大數(shù)據(jù)時(shí)代強(qiáng)勢(shì)襲來(lái),為社會(huì)和經(jīng)濟(jì)發(fā)展帶來(lái)了巨大的挑戰(zhàn)和機(jī)遇。數(shù)據(jù)作為新的核心生產(chǎn)要素,正在全面重構(gòu)全球生產(chǎn)、流通、分配、消費(fèi)等領(lǐng)域,對(duì)全球競(jìng)爭(zhēng)、國(guó)家治理、經(jīng)濟(jì)發(fā)展、產(chǎn)業(yè)轉(zhuǎn)型、社會(huì)生活等方方面面產(chǎn)生深刻影響。數(shù)字經(jīng)濟(jì)時(shí)代,數(shù)據(jù)已成為一種重要的高價(jià)值的生產(chǎn)資料,通過(guò)數(shù)據(jù)的流轉(zhuǎn)、使用發(fā)揮出巨大的價(jià)值。例如,電商企業(yè)可以根據(jù)用戶(hù)購(gòu)買(mǎi)行為數(shù)據(jù)進(jìn)行精準(zhǔn)營(yíng)銷(xiāo),從而帶來(lái)經(jīng)濟(jì)利益;電信運(yùn)營(yíng)商可以通過(guò)采集用戶(hù)行為數(shù)據(jù)并進(jìn)行分析,建立起客戶(hù)流失預(yù)警機(jī)制,從而降低客戶(hù)流失的風(fēng)險(xiǎn)。
數(shù)據(jù)價(jià)值愈加凸顯的同時(shí),數(shù)據(jù)在流轉(zhuǎn)使用過(guò)程中面臨的安全風(fēng)險(xiǎn)也越來(lái)越多。明朝萬(wàn)達(dá)認(rèn)為當(dāng)前企業(yè)數(shù)據(jù)主要面臨兩個(gè)方向的風(fēng)險(xiǎn),即內(nèi)部風(fēng)險(xiǎn)和外部風(fēng)險(xiǎn)。而隨著防火墻、IDS等安全防護(hù)技術(shù)不斷發(fā)展,加之企業(yè)的重要數(shù)據(jù)往往運(yùn)行于內(nèi)部網(wǎng)絡(luò)甚至是涉密網(wǎng)絡(luò),處于相對(duì)嚴(yán)格的隔離狀態(tài),由黑客攻擊、撞庫(kù)等外部風(fēng)險(xiǎn)導(dǎo)致數(shù)據(jù)被竊取的難度較高。然而,由于業(yè)務(wù)拓展、市場(chǎng)分析等重要場(chǎng)景的需要,企業(yè)內(nèi)部的重要數(shù)據(jù)就需要從防護(hù)嚴(yán)密的生產(chǎn)環(huán)境導(dǎo)出到辦公環(huán)境,脫離安全系統(tǒng)的防護(hù),大大增加了數(shù)據(jù)安全的風(fēng)險(xiǎn)。此外,企業(yè)長(zhǎng)期忽略對(duì)內(nèi)部員工的管控和權(quán)限的追蹤,導(dǎo)致內(nèi)部風(fēng)險(xiǎn)逐漸成為影響數(shù)據(jù)安全的主要方式,為企業(yè)的數(shù)據(jù)安全和信譽(yù)造成了巨大安全隱患。據(jù)FortScale的統(tǒng)計(jì)數(shù)據(jù)顯示,企業(yè)所遭遇的數(shù)據(jù)安全事件中,大約85%的概率是與內(nèi)部員工有關(guān)。因此,數(shù)字化時(shí)代的數(shù)據(jù)安全防護(hù)主戰(zhàn)場(chǎng)已由抵御外部風(fēng)險(xiǎn)逐漸轉(zhuǎn)向內(nèi)部風(fēng)險(xiǎn)防護(hù)。
在企業(yè)面臨的內(nèi)部風(fēng)險(xiǎn)中,數(shù)據(jù)泄露是影響數(shù)據(jù)安全的主要威脅。根據(jù)泄露途徑不同,可將內(nèi)部數(shù)據(jù)泄露大致劃分為數(shù)據(jù)使用泄露、數(shù)據(jù)存儲(chǔ)泄露和數(shù)據(jù)傳輸泄露。其中,數(shù)據(jù)使用泄露主要是指員工在使用過(guò)程中進(jìn)行一系列的操作,導(dǎo)致數(shù)據(jù)的泄露,主要方式包括打印機(jī)等;數(shù)據(jù)存儲(chǔ)泄露,是指員工通過(guò)存儲(chǔ)設(shè)備存儲(chǔ)數(shù)據(jù),導(dǎo)致數(shù)據(jù)的泄露,主要方式包括移動(dòng)存儲(chǔ)設(shè)備、第三方云盤(pán)等;數(shù)據(jù)傳輸泄露,是指員工通過(guò)各類(lèi)信息交換工具或軟件,進(jìn)行數(shù)據(jù)傳輸,導(dǎo)致數(shù)據(jù)的泄露,主要方式包括即時(shí)通信工具、電子郵件等。
