在現(xiàn)代 IT 安全行業(yè)發(fā)展了25年之后，數(shù)據(jù)泄露事件仍然以驚人的速度發(fā)生。 是的，這是相當(dāng)明顯的，但仍然令人失望，因?yàn)槊磕甓家ㄙM(fèi)數(shù)十億美元來改善這種情況。在過去的十年中，安全控制的主體經(jīng)歷了“下一代”趨勢(shì)——最初是防火墻，最近是終端安全。已經(jīng)收集了新的分析技術(shù)來以更復(fù)雜的方式檢查基礎(chǔ)設(shè)施日志。

但是這個(gè)行業(yè)似乎仍然沒有抓住重點(diǎn)。 幾乎所有的黑客攻擊活動(dòng)的目的(仍然是)竊取數(shù)據(jù)。 那么，為什么要把重點(diǎn)放在更好的基礎(chǔ)設(shè)施安全控制和更好的基礎(chǔ)設(shè)施分析上呢? 主要是因?yàn)橐龊脭?shù)據(jù)安全工作很難。任務(wù)越困難，不堪重負(fù)的組織就越不可能有勇氣做出必要的改變。

需要明確的是，我們完全理解活著的必要性。 這是安全人員的精神，也是必須的。 有設(shè)備需要清理，有事件需要響應(yīng)，有報(bào)告需要編寫，還有新的架構(gòu)需要解決。 如果沒有明顯的解決方案，解決數(shù)據(jù)安全這樣模糊不清的問題的想法可能仍然是一座橋梁。

或許現(xiàn)在是重新審視數(shù)據(jù)安全的時(shí)候了，應(yīng)該利用基礎(chǔ)設(shè)施領(lǐng)域開創(chuàng)的許多新技術(shù)來解決出現(xiàn)的內(nèi)部威脅: 攻擊數(shù)據(jù)。因此，我們的新系列文章——保護(hù)什么是重要的:介紹數(shù)據(jù)護(hù)欄和行為分析，將介紹一些新的做法，并強(qiáng)調(diào)保護(hù)數(shù)據(jù)的新方法。

在開始之前，讓我們向 Box (譯者注：Box 是國外的一個(gè)網(wǎng)盤)表達(dá)謝意，感謝它在我們完成本系列文章時(shí)同意授權(quán)這些內(nèi)容。 像 Box 這樣的客戶很明白一點(diǎn)，他們明白需要前瞻性的研究來告訴你事情的發(fā)展方向，而不是發(fā)表一份報(bào)告告訴你他們的發(fā)展方向，如果沒有 Box 這樣的客戶，我們就不可能進(jìn)行這樣的研究。

了解內(nèi)部風(fēng)險(xiǎn)

雖然安全專業(yè)人士喜歡使用“內(nèi)部威脅”這個(gè)詞，但它的定義往往模糊不清。 實(shí)際上，它包括多種類型，包括利用內(nèi)部訪問的外部威脅。 我們相信，要真正解決一個(gè)風(fēng)險(xiǎn)，你首先需要了解它(稱我們?yōu)榀傋?。 為了分解內(nèi)部威脅的第一個(gè)層次，讓我們考慮一下其典型的風(fēng)險(xiǎn)類別：

• 意外的誤用：在這種情況下，內(nèi)部人員沒有做任何惡意的事情，但是會(huì)犯一個(gè)導(dǎo)致數(shù)據(jù)丟失的錯(cuò)誤。 例如，客戶服務(wù)代表可以回復(fù)客戶發(fā)送的包含私人賬戶信息的電子郵件。 這并不是說回復(fù)客戶是在試圖違反政策，但是他們并沒有花時(shí)間查看信息并清除任何私人數(shù)據(jù)。
• 陷入不必要的行動(dòng)： 員工也是人，也可能會(huì)被欺騙去做出錯(cuò)誤的事情。 網(wǎng)絡(luò)釣魚就是一個(gè)很好的例子。 或者根據(jù)某人模擬雇員的調(diào)用提供對(duì)文件夾的訪問。 同樣，這并不是惡意的，但是它仍然可以造成破壞。
• 惡意的濫用：有時(shí)候你需要面對(duì)一個(gè)惡意的內(nèi)部人員故意竊取數(shù)據(jù)的事實(shí)。 在前兩種情況下，人們不會(huì)試圖掩飾自己的行為。 但在這種情況下，他們會(huì)故意混淆，這意味著你需要不同的策略來檢測(cè)和防止泄密活動(dòng)。
• 帳戶接管：這個(gè)類別反映了一個(gè)事實(shí)，一旦外部敵人出現(xiàn)在一個(gè)設(shè)備上，他們就成為了內(nèi)部人員; 通過一個(gè)被入侵的設(shè)備和帳戶，他們可以訪問關(guān)鍵數(shù)據(jù)。

