在現代 IT 安全行業發展了25年之后，數據泄露事件仍然以驚人的速度發生。 是的，這是相當明顯的，但仍然令人失望，因為每年都要花費數十億美元來改善這種情況。在過去的十年中，安全控制的主體經歷了“下一代”趨勢——最初是防火墻，最近是終端安全。已經收集了新的分析技術來以更復雜的方式檢查基礎設施日志。

但是這個行業似乎仍然沒有抓住重點。 幾乎所有的黑客攻擊活動的目的(仍然是)竊取數據。 那么，為什么要把重點放在更好的基礎設施安全控制和更好的基礎設施分析上呢? 主要是因為要做好數據安全工作很難。任務越困難，不堪重負的組織就越不可能有勇氣做出必要的改變。

需要明確的是，我們完全理解活著的必要性。 這是安全人員的精神，也是必須的。 有設備需要清理，有事件需要響應，有報告需要編寫，還有新的架構需要解決。 如果沒有明顯的解決方案，解決數據安全這樣模糊不清的問題的想法可能仍然是一座橋梁。

或許現在是重新審視數據安全的時候了，應該利用基礎設施領域開創的許多新技術來解決出現的內部威脅: 攻擊數據。因此，我們的新系列文章——保護什么是重要的:介紹數據護欄和行為分析，將介紹一些新的做法，并強調保護數據的新方法。

在開始之前，讓我們向 Box (譯者注：Box 是國外的一個網盤)表達謝意，感謝它在我們完成本系列文章時同意授權這些內容。 像 Box 這樣的客戶很明白一點，他們明白需要前瞻性的研究來告訴你事情的發展方向，而不是發表一份報告告訴你他們的發展方向，如果沒有 Box 這樣的客戶，我們就不可能進行這樣的研究。

了解內部風險

雖然安全專業人士喜歡使用“內部威脅”這個詞，但它的定義往往模糊不清。 實際上，它包括多種類型，包括利用內部訪問的外部威脅。 我們相信，要真正解決一個風險，你首先需要了解它(稱我們為瘋子)。 為了分解內部威脅的第一個層次，讓我們考慮一下其典型的風險類別：

• 意外的誤用：在這種情況下，內部人員沒有做任何惡意的事情，但是會犯一個導致數據丟失的錯誤。 例如，客戶服務代表可以回復客戶發送的包含私人賬戶信息的電子郵件。 這并不是說回復客戶是在試圖違反政策，但是他們并沒有花時間查看信息并清除任何私人數據。
• 陷入不必要的行動： 員工也是人，也可能會被欺騙去做出錯誤的事情。 網絡釣魚就是一個很好的例子。 或者根據某人模擬雇員的調用提供對文件夾的訪問。 同樣，這并不是惡意的，但是它仍然可以造成破壞。
• 惡意的濫用：有時候你需要面對一個惡意的內部人員故意竊取數據的事實。 在前兩種情況下，人們不會試圖掩飾自己的行為。 但在這種情況下，他們會故意混淆，這意味著你需要不同的策略來檢測和防止泄密活動。
• 帳戶接管：這個類別反映了一個事實，一旦外部敵人出現在一個設備上，他們就成為了內部人員; 通過一個被入侵的設備和帳戶，他們可以訪問關鍵數據。

我們需要在對手的上下文中考慮這些類別，以便你能夠正確地調整你的安全體系結構。 那么，誰是試圖獲取你的東西的主要對手呢? 一些粗粒度的分類如下: 不成熟的(使用廣泛可用的工具)、有組織的犯罪、競爭對手、國家支持，最后是真正的內部人員。 一旦你了解了最可能的對手及其典型策略，就可以設計一組控件來有效地保護數據。

例如，一個有組織的犯罪集團希望獲取與銀行或個人信息有關的數據，以進行身份盜竊。 但競爭對手更有可能尋找產品計劃或定價策略。 你可以(并且應該)在設計數據保護策略時考慮到這些可能的對手，以幫助確定需要保護的內容和方式的優先級。

既然你已經了解了你的對手，并且能夠推斷出他們的主要戰術，那么你就能更好地理解他們的任務。 然后，你可以選擇一個數據安全體系架構，以最小化風險，并最佳地防止任何數據丟失。 但這需要我們使用不同于通常認為的數據安全策略。

一種看待數據安全的新方法

如果你調查安全專家并詢問數據安全對他們意味著什么，他們可能會說加密或數據防泄漏(DLP)。 當你只有一把錘子的時候，所有的東西看起來都像釘子，很長一段時間以來，這兩種東西就是我們可以用到的錘子。 當然，我們希望擴展我們的視角，但這并不意味著 DLP 和加密在數據保護中不再扮演任何角色。 安全專家們當然知道這一點，但是我們可以用一些新的策略來繼續補充。