在《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》等數(shù)據(jù)相關(guān)法律法規(guī)相繼頒布實(shí)施后,從國(guó)家、法律的層面明確了數(shù)據(jù)的重要性,對(duì)企業(yè)而言,無(wú)論是出于滿(mǎn)足合規(guī)性要求,還是對(duì)企業(yè)內(nèi)部穩(wěn)定、市場(chǎng)拓展、資源獲取、品牌建設(shè)等多方面的要求,加強(qiáng)企業(yè)內(nèi)部數(shù)據(jù)安全防護(hù)都勢(shì)在必行。
1 安全信息及事件管理(SIEM)
根據(jù)市場(chǎng)調(diào)研我們可以發(fā)現(xiàn),安全信息及事件管理(Security Information and Event Management,SIEM)是企業(yè)應(yīng)對(duì)內(nèi)部數(shù)據(jù)安全問(wèn)題最為廣泛采用的一種技術(shù)。該技術(shù)是安全信息管理(SIM)和安全事件管理(SEM)的結(jié)合體,能夠?yàn)槠髽I(yè)內(nèi)部所有IT資源產(chǎn)生的安全信息進(jìn)行統(tǒng)一的實(shí)時(shí)監(jiān)控、歷史分析。
SIEM主要是由采集層,存儲(chǔ)層,計(jì)算層,輸出層四部分組成。采集層主要用來(lái)采集所有網(wǎng)絡(luò)安全信息源,并對(duì)數(shù)據(jù)集進(jìn)行簡(jiǎn)單處理,轉(zhuǎn)化為統(tǒng)一的格式,便于存儲(chǔ)。存儲(chǔ)層主要功能是存儲(chǔ)采集的原始數(shù)據(jù)和計(jì)算分析完成的結(jié)果,并為后續(xù)的分析與可視化展示提供數(shù)據(jù)支撐。計(jì)算層,是SIEM中最為重要的一層,包括規(guī)則匹配計(jì)算,算法計(jì)算,流量分析計(jì)算等多種計(jì)算分析模型。輸出層主要是將計(jì)算層分析的結(jié)果進(jìn)行多種輸出方式實(shí)現(xiàn)可視化展示。
基于日志分析和規(guī)則匹配技術(shù),SIEM系統(tǒng)不斷融合關(guān)聯(lián)分析等其他方法,對(duì)安全事件進(jìn)行監(jiān)視、聚合、關(guān)聯(lián)和報(bào)告,在保護(hù)企業(yè)內(nèi)部敏感數(shù)據(jù)的安全中發(fā)揮著重要的作用。然而,隨著影響數(shù)據(jù)安全應(yīng)用場(chǎng)景的多樣性和不定因素的增加,SIEM也存在如下問(wèn)題:
1、SIEM能夠?qū)τ|發(fā)預(yù)定規(guī)則的行為數(shù)據(jù),快速地做出報(bào)警,但其警報(bào)的有效性往往取決于規(guī)則的合理性。不合理的監(jiān)控規(guī)則,會(huì)大大增加數(shù)據(jù)安全事件的誤報(bào)數(shù)量,促使企業(yè)擴(kuò)充安全運(yùn)維中心的人員數(shù)量和增加人員安全培訓(xùn)成本,這無(wú)疑增加了企業(yè)的經(jīng)濟(jì)負(fù)擔(dān)。此外,SIEM將安全事件進(jìn)行簡(jiǎn)單的劃分,無(wú)法完成行為風(fēng)險(xiǎn)的優(yōu)先級(jí)排序這可能造成真正的數(shù)據(jù)安全事件無(wú)法及時(shí)處理,最終造成巨大的安全隱患和經(jīng)濟(jì)損失。
2、SIEM監(jiān)控規(guī)則的制定是一件非常復(fù)雜和耗時(shí)的工程。隨著造成數(shù)據(jù)安全風(fēng)險(xiǎn)的途徑和技術(shù)的日新月異,靜態(tài)的規(guī)則實(shí)現(xiàn)數(shù)據(jù)防泄漏始終慢人一步,維護(hù)與革新企業(yè)內(nèi)部不斷增加的規(guī)則將會(huì)產(chǎn)生巨大經(jīng)濟(jì)消耗。
