數(shù)據(jù)保護(hù)從來并非易事，隨著數(shù)據(jù)變得更龐大、多樣化和廣泛分布，保護(hù)工作會變得更具挑戰(zhàn)性。由于組織現(xiàn)在需要更多共享數(shù)據(jù)，企業(yè)的數(shù)據(jù)分布開始從內(nèi)部環(huán)境轉(zhuǎn)向多種類型的云存儲平臺，這使得現(xiàn)有的以DLP為代表的數(shù)據(jù)保護(hù)做法不再有效。企業(yè)需要一種更加實(shí)時、更加主動的數(shù)據(jù)訪問控制方法，利用人工智能和自然語言處理（NLP）等先進(jìn)技術(shù)提供內(nèi)容動態(tài)洞察，并根據(jù)語義上下文進(jìn)行風(fēng)險評估。

在此背景下，一種新興的數(shù)據(jù)安全威脅檢測和響應(yīng)技術(shù)（Data Detection and Response,DDR）被提出，并被廣泛視為新一代的數(shù)據(jù)泄露防護(hù)方法。在DDR技術(shù)方案中，引入了動態(tài)監(jiān)控的概念，可以在包括云在內(nèi)的各種數(shù)字化環(huán)境中實(shí)現(xiàn)對數(shù)據(jù)的實(shí)時安全監(jiān)測和響應(yīng)。為了讓企業(yè)組織更好地了解這種新興的數(shù)據(jù)安全防護(hù)方法，本文將對DDR的定義、工作原理、應(yīng)用價值、威脅模型等進(jìn)行分析。

DDR的定義與特點(diǎn)

目前的數(shù)據(jù)泄露防護(hù)技術(shù)依賴基于提前配置的規(guī)則過濾來保護(hù)數(shù)據(jù)的流動，有較高的規(guī)則、策略設(shè)置要求；同時，DLP需要以數(shù)據(jù)分級分類作為應(yīng)用前提。對企業(yè)用戶而言，手動或半自動化分類數(shù)據(jù)面臨無法克服的挑戰(zhàn)，用戶很難一致且準(zhǔn)確地對他們擁有的全部數(shù)據(jù)進(jìn)行識別發(fā)現(xiàn)。而DDR是一種自主的數(shù)據(jù)訪問控制方法，可以利用人工智能和自然語言處理（NLP）等先進(jìn)技術(shù)提供內(nèi)容動態(tài)洞察，并根據(jù)語義上下文進(jìn)行風(fēng)險評估。

相比傳統(tǒng)DLP技術(shù)，DDR更加側(cè)重于實(shí)時、主動的威脅監(jiān)測、檢測和響應(yīng)，它能夠在CSPM和DSPM等工具提供的靜態(tài)防御之上補(bǔ)充動態(tài)監(jiān)控能力。簡而言之，DDR解決方案是使用實(shí)時日志分析來監(jiān)控數(shù)據(jù)，并實(shí)時檢測新出現(xiàn)的數(shù)據(jù)風(fēng)險。

在大數(shù)據(jù)時代，監(jiān)控每個數(shù)據(jù)的使用行為并不切實(shí)際，因此在DDR方案中需要包括數(shù)據(jù)安全和風(fēng)險管理（DSPM）功能，以便發(fā)現(xiàn)和分類數(shù)據(jù)資產(chǎn)。DSPM可以檢測出存在風(fēng)險的數(shù)據(jù)資產(chǎn)并確定這些風(fēng)險的優(yōu)先級，DDR方案會根據(jù)DSPM的分析結(jié)果重點(diǎn)監(jiān)控與風(fēng)險相關(guān)的數(shù)據(jù)資產(chǎn)相關(guān)活動。DDR工具會幾乎實(shí)時地解析與風(fēng)險數(shù)據(jù)資產(chǎn)相關(guān)的日志，并使用威脅模型來識別可疑活動，例如數(shù)據(jù)流向外部賬戶。如果發(fā)現(xiàn)新的風(fēng)險，DDR會發(fā)出警報，并提供最佳的響應(yīng)措施建議。這些警報通常需要緊急處理，需要立即采取行動。DDR警報常常在SOC/SOAR解決方案中直接使用，以更好地適應(yīng)現(xiàn)有的業(yè)務(wù)操作，并縮短解決問題的時間。

