上一節(jié)提到的數(shù)據(jù)加解密技術(shù)在很大程度上保證了數(shù)據(jù)存儲(chǔ)、傳輸中的安全马僻,但加解密最大的問(wèn)題和難點(diǎn)在于使用中的數(shù)據(jù)始終是需要明文方式使用和展現(xiàn)的庄拇,此外各種加解密手段的不統(tǒng)一注服,文件加解密速度較慢對(duì)業(yè)務(wù)流程的干擾也影響了企業(yè)的使用韭邓。
為了減少對(duì)于業(yè)務(wù)流程和用戶(hù)使用習(xí)慣的干擾,基于流量分析的解決方案逐步進(jìn)入CSO的視野溶弟。流量分析最初的審計(jì)對(duì)象是人的行為女淑,但是由于數(shù)據(jù)量太大、建模時(shí)間較長(zhǎng)辜御、算法效率較低鸭你、誤報(bào)率比較高,逐步轉(zhuǎn)為對(duì)敏感數(shù)據(jù)的日志審計(jì)擒权。
用戶(hù)實(shí)體行為分析UEBA袱巨,隨著大數(shù)據(jù)的應(yīng)用獲得用武之地,在DLP領(lǐng)域有著突出的優(yōu)勢(shì)碳抄。在DLP實(shí)踐中愉老,對(duì)應(yīng)的要素是人,數(shù)據(jù)剖效,如何操作嫉入。傳統(tǒng)的UEBA焰盗,不關(guān)注數(shù)據(jù)本身,只關(guān)注大量日志的匯集咒林。傳統(tǒng)UEBA的技術(shù)思路熬拒,使得UEBA具有先天的不足:1)收集海量的日志,每天日志量超過(guò)億級(jí)垫竞,挖掘有效的數(shù)據(jù)難度增加澎粟;2)建立模型,分析用戶(hù)行為欢瞪;每個(gè)企業(yè)具有不同的企業(yè)文化捌议,用戶(hù)行為上有很大差異,企業(yè)管理的差異性明顯引有,傳統(tǒng)UEBA需要為每個(gè)企業(yè)建立模型瓣颅,建模時(shí)間周期長(zhǎng),模型不具有通用性譬正;3)收集廣泛意義的信息宫补,準(zhǔn)確性低。綜上曾我,傳統(tǒng)UEBA建設(shè)成本高粉怕,后期分析成本大。
國(guó)內(nèi)使用UEBA的企業(yè)抒巢,需要專(zhuān)署的運(yùn)維團(tuán)隊(duì)執(zhí)行贫贝,帶來(lái)運(yùn)營(yíng)成本的增加,大部分企業(yè)不具備相應(yīng)的保障條件蛉谜。新一代的UEBA稚晚,在兼顧傳統(tǒng)UEBA基礎(chǔ)要素的前提下,將關(guān)注點(diǎn)從廣泛的日志匯集轉(zhuǎn)移到人對(duì)敏感數(shù)據(jù)的日志匯集型诚,并輔助可視化及其他的分析挖掘手段客燕,降低運(yùn)營(yíng)成本,提高效率狰贯。
在對(duì)數(shù)據(jù)進(jìn)行防護(hù)時(shí)也搓,首先對(duì)用戶(hù)和數(shù)據(jù)相關(guān)的資源進(jìn)行采集,其次是對(duì)流量數(shù)據(jù)進(jìn)行清洗并使用模型對(duì)數(shù)據(jù)流量進(jìn)行分析涵紊,最后結(jié)合防護(hù)策略傍妒,對(duì)用戶(hù)的行為進(jìn)行持續(xù)性的分析和驗(yàn)證。優(yōu)秀的數(shù)據(jù)分析模型和持續(xù)性分析的要求構(gòu)成了公司的大數(shù)據(jù)處理的核心壁壘摸柄。
數(shù)據(jù)流量分析的過(guò)程包括(1)異常行為定義(2)行為模型建立颤练。
按照天空衛(wèi)士的分類(lèi)防范,敏感數(shù)據(jù)行為包括網(wǎng)絡(luò)訪問(wèn)塘幅、數(shù)據(jù)傳輸昔案、終端操作行為尿贫,上述行為基本上就可以發(fā)現(xiàn)用戶(hù)行為的核心動(dòng)作,從而判斷用戶(hù)的行為是否異常踏揣。
模型的建立依靠統(tǒng)計(jì)模型庆亡、神經(jīng)網(wǎng)絡(luò)模型和專(zhuān)家模型,并且以概率的方式展現(xiàn)給系統(tǒng)管理員捞稿,進(jìn)行后續(xù)的運(yùn)營(yíng)管理又谋。其中統(tǒng)計(jì)模型是最為常見(jiàn)也是最主要的分析模型,對(duì)各輸入的參數(shù)進(jìn)行建模處理娱局,自動(dòng)建立行為基線彰亥,并在持續(xù)的運(yùn)行過(guò)程中發(fā)現(xiàn)和行為基線偏離較大的數(shù)據(jù)點(diǎn),從而發(fā)現(xiàn)用戶(hù)的異常行為衰齐;神經(jīng)網(wǎng)絡(luò)模型通過(guò)雙向神經(jīng)元訓(xùn)練任斋,增加分類(lèi)的準(zhǔn)確度;專(zhuān)家模型適用于一些顯著耻涛、易于理解且傳統(tǒng)算法難以識(shí)別的行為進(jìn)行建模废酷。
