隨著云計(jì)算、大數(shù)據(jù)、移動(dòng)互聯(lián)網(wǎng)、人工智能等技術(shù)的蓬勃發(fā)展，以數(shù)據(jù)為核心的智能化革命正在成為產(chǎn)業(yè)轉(zhuǎn)型升級的新動(dòng)力和新引擎，大量高價(jià)值數(shù)據(jù)資產(chǎn)源源不斷產(chǎn)生，數(shù)據(jù)泄漏風(fēng)險(xiǎn)日益凸顯。據(jù)美國Verizon 2020年《數(shù)據(jù)泄露調(diào)查報(bào)告》統(tǒng)計(jì)，70%的數(shù)據(jù)泄漏是由于擁有數(shù)據(jù)訪問權(quán)限的內(nèi)部人員竊取、濫用造成的。

　　近年來，國家不斷加強(qiáng)數(shù)據(jù)司法保護(hù)，《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全保護(hù)法》、《個(gè)人信息保護(hù)法》等相繼出臺實(shí)施，數(shù)據(jù)安全保護(hù)法律法規(guī)日益完善。如何避免內(nèi)部人員泄漏敏感數(shù)據(jù)以及滿足法律合規(guī)要求，現(xiàn)已成為各企業(yè)在安全管理中的主要威脅與工作重點(diǎn)，企業(yè)組織對融合行為分析能力數(shù)據(jù)防泄漏應(yīng)用的需求大幅提升。基于上述背景，發(fā)布本期牛品推薦——明朝萬達(dá)：基于UEBA的數(shù)據(jù)防泄漏解決方案。

　　牛品推薦

　　第三十三期

　　標(biāo)簽

　　01

　　數(shù)據(jù)安全、數(shù)據(jù)防泄漏、用戶與實(shí)體行為分析、行為管控

　　用戶痛點(diǎn)

　　02

　　1、海量事件難于應(yīng)對

　　根據(jù)思科的一份調(diào)查報(bào)告，77%的中型企業(yè)發(fā)現(xiàn)，從數(shù)量繁多的安全解決方案中找出真正有價(jià)值的安全警報(bào)非常困難。

　　2、惡意人員難以防范

　　心懷惡意的內(nèi)鬼、失陷賬號與失陷主機(jī)導(dǎo)致的各種數(shù)據(jù)泄露手段不斷升級，網(wǎng)絡(luò)犯罪分子也在不斷提升專業(yè)竊取技術(shù)，意圖突破數(shù)據(jù)防泄漏產(chǎn)品安全防線。

　　3、潛在風(fēng)險(xiǎn)無法識別

　　傳統(tǒng)DLP無法進(jìn)行組合式深度分析，也缺少多角度全景呈現(xiàn)，單憑客戶自身，很難從中真正發(fā)現(xiàn)惡意人員與實(shí)體。

　　解決方案

　　03

　　針對傳統(tǒng)DLP基于規(guī)則匹配的工作模式，無法發(fā)現(xiàn)未知風(fēng)險(xiǎn)，靈活性欠佳，存在誤報(bào)等問題。明朝萬達(dá)數(shù)據(jù)防泄漏系統(tǒng)利用UEBA（用戶和實(shí)體行為分析）技術(shù)，對每個(gè)用戶建立模型，多維度統(tǒng)計(jì)用戶歷史基線、部門歷史基線及群組歷史基線，實(shí)時(shí)檢測用戶偏離基線的行為。針對出現(xiàn)的統(tǒng)計(jì)指標(biāo)異常、時(shí)序異常、模式異常等異常行為，采用深度學(xué)習(xí)算法進(jìn)行異常行為檢測，多維度動(dòng)態(tài)評估全網(wǎng)用戶數(shù)據(jù)泄漏的風(fēng)險(xiǎn)值。

　　基于規(guī)則匹配的傳統(tǒng)DLP轉(zhuǎn)向基于行為分析的增強(qiáng)DLP

　　基于行為分析的明朝萬達(dá)數(shù)據(jù)防泄漏系統(tǒng)可實(shí)現(xiàn)對企業(yè)數(shù)據(jù)資產(chǎn)使用情況的事前預(yù)測、事中阻斷、事后溯源全閉環(huán)管控。

　　1、事前預(yù)測

　　利用深度學(xué)習(xí)技術(shù)，檢測與其行為相似的個(gè)體并進(jìn)行全網(wǎng)風(fēng)險(xiǎn)評估?？墒虑皩ξ粗獢?shù)據(jù)泄漏風(fēng)險(xiǎn)進(jìn)行有效預(yù)警，克服了傳統(tǒng)DLP基于模式匹配只能應(yīng)對內(nèi)部人員正在發(fā)生泄漏事件的局限。

　　2、事中阻斷

　　由明朝萬達(dá)安全策略專家依據(jù)經(jīng)驗(yàn)積累和客戶場景制定一系列保護(hù)企業(yè)核心數(shù)據(jù)資產(chǎn)的防泄漏策略，并可根據(jù)變化的內(nèi)部用戶風(fēng)險(xiǎn)值，動(dòng)態(tài)調(diào)整相應(yīng)策略，一旦發(fā)現(xiàn)用戶行為超出可信區(qū)間，即可自動(dòng)實(shí)施阻斷等措施，大大降低了數(shù)據(jù)泄漏事件的誤報(bào)率。

