数据护栏与行为分析(上):理解任务
在现代 IT安全行业发展了25年之后,数据泄露事件仍然以惊人的速度发生。是的,这是相当明显的,但仍然令人失望,因为每年都要花费数十亿美元来改善这种情况。在过去的十年中,安全控制的主体经历了“下一代”趋势——最初是防火墙,最近是终端安全。已经收集了新的分析技术来以更复杂的方式检查基础设施日志。
但是这个行业似乎仍然没有抓住重点。几乎所有的黑客攻击活动的目的(仍然是)窃取数据。那么,为什么要把重点放在更好的基础设施安全控制和更好的基础设施分析上呢?主要是因为要做好数据安全工作很难。任务越困难,不堪重负的组织就越不可能有勇气做出必要的改变。
需要明确的是,我们完全理解活着的必要性。 这是安全人员的精神,也是必须的。有设备需要清理,有事件需要响应,有报告需要编写,还有新的架构需要解决。如果没有明显的解决方案,解决数据安全这样模糊不清的问题的想法可能仍然是一座桥梁。
或许现在是重新审视数据安全的时候了,应该利用基础设施领域开创的许多新技术来解决出现的内部威胁:攻击数据。因此,我们的新系列文章——保护什么是重要的:介绍数据护栏和行为分析,将介绍一些新的做法,并强调保护数据的新方法。
在开始之前,让我们向 Box (译者注:Box 是国外的一个网盘)表达谢意,感谢它在我们完成本系列文章时同意授权这些内容。 像Box这样的客户很明白一点,他们明白需要前瞻性的研究来告诉你事情的发展方向,而不是发表一份报告告诉你他们的发展方向,如果没有Box这样的客户,我们就不可能进行这样的研究。
了解内部风险
虽然安全专业人士喜欢使用“内部威胁”这个词,但它的定义往往模糊不清。实际上,它包括多种类型,包括利用内部访问的外部威胁。我们相信,要真正解决一个风险,你首先需要了解它(称我们为疯子)。为了分解内部威胁的第一个层次,让我们考虑一下其典型的风险类别:
- 意外的误用:在这种情况下,内部人员没有做任何恶意的事情,但是会犯一个导致数据丢失的错误。例如,客户服务代表可以回复客户发送的包含私人账户信息的电子邮件。 这并不是说回复客户是在试图违反政策,但是他们并没有花时间查看信息并清除任何私人数据。
- 陷入不必要的行动: 员工也是人,也可能会被欺骗去做出错误的事情。 网络钓鱼就是一个很好的例子。 或者根据某人模拟雇员的调用提供对文件夹的访问。同样,这并不是恶意的,但是它仍然可以造成破坏。
- 恶意的滥用:有时候你需要面对一个恶意的内部人员故意窃取数据的事实。 在前两种情况下,人们不会试图掩饰自己的行为。但在这种情况下,他们会故意混淆,这意味着你需要不同的策略来检测和防止泄密活动。
- 帐户接管:这个类别反映了一个事实,一旦外部敌人出现在一个设备上,他们就成为了内部人员; 通过一个被入侵的设备和帐户,他们可以访问关键数据。
我们需要在对手的上下文中考虑这些类别,以便你能够正确地调整你的安全体系结构。 那么,谁是试图获取你的东西的主要对手呢?一些粗粒度的分类如下:不成熟的(使用广泛可用的工具)、有组织的犯罪、竞争对手、国家支持,最后是真正的内部人员。一旦你了解了最可能的对手及其典型策略,就可以设计一组控件来有效地保护数据。
例如,一个有组织的犯罪集团希望获取与银行或个人信息有关的数据,以进行身份盗窃。但竞争对手更有可能寻找产品计划或定价策略。你可以(并且应该)在设计数据保护策略时考虑到这些可能的对手,以帮助确定需要保护的内容和方式的优先级。
既然你已经了解了你的对手,并且能够推断出他们的主要战术,那么你就能更好地理解他们的任务。然后,你可以选择一个数据安全体系架构,以最小化风险,并最佳地防止任何数据丢失。但这需要我们使用不同于通常认为的数据安全策略。
一种看待数据安全的新方法
如果你调查安全专家并询问数据安全对他们意味着什么,他们可能会说加密或数据防泄漏(DLP)。当你只有一把锤子的时候,所有的东西看起来都像钉子,很长一段时间以来,这两种东西就是我们可以用到的锤子。当然,我们希望扩展我们的视角,但这并不意味着 DLP和加密在数据保护中不再扮演任何角色。 安全专家们当然知道这一点,但是我们可以用一些新的策略来继续补充。
- 数据护栏:我们将护栏定义为在不减慢或影响典型操作的情况下执行最佳实践的一种手段。通常在云安全上下文中使用,数据护栏使数据能够以某种方式使用,同时阻止未经授权的使用。 为了摆脱旧的网络安全术语,你可以将护栏看作是数据的“默认-拒绝”。你定义了一组可接受的实践,并且不允许任何其他的操作。