3、互聯(lián)網(wǎng)的高速發(fā)展,也使得影響數(shù)據(jù)安全的未知因素急劇增加,而對(duì)于未知的數(shù)據(jù)安全威脅,SIEM難以提供有效的報(bào)警和防護(hù),最終導(dǎo)致安全事件頻發(fā)以及巨大經(jīng)濟(jì)損失。
2 用戶(hù)實(shí)體行為分析(UEBA)
綜上所述,基于規(guī)則的SIEM數(shù)據(jù)安全技術(shù)對(duì)于數(shù)據(jù)安全事件的精準(zhǔn)預(yù)報(bào)、動(dòng)態(tài)的安全風(fēng)險(xiǎn)途徑與方式,特殊員工的行為監(jiān)控,實(shí)時(shí)的行為預(yù)測(cè)與風(fēng)險(xiǎn)評(píng)分,難以達(dá)到當(dāng)前企業(yè)對(duì)于數(shù)據(jù)安全的要求。因此,企業(yè)迫切需求一種能夠彌補(bǔ)傳統(tǒng)SIEM技術(shù)不足的新技術(shù)來(lái)應(yīng)對(duì)內(nèi)部數(shù)據(jù)安全風(fēng)險(xiǎn),用戶(hù)實(shí)體行為分析(User Entity and Behave Analyse,UEBA)應(yīng)運(yùn)而生。
UEBA作為一種基于人工算法的新興數(shù)據(jù)安全技術(shù),不同于SIEM以流量和請(qǐng)求為分析視角,而是直接以用戶(hù)以及實(shí)體為監(jiān)控對(duì)象,其監(jiān)控和管理方式,由基于規(guī)則分析轉(zhuǎn)為數(shù)據(jù)處理,關(guān)聯(lián)分析、行為建模、異常檢測(cè),風(fēng)險(xiǎn)評(píng)分預(yù)測(cè)。
UEBA技術(shù),從不同數(shù)據(jù)源中獲取用戶(hù)和實(shí)體的歷史行為數(shù)據(jù),利用人工智能算法構(gòu)建行為分析模型,并形成用戶(hù)和實(shí)體的正常行為基線(xiàn)。當(dāng)用戶(hù)或?qū)嶓w的行為偏離正常的行為基線(xiàn)時(shí),UEBA將該行為視為異常行為,并迅速做成相應(yīng)的處理和警報(bào)。同時(shí),UEBA對(duì)用戶(hù)和實(shí)體的行為進(jìn)行風(fēng)險(xiǎn)等級(jí)評(píng)分,從而對(duì)數(shù)據(jù)安全風(fēng)險(xiǎn)等級(jí)進(jìn)行更為細(xì)化排序,為企業(yè)提供更明確的風(fēng)險(xiǎn)級(jí)別序列,提高企業(yè)數(shù)據(jù)安全風(fēng)險(xiǎn)處理效率。
相比于傳統(tǒng)的SIEM數(shù)據(jù)安全技術(shù),UEBA具備更多優(yōu)勢(shì)。
1、UEBA基于人工智能算法,具有更強(qiáng)大的行為分析能力,通過(guò)模型構(gòu)建的用戶(hù)和實(shí)體行為基線(xiàn),來(lái)衡量當(dāng)前用戶(hù)和實(shí)體的行為的數(shù)據(jù)安全風(fēng)險(xiǎn)等級(jí),避免了構(gòu)建和維護(hù)規(guī)則而產(chǎn)生的巨額費(fèi)用;
2、UEBA基于構(gòu)建的行為基線(xiàn),無(wú)需設(shè)定復(fù)雜的閾值,便能完成行為的安全風(fēng)險(xiǎn)評(píng)估;
3、UEBA通過(guò)連接事件、實(shí)體、用戶(hù)和異常等,展現(xiàn)安全事件全貌,使安全運(yùn)維人員聚焦真實(shí)風(fēng)險(xiǎn)和威脅,提高安全運(yùn)營(yíng)和威脅檢測(cè)的效率;
4、UEBA能夠自適應(yīng)動(dòng)態(tài)的環(huán)境變化和業(yè)務(wù)變化,通過(guò)異常評(píng)分的定量分析,分析全部事件,無(wú)需硬編碼的閾值,即可發(fā)現(xiàn)隱藏的、緩慢變化的未知威脅。