這是我們關(guān)于保護(hù)重要信息系列文章——《數(shù)據(jù)保護(hù)和行為分析》的最后一篇。 我們的第一篇文章《數(shù)據(jù)護(hù)欄與行為分析(上)：理解任務(wù)》，介紹數(shù)據(jù)保護(hù)和行為分析：理解任務(wù)，我們介紹了內(nèi)部風(fēng)險(xiǎn)的概念和主要類(lèi)別并深入研究并定義了這些術(shù)語(yǔ)。 在我們結(jié)束本系列文章時(shí)，我們將通過(guò)一個(gè)場(chǎng)景將它們放在一起，演示這些概念在實(shí)踐中是如何工作的。

[[323150]]

護(hù)欄不是攔截器，因?yàn)橛脩?hù)仍然可以共享文件。 提示用戶(hù)進(jìn)行驗(yàn)證既可以防止錯(cuò)誤，又可以在安全檢查中進(jìn)行責(zé)任循環(huán)，允許業(yè)務(wù)快速發(fā)展，同時(shí)最小化風(fēng)險(xiǎn)。 你還可以根據(jù)預(yù)先確定的閾值查找大型文件移動(dòng)。 只有在違反策略閾值的情況下，護(hù)欄才會(huì)生效，然后使用與業(yè)務(wù)流程相一致的執(zhí)行行動(dòng)(如批準(zhǔn)和通知) ，而不是簡(jiǎn)單地阻止活動(dòng)。

• 數(shù)據(jù)行為分析使用歷史信息和活動(dòng)(通常使用已知-好的和已知-壞的活動(dòng)的訓(xùn)練集) ，它產(chǎn)生人工智能模型來(lái)識(shí)別異常。 我們不想描述得過(guò)于狹窄，因?yàn)橛懈鞣N各樣的方法來(lái)構(gòu)建模型
• 無(wú)論數(shù)學(xué)細(xì)節(jié)如何，歷史活動(dòng)、持續(xù)監(jiān)視和持續(xù)建模都是必不可少的
• 根據(jù)定義，我們關(guān)注的是作為這些模型核心的數(shù)據(jù)行為，而不是用戶(hù)活動(dòng); 這代表了用戶(hù)行為分析(UBA)的一個(gè)微妙但關(guān)鍵的區(qū)別。UBA根據(jù)每個(gè)用戶(hù)跟蹤活動(dòng)。數(shù)據(jù)行為分析(DBA這個(gè)縮寫(xiě)已經(jīng)被采用，因此我們將創(chuàng)建一個(gè)新的縮寫(xiě)——TLA)，而是著眼于數(shù)據(jù)來(lái)源的活動(dòng)。 這些數(shù)據(jù)是如何使用的? 通過(guò)哪些用戶(hù)群體? 使用這些數(shù)據(jù)會(huì)發(fā)生什么類(lèi)型的活動(dòng)? 什么時(shí)候? 我們不會(huì)忽略用戶(hù)活動(dòng)，但會(huì)跟蹤數(shù)據(jù)的使用情況。
• 例如，我們可以問(wèn)，“這個(gè)組中的用戶(hù)是否公開(kāi)過(guò)這種類(lèi)型的文件? ” UBA會(huì)問(wèn)“這個(gè)特定的用戶(hù)是否公開(kāi)過(guò)文件? ”，關(guān)注數(shù)據(jù)為發(fā)現(xiàn)更廣泛的數(shù)據(jù)使用異常提供了機(jī)會(huì)。
• 顯而易見(jiàn)，數(shù)據(jù)越好，模型就越好。 與大多數(shù)與安全相關(guān)的數(shù)據(jù)科學(xué)一樣，不要假設(shè)更多的數(shù)據(jù)必然會(huì)產(chǎn)生更好的模型。 這與數(shù)據(jù)質(zhì)量有關(guān)。 例如，用戶(hù)之間交流模式的社交圖可能是一個(gè)有價(jià)值的提要，用于檢測(cè)像文件在通常不合作的團(tuán)隊(duì)之間移動(dòng)的情況。 這值得一看，即使你不想完全屏蔽這些活動(dòng)

數(shù)據(jù)保護(hù)處理已知的風(fēng)險(xiǎn)，并在減少用戶(hù)錯(cuò)誤和識(shí)別由欺騙授權(quán)用戶(hù)進(jìn)行未經(jīng)授權(quán)的操作導(dǎo)致的帳戶(hù)濫用方面特別有效。 護(hù)欄甚至可以幫助減少帳戶(hù)接管，因?yàn)槿绻粽叩男袆?dòng)違反了護(hù)欄，他們就不能濫用數(shù)據(jù)。 然后，數(shù)據(jù)行為分析為不可預(yù)測(cè)的情況和那些壞人試圖規(guī)避防范措施的情況(包括惡意濫用和賬戶(hù)接管)補(bǔ)充了防范措施。

