数据护栏与行为分析（上）：理解任务

在现代 IT安全行业发展了25年之后，数据泄露事件仍然以惊人的速度发生。是的，这是相当明显的，但仍然令人失望，因为每年都要花费数十亿美元来改善这种情况。在过去的十年中，安全控制的主体经历了“下一代”趋势——最初是防火墙，最近是终端安全。已经收集了新的分析技术来以更复杂的方式检查基础设施日志。

但是这个行业似乎仍然没有抓住重点。几乎所有的黑客攻击活动的目的(仍然是)窃取数据。那么，为什么要把重点放在更好的基础设施安全控制和更好的基础设施分析上呢?主要是因为要做好数据安全工作很难。任务越困难，不堪重负的组织就越不可能有勇气做出必要的改变。

需要明确的是，我们完全理解活着的必要性。 这是安全人员的精神，也是必须的。有设备需要清理，有事件需要响应，有报告需要编写，还有新的架构需要解决。如果没有明显的解决方案，解决数据安全这样模糊不清的问题的想法可能仍然是一座桥梁。

或许现在是重新审视数据安全的时候了，应该利用基础设施领域开创的许多新技术来解决出现的内部威胁:攻击数据。因此，我们的新系列文章——保护什么是重要的:介绍数据护栏和行为分析，将介绍一些新的做法，并强调保护数据的新方法。

在开始之前，让我们向 Box (译者注：Box 是国外的一个网盘)表达谢意，感谢它在我们完成本系列文章时同意授权这些内容。 像Box这样的客户很明白一点，他们明白需要前瞻性的研究来告诉你事情的发展方向，而不是发表一份报告告诉你他们的发展方向，如果没有Box这样的客户，我们就不可能进行这样的研究。

了解内部风险

虽然安全专业人士喜欢使用“内部威胁”这个词，但它的定义往往模糊不清。实际上，它包括多种类型，包括利用内部访问的外部威胁。我们相信，要真正解决一个风险，你首先需要了解它(称我们为疯子)。为了分解内部威胁的第一个层次，让我们考虑一下其典型的风险类别：

• 意外的误用：在这种情况下，内部人员没有做任何恶意的事情，但是会犯一个导致数据丢失的错误。例如，客户服务代表可以回复客户发送的包含私人账户信息的电子邮件。 这并不是说回复客户是在试图违反政策，但是他们并没有花时间查看信息并清除任何私人数据。
• 陷入不必要的行动： 员工也是人，也可能会被欺骗去做出错误的事情。 网络钓鱼就是一个很好的例子。 或者根据某人模拟雇员的调用提供对文件夹的访问。同样，这并不是恶意的，但是它仍然可以造成破坏。
• 恶意的滥用：有时候你需要面对一个恶意的内部人员故意窃取数据的事实。 在前两种情况下，人们不会试图掩饰自己的行为。但在这种情况下，他们会故意混淆，这意味着你需要不同的策略来检测和防止泄密活动。
• 帐户接管：这个类别反映了一个事实，一旦外部敌人出现在一个设备上，他们就成为了内部人员; 通过一个被入侵的设备和帐户，他们可以访问关键数据。

我们需要在对手的上下文中考虑这些类别，以便你能够正确地调整你的安全体系结构。 那么，谁是试图获取你的东西的主要对手呢?一些粗粒度的分类如下:不成熟的(使用广泛可用的工具)、有组织的犯罪、竞争对手、国家支持，最后是真正的内部人员。一旦你了解了最可能的对手及其典型策略，就可以设计一组控件来有效地保护数据。

例如，一个有组织的犯罪集团希望获取与银行或个人信息有关的数据，以进行身份盗窃。但竞争对手更有可能寻找产品计划或定价策略。你可以(并且应该)在设计数据保护策略时考虑到这些可能的对手，以帮助确定需要保护的内容和方式的优先级。

既然你已经了解了你的对手，并且能够推断出他们的主要战术，那么你就能更好地理解他们的任务。然后，你可以选择一个数据安全体系架构，以最小化风险，并最佳地防止任何数据丢失。但这需要我们使用不同于通常认为的数据安全策略。

一种看待数据安全的新方法

如果你调查安全专家并询问数据安全对他们意味着什么，他们可能会说加密或数据防泄漏(DLP)。当你只有一把锤子的时候，所有的东西看起来都像钉子，很长一段时间以来，这两种东西就是我们可以用到的锤子。当然，我们希望扩展我们的视角，但这并不意味着 DLP和加密在数据保护中不再扮演任何角色。 安全专家们当然知道这一点，但是我们可以用一些新的策略来继续补充。

