这是我们关于保护重要信息系列的最后一篇文章-《数据保护和行为分析》。在我们的第一篇文章《数据护栏与行为分析(上):理解任务》,介绍数据保护和行为分析:了解任务中,我们介绍了内部风险的概念和主要类别,并深入研究和定义了这些术语。在结束本系列文章时,我们会将所有内容与一个场景放在一起,该场景演示这些概念在实践中的工作原理。护栏不是障碍物,因为用户仍然可以共享文件。提示用户进行验证既可以防止错误,又可以在安全检查中形成责任循环,从而使企业能够快速行动,同时将风险降至最低。您还可以根据预先确定的阈值查找大文件移动。护栏仅在违反策略阈值时生效,然后使用与业务流程一致的强制措施(例如批准和通知),而不是简单地阻止活动。数据行为分析使用历史信息和活动(通常使用已知良好和已知不良活动的训练集),生成AI模型来识别异常。我们不想描述得太狭隘,因为建立模型的方式多种多样。无论数学细节如何,历史活动、持续监控和持续建模都是必不可少的。根据定义,我们专注于这些模型的核心。数据行为,而非用户活动;这代表了用户行为分析(UBA)中一个微妙但关键的区别。UBA以每个用户为基础跟踪活动。数据行为分析(首字母缩写词DBA已被采用,因此我们将创建一个新的首字母缩写词-TLA),而不是查看数据源的活动。这些数据是如何使用的?通过哪些用户组?使用此数据会发生什么类型的活动?什么时候?我们不会忽略用户活动,但会跟踪数据使用情况。例如,我们可以问,“这个组中的任何用户公开了这种类型的文件吗?”UBA会问“这个特定用户公开了文件吗?”关注数据提供了发现更广泛的数据使用异常的机会。显然,数据越好,模型越好。与大多数与安全相关的数据科学一样,不要假设更多的数据必然会产生更好的模型。这是关于数据质量。例如,用户之间通信模式的社交图可能是一个有价值的提要,用于检测文件在通常不协作的团队之间移动等情况。值得一看,即使您不想完全掩盖这些活动,DataProtection可以处理已知风险,并且在减少用户错误和识别因诱骗授权用户采取未经授权的操作而导致的帐户滥用方面特别有效。护栏甚至可以帮助减少帐户接管,因为如果攻击者的行为违反了护栏,他们就无法滥用数据。然后,数据行为分析补充了针对不可预测情况和不良行为者试图规避保护措施(包括恶意滥用和帐户接管)的防御措施。在我们结束关于数据护栏和行为分析的系列文章时,让我们通过一个简单的场景来展示这些概念如何应用于一个简单的示例。我们要说明的公司是一家小型制药公司。与所有制药公司一样,它们的大部分价值在于知识产权,这使得知识产权成为攻击者最重要的目标。由于市场快速增长且竞争激烈,公司在推出产品和建立合作伙伴关系之前没有等到完善基础设施和控制。作为一家没有遗留基础设施(或思维模式)的新公司,大部分基础设施都是在云中构建的,他们采用了云优先的方法。事实上,这位CEO因创新地使用基于云的分析来加快新药的识别过程而受到认可。正如CEO对这些新的计算机模型感到兴奋一样,董事会也非常关注外部攻击和内部威胁,因为他们的专有数据存在于数十家服务提供商中。因此,安全团队面临采取措施解决该问题的压力。CISO非常有经验,但仍在应对云优先方法中固有的思维方式、控制和运营举措方面的变化。默认采用标准数据安全措施是阻力最小的途径,但她很聪明,知道这会在公司关键知识产权的可见性和控制方面造成巨大差距。使用数据护栏和数据行为分析的方法提供了一个机会,既可以定义一组硬数据使用和保护策略,也可以监控可能表明恶意意图的异常行为。因此,让我们来看看她将如何带领她的组织完成定义数据保护和行为分析的流程。查找数据正如我们在之前的文章中提到的,数据护栏和行为分析的独特之处在于内容知识(分类法)与上下文和使用情况的结合。因此,我们将采取的第一步是对企业内部的敏感数据进行分类。这涉及数据资源的内部发现。实现这一目标的技术已经成熟且广为人知,尽管需要确保发现扩展到基于云的资源。此外,他们需要与业务的高级领导交谈,以确保他们了解业务策略如何影响应用程序架构以及敏感数据的位置。内部私人研究数据和临床试验构成了公司的大部分知识产权。此数据可以是结构化的或非结构化的,这会使发现过程复杂化。由于该公司采用云存储来集中非结构化数据,并在可能的情况下为前台功能采用SaaS,这一事实在一定程度上缓解了这种情况。鉴于云环境中的操作流程相对不成熟,许多新兴的分析用例仍然是安全方面的挑战。