在我們總結(jié)數(shù)據(jù)護(hù)欄和行為分析系列文章時(shí)，讓我們通過(guò)一個(gè)簡(jiǎn)單的場(chǎng)景來(lái)展示這些概念如何應(yīng)用于一個(gè)簡(jiǎn)單的示例。 我們要舉例說(shuō)明的這個(gè)公司是一家小型制藥公司。 和所有的制藥公司一樣，他們的大部分價(jià)值在于知識(shí)產(chǎn)權(quán)，這使得知識(shí)產(chǎn)權(quán)成為攻擊者最重要的目標(biāo)。 由于快速增長(zhǎng)和高度競(jìng)爭(zhēng)的市場(chǎng)，該公司在推出產(chǎn)品和建立合作伙伴關(guān)系之前沒(méi)有等待完善好基礎(chǔ)設(shè)施和控制。 作為一家沒(méi)有遺留基礎(chǔ)設(shè)施(或思維模式)的新公司，大部分基礎(chǔ)設(shè)施都是在云中構(gòu)建的，它們采取的是云優(yōu)先的方法。

事實(shí)上，這位首席執(zhí)行官因其創(chuàng)新性地使用基于云計(jì)算的分析來(lái)加速新藥的鑒定過(guò)程而獲得了認(rèn)可。 就像 CEO 對(duì)這些新的計(jì)算機(jī)模型感到興奮一樣，董事會(huì)也非常關(guān)注外部攻擊和內(nèi)部威脅，因?yàn)樗麄兊膶?zhuān)有數(shù)據(jù)存在于幾十個(gè)服務(wù)提供商中。 因此，安全團(tuán)隊(duì)感到壓力很大，必須采取措施解決這個(gè)問(wèn)題。

CISO 非常有經(jīng)驗(yàn)，但仍在處理云優(yōu)先方法固有的思維方式、控制和操作動(dòng)作上的變化。 默認(rèn)使用標(biāo)準(zhǔn)的數(shù)據(jù)安全措施代表著阻力最小的路徑，但她足夠聰明，知道這會(huì)在公司關(guān)鍵知識(shí)產(chǎn)權(quán)的可見(jiàn)性和控制權(quán)方面造成巨大的差距。 使用數(shù)據(jù)護(hù)欄和數(shù)據(jù)行為分析的方法提供了一個(gè)機(jī)會(huì)，既可以定義一套硬性的數(shù)據(jù)使用和保護(hù)策略，也可以監(jiān)視潛在表明惡意意圖的異常行為。 那么讓我們來(lái)看看她將如何領(lǐng)導(dǎo)她的組織通過(guò)一個(gè)過(guò)程來(lái)定義數(shù)據(jù)保護(hù)和行為分析。

尋找數(shù)據(jù)

正如我們?cè)谇懊娴奈恼轮刑岬降模瑪?shù)據(jù)護(hù)欄和行為分析的獨(dú)特之處在于將內(nèi)容知識(shí)(分類(lèi))與上下文和用法結(jié)合起來(lái)。 因此，我們將采取的第一步是對(duì)企業(yè)內(nèi)部的敏感數(shù)據(jù)進(jìn)行分類(lèi)。

這涉及到對(duì)數(shù)據(jù)資源進(jìn)行內(nèi)部發(fā)現(xiàn)。 實(shí)現(xiàn)這個(gè)目標(biāo)的技術(shù)已經(jīng)成熟并且很容易理解，盡管還需要確保將發(fā)現(xiàn)范圍擴(kuò)展到基于云的資源。 此外，他們需要與業(yè)務(wù)的高層領(lǐng)導(dǎo)交談，以確保他們了解業(yè)務(wù)策略如何影響應(yīng)用程序架構(gòu)，從而影響敏感數(shù)據(jù)的位置。

內(nèi)部的私人研究數(shù)據(jù)和臨床試驗(yàn)構(gòu)成了該公司大部分的知識(shí)產(chǎn)權(quán)。 這些數(shù)據(jù)可以是結(jié)構(gòu)化的，也可以是非結(jié)構(gòu)化的，這使得發(fā)現(xiàn)過(guò)程變得復(fù)雜。 這在一定程度上得到了緩解，因?yàn)樵摴疽呀?jīng)采用云存儲(chǔ)來(lái)集中非結(jié)構(gòu)化數(shù)據(jù)，并盡可能采用 SaaS 作為前臺(tái)辦公功能。 考慮到云環(huán)境中相對(duì)不成熟的操作流程，許多新興的分析用例仍然是一個(gè)需要保護(hù)的挑戰(zhàn)。