• 数据护栏：我们将护栏定义为在不减慢或影响典型操作的情况下执行最佳实践的一种手段。通常在云安全上下文中使用，数据护栏使数据能够以某种方式使用，同时阻止未经授权的使用。 为了摆脱旧的网络安全术语，你可以将护栏看作是数据的“默认-拒绝”。你定义了一组可接受的实践，并且不允许任何其他的操作。
• 数据行为分析：许多人都听说过 UBA(用户行为分析)，它对所有的用户活动进行分析，然后寻找异常活动，这些异常活动可能表明了上述内部风险类别中的某一个如果你把UBA颠倒过来，专注于数据呢?使用类似的分析，你可以分析环境中所有数据的使用情况，然后寻找需要进行调查的异常模式。我们将此称为DataBA，因为如果我们把这个工作头衔硬塞给数据库管理员，他们可能会有点恼火。

上面的内容，我向你们介绍了内部风险的概念并概述了内部风险的主要类别。 接下来，我将深入探讨数据护栏和数据库的这些新概念，阐明这些方法及其缺陷。

长期以来，数据安全一直是信息安全中最具挑战性的领域，尽管它是我们整个实践的核心。 我们之所以称之为“数据安全”，是因为“信息安全”已经被广泛使用。数据安全不应妨碍数据本身的使用。相比之下，保护档案数据很容易(对其进行加密并将密钥锁在保险箱中)。但是，保护组织积极使用的非结构化数据呢?显然不是那么容易。这就是为什么我们通过关注内部风险(包括利用内部访问的外部攻击者)来开始这项研究。在大多数安全工具中，识别带有恶意意图执行授权操作的人没有太大的差别。

数据护栏与数据行为分析的区别

数据保护和数据行为分析都致力于通过将内容知识(分类)和上下文使用相结合来提高数据安全性。数据保护在确定性模型和过程中利用这些知识来减少安全摩擦，同时还可以改进防御。例如，如果用户试图将敏感存储库中的文件公开，护栏可能要求他们记录理由，然后向安全部门发送通知以批准请求。护栏是根据用户正在做的事情将用户“限制在”授权活动的范围内的规则集。

数据行为分析将分析扩展到当前和历史活动，并使用人工智能 /机器学习和社交图等工具来识别绕过其他数据安全控制的不寻常模式。分析不仅通过查看内容和简单的上下文(就像 DLP 可能做到的那样)，还通过在历史中添加数据以及类似数据在当前上下文中的使用情况，来缩小这些差距。举一个简单的例子，一个用户在短时间内访问一个不寻常的数据量，这可能表明恶意意图或帐户被入侵。更复杂的情况是识别会计团队设备上的敏感知识产权，即使他们不需要与工程团队协作。这种高阶决策需要理解环境中的数据使用和连接。

这些概念的核心是许多员工广泛使用的分布式数据的实际情况。在不从根本上破坏业务流程的情况下，安全无法通过覆盖每个用例的严格规则有效地锁定所有内容。但是，通过对数据及其与用户交互的集成视图，我们可以建立数据护栏和明智的数据行为分析模型，来识别和减少滥用，而不会对合法活动产生负面影响。数据护栏执行与授权业务流程一致的可预测规则，而数据行为分析则寻找边缘情况和较难预测的异常情况。

数据护栏与数据行为分析如何进行工作

要理解数据护栏和数据行为分析之间的区别，最简单的方法是数据护栏依赖于预先建立的确定性规则(可以像“如果这样那样”这样简单)，而分析依赖于人工智能、机器学习和其他观察模式和偏差的启发式技术。

要想有效，两者都依赖于以下基本能力：

• 数据的集中视图。 这两种方法都假定对数据和用法有广泛的理解——如果没有中心视图，就无法构建规则或模型
• 访问数据上下文。 上下文包括多个特征，包括位置、大小、数据类型(如果可用)、标记、谁可以访问、谁创建了数据以及所有可用的元数据
• 访问用户上下文，包括特权(权限)、组、角色、业务单元等
• 监控活动和执行规则的能力。护栏本质上是预防性的控制，需要强制执行的能力。数据行为分析只能用于检测，但如果能够阻止操作，则在防止数据丢失方面要有效得多。

然后，这两种技术在相互加强的同时发挥着不同的作用:

• 数据护栏是一组规则，用于查找策略的具体偏差，然后采取行动恢复合规性。 扩展我们之前的例子
• 用户公开共享位于云存储中的文件。 让我们假设用户拥有使文件公开的适当权限。 该文件位于云服务中，因此我们还假设集中监控 /可见性，以及对该文件执行规则的能力。
• 该文件位于工程团队用于新计划和项目的存储库(目录)中。 即使没有标记，这个位置本身也表明是一个潜在的敏感文件。
• 系统可以看到将文件公开的请求，但是由于上下文(位置或标记)的原因，它会提示用户输入一个理由来允许操作，然后记录下来供安全团队检查。或者，护栏可能需要经理的批准才能进行操作。

现在你已经对数据护栏和数据行为分析的需求和能力有了更好的理解。我们的下一篇文章将重点介绍一些快速成功的例子，以证明将这些功能纳入数据安全策略的合理性。