关键词：数据安全与数据治理

@FreeBuf

RSAC创新沙盒大赛可谓网络安全行业创新风向标，2021年RSAC创新沙盒大赛十强名单出炉，其中多家入围企业所属领域皆为数据安全。如今数据泄露事件频发，企业则越来越注重数据安全的防护与治理。本期话题围绕这个主题，可参考但不限于以下三个维度开展讨论：

讨论1：和过去相比，你认为如今企业发生数据泄露安全事件的主要原因有哪些？

1、泄露是一直都泄露的，只是大家现在更关注，而且商业竞争和主权攻击越来越频繁。

2、我们不知道怎么发现，但保密宣传片会告诉我们偷数据是啥下场。能判的，主要是个人信息，以及被认可的涉密信息，大部分商业公司的保密信息，实际上是不被法院认可的。

3、裁判文书网近些年已判决数据泄密案件。

4、我们有监守自盗的，前两年两个人倒卖数据，已经被判了。

5、主要原因我觉得还是内部人员的问题，黑产发展太快，自身安全建设没有跟上，特别是安全意识这块现在在绝大部分企业都是非常落后的，面对黑产的诱惑，很多人有意无意的泄露了数据，另外中小企业还有一部分可能确实是技术问题。

6、根据近10年的法院裁判文书来看，发现数据泄露的主要风险来自内部人员，牟利是主要动机，内部人员占数据泄露角色的8成，其中2/3是在职人员，1/3是离职人员。从几次物流行业数据泄露来看，如果内外勾结数据泄露风险更大。主要动机是为了牟利，占将近6成，其他原因包括不正当竞争、公开/成名、误操作、增加求职砝码和报复原公司。

7、数据泄露主要有两个方面的原因：1.持有数据的人员意识。2. 信息系统自身的脆弱性。从第一方面来看，大部分员工对数据的保密意识很低，而且，很多数据（信息）仅仅是一两句话就能够让有心人推断出足够多的信息量，再加上从不同渠道获取的数据片段进行拼凑，对于企业来说，管理的难度极大。于企业来说，管理的难度极大。从第二个方面来看，“没有绝对安全的信息系统”，这算是行业的一个共识了，因此，未知的信息系统脆弱性，也是企业面临的风险。

8、主要是员工安全意识不足，管理流于形式；技术大跨步太多，基础安全都没有做好做足，没有对应的人力、系统支撑。以上两方面做足功课以后，在考虑数据安全相关的短板进行弥补。

延伸讨论：

@楼主：安全要从CMDB拉数据，CMDB应用大家有什么心得

1、说起CMDB一肚子火，CMDB全是坑。搞资产说起来人人懂，搞起来一堆事，运维还不配合。

2、你们还有CMDB，很多公司都没有这个。

3、除了找运维，我是Arp -a，顺着核心交换机，一个一个查的来找自己公司资产的，边查边扫描，查出来找到责任人，物理位置，登记。

4、运维天天和我说在做在做，结果新上线的资产被打穿了。

5、漏扫找资产比运维还准。

6、互联网资产我就用ARL了。

讨论2：报告显示，Facebook高居“数据丢失耻辱榜”榜首，其他企业如万豪、摩根等也榜上有名。和中小型规模的企业相比，大企业是否更遭黑客"青睐"？

1、之所以觉得大企业更遭青睐，可能只是大企业发现的多而已。

2、大部分商业公司的保密信息，实际上是不被法院认可的，很多时候是因为没法去做司法鉴定，某个东西是公司机密代码，你要去鉴定价值的话，你要找同行或者公开拿出去估算价值。

3、理论上是的，但要看“数据”的价值。有些小企业的“数据价值”不比大企业差。

4、两方面，（1）在价值上来看，肯定大企业更招黑客青睐，一个是大企业的影响力，另一个是数据价值更大。但是大企业的安全建设还是要走得快些，不容易直接攻击获取数据，一般大企业的数据泄露都是员工无意泄露了关键信息，比如技术人员泄露源码、配置文件等。（2）从数据泄露的数据类型来看啊，To C的用户数据、客户数据、源代码、商业机密和政企涉密文件占据主流，大企业比小企业拥有更多客户信息资源和商业秘密，更容易受到数据泄露威胁啊。

5、数据泄露于企业规模无关，说来说去，无非就是“利益”二字。3个方向都涉及利益：（1）黑产对数据的倒买倒卖；（2）竞争对手对企业的打击（例如对品牌形象，营销方案，股票市场，上下游合作等造形成负面影响和损失）；（3）企业持有数据对自身的价值（例如行业客户数据对市场营销的价值，To C客户数据对用户画像和广告投放的价值）。

讨论3：如今业界很多关于数据安全的建设方法，大多以数据安全生命周期为核心，但对于中小企业而言，如果完全按照这种方式来建设，团队规模有限，安全需求很多，资源是否会冲突？业务是否会买单？

1、我们的口号是：建设面向“汇聚、传输、存储、访问、共享与销毁”全流程的数据安全保障核心能力————（2000w，够么?）

2、凡是喊出来：以数据安全生命周期为核心的，都是外围人群。如果完全按照这种方式来建设，团队规模有限，安全需求很多，资源会冲突，业务不会买单。

4、数据安全的生命周期管理是以数据的价值链为对象，毕竟数据流动起来才有价值，在各个环节都考虑安全因素，如果是小企业可能并没有那么多的业务场景，也没有那么多的数据安全需求，以防止数据泄露为目标，梳理数据出口，尽可能做好管控就差不多啦，毕竟没人没钱靠理论体系是完成不了高大上的安全目标的。

5、会有冲突，业务不一定会买单。任何建设方法都只是一个指导思想（最佳实践），实际落地还是要结合企业自身的情况进行修正，包括数据安全在内的任何其他的安全建设，都是要为“企业盈利”这一个核心目的服务的，这是一个投入/收益的取舍平衡。特殊情况下，一切安全方案，都需要为“盈利”让路。

6、资源肯定会冲突，而且业务不一定会买单。建议中小企业还是先做好基础安全，健全自身的检测响应能力，不断优化自己的规则告警。如果强制植入数据安全生命周期，会本末倒置。比如有些企业入侵检测都没有健全，漏洞也没修复，监控没人看，规则告警也没有优化，就想着上DLP，甚至“0信任”。

7、一张图让领导知道啥是纵深防御：（自己画的图，有点丑，意思到了就行）

FreeBuf甲方交流分享群

纯甲方：囊括金融、政府、运营商、医疗、互联网企业等多行业甲方安全从业人员，具备严格的入群审核机制，非甲方安全从业人员拒绝进群

真实有料：从甲方企业CSO到安全工程师，从安全方案应用到产品技术应用，社群定期组织相关主题话题讨论，共同交流最真实有趣有料的甲方安全建设经验

专属权益：一旦认证成为FreeBuf甲方会员，即可享受FreeBuf报告在线免费阅读权益，同时参与社群话题讨论便有机会获得FVIP月卡奖励。更多权益，期待解锁ing~

FreeBuf甲方群进群方式

扫码填写申请表单，通过审核后即可入群：