　　3、事后溯源

　　依托明朝萬達(dá)部署在云端的數(shù)據(jù)泄露監(jiān)測平臺，實(shí)時(shí)感知暗網(wǎng)、網(wǎng)盤文庫、代碼托管、群聊論壇等渠道企業(yè)數(shù)據(jù)分布情況，第一時(shí)間發(fā)現(xiàn)數(shù)據(jù)資產(chǎn)泄露風(fēng)險(xiǎn)?？陕?lián)動(dòng)企業(yè)內(nèi)部DLP平臺，進(jìn)行溯源分析，還原泄露場景，找出可疑用戶與實(shí)體，生成數(shù)據(jù)泄露報(bào)告并通知企業(yè)管理員，在實(shí)際場景中真正起到對內(nèi)部數(shù)據(jù)泄漏的防范作用。

　　數(shù)據(jù)防泄漏整體解決方案

　　應(yīng)用場景介紹

　　某待離職人員，已知曉其所在企業(yè)部署了數(shù)據(jù)防泄漏系統(tǒng)，該人員將內(nèi)部數(shù)據(jù)通過拆解的形式，少量多次外發(fā)，試圖繞過安全策略?；谛袨榉治龅臄?shù)據(jù)防泄漏整體解決方案，依據(jù)該人員歷史外發(fā)基線、部門歷史外發(fā)基線、群組歷史外發(fā)基線和內(nèi)置場景模型，發(fā)現(xiàn)該人員最近頻繁瀏覽招聘網(wǎng)站，存在外發(fā)簡歷情況，根據(jù)系統(tǒng)分析，多維動(dòng)態(tài)評估判定該人員有惡意外發(fā)數(shù)據(jù)行為，立即調(diào)整策略，實(shí)行定向阻斷。并對已經(jīng)外發(fā)的數(shù)據(jù)實(shí)行全網(wǎng)監(jiān)測溯源，后發(fā)現(xiàn)某百度文庫內(nèi)出現(xiàn)部分高度同源數(shù)據(jù)，立即將相關(guān)信息生成數(shù)據(jù)泄露報(bào)告發(fā)送至所屬企業(yè)郵箱。后經(jīng)查證，此用戶在有了離職意愿后把企業(yè)內(nèi)部技術(shù)資料同步至百度網(wǎng)盤。

　　通常企業(yè)為了保證業(yè)務(wù)的連續(xù)性，既定的策略往往很寬松，無法發(fā)現(xiàn)該緩慢泄漏行為。部分DLP廠商針對這種情況，支持判定一定時(shí)間內(nèi)，人員外發(fā)數(shù)據(jù)總量是否達(dá)到既定閾值，但這種檢測效果很大程度上依賴于人為設(shè)定閾值的合理性，并且僅僅依賴外發(fā)數(shù)據(jù)閾值單一特征不足以判定其行為異常，存在一定的誤報(bào)率。最為嚴(yán)重的是，無法對已經(jīng)泄露的部分?jǐn)?shù)據(jù)進(jìn)行全網(wǎng)溯源，泄露數(shù)據(jù)是否已經(jīng)發(fā)生了擴(kuò)散，程度如何都無從知曉。明朝萬達(dá)的數(shù)據(jù)防泄漏解決方案，通過將UEBA于DLP進(jìn)一步結(jié)合，進(jìn)一步實(shí)現(xiàn)了對諸如上述實(shí)際場景中的內(nèi)部數(shù)據(jù)泄漏問題的防護(hù)預(yù)警，保證了企業(yè)的數(shù)據(jù)安全。

　　用戶反饋

　　04

　　將用戶實(shí)體行為分析（UEBA）應(yīng)用到數(shù)據(jù)防泄漏領(lǐng)域，明朝萬達(dá)是屬于最早能夠落地的產(chǎn)品供應(yīng)商之一。

　　——某安全行業(yè)協(xié)會負(fù)責(zé)人

　　明朝萬達(dá)的數(shù)據(jù)防泄漏產(chǎn)品技術(shù)思路新穎，實(shí)施服務(wù)能力最好，解決了其它產(chǎn)品無法解決的問題。

　　——某銀行科技部門負(fù)責(zé)人

　　明朝萬達(dá)始終堅(jiān)持以客戶實(shí)際訴求為己任，在數(shù)據(jù)防泄漏技術(shù)、流程、服務(wù)上不斷創(chuàng)新，始終堅(jiān)持交付客戶的產(chǎn)品能發(fā)揮真正的價(jià)值。

　　——某高校網(wǎng)絡(luò)空間安全學(xué)院院長

　　安全牛評

　　數(shù)據(jù)泄露的風(fēng)險(xiǎn)一方面來自于外部的竊取，另一方面也可能來自于內(nèi)部的有意或無意的泄露。傳統(tǒng)的DLP產(chǎn)品更多的是發(fā)現(xiàn)獨(dú)立事件，無法將多事件以整體的方式呈現(xiàn)。而UEBA技術(shù)的優(yōu)勢在于，將關(guān)注點(diǎn)聚焦于行為主體，不僅是對泄露事件告警，更是通過對行為主題畫像評分，起到預(yù)警的作用。UEBA技術(shù)讓DLP更加智能化，這就減少了人的行為干擾，內(nèi)部人員的主觀惡意行為也能被監(jiān)測到。UEBA與DLP結(jié)合將為已經(jīng)趨于成熟的DLP產(chǎn)品提供新的研發(fā)方向，綜合提升DLP產(chǎn)品的實(shí)用性。

　　明朝萬達(dá)的DLP產(chǎn)品可以認(rèn)為是一個(gè)體系，完成了整體的事前、事中、事后的綜合防護(hù)處置流程，及時(shí)有效的在海量數(shù)據(jù)中發(fā)現(xiàn)數(shù)據(jù)泄露風(fēng)險(xiǎn)，并快速處置的同時(shí)，對未來的泄露風(fēng)險(xiǎn)提高預(yù)測能力。