大数据时代强势袭来,为社会和经济发展带来了巨大的挑战和机遇。数据作为新的核心生产要素,正在全面重构全球生产、流通、分配、消费等领域,对全球竞争、国家治理、经济发展、产业转型、社会生活等方方面面产生深刻影响。数字经济时代,数据已成为一种重要的高价值的生产资料,通过数据的流转、使用发挥出巨大的价值。例如,电商企业可以根据用户购买行为数据进行精准营销,从而带来经济利益;电信运营商可以通过采集用户行为数据并进行分析,建立起客户流失预警机制,从而降低客户流失的风险。
数据价值愈加凸显的同时,数据在流转使用过程中面临的安全风险也越来越多。明朝万达认为当前企业数据主要面临两个方向的风险,即内部风险和外部风险。而随着防火墙、IDS等安全防护技术不断发展,加之企业的重要数据往往运行于内部网络甚至是涉密网络,处于相对严格的隔离状态,由黑客攻击、撞库等外部风险导致数据被窃取的难度较高。然而,由于业务拓展、市场分析等重要场景的需要,企业内部的重要数据就需要从防护严密的生产环境导出到办公环境,脱离安全系统的防护,大大增加了数据安全的风险。此外,企业长期忽略对内部员工的管控和权限的追踪,导致内部风险逐渐成为影响数据安全的主要方式,为企业的数据安全和信誉造成了巨大安全隐患。据FortScale的统计数据显示,企业所遭遇的数据安全事件中,大约85%的概率是与内部员工有关。因此,数字化时代的数据安全防护主战场已由抵御外部风险逐渐转向内部风险防护。
在企业面临的内部风险中,数据泄露是影响数据安全的主要威胁。根据泄露途径不同,可将内部数据泄露大致划分为数据使用泄露、数据存储泄露和数据传输泄露。其中,数据使用泄露主要是指员工在使用过程中进行一系列的操作,导致数据的泄露,主要方式包括打印机等;数据存储泄露,是指员工通过存储设备存储数据,导致数据的泄露,主要方式包括移动存储设备、第三方云盘等;数据传输泄露,是指员工通过各类信息交换工具或软件,进行数据传输,导致数据的泄露,主要方式包括即时通信工具、电子邮件等。
在《网络安全法》《数据安全法》《个人信息保护法》等数据相关法律法规相继颁布实施后,从国家、法律的层面明确了数据的重要性,对企业而言,无论是出于满足合规性要求,还是对企业内部稳定、市场拓展、资源获取、品牌建设等多方面的要求,加强企业内部数据安全防护都势在必行。
1 安全信息及事件管理(SIEM)
根据市场调研我们可以发现,安全信息及事件管理(Security Information and Event Management,SIEM)是企业应对内部数据安全问题最为广泛采用的一种技术。该技术是安全信息管理(SIM)和安全事件管理(SEM)的结合体,能够为企业内部所有IT资源产生的安全信息进行统一的实时监控、历史分析。
SIEM主要是由采集层,存储层,计算层,输出层四部分组成。采集层主要用来采集所有网络安全信息源,并对数据集进行简单处理,转化为统一的格式,便于存储。存储层主要功能是存储采集的原始数据和计算分析完成的结果,并为后续的分析与可视化展示提供数据支撑。计算层,是SIEM中最为重要的一层,包括规则匹配计算,算法计算,流量分析计算等多种计算分析模型。输出层主要是将计算层分析的结果进行多种输出方式实现可视化展示。
基于日志分析和规则匹配技术,SIEM系统不断融合关联分析等其他方法,对安全事件进行监视、聚合、关联和报告,在保护企业内部敏感数据的安全中发挥着重要的作用。然而,随着影响数据安全应用场景的多样性和不定因素的增加,SIEM也存在如下问题:
1、SIEM能够对触发预定规则的行为数据,快速地做出报警,但其警报的有效性往往取决于规则的合理性。不合理的监控规则,会大大增加数据安全事件的误报数量,促使企业扩充安全运维中心的人员数量和增加人员安全培训成本,这无疑增加了企业的经济负担。此外,SIEM将安全事件进行简单的划分,无法完成行为风险的优先级排序这可能造成真正的数据安全事件无法及时处理,最终造成巨大的安全隐患和经济损失。
2、SIEM监控规则的制定是一件非常复杂和耗时的工程。随着造成数据安全风险的途径和技术的日新月异,静态的规则实现数据防泄漏始终慢人一步,维护与革新企业内部不断增加的规则将会产生巨大经济消耗。
3、互联网的高速发展,也使得影响数据安全的未知因素急剧增加,而对于未知的数据安全威胁,SIEM难以提供有效的报警和防护,最终导致安全事件频发以及巨大经济损失。
2 用户实体行为分析(UEBA)
综上所述,基于规则的SIEM数据安全技术对于数据安全事件的精准预报、动态的安全风险途径与方式,特殊员工的行为监控,实时的行为预测与风险评分,难以达到当前企业对于数据安全的要求。因此,企业迫切需求一种能够弥补传统SIEM技术不足的新技术来应对内部数据安全风险,用户实体行为分析(User Entity and Behave Analyse,UEBA)应运而生。
UEBA作为一种基于人工算法的新兴数据安全技术,不同于SIEM以流量和请求为分析视角,而是直接以用户以及实体为监控对象,其监控和管理方式,由基于规则分析转为数据处理,关联分析、行为建模、异常检测,风险评分预测。
UEBA技术,从不同数据源中获取用户和实体的历史行为数据,利用人工智能算法构建行为分析模型,并形成用户和实体的正常行为基线。当用户或实体的行为偏离正常的行为基线时,UEBA将该行为视为异常行为,并迅速做成相应的处理和警报。同时,UEBA对用户和实体的行为进行风险等级评分,从而对数据安全风险等级进行更为细化排序,为企业提供更明确的风险级别序列,提高企业数据安全风险处理效率。
相比于传统的SIEM数据安全技术,UEBA具备更多优势。
1、UEBA基于人工智能算法,具有更强大的行为分析能力,通过模型构建的用户和实体行为基线,来衡量当前用户和实体的行为的数据安全风险等级,避免了构建和维护规则而产生的巨额费用;
2、UEBA基于构建的行为基线,无需设定复杂的阈值,便能完成行为的安全风险评估;
3、UEBA通过连接事件、实体、用户和异常等,展现安全事件全貌,使安全运维人员聚焦真实风险和威胁,提高安全运营和威胁检测的效率;
4、UEBA能够自适应动态的环境变化和业务变化,通过异常评分的定量分析,分析全部事件,无需硬编码的阈值,即可发现隐藏的、缓慢变化的未知威胁。