在现代IT安全行业25年后,数据泄露事件仍然以惊人的速度发生。是的,这很明显,但鉴于每年花费数十亿美元来改善这种情况,这仍然令人失望。在过去十年中,安全控制主体经历了“下一代”趋势——首先是防火墙,最近是端点安全。已经收集了新的分析技术,以更复杂的方式检查基础设施日志。但该行业似乎仍然没有抓住重点。几乎所有黑客活动的目标都是(现在仍然是)窃取数据。那么为什么要关注更好的基础设施安全控制和更好的基础设施分析呢?主要是因为很难确保数据安全。任务越艰巨,不堪重负的组织就越不可能有勇气做出必要的改变。需要明确的是,我们完全理解活着的必要性。这是保安人员的精神,也是必须的。有需要清理的设备、需要响应的事件、需要编写的报告以及需要处理的新架构。如果没有明显的解决方案,解决像数据安全这样模糊的问题的想法仍然可以作为桥梁。也许是时候重新审视数据安全并利用基础设施领域开创的许多新技术来应对新出现的内部威胁:攻击数据。因此,我们的新系列文章“保护重要内容:数据护栏和行为分析简介”将介绍一些新实践并重点介绍保护数据的新方法。在开始之前,先感谢Box(译者注:Box是国外网盘)在我们完成本系列文章的同时同意对这些内容进行授权。像Box这样的客户明白,他们需要前瞻性研究来告诉您事情的发展方向,而不是发布报告来告诉您他们的发展方向,如果没有像Box这样的客户,我们将无法进行这项研究。了解内部风险虽然安全专家喜欢使用“内部威胁”一词,但其定义通常很模糊。事实上,它包括多种类型,包括利用内部访问的外部威胁。我们相信,要真正解决风险,您首先需要了解它(称我们为疯子)。为了分解第一级内部威胁,让我们考虑其典型的风险类别:意外误用:在这种情况下,内部人员并没有做任何恶意的事情,而是犯了一个导致数据丢失的错误。例如,客户服务代表可以回复来自客户的包含私人帐户信息的电子邮件。这并不是说回复客户试图违反政策,但他们没有花时间审查消息并清除任何私人数据。陷入不必要的行动:员工也是人,可能会被诱骗去做错误的事情。网络钓鱼就是一个很好的例子。或者根据模拟员工的电话提供对文件夹的访问权限。同样,这不是恶意的,但它仍然会造成损害。恶意滥用:有时您需要面对恶意内部人员故意窃取数据的事实。在前两种情况下,人们不会试图隐藏自己的行为。但在这种情况下,它们是故意混淆的,这意味着您需要不同的策略来检测和防止泄漏活动。帐户接管:此类别反映了这样一个事实,即一旦外部敌人出现在设备上,他们就会变成内部人员;通过受感染的设备和帐户,他们可以访问关键数据。我们需要在对手的背景下考虑这些类别,以便您可以正确调整您的安全架构。那么,谁是试图得到你的东西的主要对手?一些粗粒度的分类如下:不成熟(使用广泛可用的工具)、有组织犯罪、竞争对手、国家支持,最后是真正的内部人士。一旦您了解了最有可能的对手及其典型策略,您就可以设计一套控制措施来有效保护数据。例如,有组织的犯罪集团想要获取与银行相关的数据或个人信息,以进行身份??盗用。但竞争对手更有可能寻找产品计划或定价策略。您可以(并且应该)在设计您的数据保护策略时考虑到这些可能的对手,以帮助确定需要保护的内容和方式的优先级。既然你了解了你的对手并且可以推断出他们的主要战术,你就可以更好地理解他们的任务。然后,您可以选择一种能够最大限度地降低风险并最好地防止任何数据丢失的数据安全架构。但这需要我们使用不同于通常认为的数据安全策略。一种看待数据安全的新方法如果您调查安全专家并询问数据安全对他们意味着什么,他们可能会说加密或数据丢失防护(DLP)。当你只有一把锤子时,一切看起来都像钉子,而在很长一段时间里,这两样东西就是我们可以随意使用的锤子。当然,我们想扩大我们的视野,但这并不意味着DLP和加密在数据保护中不再发挥任何作用。安全专家当然知道这一点,但我们可以添加一些新策略。数据护栏:我们将护栏定义为一种在不减慢或影响典型操作的情况下实施最佳实践的方法。通常在云安全环境中使用,数据护栏使数据能够以某种方式使用,同时防止未经授权的使用。为了摆脱旧的网络安全术语,您可以将护栏视为数据的“默认拒绝”。您定义了一组可接受的做法,不允许任何其他做法。