基于行为分析的DLP实战能力优化
2021-11-26
来源:安全牛
随着云计算、大数据、移动互联网、人工智能等技术的蓬勃发展,以数据为核心的智能化革命正在成为产业转型升级的新动力和新引擎,大量高价值数据资产源源不断产生,数据泄漏风险日益凸显。据美国Verizon 2020年《数据泄露调查报告》统计,70%的数据泄漏是由于拥有数据访问权限的内部人员窃取、滥用造成的。
近年来,国家不断加强数据司法保护,《网络安全法》、《数据安全保护法》、《个人信息保护法》等相继出台实施,数据安全保护法律法规日益完善。如何避免内部人员泄漏敏感数据以及满足法律合规要求,现已成为各企业在安全管理中的主要威胁与工作重点,企业组织对融合行为分析能力数据防泄漏应用的需求大幅提升。基于上述背景,发布本期牛品推荐——明朝万达:基于UEBA的数据防泄漏解决方案。
牛品推荐
第三十三期
标签
01
数据安全、数据防泄漏、用户与实体行为分析、行为管控
用户痛点
02
1、海量事件难于应对
根据思科的一份调查报告,77%的中型企业发现,从数量繁多的安全解决方案中找出真正有价值的安全警报非常困难。
2、恶意人员难以防范
心怀恶意的内鬼、失陷账号与失陷主机导致的各种数据泄露手段不断升级,网络犯罪分子也在不断提升专业窃取技术,意图突破数据防泄漏产品安全防线。
3、潜在风险无法识别
传统DLP无法进行组合式深度分析,也缺少多角度全景呈现,单凭客户自身,很难从中真正发现恶意人员与实体。
解决方案
03
针对传统DLP基于规则匹配的工作模式,无法发现未知风险,灵活性欠佳,存在误报等问题。明朝万达数据防泄漏系统利用UEBA(用户和实体行为分析)技术,对每个用户建立模型,多维度统计用户历史基线、部门历史基线及群组历史基线,实时检测用户偏离基线的行为。针对出现的统计指标异常、时序异常、模式异常等异常行为,采用深度学习算法进行异常行为检测,多维度动态评估全网用户数据泄漏的风险值。
基于规则匹配的传统DLP转向基于行为分析的增强DLP
基于行为分析的明朝万达数据防泄漏系统可实现对企业数据资产使用情况的事前预测、事中阻断、事后溯源全闭环管控。
1、事前预测
利用深度学习技术,检测与其行为相似的个体并进行全网风险评估。可事前对未知数据泄漏风险进行有效预警,克服了传统DLP基于模式匹配只能应对内部人员正在发生泄漏事件的局限。
2、事中阻断
由明朝万达安全策略专家依据经验积累和客户场景制定一系列保护企业核心数据资产的防泄漏策略,并可根据变化的内部用户风险值,动态调整相应策略,一旦发现用户行为超出可信区间,即可自动实施阻断等措施,大大降低了数据泄漏事件的误报率。
3、事后溯源
依托明朝万达部署在云端的数据泄露监测平台,实时感知暗网、网盘文库、代码托管、群聊论坛等渠道企业数据分布情况,第一时间发现数据资产泄露风险。可联动企业内部DLP平台,进行溯源分析,还原泄露场景,找出可疑用户与实体,生成数据泄露报告并通知企业管理员,在实际场景中真正起到对内部数据泄漏的防范作用。
数据防泄漏整体解决方案
应用场景介绍
某待离职人员,已知晓其所在企业部署了数据防泄漏系统,该人员将内部数据通过拆解的形式,少量多次外发,试图绕过安全策略。基于行为分析的数据防泄漏整体解决方案,依据该人员历史外发基线、部门历史外发基线、群组历史外发基线和内置场景模型,发现该人员最近频繁浏览招聘网站,存在外发简历情况,根据系统分析,多维动态评估判定该人员有恶意外发数据行为,立即调整策略,实行定向阻断。并对已经外发的数据实行全网监测溯源,后发现某百度文库内出现部分高度同源数据,立即将相关信息生成数据泄露报告发送至所属企业邮箱。后经查证,此用户在有了离职意愿后把企业内部技术资料同步至百度网盘。
通常企业为了保证业务的连续性,既定的策略往往很宽松,无法发现该缓慢泄漏行为。部分DLP厂商针对这种情况,支持判定一定时间内,人员外发数据总量是否达到既定阈值,但这种检测效果很大程度上依赖于人为设定阈值的合理性,并且仅仅依赖外发数据阈值单一特征不足以判定其行为异常,存在一定的误报率。最为严重的是,无法对已经泄露的部分数据进行全网溯源,泄露数据是否已经发生了扩散,程度如何都无从知晓。明朝万达的数据防泄漏解决方案,通过将UEBA于DLP进一步结合,进一步实现了对诸如上述实际场景中的内部数据泄漏问题的防护预警,保证了企业的数据安全。
用户反馈
04
将用户实体行为分析(UEBA)应用到数据防泄漏领域,明朝万达是属于最早能够落地的产品供应商之一。
——某安全行业协会负责人
明朝万达的数据防泄漏产品技术思路新颖,实施服务能力最好,解决了其它产品无法解决的问题。
——某银行科技部门负责人
明朝万达始终坚持以客户实际诉求为己任,在数据防泄漏技术、流程、服务上不断创新,始终坚持交付客户的产品能发挥真正的价值。
——某高校网络空间安全学院院长
安全牛评
数据泄露的风险一方面来自于外部的窃取,另一方面也可能来自于内部的有意或无意的泄露。传统的DLP产品更多的是发现独立事件,无法将多事件以整体的方式呈现。而UEBA技术的优势在于,将关注点聚焦于行为主体,不仅是对泄露事件告警,更是通过对行为主题画像评分,起到预警的作用。UEBA技术让DLP更加智能化,这就减少了人的行为干扰,内部人员的主观恶意行为也能被监测到。UEBA与DLP结合将为已经趋于成熟的DLP产品提供新的研发方向,综合提升DLP产品的实用性。
明朝万达的DLP产品可以认为是一个体系,完成了整体的事前、事中、事后的综合防护处置流程,及时有效的在海量数据中发现数据泄露风险,并快速处置的同时,对未来的泄露风险提高预测能力。