這是我們關(guān)于保護重要信息系列文章——《數(shù)據(jù)保護和行為分析》的最后一篇。 我們的第一篇文章《數(shù)據(jù)護欄與行為分析(上)：理解任務(wù)》，介紹數(shù)據(jù)保護和行為分析：理解任務(wù)，我們介紹了內(nèi)部風險的概念和主要類別并深入研究并定義了這些術(shù)語。 在我們結(jié)束本系列文章時，我們將通過一個場景將它們放在一起，演示這些概念在實踐中是如何工作的。

[[323150]]

護欄不是攔截器，因為用戶仍然可以共享文件。 提示用戶進行驗證既可以防止錯誤，又可以在安全檢查中進行責任循環(huán)，允許業(yè)務(wù)快速發(fā)展，同時最小化風險。 你還可以根據(jù)預先確定的閾值查找大型文件移動。 只有在違反策略閾值的情況下，護欄才會生效，然后使用與業(yè)務(wù)流程相一致的執(zhí)行行動(如批準和通知) ，而不是簡單地阻止活動。

• 數(shù)據(jù)行為分析使用歷史信息和活動(通常使用已知-好的和已知-壞的活動的訓練集) ，它產(chǎn)生人工智能模型來識別異常。 我們不想描述得過于狹窄，因為有各種各樣的方法來構(gòu)建模型
• 無論數(shù)學細節(jié)如何，歷史活動、持續(xù)監(jiān)視和持續(xù)建模都是必不可少的
• 根據(jù)定義，我們關(guān)注的是作為這些模型核心的數(shù)據(jù)行為，而不是用戶活動; 這代表了用戶行為分析(UBA)的一個微妙但關(guān)鍵的區(qū)別。UBA根據(jù)每個用戶跟蹤活動。數(shù)據(jù)行為分析(DBA這個縮寫已經(jīng)被采用，因此我們將創(chuàng)建一個新的縮寫——TLA)，而是著眼于數(shù)據(jù)來源的活動。 這些數(shù)據(jù)是如何使用的? 通過哪些用戶群體? 使用這些數(shù)據(jù)會發(fā)生什么類型的活動? 什么時候? 我們不會忽略用戶活動，但會跟蹤數(shù)據(jù)的使用情況。
• 例如，我們可以問，“這個組中的用戶是否公開過這種類型的文件? ” UBA會問“這個特定的用戶是否公開過文件? ”，關(guān)注數(shù)據(jù)為發(fā)現(xiàn)更廣泛的數(shù)據(jù)使用異常提供了機會。
• 顯而易見，數(shù)據(jù)越好，模型就越好。 與大多數(shù)與安全相關(guān)的數(shù)據(jù)科學一樣，不要假設(shè)更多的數(shù)據(jù)必然會產(chǎn)生更好的模型。 這與數(shù)據(jù)質(zhì)量有關(guān)。 例如，用戶之間交流模式的社交圖可能是一個有價值的提要，用于檢測像文件在通常不合作的團隊之間移動的情況。 這值得一看，即使你不想完全屏蔽這些活動

數(shù)據(jù)保護處理已知的風險，并在減少用戶錯誤和識別由欺騙授權(quán)用戶進行未經(jīng)授權(quán)的操作導致的帳戶濫用方面特別有效。 護欄甚至可以幫助減少帳戶接管，因為如果攻擊者的行動違反了護欄，他們就不能濫用數(shù)據(jù)。 然后，數(shù)據(jù)行為分析為不可預測的情況和那些壞人試圖規(guī)避防范措施的情況(包括惡意濫用和賬戶接管)補充了防范措施。

在我們總結(jié)數(shù)據(jù)護欄和行為分析系列文章時，讓我們通過一個簡單的場景來展示這些概念如何應(yīng)用于一個簡單的示例。 我們要舉例說明的這個公司是一家小型制藥公司。 和所有的制藥公司一樣，他們的大部分價值在于知識產(chǎn)權(quán)，這使得知識產(chǎn)權(quán)成為攻擊者最重要的目標。 由于快速增長和高度競爭的市場，該公司在推出產(chǎn)品和建立合作伙伴關(guān)系之前沒有等待完善好基礎(chǔ)設(shè)施和控制。 作為一家沒有遺留基礎(chǔ)設(shè)施(或思維模式)的新公司，大部分基礎(chǔ)設(shè)施都是在云中構(gòu)建的，它們采取的是云優(yōu)先的方法。

事實上，這位首席執(zhí)行官因其創(chuàng)新性地使用基于云計算的分析來加速新藥的鑒定過程而獲得了認可。 就像 CEO 對這些新的計算機模型感到興奮一樣，董事會也非常關(guān)注外部攻擊和內(nèi)部威脅，因為他們的專有數(shù)據(jù)存在于幾十個服務(wù)提供商中。 因此，安全團隊感到壓力很大，必須采取措施解決這個問題。