DDR技術(shù)的應(yīng)用價值

DDR提供了現(xiàn)有數(shù)據(jù)安全保護(hù)所缺少的關(guān)鍵任務(wù)功能。當(dāng)以代理為主的保護(hù)模式行不通時，用戶需要能夠更及時地監(jiān)控與數(shù)據(jù)有關(guān)的每個活動，這時DDR工具就可以發(fā)揮作用。它旨在保護(hù)數(shù)據(jù)不被泄露或?yàn)E用以及不違反法律法規(guī)，同時通過與SIEM或SOC等技術(shù)方案集成，DDR技術(shù)有助于減少組織的安全運(yùn)營支出，使團(tuán)隊(duì)能夠在一個集成的平臺上處理所有的安全警報。

DDR技術(shù)應(yīng)用的5個優(yōu)勢

• 在靜態(tài)防御基礎(chǔ)上增強(qiáng)主動防御能力

2018年發(fā)生的Imperva攻擊案例是一個值得借鑒的教訓(xùn)，它展示了靜態(tài)數(shù)據(jù)安全防御的局限性。該攻擊始于攻擊者獲取包含敏感數(shù)據(jù)的Amazon RDS數(shù)據(jù)庫的快照，并利用從錯誤配置的計(jì)算實(shí)例中竊取的AWS API密鑰。這是一個經(jīng)常存在的數(shù)據(jù)安全薄弱環(huán)節(jié)。

盡管CSPM工具能夠識別配置錯誤，而DSPM工具能夠檢測到存儲在配置錯誤實(shí)例上的敏感數(shù)據(jù)，但I(xiàn)mperva攻擊案例顯示了這些防護(hù)方法的局限性。一旦攻擊者獲得合法的訪問權(quán)限，他們的異常行為將無法被識別。

Imperva事件是在發(fā)生后十個月才通過第三方發(fā)現(xiàn)的。在此期間，該公司對于敏感數(shù)據(jù)已經(jīng)泄露并無感知，也無法通知其用戶。而DDR解決方案在此類事件發(fā)生時就能夠及時識別此類攻擊，并提醒內(nèi)部安全團(tuán)隊(duì)，使他們能夠立即做出響應(yīng)，而不是在數(shù)月之后才發(fā)現(xiàn)。這種實(shí)時地監(jiān)控和響應(yīng)能力可以增強(qiáng)對潛在威脅的感知，幫助組織更快地采取適當(dāng)?shù)男袆?，以減輕潛在的損失。

• 滿足云環(huán)境下的數(shù)據(jù)應(yīng)用需求

隨著企業(yè)對計(jì)算技術(shù)的采用日益增長，監(jiān)控數(shù)據(jù)資產(chǎn)的挑戰(zhàn)變得更加突出。業(yè)務(wù)和數(shù)據(jù)團(tuán)隊(duì)不斷尋求通過分析工具提升盈利能力的新方法。這通常意味著采用多種不同的工具和技術(shù)，包括數(shù)據(jù)庫、無服務(wù)器查詢引擎、商業(yè)智能和數(shù)據(jù)科學(xué)平臺。而在開發(fā)端，微服務(wù)架構(gòu)將代碼庫拆分成數(shù)十甚至數(shù)百個較小的服務(wù)，每個服務(wù)也都會伴隨著各自的數(shù)據(jù)資產(chǎn)。

這種復(fù)雜性增加了數(shù)據(jù)追蹤、管理以及安全防護(hù)的難度。有效的數(shù)據(jù)安全策略應(yīng)該防止敏感數(shù)據(jù)在沒有充分理由的情況下被復(fù)制，但實(shí)際情況往往比較混亂。此外，混合和多云環(huán)境越來越受歡迎，也進(jìn)一步增加了數(shù)據(jù)復(fù)雜性。由于數(shù)據(jù)分布在如此多的潛在目標(biāo)上，攻擊面變得難以監(jiān)控。