與其他所有安全性一樣，可見(jiàn)性?xún)?yōu)先于控制，為了讓數(shù)據(jù)安全流程繼續(xù)運(yùn)行，首先需要完成這個(gè)發(fā)現(xiàn)和分類(lèi)過(guò)程。需要明確的是，讓云服務(wù)中的大量數(shù)據(jù)通過(guò) API 進(jìn)行尋址并不能幫助保持分類(lèi)數(shù)據(jù)是最新的。 這仍然是數(shù)據(jù)安全面臨的較大挑戰(zhàn)之一，因此需要具體的活動(dòng)(以及分配的相關(guān)資源) ，以便隨著流程進(jìn)入生產(chǎn)階段，使分類(lèi)保持最新。

定義數(shù)據(jù)護(hù)欄

正如我們前面提到的，護(hù)欄是規(guī)則集，用于將用戶(hù)保持在授權(quán)活動(dòng)范圍內(nèi)。 因此，CISO 從定義授權(quán)操作開(kāi)始，然后在數(shù)據(jù)所在的地方執(zhí)行這些策略。 為了簡(jiǎn)單起見(jiàn)，我們將護(hù)欄分為三大類(lèi):

• 訪問(wèn)：這些護(hù)欄與強(qiáng)制訪問(wèn)數(shù)據(jù)有關(guān)。 例如，與臨床試驗(yàn)招募參與者有關(guān)的文件必須嚴(yán)格限制在負(fù)責(zé)招募工作的小組內(nèi)。 如果有人打開(kāi)了對(duì)更廣泛群組的訪問(wèn)權(quán)限，或者將文件夾標(biāo)記為公共文件夾，護(hù)欄就會(huì)移除這個(gè)訪問(wèn)權(quán)限，并將其限制在適當(dāng)?shù)娜航M中。
• 行動(dòng)：她還想定義誰(shuí)可以對(duì)數(shù)據(jù)做什么。防止某人刪除數(shù)據(jù)或?qū)?shù)據(jù)從分析應(yīng)用程序中復(fù)制出來(lái)是很重要的，因此這些護(hù)欄通過(guò)防止誤用來(lái)確保數(shù)據(jù)的完整性，無(wú)論是故意的/惡意的還是意外的。
• 操作：最后一類(lèi)護(hù)欄控制數(shù)據(jù)的操作完整性和彈性。 有進(jìn)取心的數(shù)據(jù)科學(xué)家可以快速、輕松地加載新的分析環(huán)境，但可能不會(huì)采取必要的預(yù)防措施來(lái)確保數(shù)據(jù)備份或所需的日志 / 監(jiān)控發(fā)生。 實(shí)現(xiàn)自動(dòng)備份和監(jiān)控的護(hù)欄可以作為每個(gè)新的分析環(huán)境的一部分。

設(shè)計(jì)護(hù)欄的關(guān)鍵是要把護(hù)欄看作是某個(gè)開(kāi)關(guān)，而不是攔截器。 異常處理的有效性通常取決于實(shí)現(xiàn)護(hù)欄的成敗。 為了說(shuō)明這一點(diǎn)，讓我們考慮一下該組織與一家較小的生物技術(shù)公司的合資企業(yè)。 一個(gè)護(hù)欄的存在是為了限制10個(gè)內(nèi)部研究人員訪問(wèn)與該產(chǎn)品有關(guān)的數(shù)據(jù)。 然而，很明顯，來(lái)自合資伙伴的研究人員也需要訪問(wèn)，所以你需要擴(kuò)大護(hù)欄的訪問(wèn)規(guī)則。 但是你也可能希望對(duì)那些外部用戶(hù)強(qiáng)制執(zhí)行雙重身份驗(yàn)證保護(hù)，或者可能實(shí)施一個(gè)位置保護(hù)，將外部訪問(wèn)限制在合作伙伴網(wǎng)絡(luò)內(nèi)的 IP 地址。

正如你所看到的，你在如何部署護(hù)欄方面有很多粒度。 但是要把注意力集中在速戰(zhàn)速?zèng)Q上，所以不要試圖在第一天就把所有能想到的措施都付諸實(shí)施。 關(guān)注最敏感的數(shù)據(jù)，建立和完善異常處理流程。然后，隨著過(guò)程的成熟，系統(tǒng)地增加更多的護(hù)欄，你會(huì)了解到什么對(duì)減少攻擊面影響最大。

