這是我們關于保護重要信息系列文章——《數據保護和行為分析》的最后一篇。 我們的第一篇文章《數據護欄與行為分析(上)：理解任務》，介紹數據保護和行為分析：理解任務，我們介紹了內部風險的概念和主要類別并深入研究并定義了這些術語。 在我們結束本系列文章時，我們將通過一個場景將它們放在一起，演示這些概念在實踐中是如何工作的。

[[323150]]

護欄不是攔截器，因為用戶仍然可以共享文件。 提示用戶進行驗證既可以防止錯誤，又可以在安全檢查中進行責任循環，允許業務快速發展，同時最小化風險。 你還可以根據預先確定的閾值查找大型文件移動。 只有在違反策略閾值的情況下，護欄才會生效，然后使用與業務流程相一致的執行行動(如批準和通知) ，而不是簡單地阻止活動。

• 數據行為分析使用歷史信息和活動(通常使用已知-好的和已知-壞的活動的訓練集) ，它產生人工智能模型來識別異常。 我們不想描述得過于狹窄，因為有各種各樣的方法來構建模型
• 無論數學細節如何，歷史活動、持續監視和持續建模都是必不可少的
• 根據定義，我們關注的是作為這些模型核心的數據行為，而不是用戶活動; 這代表了用戶行為分析(UBA)的一個微妙但關鍵的區別。UBA根據每個用戶跟蹤活動。數據行為分析(DBA這個縮寫已經被采用，因此我們將創建一個新的縮寫——TLA)，而是著眼于數據來源的活動。 這些數據是如何使用的? 通過哪些用戶群體? 使用這些數據會發生什么類型的活動? 什么時候? 我們不會忽略用戶活動，但會跟蹤數據的使用情況。
• 例如，我們可以問，“這個組中的用戶是否公開過這種類型的文件? ” UBA會問“這個特定的用戶是否公開過文件? ”，關注數據為發現更廣泛的數據使用異常提供了機會。
• 顯而易見，數據越好，模型就越好。 與大多數與安全相關的數據科學一樣，不要假設更多的數據必然會產生更好的模型。 這與數據質量有關。 例如，用戶之間交流模式的社交圖可能是一個有價值的提要，用于檢測像文件在通常不合作的團隊之間移動的情況。 這值得一看，即使你不想完全屏蔽這些活動

數據保護處理已知的風險，并在減少用戶錯誤和識別由欺騙授權用戶進行未經授權的操作導致的帳戶濫用方面特別有效。 護欄甚至可以幫助減少帳戶接管，因為如果攻擊者的行動違反了護欄，他們就不能濫用數據。 然后，數據行為分析為不可預測的情況和那些壞人試圖規避防范措施的情況(包括惡意濫用和賬戶接管)補充了防范措施。

在我們總結數據護欄和行為分析系列文章時，讓我們通過一個簡單的場景來展示這些概念如何應用于一個簡單的示例。 我們要舉例說明的這個公司是一家小型制藥公司。 和所有的制藥公司一樣，他們的大部分價值在于知識產權，這使得知識產權成為攻擊者最重要的目標。 由于快速增長和高度競爭的市場，該公司在推出產品和建立合作伙伴關系之前沒有等待完善好基礎設施和控制。 作為一家沒有遺留基礎設施(或思維模式)的新公司，大部分基礎設施都是在云中構建的，它們采取的是云優先的方法。

事實上，這位首席執行官因其創新性地使用基于云計算的分析來加速新藥的鑒定過程而獲得了認可。 就像 CEO 對這些新的計算機模型感到興奮一樣，董事會也非常關注外部攻擊和內部威脅，因為他們的專有數據存在于幾十個服務提供商中。 因此，安全團隊感到壓力很大，必須采取措施解決這個問題。

CISO 非常有經驗，但仍在處理云優先方法固有的思維方式、控制和操作動作上的變化。 默認使用標準的數據安全措施代表著阻力最小的路徑，但她足夠聰明，知道這會在公司關鍵知識產權的可見性和控制權方面造成巨大的差距。 使用數據護欄和數據行為分析的方法提供了一個機會，既可以定義一套硬性的數據使用和保護策略，也可以監視潛在表明惡意意圖的異常行為。 那么讓我們來看看她將如何領導她的組織通過一個過程來定義數據保護和行為分析。

尋找數據

正如我們在前面的文章中提到的，數據護欄和行為分析的獨特之處在于將內容知識(分類)與上下文和用法結合起來。 因此，我們將采取的第一步是對企業內部的敏感數據進行分類。

這涉及到對數據資源進行內部發現。 實現這個目標的技術已經成熟并且很容易理解，盡管還需要確保將發現范圍擴展到基于云的資源。 此外，他們需要與業務的高層領導交談，以確保他們了解業務策略如何影響應用程序架構，從而影響敏感數據的位置。

內部的私人研究數據和臨床試驗構成了該公司大部分的知識產權。 這些數據可以是結構化的，也可以是非結構化的，這使得發現過程變得復雜。 這在一定程度上得到了緩解，因為該公司已經采用云存儲來集中非結構化數據，并盡可能采用 SaaS 作為前臺辦公功能。 考慮到云環境中相對不成熟的操作流程，許多新興的分析用例仍然是一個需要保護的挑戰。

