m o h t i g b u c . 5 m o h t i g b u c . 5 本|期|看|点 P04 《数据安全法》下金融数据安全风险评估研究与实践 m o b u c . 5 P12 h t i g 【安全告警数据分析之道：一 】数据透视篇 S 安全月报 2021年第10期 绿盟科技金融事业部 目录 CONTENTS 安 全观点 P04 《数据安全法》下金融数据安全风险评估研究与实践 行 业研究 安全告警分析之道 P12 【安全告警数据分析之道：一】数据透视篇 P25 【安全告警分析之道：三】异常处理篇 P20 c . 5 【安全告警数据分析之道：二】数据过滤篇 安全事件 b u P31 两程序员制作证券软件外挂：可侵入 84 家证券公司交易系统 P36 厄瓜多尔最大私营银行遭遇网络攻击，业务被迫中断 h t i g P33 P39 Firefox 插件“Safepal 钱包”窃取加密货币 FIN7 利用 Windows 11 的发布进行攻击 漏 洞聚焦 P42 P52 安全月报在线阅读 绿盟科技官方微信 m o Oracle 全系产品 10 月重要补丁更新通告 微软 10 月安全更新多个产品高危漏洞通告 安 全态势 P62 互联网安全威胁态势 S c . 　全b5 安 u h t 观点 i g m o 安全观点 《数据安全法》下金融数据安全 风险评估研究与实践 绿盟科技 施岭 数据安全现状分析 在《数据安全法》体系之下，2019年至2021年金融行业发生多起事件，相关 b u c . 5 部门对数据安全下达多项指导意见和方针，金融机构应在可见的法律和规范内进 行合规化建设，避免因某些无意识的操作而造成数据泄露，从而遭到处罚。 h t i g 金融行业数据存在四方面特性，一是存在形式多样式，包括结构化数据、半 结构化数据、非结构化数据，二是动态流转复杂性，包括全生命周期动态流转、 实际业务驱动数据动态流转，三是数据主体多样式，包括基础设备、数据中心、 部门间和第三方机构，四是数据价值模糊性，包括数据确权问题、数据归属认 责、数据价值准确评估。 应对上述特性，很多企业都在做数据咨询服务。全行业可以把数据咨询服务 分为数据分类分级、个人信息安全影响评估、数据安全评估、数据安全管理体系 建设、数据安全培训等。 4 安全月报 / 2021.10 m o 安全观点 m o c . 5 b u 数据安全数据安全第一步：分类分级 h t i g 《数据安全法》第三章第二十一条明确提出，国家建立数据分类分级保护制 度，依据危害程度，对数据实行分类分级保护。各地区、各部门应当按照国家有 关规定，确定本地区、本部门、本行业重要数据保护目录，对列入目录的数据进 行重点保护。 在进行数据分类分级之前，首先要明确所有数据的属性，做数据资产的识 别。识别数据资产、建立数据资产清单、掌握数据重要程度是风险评估的基础， 也是数据分类分级管理的基础。 2021.10 / 安全月报 5 安全观点 数据分类分级需要一定原则 性，其中数据分类基于系统性、规范 性、稳定性、扩展性、明确性等，数 据分级基于依从性、可执行性、时效 性、自主性、合理性、客观性等。 《数据安全法》基于敏感赋值，将数 据的类别分为一般数据、重要数据、 m o 核心数据。数据分类分级的目的是将 数据以标签化的模式进行管理。 c . 5 在进行分类分级时，可以利用 扫描工具最大化提升效率。目前，市 面上已经推出一些数据扫描工具， IDR产品设计融入了实施需求，是数 据分类分级的绝佳搭档。 数据的分类分级需要前期准备工作、数据资产调研、数据分类分级、制 b u 定分级管理办法、汇报与总结等必不可少的流程，每一个流程都有其相对应 的服务成果，比如过程文档-项目实施计划、数据资产调研记录、《数据分类 h t i g 分级表》和《数据资产清单》《数据分级管理办法》《数据分类分级服务报 告》等。 以个人金融信息数据分类分级为例，按敏感程度从高到低分为C3、C2、 C1三个类别，即高敏感、中敏感、低敏感三类。两种或两钟以上的低敏感度 类别信息经过组合、关联和分析后可能产生高敏感程度的信息，同一信息在 不同的服务场景中可能处于不同的类别，这些应依据服务场景以及该信息在 其中的作用，对信息的类别进行识别，并实施针对性的保护措施。 6 安全月报 / 2021.10 安全观点 数据分类分级需要明确数据安全的组织责任，将《数据分级安全管理办法》 结合数据分级管控策略，结合数据生命周期的每个阶段，把数据安全的访问控制 落到实处。 m o c . 5 b u h t i g 数据安全风险评估实践 《数据安全法》第四章第三十条明确提出，重要数据的处理者应定期开展风 险评估，并向有关主管部门报送风险评估报告。数据安全风险评估能够帮助组织 发现自身数据安全问题和短板，明确数据安全保护需求，为建设数据安全管理和 技术手段指明方向，给出解决方案。 数据应用场景与数据生命周期息息相关，包括数据收集/产生、传输、存 储、调取、加工分析、外发等数据行为。每个数据类型都对应着多个数据应用场 景，每个应用场景背后都有潜在的安全风险和合规风险。 