• 數據護欄：我們將護欄定義為在不減慢或影響典型操作的情況下執行最佳實踐的一種手段。 通常在云安全上下文中使用，數據護欄使數據能夠以某種方式使用，同時阻止未經授權的使用。 為了擺脫舊的網絡安全術語，你可以將護欄看作是數據的“默認-拒絕”。 你定義了一組可接受的實踐，并且不允許任何其他的操作。
• 數據行為分析：許多人都聽說過 UBA(用戶行為分析) ，它對所有的用戶活動進行分析，然后尋找異常活動，這些異常活動可能表明了上述內部風險類別中的某一個如果你把UBA顛倒過來，專注于數據呢?使用類似的分析，你可以分析環境中所有數據的使用情況，然后尋找需要進行調查的異常模式。我們將此稱為DataBA，因為如果我們把這個工作頭銜硬塞給數據庫管理員，他們可能會有點惱火。

上面的內容，我向你們介紹了內部風險的概念并概述了內部風險的主要類別。 接下來，我將深入探討數據護欄和數據庫的這些新概念，闡明這些方法及其缺陷。

長期以來，數據安全一直是信息安全中最具挑戰性的領域，盡管它是我們整個實踐的核心。 我們之所以稱之為“數據安全” ，是因為“信息安全”已經被廣泛使用。 數據安全不應妨礙數據本身的使用。 相比之下，保護檔案數據很容易(對其進行加密并將密鑰鎖在保險箱中)。但是，保護組織積極使用的非結構化數據呢? 顯然不是那么容易。這就是為什么我們通過關注內部風險(包括利用內部訪問的外部攻擊者)來開始這項研究。在大多數安全工具中，識別帶有惡意意圖執行授權操作的人沒有太大的差別。

數據護欄與數據行為分析的區別

數據保護和數據行為分析都致力于通過將內容知識(分類)和上下文使用相結合來提高數據安全性。 數據保護在確定性模型和過程中利用這些知識來減少安全摩擦，同時還可以改進防御。 例如，如果用戶試圖將敏感存儲庫中的文件公開，護欄可能要求他們記錄理由，然后向安全部門發送通知以批準請求。護欄是根據用戶正在做的事情將用戶“限制在”授權活動的范圍內的規則集。

數據行為分析將分析擴展到當前和歷史活動，并使用人工智能 / 機器學習和社交圖等工具來識別繞過其他數據安全控制的不尋常模式。 分析不僅通過查看內容和簡單的上下文(就像 DLP 可能做到的那樣) ，還通過在歷史中添加數據以及類似數據在當前上下文中的使用情況，來縮小這些差距。 舉一個簡單的例子，一個用戶在短時間內訪問一個不尋常的數據量，這可能表明惡意意圖或帳戶被入侵。 更復雜的情況是識別會計團隊設備上的敏感知識產權，即使他們不需要與工程團隊協作。這種高階決策需要理解環境中的數據使用和連接。

這些概念的核心是許多員工廣泛使用的分布式數據的實際情況。 在不從根本上破壞業務流程的情況下，安全無法通過覆蓋每個用例的嚴格規則有效地鎖定所有內容。但是，通過對數據及其與用戶交互的集成視圖，我們可以建立數據護欄和明智的數據行為分析模型，來識別和減少濫用，而不會對合法活動產生負面影響。 數據護欄執行與授權業務流程一致的可預測規則，而數據行為分析則尋找邊緣情況和較難預測的異常情況。

數據護欄與數據行為分析如何進行工作

要理解數據護欄和數據行為分析之間的區別，最簡單的方法是數據護欄依賴于預先建立的確定性規則(可以像“如果這樣那樣”這樣簡單) ，而分析依賴于人工智能、機器學習和其他觀察模式和偏差的啟發式技術。

要想有效，兩者都依賴于以下基本能力：

• 數據的集中視圖。 這兩種方法都假定對數據和用法有廣泛的理解——如果沒有中心視圖，就無法構建規則或模型
• 訪問數據上下文。 上下文包括多個特征，包括位置、大小、數據類型(如果可用)、標記、誰可以訪問、誰創建了數據以及所有可用的元數據
• 訪問用戶上下文，包括特權(權限)、組、角色、業務單元等
• 監控活動和執行規則的能力。 護欄本質上是預防性的控制，需要強制執行的能力。數據行為分析只能用于檢測，但如果能夠阻止操作，則在防止數據丟失方面要有效得多。

然后，這兩種技術在相互加強的同時發揮著不同的作用:

• 數據護欄是一組規則，用于查找策略的具體偏差，然后采取行動恢復合規性。 擴展我們之前的例子
• 用戶公開共享位于云存儲中的文件。 讓我們假設用戶擁有使文件公開的適當權限。 該文件位于云服務中，因此我們還假設集中監控 / 可見性，以及對該文件執行規則的能力。
• 該文件位于工程團隊用于新計劃和項目的存儲庫(目錄)中。 即使沒有標記，這個位置本身也表明是一個潛在的敏感文件。
• 系統可以看到將文件公開的請求，但是由于上下文(位置或標記) 的原因，它會提示用戶輸入一個理由來允許操作，然后記錄下來供安全團隊檢查。或者，護欄可能需要經理的批準才能進行操作。

現在你已經對數據護欄和數據行為分析的需求和能力有了更好的理解。 我們的下一篇文章將重點介紹一些快速成功的例子，以證明將這些功能納入數據安全策略的合理性。