与所有其他安全性一样,可见性优先于控制,并且需要首先完成此发现和分类过程,以便数据安全过程继续运行。需要明确的是,在可通过API寻址的云服务中拥有大量数据无助于使机密数据保持最新状态。这仍然是数据安全面临的更大挑战之一,因此需要特定的活动(以及分配的相关资源)以在流程投入生产时使分类保持最新。定义数据护栏正如我们之前提到的,护栏是用于将用户限制在授权活动范围内的一组规则。因此,CISO首先定义授权操作,然后在数据所在的位置执行这些策略。为简单起见,我们将护栏分为三大类:访问:这些护栏与强制访问数据有关。例如,与临床试验参与者招募相关的文件必须严格限于负责招募的小组。如果有人向更广泛的组开放访问权限,或将文件夹标记为公开,Guardrail会删除该访问权限并将其限制为适当的组。行动:她还想定义谁可以用数据做什么。防止有人删除数据或从分析应用程序中复制数据非常重要,因此这些护栏通过防止滥用(无论是有意/恶意还是意外)来确保数据完整性。操作:最后一类护栏控制数据的操作完整性和弹性。有进取心的数据科学家可以快速轻松地加载新的分析环境,但可能没有采取必要的预防措施来确保数据备份或所需的日志记录/监控发生。支持自动备份和监控的护栏可以成为每个新分析环境的一部分。设计护栏的关键是将它们视为开关,而不是障碍物。异常处理的有效性通常取决于实施护栏的成败。为了说明这一点,让我们考虑一下该组织与一家较小的生物技术公司的合资企业。存在一个护栏,以限制10名内部研究人员访问与产品相关的数据。但是,显然合资伙伴的研究人员也需要访问权限,因此您需要扩展护栏的访问规则。但您可能还想为这些外部用户实施双因素身份验证保护,或者可能实施位置保护以限制对合作伙伴网络内IP地址的外部访问。如您所见,您在部署护栏方面有很多粒度。但要专注于快速修复,所以不要试图在第一天就采取所有可能的措施。关注最敏感的数据,建立健全异常处理流程。然后,随着流程的成熟,系统地添加更多护栏,您就会了解什么对减少攻击面影响最大。细粒度的数据行为分析一旦设置了护栏,就可以实现更低的数据安全门槛。您可以确信不会提取和复制大量数据,或者未经授权的组不会访问他们不应该访问的数据。通过建立授权活动并停止未经授权的活动,您可以消除大部分攻击面。也就是说,授权用户可能有意或无意地造成很多损害。行为分析通过降低超出预定义规则的负面活动的风险来解决这些问题。因此,我们希望将数据护栏与数据使用分析相结合,识别典型的数据使用模式,进而寻找异常的数据使用和行为。这需要遥测、分析和调整。让我们用非结构化数据来描述这种方法。回到我们的制药公司示例,云存储提供商跟踪谁在他们的环境中对数据做了什么。这种遥测成为他们数据行为分析程序的基础。为了准确地训练分析模型,他们不仅需要有关已知正常活动的数据,还需要有关他们知道的违反政策的活动的数据。请记住数据质量的重要性,而不仅仅是数据数量。在构建您自己的程序时,请务必收集有关用户上下文和权限的数据,以便您可以跟踪数据的使用方式、时间和使用人。当然,您可以在所有遥测中寻找异常模式,但这会产生很多噪音。因此,我们建议您首先确定一种您希望检测的行为。例如,临床试验数据的大规模泄露。因此,您需要确定哪些特定文件/文件夹具有此数据并查看不同的活动模式。一项快速分析显示,亚洲的一组研究人员一直在他们当地地理位置的下班时间访问这些文件夹。这会触发警报,促使您进行调查。事实证明,其中一名研究人员正在与另一个欧洲团队合作,因此一直在非标准时间工作,导致数据访问异常。在这种情况下,这是合法的,但这种方法不仅会提醒您可能的滥用行为,还会发出安全团队正在寻找此类活动作为威慑的信息。如果您使用的是现成的产品,它们中的大多数都可以作为您的起点。基于组、社交图、时间和地点以及类似模式的用户活动聚类往往在广泛的行为分析用例中非常有用。随着时间的推移,您可能仍希望微调这些用例以更精确地反映您自己组织的需求和模式。与任何分析技术一样,随着时间的推移,随着环境的变化,分析的准确性和相关性将不可避免地受到影响,因此需要进行调整。因此,我们将再次重申为您的程序配备足够的人员来管理警报并确保在信号和噪音之间的细线上调整阈值的重要性。在解决已知风险的数据护栏和执行授权使用策略的数据行为分析之间,利用这些新方法将数据安全带入现代。