- 数据行为分析:许多人都听说过 UBA(用户行为分析),它对所有的用户活动进行分析,然后寻找异常活动,这些异常活动可能表明了上述内部风险类别中的某一个如果你把UBA颠倒过来,专注于数据呢?使用类似的分析,你可以分析环境中所有数据的使用情况,然后寻找需要进行调查的异常模式。我们将此称为DataBA,因为如果我们把这个工作头衔硬塞给数据库管理员,他们可能会有点恼火。
上面的内容,我向你们介绍了内部风险的概念并概述了内部风险的主要类别。 接下来,我将深入探讨数据护栏和数据库的这些新概念,阐明这些方法及其缺陷。
长期以来,数据安全一直是信息安全中最具挑战性的领域,尽管它是我们整个实践的核心。 我们之所以称之为“数据安全”,是因为“信息安全”已经被广泛使用。数据安全不应妨碍数据本身的使用。相比之下,保护档案数据很容易(对其进行加密并将密钥锁在保险箱中)。但是,保护组织积极使用的非结构化数据呢?显然不是那么容易。这就是为什么我们通过关注内部风险(包括利用内部访问的外部攻击者)来开始这项研究。在大多数安全工具中,识别带有恶意意图执行授权操作的人没有太大的差别。
数据护栏与数据行为分析的区别
数据保护和数据行为分析都致力于通过将内容知识(分类)和上下文使用相结合来提高数据安全性。数据保护在确定性模型和过程中利用这些知识来减少安全摩擦,同时还可以改进防御。例如,如果用户试图将敏感存储库中的文件公开,护栏可能要求他们记录理由,然后向安全部门发送通知以批准请求。护栏是根据用户正在做的事情将用户“限制在”授权活动的范围内的规则集。
数据行为分析将分析扩展到当前和历史活动,并使用人工智能 /机器学习和社交图等工具来识别绕过其他数据安全控制的不寻常模式。分析不仅通过查看内容和简单的上下文(就像 DLP 可能做到的那样),还通过在历史中添加数据以及类似数据在当前上下文中的使用情况,来缩小这些差距。举一个简单的例子,一个用户在短时间内访问一个不寻常的数据量,这可能表明恶意意图或帐户被入侵。更复杂的情况是识别会计团队设备上的敏感知识产权,即使他们不需要与工程团队协作。这种高阶决策需要理解环境中的数据使用和连接。
这些概念的核心是许多员工广泛使用的分布式数据的实际情况。在不从根本上破坏业务流程的情况下,安全无法通过覆盖每个用例的严格规则有效地锁定所有内容。但是,通过对数据及其与用户交互的集成视图,我们可以建立数据护栏和明智的数据行为分析模型,来识别和减少滥用,而不会对合法活动产生负面影响。数据护栏执行与授权业务流程一致的可预测规则,而数据行为分析则寻找边缘情况和较难预测的异常情况。
数据护栏与数据行为分析如何进行工作
要理解数据护栏和数据行为分析之间的区别,最简单的方法是数据护栏依赖于预先建立的确定性规则(可以像“如果这样那样”这样简单),而分析依赖于人工智能、机器学习和其他观察模式和偏差的启发式技术。
要想有效,两者都依赖于以下基本能力:
- 数据的集中视图。 这两种方法都假定对数据和用法有广泛的理解——如果没有中心视图,就无法构建规则或模型
- 访问数据上下文。 上下文包括多个特征,包括位置、大小、数据类型(如果可用)、标记、谁可以访问、谁创建了数据以及所有可用的元数据
- 访问用户上下文,包括特权(权限)、组、角色、业务单元等
- 监控活动和执行规则的能力。护栏本质上是预防性的控制,需要强制执行的能力。数据行为分析只能用于检测,但如果能够阻止操作,则在防止数据丢失方面要有效得多。
然后,这两种技术在相互加强的同时发挥着不同的作用:
- 数据护栏是一组规则,用于查找策略的具体偏差,然后采取行动恢复合规性。 扩展我们之前的例子
- 用户公开共享位于云存储中的文件。 让我们假设用户拥有使文件公开的适当权限。 该文件位于云服务中,因此我们还假设集中监控 /可见性,以及对该文件执行规则的能力。
- 该文件位于工程团队用于新计划和项目的存储库(目录)中。 即使没有标记,这个位置本身也表明是一个潜在的敏感文件。
- 系统可以看到将文件公开的请求,但是由于上下文(位置或标记)的原因,它会提示用户输入一个理由来允许操作,然后记录下来供安全团队检查。或者,护栏可能需要经理的批准才能进行操作。
现在你已经对数据护栏和数据行为分析的需求和能力有了更好的理解。我们的下一篇文章将重点介绍一些快速成功的例子,以证明将这些功能纳入数据安全策略的合理性。
推荐系统
微软Win11原版22H2下载_Win11GHOST 免 激活密钥 22H2正式版64位免费下载
语言:中文版系统大小:5.13GB系统类型:Win11微软Win11原版22H2下载_Win11GHOST 免 激活密钥 22H2正式版64位免费下载系统在家用办公上跑分表现都是非常优秀,完美的兼容各种硬件和软件,运行环境安全可靠稳定。Win11 64位 Office办公版(免费)优化 1、保留 Edge浏览器。 2、隐藏“操作中心”托盘图标。 3、保留常用组件(微软商店,计算器,图片查看器等)。 5、关闭天气资讯。