2021.10 / 安全月报 7 安全观点 对于个人信息而言，需要分析 其中是否存在对个人权益的影响，以 及影响程度。典型的个人权益影响类 型包括影响个人自主决定权、引发差 别性待遇、个人名誉受损或遭受精神 压力、个人财产受损等。 安全事件的可能性分析需要从 m o 网络环境与技术措施、处理流程规范 性、参与人员与第三方、安全态势及 c . 5 处理的规模等四个方面入手。 风险分析的各项活动在识别出 的具体数据应用场景中展开，从场景 当数据安全发生风险时，需要采取适当方式进行处置，一是控制风险， b u 中识别数据威胁、脆弱性、已有安全 即及时发现风险，降低损失，二是转嫁风险，即可利用安全公司、保险公 发生可能性、脆弱性和可利用性、脆 关人员的安全意识，四是接受风险，即在无法避免风险的前提下，及时溯源 措施、数据资产，进而判断数据威胁 弱性对数据影响严重程度、数据重要 程度，进而得出安全事件可能性、安 全事件后果，然后将其赋值，变成一 种风险值，最终形成风险分析报告。 8 安全月报 / 2021.10 司等第三方机构进行风险转嫁，三是避免风险，即做好日常监测，培养相 h t i g 处置。风险处置措施的涉及风险描述、风险值、风险处置措施、风险处置步 骤、相关责任人、预计时间、风险级别等。 根据数据安全风险评估结果，针对每一个数据的安全风险，结合被影响 的数据资产重要程度，应选择恰当的数据安全控制措施，实现数据分级分类 管理与保护。 安全观点 数据安全治理全景介绍 依据方法论，绿盟科技通过五个阶段对数据安全进行治理。一是“知”， 即制定规范与定义敏感数据，二是“识”，即数据分类分级与风险评估，三是 “控”，即安全策略与控制敏感数据，四是“察”，即安全监察与行为追踪溯 源，五是“行”，即安全事件处置与持续运营。 m o c . 5 h t i g b u 2021.10 / 安全月报 9 安全观点 m o b u c . 5 h t i g 10 安全月报 / 2021.10 S c . 　业b5 行 u h t 研究 i g m o 行业研究 安全告警分析之道 【安全告警数据分析之道：一】数据透视篇 绿盟科技 天枢实验室 摘要 日前，在企业安全运营当中， SIEM的热潮已经逐渐淡去，很多 企业已经逐渐成立了安全运营中心 （SOC），收集到了海量安全数据。 但是如何利用这些数据，如何进行分 析等问题并没有很好地解决。数据往 m o c . 5 条件，但这一前置过程往往被忽略。本文为系列文章的首篇，浅谈对安全告 警数据分析的思考，并且以一次实际网络攻防演习数据为例，介绍对告警数 据进行标记的方法，分析并总结可能的研究点和数据的潜在价值 一、概述 h t i g b u 随着现代企业网络结构的复杂化，如复杂的网络分区、企业上云、新型 往只是做简单存储，数据价值未得到 网络设备等，安全设备的告警量与日剧增。虽然SOC团队一般会对这些告警数 还是“数据”，做攻击离不开各种资 的压力。根据实际经验，一般来说，一个业务稍微复杂一点的大中型企业， 体现。其实在网络安全领域最重要的 产数据、漏洞数据，做防御离不开资 产数据、设备告警数据，对各种攻击 活动的分析更是离不开DNS、样本、 用户行为等数据，《安全告警数据分 析之道》为系列文章，旨在对企业网 络侧安全告警数据进行深入分析，挖 掘数据的潜在价值，助力企业日常安 全运营。 实际上为了分析安全告警，近 年来一些公司以数据分析、人工智能 的方法来分析这些数据，而分析、理 解数据，进而对数据进行标记往往是 使用人工智能算法等高级算法的必备 12 安全月报 / 2021.10 据进行存储，但是暴增的数据量与合理分析方法的缺失进一步加重了SOC团队 每天的告警数据量会达到百万量级。在工业界，这类数据基本组成少有暴 露，数据的整体轮廓往往不得而知，而处理方法往往太过抽象，如使用UEBA 的方法，目前笔者也尚未接触到对此类数据进行完整分析的方法；另一方 面，在学术领域，对IDS的数据研究从本世纪初就开始了，然而那时候的网络 结构比较简单、攻击手法较为单一，近些年虽然也有零星的研究成果出现， 但依然使用20年前的数据集，借鉴意义不大。那么安全告警分析之路该何去 何从？安全告警数据到底有何价值？本文将给出见解。 二、安全告警分析的能与不能 如图1所示，企业一般会在内网和企业网络出口部署安全设备，这些安全 设备会对流经的网络流量进行威胁分析。而主流的安全设备的检测方式还是 行业研究 安全告警分析之道 基于规则的检测，并且对于加密流量并没有什么好方法，最多也就是能记录一些 加密通信的日志，如SSL协商日志。总结来说基于网络侧的安全告警数据分析无 法解决以下问题： 1. 不经过安全设备的流量。实际上这种场景很常见，企业往往只会在重要资 产前或者大的区域前部署安全设备，而且攻击者也有各种各样的方式让流量不经 过安全设备； 2. 不在规则中的攻击行为。大型网络演习中，攻击者往往会掏出珍藏的 m o 0-day漏洞进行攻击，这种攻击不会在网络侧产生告警，往往需要在主机