我們已經(jīng)生活在基于云的數(shù)字時代，那些能夠從數(shù)據(jù)中獲取最大價值的組織將成為最后的贏家。在數(shù)字化轉(zhuǎn)型和數(shù)據(jù)民主化的發(fā)展背景下，企業(yè)開展數(shù)據(jù)安全保護也面臨諸多新挑戰(zhàn)：

• 首先，不斷復(fù)雜的云計算基礎(chǔ)設(shè)施架構(gòu)很容易讓數(shù)據(jù)安全和治理專業(yè)人員覺得困擾，他們需要處理多個配置各異的云計算平臺，而多云基礎(chǔ)設(shè)施建設(shè)還在不斷發(fā)展，這讓云計算的應(yīng)用管理具有很大挑戰(zhàn)性；
• 其次，開發(fā)人員和業(yè)務(wù)人員經(jīng)常因為工作原因，在短時間內(nèi)創(chuàng)建新的數(shù)據(jù)存儲系統(tǒng)，卻沒有經(jīng)過規(guī)范的授權(quán)批準。因此，企業(yè)組織會大量產(chǎn)生出大量難以監(jiān)控的“影子數(shù)據(jù)”；
• 此外，隨著云計算的廣泛應(yīng)用，企業(yè)組織的傳統(tǒng)安全邊界已不復(fù)存在。網(wǎng)絡(luò)上的任何人都有可能以合規(guī)或違規(guī)的方式訪問數(shù)據(jù)，這使得企業(yè)的敏感數(shù)據(jù)更加容易被非法攻擊者竊取。

以上因素共同構(gòu)成了一個新的“數(shù)據(jù)安全攻擊面”，這是一種新的威脅途徑。為了應(yīng)對挑戰(zhàn)，研究機構(gòu)Gartner在其發(fā)布的《2022年數(shù)據(jù)安全技術(shù)成熟度曲線》報告中，提出了一種新的數(shù)據(jù)安全方案——數(shù)據(jù)安全態(tài)勢管理（DSPM）。根據(jù)Gartner給出的定義，DSPM旨在為企業(yè)組織提供更加全面的數(shù)據(jù)安全可見性，以便深入了解敏感數(shù)據(jù)的位置、訪問權(quán)限、如何被利用以及如何存儲等安全狀況態(tài)勢信息。DSPM的主要功能包括：數(shù)據(jù)安全策略實施、數(shù)據(jù)風(fēng)險評估、數(shù)據(jù)分類、數(shù)據(jù)泄漏保護、數(shù)據(jù)訪問監(jiān)控、數(shù)據(jù)發(fā)現(xiàn)、數(shù)據(jù)風(fēng)險補救、數(shù)據(jù)風(fēng)險排序、數(shù)據(jù)所有者標識、數(shù)據(jù)合規(guī)性報告、數(shù)據(jù)流映射以及數(shù)據(jù)沿襲識別等。

如果將DSPM與CSPM（云安全態(tài)勢管理）進行比較，我們可以發(fā)現(xiàn)，CSPM的主要功能是保護企業(yè)云上應(yīng)用和數(shù)據(jù)免受未經(jīng)授權(quán)的訪問，但無法為組織提供有關(guān)數(shù)據(jù)的詳細上下文信息，而DSPM解決方案則聚焦于云上數(shù)據(jù)的流通和變化，重點幫助組織解決如下問題：

• 幫助企業(yè)識別本地和云端的所有數(shù)據(jù)資產(chǎn)；
• 幫助企業(yè)定位數(shù)據(jù)位于何處；
• 幫助企業(yè)了解誰可以訪問敏感數(shù)據(jù)，訪問方式是什么；
• 幫助企業(yè)了解應(yīng)該遵從的數(shù)據(jù)監(jiān)管政策；
• 幫助企業(yè)響應(yīng)和處置數(shù)據(jù)安全事件。

完善的DSPM方案應(yīng)該具備數(shù)據(jù)發(fā)現(xiàn)、優(yōu)先級評估、安全防護和持續(xù)監(jiān)控等關(guān)鍵要素，這樣才能識別所有已知和未知的數(shù)據(jù)，并根據(jù)數(shù)據(jù)量、暴露情況和安全態(tài)勢確定安全隱患的風(fēng)險級別，提出風(fēng)險警報和補救指導(dǎo)。因此，企業(yè)組織要做好數(shù)據(jù)安全態(tài)勢管理工作并不是件很容易的事情，而遵循以下最佳實踐，可以幫助企業(yè)從DSPM項目建設(shè)中獲取更多好處。

