数据突发事件响应流程

下载 PDF 版本

简介

为客户数据维护安全的环境是 Google Cloud 的最优先事项。Google 通过一个业界领先的信息安全操作体系来保护客户数据,该操作体系将严格的流程、世界一流的团队以及多层信息安全和隐私基础架构进行了有机结合。 本文重点介绍 Google 管理和响应 Google Cloud 数据突发事件的原则性方法。

在 Google 的整个安全和隐私计划中,突发事件响应是一个重要方面。我们制定了严格的数据突发事件管理流程。该流程详述了影响客户数据机密性、完整性或可用性的任何潜在突发事件的操作、上报、缓解、解决和通知方法。

在 Google,数据突发事件是指 Google 安全体系遭到入侵,从而导致 Google 管理或以其他方式控制的系统上的客户数据遭到意外或非法破坏、丢失、更改、未经授权的披露或访问。 Google 会采取措施解决数据和系统面临的可预见威胁,但数据突发事件不包括未破坏客户数据安全的失败尝试或活动,包括失败的登录尝试、ping、端口扫描、拒绝服务攻击以及防火墙或联网系统上发生的其他网络攻击。

Google 如何帮助保护客户数据

客户数据的安全至关重要,而数据安全有赖于 Google 与客户的协作。Google 负责保护底层的云端基础架构和服务的安全,而客户在 Google 云端基础架构之上进行构建时,要保护其应用、设备和系统的安全。Google 为客户提供指导和多种安全功能,以实现 Google 水准的安全做法:

  • 身份和访问权限管理

  • 默认对静态数据传输中的数据进行加密,无需客户执行任何额外操作

  • 多重身份验证,包括防网上诱骗的硬件第二重安全密钥

  • 广泛的网络安全选项,包括虚拟私有云 (VPC) 和共享 VPC、软件即服务 (SaaS) 和平台即服务 (PaaS) 解决方案的内置 DDoS 防护,以及将上述机制用于基础架构即服务 (IaaS) 解决方案的选项

  • 详细的审核日志记录

如需详细了解 Google 如何保护 Google Cloud 的安全,请参阅《Google 基础架构安全设计概述》这篇文章和相关的 NEXT '18 安全演示,或访问 Google Cloud 安全网站

Google 为客户提供他们在 Google Cloud 上使用的各种服务的可见性;客户可以使用 G Suite 安全中心来预防、检测和解决 Gmail、云端硬盘、设备、OAuth 和用户帐号中出现的问题。同样地,对于 GCP,客户可以使用 Cloud Security Command Center 来了解其组织中的资源、漏洞、风险和政策的相关数据。

在客户一方,他们必须正确配置安全功能以满足其自身需求、安装软件更新、设置网络安全地区和防火墙,并确保最终用户保护好自己的帐号凭据,不会将敏感数据向未经授权方公开。

图 1 说明了客户与 Google 各自的责任如何随客户对托管式服务的利用程度而在两者之间发生转移。随着客户从本地解决方案转向 IaaS、PaaS 和 SaaS 云计算产品,Google 将负责管理整个云服务的更多环节,客户的安全责任则随之减少。

如需详细了解云端安全配置,客户应参阅适用的产品文档。

责任图表

数据突发事件响应

Google 的事件响应计划由许多专业职能部门的专家级突发事件响应人员管理,以确保每个响应都能很好地适应每个突发事件所带来的挑战。根据突发事件的具体性质的不同,专业响应团队可能包括:

  • 云端突发事件管理
  • 产品工程
  • 站点可靠性工程
  • 云端安全和隐私
  • 数字取证
  • 全球调查
  • 信号检测
  • 安全、隐私和产品顾问
  • 信任与安全
  • 反滥用技术
  • 客户支持

这些团队的主题专家会以各种方式参与其中。例如,突发事件指挥官协调事件响应,如有需要,数字取证团队将检测正在进行的攻击并进行取证调查。产品工程师会努力限制对客户的影响,并提供解决方案来修复受影响的产品。法律团队会与相应安全和隐私团队成员合作,实施 Google 的证据收集策略,与执法部门和政府监管机构合作,也会就法律问题和要求提供建议。支持人员响应客户的询问和请求,为他们提供更多信息和帮助。