• 實(shí)現(xiàn)無代理的DLP

在考慮到數(shù)據(jù)成為網(wǎng)絡(luò)攻擊（如勒索軟件）的首要目標(biāo)時，實(shí)時監(jiān)控數(shù)據(jù)資產(chǎn)顯然是必要的。然而，許多企業(yè)面臨著保護(hù)敏感數(shù)據(jù)的有效方法缺失的問題。在云出現(xiàn)之前，工作主要在個人電腦上進(jìn)行，這些電腦通過內(nèi)部網(wǎng)絡(luò)與服務(wù)器相連。安全團(tuán)隊(duì)可以通過在每個可以訪問組織數(shù)據(jù)的設(shè)備和終端上安裝代理（如防病毒工具）來監(jiān)控流量和活動。

然而，云計(jì)算的興起讓現(xiàn)在的數(shù)據(jù)保護(hù)情況大不相同。如果沒有運(yùn)行云數(shù)據(jù)庫或Kubernetes環(huán)境的系統(tǒng)，就無法在其上安裝代理。因此，數(shù)據(jù)丟失預(yù)防（DLP）變得非常棘手。因此，業(yè)界傾向于采用DDR技術(shù)以改善云數(shù)據(jù)存儲的安全態(tài)勢。這類工具會試圖檢測錯誤配置和暴露的數(shù)據(jù)資產(chǎn)，從而盡量縮小云上的數(shù)據(jù)資產(chǎn)攻擊面。

• 跨環(huán)境的統(tǒng)一威脅模型

DDR允許組織統(tǒng)一監(jiān)控所有的云上數(shù)據(jù)活動，而不是為每個數(shù)據(jù)服務(wù)構(gòu)建臨時解決方案或依賴一系列安全工具的拼湊。只要部署了一套數(shù)據(jù)威脅模型，它可以應(yīng)用于存儲敏感數(shù)據(jù)的每個環(huán)境。DDR取代了傳統(tǒng)從每個數(shù)據(jù)庫或虛擬機(jī)收集、解析和分析數(shù)據(jù)的勞動密集型過程。這有助于安全團(tuán)隊(duì)減少工作負(fù)擔(dān)，并將精力集中在管理戰(zhàn)略風(fēng)險上，而不是在處理數(shù)十個或數(shù)百個潛在漏洞時進(jìn)行無謂的努力。

DDR中的威脅檢測模型

DDR技術(shù)的應(yīng)用核心是在數(shù)據(jù)生產(chǎn)和運(yùn)營體系中嵌入數(shù)據(jù)安全屬性，以解決數(shù)據(jù)應(yīng)用過程中的數(shù)據(jù)安全問題，其主要特點(diǎn)是能夠根據(jù)應(yīng)用程序和用戶操作所處的上下文時間、位置、數(shù)據(jù)敏感性等因素，做出精確、智能的安全性判斷與決策。雖然許多DDR解決方案可能會在未來幾年內(nèi)出現(xiàn)，但它們之間的區(qū)別就在于是否能夠?yàn)閷?shí)時檢測提供高質(zhì)量的威脅檢測模型。

威脅模型是DDR解決方案的關(guān)鍵組成部分，因?yàn)閮H僅依靠實(shí)時訪問和解析日志進(jìn)行檢測是遠(yuǎn)遠(yuǎn)不夠的。企業(yè)組織每天都會發(fā)生大量的數(shù)據(jù)事件，例如新數(shù)據(jù)服務(wù)的上線、新數(shù)據(jù)存儲的創(chuàng)建以及備份和快照的生成。如果DDR工具無法準(zhǔn)確識別其中哪些事件構(gòu)成實(shí)際風(fēng)險，就會導(dǎo)致關(guān)鍵事件被漏過，或者安全團(tuán)隊(duì)面臨大量誤報的困擾，這進(jìn)一步加重了已經(jīng)備受通知過多困擾的問題。

圖片

DDR的威脅模型應(yīng)該由網(wǎng)絡(luò)安全研究人員開發(fā)并不斷完善，在設(shè)計(jì)DDR的威脅檢測模型時，重點(diǎn)需要考慮以下因素：

• 以前的數(shù)據(jù)泄露中揭示的攻擊模式；
• 每個數(shù)據(jù)服務(wù)中的特定弱點(diǎn)，以及攻擊者可能會如何利用這些弱點(diǎn)；
• 安全事件在系統(tǒng)日志中留下的獨(dú)特印跡。

參考鏈接：https://www.dig.security/post/an-introduction-to-data-detection-and-response-ddr