等。”

该议题的切入点不是介绍如何进行数据脱敏,而是为何以及如何对脱敏的有效性进行评估,以帮助企业更好的满足相关合规要求。

陈磊博士介绍,经过脱敏的数据集受到隐私攻击的风险,即发生隐私信息泄露,是真实存在的。攻击者可通过背景知识、网络公开的身份信息以及黑灰产等渠道获得具备关联信息的数据集,通过对两个数据集相同属性字段进行匹配与关联,可从脱敏数据集恢复出大量真实信息,甚至引发一起严重的隐私信息泄露事件。通常这种攻击被称为重标识攻击。

进行脱敏有效性评估的可行的思路,是基于香农信息熵和信息安全风险评估框架,对脱敏数据集的安全风险进行建模。这种安全风险的脆弱性可以理解为两个数据库的“关联性”。信息熵具有良好的风险刻画能力。熵值越大,数据分布唯一性越强,攻击者从每一条记录平均获得的信息越多,意味着隐私攻击的可能性越大。

议题最后,陈磊博士还介绍了脱敏评估框架在企业场景的应用。据悉,该能力已经从研究阶段落地,内嵌入绿盟数据脱敏系统(DMS)中。该产品包含静/动态脱敏手段,以及敏感数据发现和重要的脱敏风险评估能力。

人工智能技术在安全告警评估中的应用

随着安全技术的进步以及数字化转型进程的加速,企业侧安全运营过程中面临的突出问题,不再是缺乏分析、感知的能力,而是海量安全告警造成真正高价值信息的湮没,导致安全运维人员在处置时无法得到具有高价值的告警。

11月27日的“智能安全运营”分论坛,绿盟科技天枢实验室的研究员吴复迪和吴子建,就如何利用人工智能技术实现从海量告警中筛选出真正高危告警进行了分享。

AISecOps是绿盟科技近年提出的一个重要理念,即AI驱动的安全运维。当前,大中型企业所要维护的网络和安全设备所产生的告警量级之大,导致在合理的时间窗口内完全处理所有安全告警几近不现实。对海量告警的有效筛选,一直困扰着安全运维人员。

吴复迪介绍,告警信息中要通过筛选剔除的不仅是误报,还包括日志类型的低危告警、恶意的试探性攻击。此外,安全事件也可以分为已确实发生的,和未成功的漏洞利用尝试。所以,对告警的筛选并不只是找出误报,还需真正理解告警的含义和企业自身的处置流程。

业界对告警评估的困惑,主要集中在覆盖率和准确率的平衡。理想情况是,不漏掉一个高价值告警,同时也不看一个无用告警。这就需要在对原始告警进行特征提取和语义分析的基础上,动态关联事件的上下文,从语义、统计、规则等多维度评估事件的风险值,并采用基于语言模型的威胁语义提取算法、基于异常检测的低频事件挖掘算法、基于流量的事件意图提取算法、基于子图聚合的威胁评估算法等,持续自适应地提升告警评估效果。

吴子建表示,智能安全运维的价值不是不应有“人”的参与,而是在安全运维这个领域最大程度将专家知识与人工智能算法有机结合,不断提升告警评估效果人工智能算法对安全的“理解”,助力实现更加高效、准确的安全运营。

这种基于人工智能技术对海量安全告警进行评估、筛选和关联分析的能力,也在绿盟智能安全运营平台(ISOP)中有效落地,并得到充分实践。

结语

大力发展新基建是2020年重要政策驱动力之一。网路安全和发展新基建的关系应该和网络安全和信息化的关系类似,互为“一体之两翼,驱动之双轮”。本届INSEC WORLD大会的主题“新基建——以安全为本”也正是在强调,要以安全保新基建的发展,以新基建的发展促安全。

2018年,绿盟科技正式成立星云、格物、天枢、天机和伏影五大实验室,专注于云安全、物联网安全、漏洞挖掘与利用、威胁感知与检测和数据智能五个领域。其中,绿盟科技天枢实验室重点聚焦AI(攻防)和大数据分析技术在网络安全领域的应用探索。此次三位研究员在INSEC WORLD大会的分享只是一个缩影,这不仅是绿盟科技强大安全研究能力和前沿研究成果的展示,更代表着绿盟科技紧跟趋势,具备将创新研究成果快速向可交付安全能力转化的深厚实力。


添加回复:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。