我們需要在對(duì)手的上下文中考慮這些類別，以便你能夠正確地調(diào)整你的安全體系結(jié)構(gòu)。 那么，誰是試圖獲取你的東西的主要對(duì)手呢? 一些粗粒度的分類如下: 不成熟的(使用廣泛可用的工具)、有組織的犯罪、競(jìng)爭(zhēng)對(duì)手、國家支持，最后是真正的內(nèi)部人員。 一旦你了解了最可能的對(duì)手及其典型策略，就可以設(shè)計(jì)一組控件來有效地保護(hù)數(shù)據(jù)。

例如，一個(gè)有組織的犯罪集團(tuán)希望獲取與銀行或個(gè)人信息有關(guān)的數(shù)據(jù)，以進(jìn)行身份盜竊。 但競(jìng)爭(zhēng)對(duì)手更有可能尋找產(chǎn)品計(jì)劃或定價(jià)策略。 你可以(并且應(yīng)該)在設(shè)計(jì)數(shù)據(jù)保護(hù)策略時(shí)考慮到這些可能的對(duì)手，以幫助確定需要保護(hù)的內(nèi)容和方式的優(yōu)先級(jí)。

既然你已經(jīng)了解了你的對(duì)手，并且能夠推斷出他們的主要戰(zhàn)術(shù)，那么你就能更好地理解他們的任務(wù)。 然后，你可以選擇一個(gè)數(shù)據(jù)安全體系架構(gòu)，以最小化風(fēng)險(xiǎn)，并最佳地防止任何數(shù)據(jù)丟失。 但這需要我們使用不同于通常認(rèn)為的數(shù)據(jù)安全策略。

一種看待數(shù)據(jù)安全的新方法

如果你調(diào)查安全專家并詢問數(shù)據(jù)安全對(duì)他們意味著什么，他們可能會(huì)說加密或數(shù)據(jù)防泄漏(DLP)。 當(dāng)你只有一把錘子的時(shí)候，所有的東西看起來都像釘子，很長(zhǎng)一段時(shí)間以來，這兩種東西就是我們可以用到的錘子。 當(dāng)然，我們希望擴(kuò)展我們的視角，但這并不意味著 DLP 和加密在數(shù)據(jù)保護(hù)中不再扮演任何角色。 安全專家們當(dāng)然知道這一點(diǎn)，但是我們可以用一些新的策略來繼續(xù)補(bǔ)充。

• 數(shù)據(jù)護(hù)欄：我們將護(hù)欄定義為在不減慢或影響典型操作的情況下執(zhí)行最佳實(shí)踐的一種手段。 通常在云安全上下文中使用，數(shù)據(jù)護(hù)欄使數(shù)據(jù)能夠以某種方式使用，同時(shí)阻止未經(jīng)授權(quán)的使用。 為了擺脫舊的網(wǎng)絡(luò)安全術(shù)語，你可以將護(hù)欄看作是數(shù)據(jù)的“默認(rèn)-拒絕”。 你定義了一組可接受的實(shí)踐，并且不允許任何其他的操作。
• 數(shù)據(jù)行為分析：許多人都聽說過 UBA(用戶行為分析) ，它對(duì)所有的用戶活動(dòng)進(jìn)行分析，然后尋找異常活動(dòng)，這些異?；顒?dòng)可能表明了上述內(nèi)部風(fēng)險(xiǎn)類別中的某一個(gè)如果你把UBA顛倒過來，專注于數(shù)據(jù)呢?使用類似的分析，你可以分析環(huán)境中所有數(shù)據(jù)的使用情況，然后尋找需要進(jìn)行調(diào)查的異常模式。我們將此稱為DataBA，因?yàn)槿绻覀儼堰@個(gè)工作頭銜硬塞給數(shù)據(jù)庫管理員，他們可能會(huì)有點(diǎn)惱火。