CISO 非常有經(jīng)驗，但仍在處理云優(yōu)先方法固有的思維方式、控制和操作動作上的變化。 默認使用標準的數(shù)據(jù)安全措施代表著阻力最小的路徑，但她足夠聰明，知道這會在公司關(guān)鍵知識產(chǎn)權(quán)的可見性和控制權(quán)方面造成巨大的差距。 使用數(shù)據(jù)護欄和數(shù)據(jù)行為分析的方法提供了一個機會，既可以定義一套硬性的數(shù)據(jù)使用和保護策略，也可以監(jiān)視潛在表明惡意意圖的異常行為。 那么讓我們來看看她將如何領(lǐng)導她的組織通過一個過程來定義數(shù)據(jù)保護和行為分析。

尋找數(shù)據(jù)

正如我們在前面的文章中提到的，數(shù)據(jù)護欄和行為分析的獨特之處在于將內(nèi)容知識(分類)與上下文和用法結(jié)合起來。 因此，我們將采取的第一步是對企業(yè)內(nèi)部的敏感數(shù)據(jù)進行分類。

這涉及到對數(shù)據(jù)資源進行內(nèi)部發(fā)現(xiàn)。 實現(xiàn)這個目標的技術(shù)已經(jīng)成熟并且很容易理解，盡管還需要確保將發(fā)現(xiàn)范圍擴展到基于云的資源。 此外，他們需要與業(yè)務(wù)的高層領(lǐng)導交談，以確保他們了解業(yè)務(wù)策略如何影響應(yīng)用程序架構(gòu)，從而影響敏感數(shù)據(jù)的位置。

內(nèi)部的私人研究數(shù)據(jù)和臨床試驗構(gòu)成了該公司大部分的知識產(chǎn)權(quán)。 這些數(shù)據(jù)可以是結(jié)構(gòu)化的，也可以是非結(jié)構(gòu)化的，這使得發(fā)現(xiàn)過程變得復雜。 這在一定程度上得到了緩解，因為該公司已經(jīng)采用云存儲來集中非結(jié)構(gòu)化數(shù)據(jù)，并盡可能采用 SaaS 作為前臺辦公功能。 考慮到云環(huán)境中相對不成熟的操作流程，許多新興的分析用例仍然是一個需要保護的挑戰(zhàn)。

與其他所有安全性一樣，可見性優(yōu)先于控制，為了讓數(shù)據(jù)安全流程繼續(xù)運行，首先需要完成這個發(fā)現(xiàn)和分類過程。需要明確的是，讓云服務(wù)中的大量數(shù)據(jù)通過 API 進行尋址并不能幫助保持分類數(shù)據(jù)是最新的。 這仍然是數(shù)據(jù)安全面臨的較大挑戰(zhàn)之一，因此需要具體的活動(以及分配的相關(guān)資源) ，以便隨著流程進入生產(chǎn)階段，使分類保持最新。

定義數(shù)據(jù)護欄

正如我們前面提到的，護欄是規(guī)則集，用于將用戶保持在授權(quán)活動范圍內(nèi)。 因此，CISO 從定義授權(quán)操作開始，然后在數(shù)據(jù)所在的地方執(zhí)行這些策略。 為了簡單起見，我們將護欄分為三大類:

• 訪問：這些護欄與強制訪問數(shù)據(jù)有關(guān)。 例如，與臨床試驗招募參與者有關(guān)的文件必須嚴格限制在負責招募工作的小組內(nèi)。 如果有人打開了對更廣泛群組的訪問權(quán)限，或者將文件夾標記為公共文件夾，護欄就會移除這個訪問權(quán)限，并將其限制在適當?shù)娜航M中。
• 行動：她還想定義誰可以對數(shù)據(jù)做什么。防止某人刪除數(shù)據(jù)或?qū)?shù)據(jù)從分析應(yīng)用程序中復制出來是很重要的，因此這些護欄通過防止誤用來確保數(shù)據(jù)的完整性，無論是故意的/惡意的還是意外的。
• 操作：最后一類護欄控制數(shù)據(jù)的操作完整性和彈性。 有進取心的數(shù)據(jù)科學家可以快速、輕松地加載新的分析環(huán)境，但可能不會采取必要的預防措施來確保數(shù)據(jù)備份或所需的日志 / 監(jiān)控發(fā)生。 實現(xiàn)自動備份和監(jiān)控的護欄可以作為每個新的分析環(huán)境的一部分。