細(xì)化數(shù)據(jù)行為分析

一旦設(shè)置了護(hù)欄，就可以實(shí)現(xiàn)較低的數(shù)據(jù)安全門(mén)檻。 你可以確信大量的數(shù)據(jù)不會(huì)被提取和復(fù)制，或者未經(jīng)授權(quán)的群組不會(huì)訪問(wèn)他們不應(yīng)該訪問(wèn)的數(shù)據(jù)。 通過(guò)建立授權(quán)活動(dòng)，停止未經(jīng)授權(quán)的事情，可以消除大部分攻擊面。

也就是說(shuō)，授權(quán)用戶(hù)可能會(huì)有意或無(wú)意地造成很多損害。 行為分析通過(guò)降低不在預(yù)定義規(guī)則范圍內(nèi)的負(fù)面活動(dòng)的風(fēng)險(xiǎn)，來(lái)解決這些問(wèn)題。 因此，我們希望將數(shù)據(jù)護(hù)欄與數(shù)據(jù)使用分析結(jié)合起來(lái)，以識(shí)別典型的數(shù)據(jù)使用模式，然后尋找非正常的數(shù)據(jù)使用和行為。 這需要遙測(cè)、分析和調(diào)整。 讓我們用非結(jié)構(gòu)化數(shù)據(jù)來(lái)描述這種方法。

回到我們制藥公司的例子，云存儲(chǔ)供應(yīng)商跟蹤誰(shuí)對(duì)他們環(huán)境中的數(shù)據(jù)做了什么。 這種遙測(cè)技術(shù)成為他們的數(shù)據(jù)行為分析程序的基礎(chǔ)。 為了準(zhǔn)確地訓(xùn)練分析模型，他們不僅需要已知的正?；顒?dòng)的數(shù)據(jù)，還需要他們知道違反策略的活動(dòng)的數(shù)據(jù)。 請(qǐng)記住數(shù)據(jù)質(zhì)量的重要性，而不僅僅是數(shù)據(jù)的數(shù)量。 在構(gòu)建自己的程序時(shí)，一定要收集關(guān)于用戶(hù)上下文和權(quán)限的數(shù)據(jù)，這樣就可以跟蹤數(shù)據(jù)的使用方式、時(shí)間和用戶(hù)群。

當(dāng)然，你可以在所有的遙測(cè)數(shù)據(jù)中尋找異常的模式，但是那會(huì)產(chǎn)生很多噪音。 因此，我們建議你首先確定一種你希望檢測(cè)的行為類(lèi)型。 例如，臨床試驗(yàn)數(shù)據(jù)的大規(guī)模外泄。 因此，你需要確定哪些特定的文件 / 文件夾擁有這些數(shù)據(jù)，并查看不同的活動(dòng)模式。 快速分析顯示，亞洲的一組研究人員一直在訪問(wèn)這些文件夾，訪問(wèn)時(shí)間是在他們當(dāng)?shù)氐乩砦恢玫姆枪ぷ鲿r(shí)間。 這會(huì)觸發(fā)警報(bào)，引起你的調(diào)查。 事實(shí)證明，其中一名研究人員與另一個(gè)歐洲團(tuán)隊(duì)合作，因此一直在非標(biāo)準(zhǔn)時(shí)間工作，導(dǎo)致了異常的數(shù)據(jù)訪問(wèn)。 在這種情況下，它是合法的，但是這種方法不僅向你告警了可能的誤用，而且還發(fā)出信息，即安全團(tuán)隊(duì)正在尋找此類(lèi)活動(dòng)作為一種威懾。

如果你使用的是現(xiàn)成的產(chǎn)品，其中大部分都可以作為你的起點(diǎn)。 基于群組、社交圖、時(shí)間和地點(diǎn)以及類(lèi)似的模式的用戶(hù)活動(dòng)集群往往在廣泛的行為分析用例中非常有用。 隨著時(shí)間的推移，你可能仍然希望對(duì)這些用例進(jìn)行調(diào)整，使其更加精確，以反映你自己的組織的需求和模式。

與任何分析技術(shù)一樣，隨著時(shí)間的推移，隨著環(huán)境的變化，必然會(huì)影響分析的準(zhǔn)確性和相關(guān)性，所以需要進(jìn)行調(diào)整。 因此，我們將再次重申，請(qǐng)為你的程序配備足夠多的人員來(lái)管理警報(bào)并確保閾值在信號(hào)和噪聲之間的那條細(xì)線(xiàn)上調(diào)整的重要性。

在處理已知風(fēng)險(xiǎn)的數(shù)據(jù)護(hù)欄和執(zhí)行授權(quán)使用策略的數(shù)據(jù)行為分析之間，利用這些新方法將數(shù)據(jù)安全帶入了現(xiàn)代。