上面的內(nèi)容，我向你們介紹了內(nèi)部風(fēng)險(xiǎn)的概念并概述了內(nèi)部風(fēng)險(xiǎn)的主要類別。 接下來，我將深入探討數(shù)據(jù)護(hù)欄和數(shù)據(jù)庫的這些新概念，闡明這些方法及其缺陷。

長(zhǎng)期以來，數(shù)據(jù)安全一直是信息安全中最具挑戰(zhàn)性的領(lǐng)域，盡管它是我們整個(gè)實(shí)踐的核心。 我們之所以稱之為“數(shù)據(jù)安全” ，是因?yàn)?ldquo;信息安全”已經(jīng)被廣泛使用。 數(shù)據(jù)安全不應(yīng)妨礙數(shù)據(jù)本身的使用。 相比之下，保護(hù)檔案數(shù)據(jù)很容易(對(duì)其進(jìn)行加密并將密鑰鎖在保險(xiǎn)箱中)。但是，保護(hù)組織積極使用的非結(jié)構(gòu)化數(shù)據(jù)呢? 顯然不是那么容易。這就是為什么我們通過關(guān)注內(nèi)部風(fēng)險(xiǎn)(包括利用內(nèi)部訪問的外部攻擊者)來開始這項(xiàng)研究。在大多數(shù)安全工具中，識(shí)別帶有惡意意圖執(zhí)行授權(quán)操作的人沒有太大的差別。

數(shù)據(jù)護(hù)欄與數(shù)據(jù)行為分析的區(qū)別

數(shù)據(jù)保護(hù)和數(shù)據(jù)行為分析都致力于通過將內(nèi)容知識(shí)(分類)和上下文使用相結(jié)合來提高數(shù)據(jù)安全性。 數(shù)據(jù)保護(hù)在確定性模型和過程中利用這些知識(shí)來減少安全摩擦，同時(shí)還可以改進(jìn)防御。 例如，如果用戶試圖將敏感存儲(chǔ)庫中的文件公開，護(hù)欄可能要求他們記錄理由，然后向安全部門發(fā)送通知以批準(zhǔn)請(qǐng)求。護(hù)欄是根據(jù)用戶正在做的事情將用戶“限制在”授權(quán)活動(dòng)的范圍內(nèi)的規(guī)則集。

數(shù)據(jù)行為分析將分析擴(kuò)展到當(dāng)前和歷史活動(dòng)，并使用人工智能 / 機(jī)器學(xué)習(xí)和社交圖等工具來識(shí)別繞過其他數(shù)據(jù)安全控制的不尋常模式。 分析不僅通過查看內(nèi)容和簡(jiǎn)單的上下文(就像 DLP 可能做到的那樣) ，還通過在歷史中添加數(shù)據(jù)以及類似數(shù)據(jù)在當(dāng)前上下文中的使用情況，來縮小這些差距。 舉一個(gè)簡(jiǎn)單的例子，一個(gè)用戶在短時(shí)間內(nèi)訪問一個(gè)不尋常的數(shù)據(jù)量，這可能表明惡意意圖或帳戶被入侵。 更復(fù)雜的情況是識(shí)別會(huì)計(jì)團(tuán)隊(duì)設(shè)備上的敏感知識(shí)產(chǎn)權(quán)，即使他們不需要與工程團(tuán)隊(duì)協(xié)作。這種高階決策需要理解環(huán)境中的數(shù)據(jù)使用和連接。

