本次研讨会由诸子云南京分会主办，并邀请BASF、南京证券、江苏省联社、华泰证券、宁证期货、星图金融、苏宁易购、正大天晴药业集团股份有限公司、上海雷龙信息科技有限公司、ZTE、港口科技公司等企业的安全专家参与。

薮猫科技联合创始人&CEO王宇、北京观成科技联合创始人&安全研究总监刘燚、中睿天下安全服务与运营中心技术经理徐丹丹、华泰证券数据安全专家谢云鹏四位专家分别进行了分享。

2021年是数据安全发展的重要节点。据国内各大公有云厂商统计，2021年云服务开户数量激增，随着企业资产数据化的指数级增长，作为数字资产重要属性的数据安全自然得到了越来越多的关注。

众所周知，数据安全治理不是一朝一夕就能做好的，对于很多组织来说，治理数据安全的首要挑战是切入点。对此，组织应该先建立统管部门，确立综合型的管理方法，旨在确保数据在整个生命周期中得到安全保护和合规管理，主要涵盖数据安全策略、安全措施和合规要求等。在这个过程中，还要注意端上非结构化数据和云上的结构化数据。而在此基础上，数据防泄露则是数据安全治理的具体落地技术，通过专业靶向的技术手段，用于监测、阻止和减少数据泄露的风险。

Gartner的技术曲线图通常有巅峰、低谷和平缓三个区间。很多如2020年之后出现的新技术一般会在巅峰区间，而数据安全和DLP现在正处于低谷。导致这样的原因有两点，第一数据安全并不是短时间的热度，而是需要产业和组织常态化的运营数据安全；第二是数据安全从火热到现在已经持续了很多年，很多传统的DLP产品已经无法满足当下用户的需求，无论是操作系统，还是用户界面，甚至和组织的适配性都有很大的升级空间。此外，传统的DLP产品偏向静态，在当下逐渐走向主动防御的安全市场来说，静态的DLP产品已经无法适应时代，缺乏基础的攻防能力使其无法面对新的威胁和挑战。

对此，薮猫科技从攻防安全发展看DLP现状得出了一个结论：这是一个从静态到动态再到大规模威胁态势感知的过程，而大量数据安全解决方案目前还停留在以静态看待问题的阶段，亟待向前发展。

基于此，薮猫科技认为，对于 DLP 产品，首先不要静态地看待问题。要从数据的流转过程和全生命周期去看数据安全，站在一个更高、更广的视角下对敏感数据生成之后的全生命周期进行一个监控，并做出适当的响应动作。另外，动态也更能够适应组织不断变化的网络环境，包括软件、硬件、服务的变化等。

其次，不要割裂地看待问题。数据泄露有被动有主动，一个Office文件可能存在恶意的部分和数据泄露的部分，传统网络安全厂商或许只关注恶意部分，而忽视数据泄露部分，反之亦然。当一个漏洞爆发后，网络安全厂商专注于修漏洞，对数据泄露无动于衷。从甲方视角来看，一个问题只解决一部分，或是只解决少数的部分，那么这种割裂会让甲方用户很难受，也会让整体的安全架构存在问题。

最后，不要单一地看待问题。数据防泄露是一个比较宽泛的概念，存在很多解决方案，包括加解密、应用沙箱等。但这些解决手段都是从单一视角看待数据安全的问题，存在一定的局限性。因此，组织需要统一的从终端到服务器，从非结构化数据到结构化数据的顶层视角，实现数据安全。

基于此，薮猫科技打造的数据安全解决方案，是从办公网络终端侧到生产网流量侧，从产品到服务，从顶层设计辅助到战略落地执行全面的数据安全能力矩阵。其中，青骓 DDR  (Data Detection and Response)，作为下一代 DLP，更是从动态、全局、综合的视角出发，打破传统 DLP 的困境，帮助企业化混沌为清晰、化被动为主动，让企业数据更安全。