数据行为分析:很多人都听说过UBA(UserBehaviorAnalytics),它分析所有的用户活动,然后寻找可能表明上述内部风险类别之一的异常活动。?使用类似的分析,您可以分析环境中所有数据的使用情况,然后寻找需要调查的异常模式。我们称此为DataBA,因为如果我们将这个职位硬塞给DBA,他们可能会有点恼火。上面,我向您介绍了内幕风险的概念,并概述了内幕风险的主要类别。接下来,我将深入研究数据护栏和数据库的这些新概念,阐明这些方法及其缺陷。数据安全长期以来一直是信息安全中最具挑战性的领域,尽管它是我们整个实践的核心。我们称它为“数据安全”,因为“信息安全”已被如此广泛地使用。数据安全不应阻止数据本身的使用。相比之下,保护档案数据很容易(加密并将密钥锁在保险箱中)。但是如何保护组织积极使用的非结构化数据呢?显然没那么容易。这就是为什么我们通过关注内部风险来开始这项研究,包括利用内部访问的外部攻击者。在大多数安全工具中,识别具有恶意意图执行授权操作的人并没有太大区别。数据护栏和数据行为分析之间的区别数据保护和数据行为分析两者都侧重于通过结合内容知识(分类)和上下文使用来提高数据安全性。数据保护利用确定性模型和流程中的这些知识来减少安全摩擦,同时提高防御能力。例如,如果用户试图公开敏感存储库中的文件,Guardrail可能会要求他们记录原因,然后向安全部门发送通知以批准该请求。护栏是一组规则,可根据用户的行为“限制”用户进行授权活动。数据行为分析将分析扩展到当前和历史活动,并使用人工智能/机器学习和社交图等工具来识别绕过其他数据安全控制的异常模式。分析不仅通过查看内容和简单的上下文(就像DLP可能做的那样),而且通过在历史中添加数据以及在当前上下文中如何使用相似数据来缩小这些差距。举个简单的例子,用户在短时间内访问异常数量的数据可能表明存在恶意或帐户泄露。使情况更加复杂的是在会计团队的设备上识别敏感的知识产权,即使他们不需要与工程团队协作。此类高层决策需要了解环境中的数据使用和连接性。这些概念的核心是分布式数据被许多员工广泛使用的事实。在不从根本上中断业务流程的情况下,安全性无法通过涵盖每个用例的严格规则有效地锁定所有内容。然而,通过数据及其与用户交互的综合视图,我们可以构建数据护栏和数据行为的智能分析模型,以识别和减少滥用,而不会对合法活动产生负面影响。数据护栏强制执行与授权业务流程一致的可预测规则,而数据行为分析则寻找边缘案例和难以预测的异常情况。数据护栏和数据行为分析如何工作理解数据护栏和数据行为分析之间区别的最简单方法是,数据护栏依赖于预先建立的确定性规则(可以像“如果这个和那个”一样简单),而分析依赖于人工智能、机器学习和其他观察模式和偏见的启发式技术。为了有效,两者都依赖于以下基本功能:数据的集中视图。这两种方法都假定对数据和用途有广泛的了解——如果没有对数据上下文访问的集中视图,就无法构建任何规则或模型。上下文包括多个特征,包括位置、大小、数据类型(如果可用)、标签、谁有权访问、谁创建了数据,以及所有可用的元数据访问用户上下文,包括特权(权限)、组、角色、业务单位,例如监控活动和执行规则的能力。护栏本质上是预防性控制,需要能够执行它们。数据行为分析只能用于检测,但如果能阻止行动,则在防止数据丢失方面更有效。这两种技术然后发挥不同的作用,同时相互加强:数据护栏是一组规则,用于查找与策略的特定偏差,然后采取措施恢复合规性。扩展我们之前的示例,用户公开共享位于云存储中的文件。假设用户具有公开文件的适当权限。该文件驻留在云服务中,因此我们还假设集中监控/可见性,以及对文件执行规则的能力。该文件位于工程团队用于新程序和项目的存储库(目录)中。即使没有标志,该位置本身也表示一个潜在的敏感文件。系统可以看到公开文件的请求,但由于上下文(位置或标记),它会提示用户输入允许该操作的原因,然后记录下来供安全团队审查。或者,护栏可能需要经理批准才能运行。您现在对数据护栏和数据行为分析的需求和功能有了更好的了解。我们的下一篇文章将重点介绍一些速效措施,以证明将这些功能纳入您的数据安全策略是合理的。