Win11 21H2 官方正式版下载_Win11 21H2最新系统免激活下载
语言:中文版系统大小:4.75GB系统类型:Win11Ghost Win11 21H2是微软在系统方面技术积累雄厚深耕多年,Ghost Win11 21H2系统在家用办公上跑分表现都是非常优秀,完美的兼容各种硬件和软件,运行环境安全可靠稳定。Ghost Win11 21H2是微软最新发布的KB5019961补丁升级而来的最新版的21H2系统,以Windows 11 21H2 22000 1219 专业版为基础进行优化,保持原汁原味,系统流畅稳定,保留常用组件
windows11中文版镜像 微软win11正式版简体中文GHOST ISO镜像64位系统下载
语言:中文版系统大小:5.31GB系统类型:Win11windows11中文版镜像 微软win11正式版简体中文GHOST ISO镜像64位系统下载,微软win11发布快大半年了,其中做了很多次补丁和修复一些BUG,比之前的版本有一些功能上的调整,目前已经升级到最新版本的镜像系统,并且优化了自动激活,永久使用。windows11中文版镜像国内镜像下载地址微软windows11正式版镜像 介绍:1、对函数算法进行了一定程度的简化和优化
微软windows11正式版GHOST ISO镜像 win11下载 国内最新版渠道下载
语言:中文版系统大小:5.31GB系统类型:Win11微软windows11正式版GHOST ISO镜像 win11下载 国内最新版渠道下载,微软2022年正式推出了win11系统,很多人迫不及待的要体验,本站提供了最新版的微软Windows11正式版系统下载,微软windows11正式版镜像 是一款功能超级强大的装机系统,是微软方面全新推出的装机系统,这款系统可以通过pe直接的完成安装,对此系统感兴趣,想要使用的用户们就快来下载
微软windows11系统下载 微软原版 Ghost win11 X64 正式版ISO镜像文件
语言:中文版系统大小:0MB系统类型:Win11微软Ghost win11 正式版镜像文件是一款由微软方面推出的优秀全新装机系统,这款系统的新功能非常多,用户们能够在这里体验到最富有人性化的设计等,且全新的柔软界面,看起来非常的舒服~微软Ghost win11 正式版镜像文件介绍:1、与各种硬件设备兼容。 更好地完成用户安装并有效地使用。2、稳定使用蓝屏,系统不再兼容,更能享受无缝的系统服务。3、为
雨林木风Windows11专业版 Ghost Win11官方正式版 (22H2) 系统下载
语言:中文版系统大小:4.75GB系统类型:雨林木风Windows11专业版 Ghost Win11官方正式版 (22H2) 系统下载在系统方面技术积累雄厚深耕多年,打造了国内重装系统行业的雨林木风品牌,其系统口碑得到许多人认可,积累了广大的用户群体,雨林木风是一款稳定流畅的系统,一直以来都以用户为中心,是由雨林木风团队推出的Windows11国内镜像版,基于国内用户的习惯,做了系统性能的优化,采用了新的系统
雨林木风win7旗舰版系统下载 win7 32位旗舰版 GHOST 免激活镜像ISO
语言:中文版系统大小:5.91GB系统类型:Win7雨林木风win7旗舰版系统下载 win7 32位旗舰版 GHOST 免激活镜像ISO在系统方面技术积累雄厚深耕多年,加固了系统安全策略,雨林木风win7旗舰版系统在家用办公上跑分表现都是非常优秀,完美的兼容各种硬件和软件,运行环境安全可靠稳定。win7 32位旗舰装机版 v2019 05能够帮助用户们进行系统的一键安装、快速装机等,系统中的内容全面,能够为广大用户
番茄花园Ghost Win7 x64 SP1稳定装机版2022年7月(64位) 高速下载
语言:中文版系统大小:3.91GB系统类型:Win7欢迎使用 番茄花园 Ghost Win7 x64 SP1 2022.07 极速装机版 专业装机版具有更安全、更稳定、更人性化等特点。集成最常用的装机软件,集成最全面的硬件驱动,精心挑选的系统维护工具,加上独有人性化的设计。是电脑城、个人、公司快速装机之首选!拥有此系统
相关文章
- MDR安全服务类型:MEDR、MNDR与MXDR
- 2017 KCon 黑客大会,大佬们要讲的都在这里
- 工信部出手,违规APP危险了!