攻防演练这些年非常火，无论是每年的国家HW还是地方HW，对于每一个企业来说都是一次安全防护的大考。观成科技总结出HW场景下加密威胁的全景图，组织在HW所遭遇的一系列攻击是有一个过程的，首先是初始信息搜集，对企业边界的初始靶点进行攻击并建立据点，然后到后期渗透阶段的提权、横向转移，在最后就是命令与控制阶段。每一个阶段会产生各种各样的加密流量，从企业网络边界的角度来看，可以将其分成三大类。第一类是入联威胁，主要体现在前期的初始信息搜集阶段，针对企业网络边界的探测扫描、暴力破解、漏洞利用、拒绝服务、Webshell等等。这种攻击流量是通过SSL、SSH、RDP等协议进行加密的，看不到它的攻击内容。

第二是横向转移，也称之为横向威胁，指的是攻击者进入内网后，会有一系列的横向探测、攻击行为以寻找靶标。它所产生的攻击流量和入联阶段类似。第三是出联威胁，指的是攻击者拿到控制权限后，会上传具备更高级功能的木马进行回联。通常，企业的边界防护例如防火墙等都会更关注入联流量，对出联流量的限制会较少一些。出联威胁的流量会尽可能的隐藏在企业的日常加密流量中，导致这种威胁很难被发现。

不同类别的加密流量要用不同的解决方案。对此，观成科技结合多年研究和实际经验的积累，形成了一个检测加密流量威胁的综合决策体系。在决策体系中的重要一环是人工智能模型检测，使用大量恶意加密流量，提取多个维度的特征，训练机器学习模型进行预测。

除了人工智能以外，观成科技还总结出了限定域指纹技术。大部分应用、木马和工具在产生加密流量时使用不同的实现方式，不同的平台，调用不同的库，其限定域指纹是不同的。所以，可以用限定域指纹来识别产生恶意加密流量的工具或木马。

此外，还可以利用流行为特征检测加密威胁，流行为特征主要指的是恶意程序的多流行为，也就是木马通信流量虽然经过加密，看不到其内容，但是它们的流特征无法隐藏，其流行为也有特定的模式，从这些模式中总结、统计规律，可以识别出恶意程序的通信行为。

近年来，网络空间安全环境十分恶劣，从22年俄乌冲突的爆发及网络空间对抗战可以看到，乌方的政府部门、金融、公共服务商等系统都遭到了大量的攻击，俄方的克里姆林宫、政府部门等重要网站也遭到了大量的DDoS攻击导致服务中断。

自2016年起，随着《网络安全法》的颁布，网络安全实战化攻防演练已成为重要的工作内容。根据该法规定，关键信息基础设施的运营者应“制定网络安全事件应急预案，并定期进行演练”。国家层面推行网络安全实战化攻防演练的目的是提升整个国家的网络安全保障能力。

随着大规模攻防演练行动的开展，网络安全技术正朝着实战攻防的防护思路发展，网络安全建设逐渐也从合规驱动型转向实战攻防驱动型。因此，如何有效地实施演练，加强实战攻防对抗的效果，提升企业的网络安全防护能力，成为许多企业关注的重点。

积极防御体系建设的目标是消灭攻击者和防御者之间的信息不对成。中睿天下站在攻击者的视角，提出实战场景下的积极防御建设方案，将实战攻防进一步拆解为三个阶段、九个动作和两个支撑。应对攻击的三个阶段分别是攻击前的风险识别加固阶段、攻击中的监测溯源分析阶段、攻击后的常态化安全运营阶段；九大动作包括认清风险、整改加固、定期演练、拦截阻断、监控预警、攻击溯源、应急响应、修补整改和常态运营；两大能力是基于实战攻防视角的红蓝队能力支撑。