团队架构

我们宣布突发事件时,会指定一名突发事件指挥官来协调突发事件响应和解决方法。突发事件指挥官会从不同的团队中选择专家组成一支响应团队。 典型的响应架构如下方图 2 所示。突发事件指挥官会将管理突发事件不同方面的责任委派给这些专业人员,并管理从事件宣布到关闭的整个过程。图 2 描述了突发事件响应期间各种角色的关系及其各自职责。

数据突发事件响应团队架构

数据突发事件响应流程

每个数据突发事件都具有特异性,数据突发事件响应流程的目标是保护客户的数据,尽快恢复正常服务,并满足监管和合同合规要求。 Google 的突发事件响应计划的流程如下:

突发事件响应工作流程

识别

及早准确地识别突发事件是强有力的突发事件管理的关键。这一阶段的重点是监控安全性事件,以检测和报告潜在的数据突发事件。

Google 的突发事件检测团队采用先进的检测工具、信号和提醒机制,以便及早发现潜在突发事件的端倪。

Google 的突发事件检测来源包括:

  • 自动化网络和系统日志分析:网络流量和系统访问的自动分析有助于识别可疑、滥用或未经授权的活动,并将相应情况上报给 Google 的安全员工

  • 测试:Google 的安全团队使用渗透测试、质量保证 (QA) 措施、入侵检测和软件安全审核来主动扫描安全威胁

  • 内部代码审核:源代码审核可发现隐藏的漏洞、设计缺陷,并验证是否实施了关键安全控制

  • 针对特定产品的工具和流程:尽可能根据团队职能采用相应自动化工具,以增强 Google 在产品级层检测突发事件的能力

  • 使用异常检测:Google 采用多层机器学习系统,来鉴别用户在各类浏览器、设备上的活动,以及进行的应用登录和其他使用事件是安全的还是有异常

  • 数据中心和/或工作环境服务安全提醒:数据中心的安全提醒会扫描可能影响公司基础架构的突发事件

  • Google 员工:检测到异常情况的 Google 员工会进行报告

  • Google 的漏洞奖励计划:有的时候,外部安全研究人员会报告 Google 拥有的浏览器扩展程序、移动应用和 Web 应用中可能影响用户数据机密性或完整性的技术漏洞

协调

收到突发事件报告时,值班响应人员会审核并评估突发事件报告的性质,以确定它是否属于数据突发事件,并启动 Google 的突发事件响应流程。

一旦突发事件得到确认,它将被移交给突发事件指挥官,该指挥官将评估事件的性质并实施相应协调响应。在这一阶段,响应包括完成突发事件的分类评估,在需要时调整其严重程度,并启用所需突发事件响应团队,由相应操作/技术主管审核具体情况并识别需要调查的关键区域。我们会委派一名产品主管和法律主管,就如何响应做出关键决策。突发事件指挥官将指派相关人员开展调查并收集事实。

Google 响应的许多方面取决于严重程度评估结果,该评估以突发事件响应团队收集和分析的关键事实为根据。这些事实可能包括:

  • 给客户、第三方和 Google 造成危害的可能性

  • 突发事件的性质(例如是否会导致数据被破坏、被访问或变得不可用)

  • 可能受影响的数据的类型

  • 突发事件给客户使用该服务造成的影响

  • 突发事件的状态(例如突发事件是否已被隔离继续、仍在持续或已得到控制)

随着新信息的不断获得,突发事件指挥官和其他主管会在整个响应过程中定期重新评估这些因素,以确保针对 Google 的响应已分配适当的资源和紧急程度。会造成最严重影响的突发事件将被指定为最高严重程度。响应中还将指定一名沟通主管,负责与其他主管一同制定沟通计划。

