关于dlp数据防泄漏我想说浅谈安全运维优化

最近从乙方安福实验室转入甲方的业务安全部门。接触了一些业务安全的运维工作后，也对自己的业务优化方向进行了思考。

资产统计和变更

这段时间正好FastJson漏洞百出。因为笔者所在的甲方属于一定规模的互联网公司，所以最近与各事业部通宵合作，进行漏洞修复。

公司本身拥有强大的统计平台和相对成熟的资产规格，但统计和升级受影响的资产需要大量的时间。

例如，自己公司的It资产连接到自动化操作和维护，并采用基于ES群集的平台。资产变更可以及时以*键为基准纳入全球搜索，便于未来搜索和资产统计、未来自动升级和部署。

但是，统一安排这些变化的方法也存在一些问题。其中之一是，如果Agent部署平台和Agent本身存在问题，如果不及时恢复，本身的大小不会很小，这可能会影响全球资产的恢复进度。

因此，有多种资产升级/变更/测试方案，轻量级/重量级方案可能会相互制约，所以我认为需要盗窃。

此外，整理内部网Git资产，通过代码扫描找到可能存在的漏洞和服务，也可以辅助受影响资产的统计。

自动检测认证

对于大甲方，安全团队在研究新出的漏洞Poc、对IT资产安全性进行自检时，如果按照正常程序进行，可能需要先进行任务申请升级，然后向整个集团发送邮件，最后扫描。

但是，在相对紧急的漏洞紧急情况下，部门间协作的情况下，经常会来不及完成所有流程。

笔者还见过研发、运维等部门。因为突然找到了攻击Log，半夜吓了一跳，去保安部门确认攻击的来源是否属于内部自检。

那么，如何为此进行优化呢？

很多大公司有时采用统一签名和加密机制，或者自己构建单独的平台，以确保传输加密的可靠认证。

笔者盗用这一点可以参考。如果可以进行一定范围的成本管理，则每次执行自动安全检测时，都可以将加密的认证信息添加到测试数据包头，作为内部安全检测的信号。每个BU都可以更容易地识别实际的攻击事件。

敏感数据泄漏控制

据悉，防止敏感数据泄露和事后责任追踪一直是甲方比较重视的一点，大致有这样的方案。

1.防止DLP数据泄漏

DLP软件一般是为了寻找公司敏感数据外部分发，对数据流量内容进行监控审核，目前市面上也有很多成熟的合规产品。

2.堡垒机

最近机具有监控、数据传输限制、全屏录制等功能，结合查询系统的水印功能，可以在一定程度上防止数据泄漏，并跟踪泄漏源。

3.数据脱敏

存储和显示敏感数据时，本身要做好脱敏工作，加密数据，进行不完整的展示，防止内鬼和意外泄露事件。

4.数据监控

Github监控和舆论监控等产品，但不能有效地抑制数据泄露。但是，在防止数据扩散和跟踪数据泄漏来源的层面上，这可能很有用。

如果不仅能综合利用多种产品，还能共同利用企业本身的安全管理规范，那么一定程度上就能保证数据安全。

产品检查过程

本来乙方安全测试岗位上需要对产品进行安全检查的时候，随便咨询资深相关产品、售前或研发，基本上都可以问。

但是现在的甲方安全运维真的很了不起。(威廉莎士比亚、哈姆雷特、《安全名言》)工作流微调和记录后，如果需要进行安全测试，就要逐个询问多个QA/RD/PM，一点一点地挖掘要求和设计方案。最后，必须找到、补充和补充API文档本身，才能进行下一步。大卫亚设(David Assell)，Northern Exposure(美国电视新闻)。

笔者这两天还访问了非互联网甲方，和负责安全的Leader朋友聊天，产品在线遵守的重要性确实比安全遵守优先得多。当然，这也是不得已的事。

一般来说，法规遵从性有助于梳理流程，简化有助于加快产品在线速度，各有各的好处。

当然，笔者见识有限，不能窥一斑而见全豹。但是总的来说，确实可以根据其他产品的实际情况对流程进行变通。

后期

以上只是简单谈了几段感情，这方面的工作履历还很浅，期待各路读者斧头和教导。

*作者：dawner、FreeBuf。在COM上再现