與其他所有安全性一樣，可見性優先于控制，為了讓數據安全流程繼續運行，首先需要完成這個發現和分類過程。需要明確的是，讓云服務中的大量數據通過 API 進行尋址并不能幫助保持分類數據是最新的。 這仍然是數據安全面臨的較大挑戰之一，因此需要具體的活動(以及分配的相關資源) ，以便隨著流程進入生產階段，使分類保持最新。

定義數據護欄

正如我們前面提到的，護欄是規則集，用于將用戶保持在授權活動范圍內。 因此，CISO 從定義授權操作開始，然后在數據所在的地方執行這些策略。 為了簡單起見，我們將護欄分為三大類:

• 訪問：這些護欄與強制訪問數據有關。 例如，與臨床試驗招募參與者有關的文件必須嚴格限制在負責招募工作的小組內。 如果有人打開了對更廣泛群組的訪問權限，或者將文件夾標記為公共文件夾，護欄就會移除這個訪問權限，并將其限制在適當的群組中。
• 行動：她還想定義誰可以對數據做什么。防止某人刪除數據或將數據從分析應用程序中復制出來是很重要的，因此這些護欄通過防止誤用來確保數據的完整性，無論是故意的/惡意的還是意外的。
• 操作：最后一類護欄控制數據的操作完整性和彈性。 有進取心的數據科學家可以快速、輕松地加載新的分析環境，但可能不會采取必要的預防措施來確保數據備份或所需的日志 / 監控發生。 實現自動備份和監控的護欄可以作為每個新的分析環境的一部分。

設計護欄的關鍵是要把護欄看作是某個開關，而不是攔截器。 異常處理的有效性通常取決于實現護欄的成敗。 為了說明這一點，讓我們考慮一下該組織與一家較小的生物技術公司的合資企業。 一個護欄的存在是為了限制10個內部研究人員訪問與該產品有關的數據。 然而，很明顯，來自合資伙伴的研究人員也需要訪問，所以你需要擴大護欄的訪問規則。 但是你也可能希望對那些外部用戶強制執行雙重身份驗證保護，或者可能實施一個位置保護，將外部訪問限制在合作伙伴網絡內的 IP 地址。

正如你所看到的，你在如何部署護欄方面有很多粒度。 但是要把注意力集中在速戰速決上，所以不要試圖在第一天就把所有能想到的措施都付諸實施。 關注最敏感的數據，建立和完善異常處理流程。然后，隨著過程的成熟，系統地增加更多的護欄，你會了解到什么對減少攻擊面影響最大。

細化數據行為分析

一旦設置了護欄，就可以實現較低的數據安全門檻。 你可以確信大量的數據不會被提取和復制，或者未經授權的群組不會訪問他們不應該訪問的數據。 通過建立授權活動，停止未經授權的事情，可以消除大部分攻擊面。

也就是說，授權用戶可能會有意或無意地造成很多損害。 行為分析通過降低不在預定義規則范圍內的負面活動的風險，來解決這些問題。 因此，我們希望將數據護欄與數據使用分析結合起來，以識別典型的數據使用模式，然后尋找非正常的數據使用和行為。 這需要遙測、分析和調整。 讓我們用非結構化數據來描述這種方法。

回到我們制藥公司的例子，云存儲供應商跟蹤誰對他們環境中的數據做了什么。 這種遙測技術成為他們的數據行為分析程序的基礎。 為了準確地訓練分析模型，他們不僅需要已知的正?；顒拥臄祿€需要他們知道違反策略的活動的數據。 請記住數據質量的重要性，而不僅僅是數據的數量。 在構建自己的程序時，一定要收集關于用戶上下文和權限的數據，這樣就可以跟蹤數據的使用方式、時間和用戶群。

當然，你可以在所有的遙測數據中尋找異常的模式，但是那會產生很多噪音。 因此，我們建議你首先確定一種你希望檢測的行為類型。 例如，臨床試驗數據的大規模外泄。 因此，你需要確定哪些特定的文件 / 文件夾擁有這些數據，并查看不同的活動模式。 快速分析顯示，亞洲的一組研究人員一直在訪問這些文件夾，訪問時間是在他們當地地理位置的非工作時間。 這會觸發警報，引起你的調查。 事實證明，其中一名研究人員與另一個歐洲團隊合作，因此一直在非標準時間工作，導致了異常的數據訪問。 在這種情況下，它是合法的，但是這種方法不僅向你告警了可能的誤用，而且還發出信息，即安全團隊正在尋找此類活動作為一種威懾。

如果你使用的是現成的產品，其中大部分都可以作為你的起點。 基于群組、社交圖、時間和地點以及類似的模式的用戶活動集群往往在廣泛的行為分析用例中非常有用。 隨著時間的推移，你可能仍然希望對這些用例進行調整，使其更加精確，以反映你自己的組織的需求和模式。

與任何分析技術一樣，隨著時間的推移，隨著環境的變化，必然會影響分析的準確性和相關性，所以需要進行調整。 因此，我們將再次重申，請為你的程序配備足夠多的人員來管理警報并確保閾值在信號和噪聲之間的那條細線上調整的重要性。

在處理已知風險的數據護欄和執行授權使用策略的數據行為分析之間，利用這些新方法將數據安全帶入了現代。