仅在过去几年中,保护客户数据和其他敏感数据的任务就发生了巨大变化,从开始讲保护难到现在变得近乎不可能进行有效的防护。困难不仅仅是因为公司处理的数据量增加了10倍——同时,存储数据的位置变多了,使用数据的工具也变多了,并且这些还伴随着更多的数据使用场景。
这个变化,感觉就像每次你确定一个流程来控制风险时,流程中的一些东西也需要改变。有时只是一个小小的调整,但最近,变化有时是根本性的,迫使你重新思考整个数据安全方法。
好消息是:在文章的结尾,您将更清楚地理解什么发生了变化以及如何适应这些变化。
为什么数据安全在过去十年中从困难变成了梦魇
保护数据,尤其是保护客户数据,比以往任何时候都更加困难。根据IBM 2024年数据泄露报告,43%的数据泄露涉及客户数据。许多数据安全团队仍在努力跟上这个变化(TrustZ翻译团队: 这里去点了半句话,参考原文)。--现实情况是,数据技术和数据使用场景在过去几年中发生了巨大变化,但我们保护数据的流程和工具只是在逐步调整。
数据安全团队通常会遵循最合乎逻辑的安全计划:
1.映射一切:用户、数据、权限、配置等。
2.识别所有风险。
3.实施控制。
这看起来是个伟大的计划。然而,在实践中,大多数组织在执行第一步时“耗尽了全部力气”,在识别风险和实施适当控制方面只能找到一点点平庸的解决方案。映射一切听起来很直接且简单,但当处理快速变化的数据流、云环境和不断变化的用户角色时,这个映射在你完成之前就已经过时了。
即使团队设法完成了映射阶段,他们也经常会得到一个庞大的数据标签和权限列表,这个巨大的映射很快就会变得难以管理。更糟糕的是,您可能拥有所需的所有可见性,但缺乏基于该可见性实施控制的能力。这就像知道火在哪里,但没有灭火工具。
这就是许多数据安全团队出错的地方。他们认为,如果他们能绘制出所有东西,他们就不会有安全盲点,并且可以制定一个计划来应对风险。但陷阱在于,可见性工具并不是为了带你进入下一步而构建的。如果你的安全解决方案不能无缝地将可见性和控制结合起来,你总是会落后两步。如果你想将数据安全保护与业务的快速变化保持一致,我们就需要将两者都集成到一种方法中。
为什么传统的方法没法成功
传统的安全策略是为过去的时代而建立的(TrustZ翻译团队:传统安全主要思考维度相对数据安全更静态一些,假设被管控对象变化少,且变化慢,这是过去时代策略的根基和原因)。当时,数据存储在可预测的地方,访问由几个看门人控制,安全就是给堡垒周围筑墙。但今天的数据环境发生重大变化。数据不再孤立。它存储在更多的位置(跨云、技术)。数据被更多的团队使用,而不是少数几个被选中的团队,并且用于多种业务场景中。在许多情况下,人工智能允许团队以不可预测的方式访问数据,这往往会造成黑盒的情况。这正在推动科技经济的发展,但是,却向数据安全团队发出了一个强烈的信息:旧的流程和工具正在变得过时且无关紧要,我们必须改变。
因此,如果数据安全团队坚持旧的“映射、识别、控制”模式,最终会陷入死循环。当数据安全团队还在映射数据时,有人已经启动了一个新的云实例,或者开始使用一个不在计划中的新工具。结果会如何?那就是安全流程跟不上,风险不断从缝隙中溜走。
在我看来,最好的例子是使用LLM(大型语言模型)的人工智能采用。人工智能需要非常大的数据集进行训练,这意味着现在有更多的人可以使用大量数据。传统的安全方法不是为了大规模处理这种级别的数据访问而构建的,它们当然也不是为了处理人工智能所需的不断变化的权限、用例和工具而设计的。因此,安全团队要么阻止访问(这会让用户感到沮丧,阻碍创新),要么允许访问不受控制(这会增加违规风险)。
新方法:不要仅仅谈论问题,而是现在就解决
前进的道路不是更严格的流程或更长的权限列表。它是关于构建一种动态的、集成的数据安全方法,以实时适应您的环境。不是告诉我的数据在哪里,不是告诉我风险在哪里,现在就解决问题。
这是它应该有的样子:
1.集成可见性和控制能力:仅仅知道数据在哪里以及谁在访问它是不够的。你需要能够以与数据使用相同的速度实施控制。无论是人力资源部的人正在访问报告,还是数据科学家正在研究人工智能模型,你都需要实时执行,以适应角色、使用场景和数据流的发展。
2.自适应的安全:与其构建需要不断手工更新的静态安全框架,不如寻找能够自动适应变化的解决方案。如果用户的角色发生了变化或引入了新的数据集,您的安全控制应该进行调整,而不需要大修。这种适应性在当今流动的数据环境中至关重要。
3.自动化优先:数据安全团队面临的压力比以往任何时候都大,手工流程根本无法扩展。如果不自动化日常任务,如:监控数据流、执行策略和识别异常,你根本无法跟上步伐。自动化使您不会随着环境的增长和变化而落后。
数据安全成为赋能者
数据安全的未来属于那些能预见威胁的人,而不仅仅是对威胁做出反应的人。这是需要在组织的每一层都建立安全机制,这样就不必一直疲于灭火。如果你走在发展曲线的前面,你不仅仅是在保护你的组织——你是在让它蓬勃发展。
归根结底,你的角色不仅仅是锁定数据,而是让你的组织能够快速发展和行动,同时,不会让自己面临风险。安全解决方案应该让你的生活更轻松,而不是更困难。对于数据安全,这就意味着需要集成的数据安全的可见性和控制能力,为数据消费者提供无缝的数据使用体验,并优先采用自动化的方法。
原文地址:
From Chaos to Control: Solving the Data Security Puzzle | blog.satoricyber.com
--------------------------------------------------------------------
TrustZ翻译团队简介:
TrustZ团队致力于科普、推广数据治理、数据安全治理相关的技术和管理方法。将最新的国内的数据理论方法推向全球,将海外的思想整理,翻译过来回馈给感兴趣的读者。我们也会独立撰写一些文章,以汇总整理相关知识。