01建立數(shù)據(jù)資產(chǎn)目錄

DSPM是一種以數(shù)據(jù)為中心的數(shù)據(jù)治理和安全防護方法。因此，組織首先有必要發(fā)現(xiàn)并登記所有的數(shù)據(jù)資產(chǎn)信息。擁有原生發(fā)現(xiàn)功能的云服務(wù)商只能識別正規(guī)的云原生資產(chǎn)，但是識別率往往不夠全面，比如難以識別影子數(shù)據(jù)資產(chǎn)。這些實例或工作負載通常是為備份或?qū)嶒炄蝿?wù)生成重復(fù)副本的產(chǎn)物。作為DSPM策略的一個核心部分，為所有數(shù)據(jù)資產(chǎn)整理出一套完備的目錄至關(guān)重要，無論資產(chǎn)是在本地，還是在公共云、私有云、混合云或者SaaS應(yīng)用程序上。

02做好數(shù)據(jù)環(huán)境分析

現(xiàn)代企業(yè)組織每年都要處理PB級的海量數(shù)據(jù)。這些數(shù)據(jù)會以不同的格式保存在整個企業(yè)數(shù)字化環(huán)境中，包括結(jié)構(gòu)化數(shù)據(jù)、半結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù)。發(fā)現(xiàn)和分類如此大量的數(shù)據(jù)對企業(yè)而言是個巨大的挑戰(zhàn)。組織應(yīng)該利用人工智能/機器學(xué)習(xí)技術(shù)（比如NLP），以準確發(fā)現(xiàn)和分類敏感數(shù)據(jù)，并且更深入地了解其數(shù)據(jù)使用環(huán)境。

03將各類安全解決方案有效協(xié)同

組織必須將DSPM解決方案與已有的CSPM、CWPP、SOC、SEIM等方案有效整合，統(tǒng)一運營使用。雖然CSPM等解決方案缺乏對數(shù)據(jù)理解能力，但可以彌補DSPM解決方案難以具備的防護能力。如果充分利用DSPM提供的敏感數(shù)據(jù)洞察力，組織可以根據(jù)數(shù)據(jù)敏感度來確定資產(chǎn)的優(yōu)先級，以解決現(xiàn)有防護體系中的不足。這不僅使組織能夠緩解誤報引起的警報疲勞，還可以更有效地保護敏感系統(tǒng)。

04用零信任框架優(yōu)化訪問

未經(jīng)授權(quán)的訪問是導(dǎo)致企業(yè)數(shù)據(jù)泄露的主要原因之一。組織必須盡快實現(xiàn)基于最低權(quán)限訪問模型的零信任框架。對于安全團隊而言，可以充分分析數(shù)據(jù)訪問相關(guān)信息，比如訪問敏感數(shù)據(jù)的身份、訪問者的地理位置及其訪問這些數(shù)據(jù)的頻次。這些信息可以幫助組織更好地優(yōu)化其訪問策略和控制，并保護數(shù)據(jù)免受未經(jīng)授權(quán)的訪問。

05加強對流數(shù)據(jù)的監(jiān)管

在多云時代，越來越多的組織選擇使用Kafka和Confluent之類的流數(shù)據(jù)平臺。這些平臺允許組織實時處理和分析數(shù)據(jù)，以便及時作出決策。然而組織在管理流數(shù)據(jù)時會遇到一些挑戰(zhàn)，比如未經(jīng)授權(quán)訪問和數(shù)據(jù)蔓延等問題。組織必須深入了解經(jīng)由流數(shù)據(jù)平臺傳輸?shù)拿舾袛?shù)據(jù)，并利用這些信息建立訪問控制措施，以防止數(shù)據(jù)蔓延和未經(jīng)授權(quán)的訪問。

06做好隱私合規(guī)分析

遵守數(shù)據(jù)隱私法并不容易，因為數(shù)據(jù)正在失去控制，分散到眾多的數(shù)據(jù)系統(tǒng)和存儲地點。由于數(shù)據(jù)急劇增加，很難將數(shù)據(jù)與個人身份準確對應(yīng)起來。由于缺乏數(shù)據(jù)的上下文信息，企業(yè)往往很難理解與單個數(shù)據(jù)集相關(guān)的合規(guī)策略。但作為DSPM策略的一個關(guān)鍵部分，組織必須將數(shù)據(jù)治理工作與監(jiān)管政策要求嚴格對應(yīng)起來，以便有效地履行隱私義務(wù)，比如數(shù)據(jù)主體權(quán)利的實現(xiàn)和跨境數(shù)據(jù)傳輸?shù)取?/p>

參考鏈接：https://www.networkcomputing.com/data-centers/6-best-practices-data-security-posture-management-dspm