大數據時代強勢襲來,為社會和經濟發展帶來了巨大的挑戰和機遇。數據作為新的核心生產要素,正在全面重構全球生產、流通、分配、消費等領域,對全球競爭、國家治理、經濟發展、產業轉型、社會生活等方方面面產生深刻影響。數字經濟時代,數據已成為一種重要的高價值的生產資料,通過數據的流轉、使用發揮出巨大的價值。例如,電商企業可以根據用戶購買行為數據進行精準營銷,從而帶來經濟利益;電信運營商可以通過采集用戶行為數據并進行分析,建立起客戶流失預警機制,從而降低客戶流失的風險。
數據價值愈加凸顯的同時,數據在流轉使用過程中面臨的安全風險也越來越多。明朝萬達認為當前企業數據主要面臨兩個方向的風險,即內部風險和外部風險。而隨著防火墻、IDS等安全防護技術不斷發展,加之企業的重要數據往往運行于內部網絡甚至是涉密網絡,處于相對嚴格的隔離狀態,由黑客攻擊、撞庫等外部風險導致數據被竊取的難度較高。然而,由于業務拓展、市場分析等重要場景的需要,企業內部的重要數據就需要從防護嚴密的生產環境導出到辦公環境,脫離安全系統的防護,大大增加了數據安全的風險。此外,企業長期忽略對內部員工的管控和權限的追蹤,導致內部風險逐漸成為影響數據安全的主要方式,為企業的數據安全和信譽造成了巨大安全隱患。據FortScale的統計數據顯示,企業所遭遇的數據安全事件中,大約85%的概率是與內部員工有關。因此,數字化時代的數據安全防護主戰場已由抵御外部風險逐漸轉向內部風險防護。
“ 在企業面臨的內部風險中,數據泄露是影響數據安全的主要威脅。根據泄露途徑不同,可將內部數據泄露大致劃分為數據使用泄露、數據存儲泄露和數據傳輸泄露。其中,數據使用泄露主要是指員工在使用過程中進行一系列的操作,導致數據的泄露,主要方式包括打印機等;數據存儲泄露,是指員工通過存儲設備存儲數據,導致數據的泄露,主要方式包括移動存儲設備、第三方云盤等;數據傳輸泄露,是指員工通過各類信息交換工具或軟件,進行數據傳輸,導致數據的泄露,主要方式包括即時通信工具、電子郵件等。 ”
在《網絡安全法》《數據安全法》《個人信息保護法》等數據相關法律法規相繼頒布實施后,從國家、法律的層面明確了數據的重要性,對企業而言,無論是出于滿足合規性要求,還是對企業內部穩定、市場拓展、資源獲取、品牌建設等多方面的要求,加強企業內部數據安全防護都勢在必行。
安全信息及事件管理(SIEM)
根據市場調研我們可以發現,安全信息及事件管理(Security Information and Event Management,SIEM)是企業應對內部數據安全問題最為廣泛采用的一種技術。該技術是安全信息管理(SIM)和安全事件管理(SEM)的結合體,能夠為企業內部所有IT資源產生的安全信息進行統一的實時監控、歷史分析。
SIEM主要是由采集層,存儲層,計算層,輸出層四部分組成。采集層主要用來采集所有網絡安全信息源,并對數據集進行簡單處理,轉化為統一的格式,便于存儲。存儲層主要功能是存儲采集的原始數據和計算分析完成的結果,并為后續的分析與可視化展示提供數據支撐。計算層,是SIEM中最為重要的一層,包括規則匹配計算,算法計算,流量分析計算等多種計算分析模型。輸出層主要是將計算層分析的結果進行多種輸出方式實現可視化展示。
基于日志分析和規則匹配技術,SIEM系統不斷融合關聯分析等其他方法,對安全事件進行監視、聚合、關聯和報告,在保護企業內部敏感數據的安全中發揮著重要的作用。然而,隨著影響數據安全應用場景的多樣性和不定因素的增加,SIEM也存在如下問題:
1、SIEM能夠對觸發預定規則的行為數據,快速地做出報警,但其警報的有效性往往取決于規則的合理性。不合理的監控規則,會大大增加數據安全事件的誤報數量,促使企業擴充安全運維中心的人員數量和增加人員安全培訓成本,這無疑增加了企業的經濟負擔。此外,SIEM將安全事件進行簡單的劃分,無法完成行為風險的優先級排序這可能造成真正的數據安全事件無法及時處理,最終造成巨大的安全隱患和經濟損失。
2、SIEM監控規則的制定是一件非常復雜和耗時的工程。隨著造成數據安全風險的途徑和技術的日新月異,靜態的規則實現數據防泄漏始終慢人一步,維護與革新企業內部不斷增加的規則將會產生巨大經濟消耗。
3、互聯網的高速發展,也使得影響數據安全的未知因素急劇增加,而對于未知的數據安全威脅,SIEM難以提供有效的報警和防護,最終導致安全事件頻發以及巨大經濟損失。
用戶實體行為分析(UEBA)
綜上所述,基于規則的SIEM數據安全技術對于數據安全事件的精準預報、動態的安全風險途徑與方式,特殊員工的行為監控,實時的行為預測與風險評分,難以達到當前企業對于數據安全的要求。因此,企業迫切需求一種能夠彌補傳統SIEM技術不足的新技術來應對內部數據安全風險,用戶實體行為分析(User Entity and Behave Analyse,UEBA)應運而生。
UEBA作為一種基于人工算法的新興數據安全技術,不同于SIEM以流量和請求為分析視角,而是直接以用戶以及實體為監控對象,其監控和管理方式,由基于規則分析轉為數據處理,關聯分析、行為建模、異常檢測,風險評分預測。
UEBA技術,從不同數據源中獲取用戶和實體的歷史行為數據,利用人工智能算法構建行為分析模型,并形成用戶和實體的正常行為基線。當用戶或實體的行為偏離正常的行為基線時,UEBA將該行為視為異常行為,并迅速做成相應的處理和警報。同時,UEBA對用戶和實體的行為進行風險等級評分,從而對數據安全風險等級進行更為細化排序,為企業提供更明確的風險級別序列,提高企業數據安全風險處理效率。
相比于傳統的SIEM數據安全技術,UEBA具備更多優勢。
1、UEBA基于人工智能算法,具有更強大的行為分析能力,通過模型構建的用戶和實體行為基線,來衡量當前用戶和實體的行為的數據安全風險等級,避免了構建和維護規則而產生的巨額費用;
2、UEBA基于構建的行為基線,無需設定復雜的閾值,便能完成行為的安全風險評估;
3、UEBA通過連接事件、實體、用戶和異常等,展現安全事件全貌,使安全運維人員聚焦真實風險和威脅,提高安全運營和威脅檢測的效率;
4、UEBA能夠自適應動態的環境變化和業務變化,通過異常評分的定量分析,分析全部事件,無需硬編碼的閾值,即可發現隱藏的、緩慢變化的未知威脅。
明朝萬達數據安全專家表示,UEBA在解決企業內部數據安全的問題上,以獨特的監控角度,強大的自適應學習和行為分析能力,動態的行為基線,風險預測與等級評分機制,已經成為了彌補基于規則的SIEM數據安全防護系統的關鍵性技術。