解决方法

在这一阶段,重点是调查根本原因,限制突发事件的影响,解决当前的安全风险(如有),在补救过程中实施必要的修复,以及恢复受影响的系统、数据和服务。

受影响的数据将尽可能恢复到其原始状态。根据特定突发事件的具体情形,Google 可能会视情况采取许多不同的步骤来解决特定事件。例如,要重建问题的根本原因或识别对客户数据的影响,可能需要进行技术或取证调查。如果数据发生意外更改或破坏,Google 可能会尝试利用 Google 的备份副本重建数据。

补救的一个关键方面是当突发事件影响客户的数据时通知客户。整个突发事件过程将对关键事实进行评估,以确定突发事件是否影响了客户的数据。如果有必要通知客户,则突发事件指挥官将启动通知流程。沟通主管将根据产品和法律主管的意见制定沟通计划,通知受影响的客户,并于通知后在我们的支持团队的帮助下响应客户请求。

Google 致力于提供及时、清楚且准确的通知,其中包含数据突发事件的已知详情、Google 为缓解潜在风险已采取的措施,以及 Google 为解决相应突发事件建议客户采取的措施。我们将尽最大努力提供突发事件的详尽情况,以便客户可以评估并履行自己的通知义务。

关闭

在成功补救和解决数据突发事件后,突发事件响应团队将评估从突发事件中吸取的经验教训。如果突发事件引发关键问题,突发事件指挥官可能会启动事后分析。在此过程中,突发事件响应团队会审查突发事件的原因和 Google 的响应,并识别需要改进的关键区域。在某些情况下,这一过程需要与不同的产品、工程和运营团队进行讨论,并开展产品改进工作。 如果需要后续工作,突发事件响应团队会制定行动计划以完成相应工作,并指派项目经理领导长期工作。在补救工作结束后,突发事件将被关闭。

持续改进

在 Google,我们努力从每次突发事件中吸取教训,并实施预防措施,以避免未来突发事件的发生。

从突发事件分析得出的富有实用价值的洞见有助于我们改进自己的工具、培训和流程,以及 Google 的整体安全和隐私数据保护计划、安全政策和/或响应工作。总结得出的重要教训还有助于相关工作的优先级安排和更出众产品的构建。

Google 的安全和隐私专业人员会审查公司针对所有网络、系统和服务的安全计划,不断加以改进,并为产品和工程团队提供针对特定项目的咨询服务。他们将部署机器学习、数据分析和其他新技术,以监控 Google 网络上的可疑活动,解决信息安全威胁,执行常规安全评估和审核,并聘请外部专家开展定期安全评估。此外,我们的全职团队(称为“Project Zero”)致力于向软件供应商报告错误,并将其归档到外部数据库,以防范定向攻击。

Google 会定期开展培训和宣传活动,以推动安全和数据隐私方面的创新。专门的突发事件响应员工将接受取证和证据处理相关培训,包括使用第三方工具和专有工具。我们还将针对关键区域(例如存储敏感客户信息的系统)执行突发事件响应流程的测试。 这些测试会考虑各种场景(包括内部威胁和软件漏洞),有助于我们为安全和隐私突发事件做好充足准备。

作为 ISO-27017、ISO-27018、ISO-27001、PCI-DSS、SOC 2 和 FedRAMP 计划的一部分,Google 将对各类流程进行定期测试,以便为我们的客户和监管机构在安全性、隐私保护和合规性控制方面的独立验证。点击此处了解更全面的 Google Cloud 第三方认证列表。

总结

如上所述,Google 运营着世界一流的突发事件响应计划,提供以下关键职能:

  • 基于行业领先技术构建的流程,专用于解决突发事件,并经过优化,能够以Google 规模高效运营

  • 开创性监控系统、数据分析和机器学习服务,可以主动检测并控制突发事件

  • 配备众多专门主题专家,可随时分派以响应任何类型或规模的数据突发事件

  • 及时通知受影响客户的成熟流程,符合 Google 在服务条款和客户协议方面的承诺

保护数据安全是 Google 业务的核心。 我们将持续对整体安全计划、资源和专业知识进行投资,使我们的客户能够在突发事件发生时依赖我们的有效响应,保护他们的数据安全,并维持客户对 Google 服务高可靠性的期望。