這些概念的核心是許多員工廣泛使用的分布式數(shù)據(jù)的實(shí)際情況。 在不從根本上破壞業(yè)務(wù)流程的情況下，安全無法通過覆蓋每個(gè)用例的嚴(yán)格規(guī)則有效地鎖定所有內(nèi)容。但是，通過對(duì)數(shù)據(jù)及其與用戶交互的集成視圖，我們可以建立數(shù)據(jù)護(hù)欄和明智的數(shù)據(jù)行為分析模型，來識(shí)別和減少濫用，而不會(huì)對(duì)合法活動(dòng)產(chǎn)生負(fù)面影響。 數(shù)據(jù)護(hù)欄執(zhí)行與授權(quán)業(yè)務(wù)流程一致的可預(yù)測(cè)規(guī)則，而數(shù)據(jù)行為分析則尋找邊緣情況和較難預(yù)測(cè)的異常情況。

數(shù)據(jù)護(hù)欄與數(shù)據(jù)行為分析如何進(jìn)行工作

要理解數(shù)據(jù)護(hù)欄和數(shù)據(jù)行為分析之間的區(qū)別，最簡(jiǎn)單的方法是數(shù)據(jù)護(hù)欄依賴于預(yù)先建立的確定性規(guī)則(可以像“如果這樣那樣”這樣簡(jiǎn)單) ，而分析依賴于人工智能、機(jī)器學(xué)習(xí)和其他觀察模式和偏差的啟發(fā)式技術(shù)。

要想有效，兩者都依賴于以下基本能力：

• 數(shù)據(jù)的集中視圖。 這兩種方法都假定對(duì)數(shù)據(jù)和用法有廣泛的理解——如果沒有中心視圖，就無法構(gòu)建規(guī)則或模型
• 訪問數(shù)據(jù)上下文。 上下文包括多個(gè)特征，包括位置、大小、數(shù)據(jù)類型(如果可用)、標(biāo)記、誰可以訪問、誰創(chuàng)建了數(shù)據(jù)以及所有可用的元數(shù)據(jù)
• 訪問用戶上下文，包括特權(quán)(權(quán)限)、組、角色、業(yè)務(wù)單元等
• 監(jiān)控活動(dòng)和執(zhí)行規(guī)則的能力。 護(hù)欄本質(zhì)上是預(yù)防性的控制，需要強(qiáng)制執(zhí)行的能力。數(shù)據(jù)行為分析只能用于檢測(cè)，但如果能夠阻止操作，則在防止數(shù)據(jù)丟失方面要有效得多。

然后，這兩種技術(shù)在相互加強(qiáng)的同時(shí)發(fā)揮著不同的作用:

• 數(shù)據(jù)護(hù)欄是一組規(guī)則，用于查找策略的具體偏差，然后采取行動(dòng)恢復(fù)合規(guī)性。 擴(kuò)展我們之前的例子
• 用戶公開共享位于云存儲(chǔ)中的文件。 讓我們假設(shè)用戶擁有使文件公開的適當(dāng)權(quán)限。 該文件位于云服務(wù)中，因此我們還假設(shè)集中監(jiān)控 / 可見性，以及對(duì)該文件執(zhí)行規(guī)則的能力。
• 該文件位于工程團(tuán)隊(duì)用于新計(jì)劃和項(xiàng)目的存儲(chǔ)庫(目錄)中。 即使沒有標(biāo)記，這個(gè)位置本身也表明是一個(gè)潛在的敏感文件。
• 系統(tǒng)可以看到將文件公開的請(qǐng)求，但是由于上下文(位置或標(biāo)記) 的原因，它會(huì)提示用戶輸入一個(gè)理由來允許操作，然后記錄下來供安全團(tuán)隊(duì)檢查?；蛘?，護(hù)欄可能需要經(jīng)理的批準(zhǔn)才能進(jìn)行操作。

現(xiàn)在你已經(jīng)對(duì)數(shù)據(jù)護(hù)欄和數(shù)據(jù)行為分析的需求和能力有了更好的理解。 我們的下一篇文章將重點(diǎn)介紹一些快速成功的例子，以證明將這些功能納入數(shù)據(jù)安全策略的合理性。