- 安防摄像头公司Verkada遭黑客攻击
- 盘点:9月网络安全领域热点研究报告相关动态追踪
- 阿里“战疫”启示录:数字化创造社会治理新价值
- 批量设置包含特定名称文件的属性
- Qlocker勒索攻击使用7zip加密QNAP设备当中的文件
- 黑客利用 SolarWinds Orion 漏洞攻击美多个机构
- 2021 关于未来安全的几点思考
- Win7系统如何设置文件夹共享
- 无线网络跟有线网络不兼容问题的解决
- 常见的电脑系统有哪些?有什么区别?
- 随着新一波5G的推出,运营商开始关注安全问题
- 开源威胁情报平台路在何方?
- 面向首席信息官和首席技术官的全面IT安全指南
- DoS系列--分布式拒绝服务攻击工具mstream
- 对中东石油和天然气供应链产业的APT攻击
热门系统
- 1华硕笔记本&台式机专用系统 GhostWin7 32位正式旗舰版2018年8月(32位)ISO镜像下载
- 2深度技术 Windows 10 x86 企业版 电脑城装机版2018年10月(32位) ISO镜像免费下载
- 3电脑公司 装机专用系统Windows10 x86喜迎国庆 企业版2020年10月(32位) ISO镜像快速下载
- 4雨林木风 Ghost Win7 SP1 装机版 2020年4月(32位) 提供下载
- 5深度技术 Windows 10 x86 企业版 六一节 电脑城装机版 版本1903 2022年6月(32位) ISO镜像免费下载
- 6深度技术 Windows 10 x64 企业版 电脑城装机版2021年1月(64位) 高速下载
- 7新萝卜家园电脑城专用系统 Windows10 x64 企业版2019年10月(64位) ISO镜像免费下载
- 8新萝卜家园 GhostWin7 SP1 最新电脑城极速装机版2018年8月(32位)ISO镜像下载
- 9电脑公司Ghost Win8.1 x32 精选纯净版2022年5月(免激活) ISO镜像高速下载
- 10新萝卜家园Ghost Win8.1 X32 最新纯净版2018年05(自动激活) ISO镜像免费下载
热门文章
常用系统
- 1雨林木风Ghost Win8.1 (X32) 快速纯净版2021年4月(免激活) ISO镜像快速下载
- 2笔记本&台式机专用系统GhostWin7 64位旗舰版2022年4月(64位) 高速下载
- 3深度技术Ghost Win8.1 x32位 特别纯净版2018年04(免激活) ISO镜像快速下载
- 4深度技术 Windows 10 x64 企业版 电脑城装机版2020年1月(64位) 高速下载
- 5电脑公司Ghost Win7 Sp1 装机万能版2022年3月(32位) 提供下载
- 6电脑公司 装机专用系统Windows10 x86企业版2018年10月(32位) ISO镜像快速下载
- 7笔记本&台式机专用系统 Windows10 企业版 2020年12月(64位) 提供下载
- 8番茄花园 Windows 10 官方企业版 版本1903 2022年2月(64位) ISO高速下载
- 9电脑公司Ghost Win8.1 x32 元旦特别 精选纯净版2020年1月(免激活) ISO镜像高速下载
- 10新萝卜家园电脑城专用系统 Windows10 x64 中秋特别 企业版2020年9月(64位) ISO镜像免费下载