在安全建设的第一步是摸清家底。在攻击前阶段，攻击者会对企业进行资产信息收集和暴露面梳理，通过各种攻击工具和手段发现企业的资产风险，例如敏感端口、互联网暴露面资产、设备系统弱密码、企业敏感数据等等。中睿天下站在攻击者的视角，模仿攻击者的“作案”手法和工具，以安全服务加合法工具的方式帮助企业提前认清风险，协助企业整改加固系统的安全漏洞，最后通过定期演练加强企业员工的安全意识，站在全局视角协助企业提升风险应对能力。

攻击正在进行或者攻击已经发生，都可以归类于攻击中阶段。在这个阶段，企业具备积极防御的能力尤为重要。首先联动阻断设备对已经明确的攻击进行主动拦截，实现对攻击行为的发现、识别阻断；其次通过安全工具和安全服务对正在进行的攻击进行监控预警，这个阶段考验的是设备的软硬实力（检测能力和有效告警）；再者利用全流量回溯设备和威胁情报系统对攻击进行溯源分析，溯源攻击者的攻击行为、攻击工具、攻击手法和背景等信息；最后对已经发生的攻击做出应急响应和处置，利用主机溯源深入挖掘攻击者痕迹，结合取证分析服务和事件溯源出具溯源报告。

攻击后阶段最重要的工作就是要不断的修改整补最终实现常态化运营，以当前安全常态化运营的发展局势来看，需要有功能强大的态感平台和一支安全技术过硬的安全团队共同支撑。安全工具可以通过技术实现，安全队伍建设需要经过不断的培训来拉齐队伍认知，红队培训可以解决网络对抗下攻防不对等的问题，拉齐红队与攻击组织的能力。蓝队培训有助于提升基于实战攻防下的蓝队综合防御能力。

近年来，安全从业者能够很明显能感觉到国家和社会对数据安全的关注程度越来越高。从国家层面上来说， 2020年初，数据被定义为第五大生产要素。2021年初，国家十四五规划提出要迎接数据时代，发展数字经济。同年发布了《数据安全法》以及后续2022年推出的“数据20条”。

从法律层面来看，2016年《网络安全法》提到了要保护好个人数据的使用，2021年的《数据安全法》规定了企业对数据资源开发和保护的责任和义务，《个保法》也提到了个人信息保护的权益以及企业数据使用的规范。后续，我国还发布了大量的规范和标准，不断完善数据安全的法律监管和合规要求。

从社会层来看，现在的数据泄露事件频频发生，大部分的骚扰和诈骗电话都与数据泄露有关。此外，多个平台的数据泄露严重影响了个人生活，甚至还会造成个人经济损失。同时，还有很多不法分子将数据打包在暗网中，黑灰产人员将这些数据分门别类，然后明码标价进行售卖。去年某新能源汽车数据就被不法分子整体脱库然后将其客户数据、研发人员信息及销售人员信息出售在暗网中。

从企业层面来看，IDM数据泄露成本调研报告指出，83%的企业经历过数据泄露，评价泄露成本达到435万美元。这里面的数据大部分是国外公司，国内的数据泄露成本也不算低，很多企业在发生数据泄露后，不仅要面对监管的处罚，还有客户投诉，客户经济损失赔偿以及公司声誉的损失。

数据安全建设可以参考Gartner在2017年提出的DSG模型，其中，它提到数据安全治理体系不仅仅是产品化的解决方案，不是产品的堆叠，而是需要体系化的，从决策层到执行层以及管理和工具落地一整套体系化的建设。因此，Gartner建议从最上层开始做业务平衡，平衡业务、安全、合规、风险之间的关系，找到平衡点后基于业务梳理高优先级的数据资产。

一般来说，企业的数据大而杂，需要重点关注的数据可能只占到10%-20%。安全部门需要对其进行梳理识别，将这10%-20%的数据筛选出来。这也是数据分类分级的意义之一？将这些筛选出来的数据进行分级别的安全管控。这种安全管控策略就是基于数据，基于人去做一个访问权限管控矩阵，然后再通过数据安全产品去补齐相关能力，并把策略下放到对应数据的对象上。

活动相关资料欢迎大家在知识星球下载~