設(shè)計護欄的關(guān)鍵是要把護欄看作是某個開關(guān)，而不是攔截器。 異常處理的有效性通常取決于實現(xiàn)護欄的成敗。 為了說明這一點，讓我們考慮一下該組織與一家較小的生物技術(shù)公司的合資企業(yè)。 一個護欄的存在是為了限制10個內(nèi)部研究人員訪問與該產(chǎn)品有關(guān)的數(shù)據(jù)。 然而，很明顯，來自合資伙伴的研究人員也需要訪問，所以你需要擴大護欄的訪問規(guī)則。 但是你也可能希望對那些外部用戶強制執(zhí)行雙重身份驗證保護，或者可能實施一個位置保護，將外部訪問限制在合作伙伴網(wǎng)絡(luò)內(nèi)的 IP 地址。

正如你所看到的，你在如何部署護欄方面有很多粒度。 但是要把注意力集中在速戰(zhàn)速決上，所以不要試圖在第一天就把所有能想到的措施都付諸實施。 關(guān)注最敏感的數(shù)據(jù)，建立和完善異常處理流程。然后，隨著過程的成熟，系統(tǒng)地增加更多的護欄，你會了解到什么對減少攻擊面影響最大。

細化數(shù)據(jù)行為分析

一旦設(shè)置了護欄，就可以實現(xiàn)較低的數(shù)據(jù)安全門檻。 你可以確信大量的數(shù)據(jù)不會被提取和復制，或者未經(jīng)授權(quán)的群組不會訪問他們不應(yīng)該訪問的數(shù)據(jù)。 通過建立授權(quán)活動，停止未經(jīng)授權(quán)的事情，可以消除大部分攻擊面。

也就是說，授權(quán)用戶可能會有意或無意地造成很多損害。 行為分析通過降低不在預定義規(guī)則范圍內(nèi)的負面活動的風險，來解決這些問題。 因此，我們希望將數(shù)據(jù)護欄與數(shù)據(jù)使用分析結(jié)合起來，以識別典型的數(shù)據(jù)使用模式，然后尋找非正常的數(shù)據(jù)使用和行為。 這需要遙測、分析和調(diào)整。 讓我們用非結(jié)構(gòu)化數(shù)據(jù)來描述這種方法。

回到我們制藥公司的例子，云存儲供應(yīng)商跟蹤誰對他們環(huán)境中的數(shù)據(jù)做了什么。 這種遙測技術(shù)成為他們的數(shù)據(jù)行為分析程序的基礎(chǔ)。 為了準確地訓練分析模型，他們不僅需要已知的正?；顒拥臄?shù)據(jù)，還需要他們知道違反策略的活動的數(shù)據(jù)。 請記住數(shù)據(jù)質(zhì)量的重要性，而不僅僅是數(shù)據(jù)的數(shù)量。 在構(gòu)建自己的程序時，一定要收集關(guān)于用戶上下文和權(quán)限的數(shù)據(jù)，這樣就可以跟蹤數(shù)據(jù)的使用方式、時間和用戶群。

當然，你可以在所有的遙測數(shù)據(jù)中尋找異常的模式，但是那會產(chǎn)生很多噪音。 因此，我們建議你首先確定一種你希望檢測的行為類型。 例如，臨床試驗數(shù)據(jù)的大規(guī)模外泄。 因此，你需要確定哪些特定的文件 / 文件夾擁有這些數(shù)據(jù)，并查看不同的活動模式。 快速分析顯示，亞洲的一組研究人員一直在訪問這些文件夾，訪問時間是在他們當?shù)氐乩砦恢玫姆枪ぷ鲿r間。 這會觸發(fā)警報，引起你的調(diào)查。 事實證明，其中一名研究人員與另一個歐洲團隊合作，因此一直在非標準時間工作，導致了異常的數(shù)據(jù)訪問。 在這種情況下，它是合法的，但是這種方法不僅向你告警了可能的誤用，而且還發(fā)出信息，即安全團隊正在尋找此類活動作為一種威懾。

如果你使用的是現(xiàn)成的產(chǎn)品，其中大部分都可以作為你的起點。 基于群組、社交圖、時間和地點以及類似的模式的用戶活動集群往往在廣泛的行為分析用例中非常有用。 隨著時間的推移，你可能仍然希望對這些用例進行調(diào)整，使其更加精確，以反映你自己的組織的需求和模式。

與任何分析技術(shù)一樣，隨著時間的推移，隨著環(huán)境的變化，必然會影響分析的準確性和相關(guān)性，所以需要進行調(diào)整。 因此，我們將再次重申，請為你的程序配備足夠多的人員來管理警報并確保閾值在信號和噪聲之間的那條細線上調(diào)整的重要性。

在處理已知風險的數(shù)據(jù)護欄和執(zhí)行授權(quán)使用策略的數(shù)據(jù)行為分析之間，利用這些新方法將數(shù)據(jù)安全帶入了現(xiàn)代。