企業數據資產是企業經營、決策和戰略制定的基礎。企業在產業與服務、營銷支持、業務運營、風險管控、信息披露等生產、經營、管理活動中涉及到大量的商業秘密、工作秘密以及員工和客戶的隱私信息,保護好這些數據對企業聲譽和運營安全至關重要。然而,數據的泄露卻成為了企業的一大隱患。
據報道,一家高新技術企業技術負責人李某和銷售部門的孫某都曾是該公司離職員工,他們利用在原公司獲得的商業秘密,生產并銷售與原公司產品相似的產品,獲得了高達2500余萬元的巨額利潤。這種背叛行為不僅給原公司造成了巨大的經濟損失,也對知識產權保護和商業競爭產生了嚴重沖擊。
近80%數據泄露來自內部
從中國裁判文書網所有與數據泄露相關的典型判例研究發現,近80%的數據泄露和內部人員相關。無論是內部員工的“無意識泄密”,還是有意識的“內鬼”行為,都可能給企業帶來巨大的損失。
內部威脅總在暗處,作為防守方往往“看不見”“摸不著”。內部威脅難以被檢查和發現主要體現在以下四方面:
1、產生威脅的內部人員情況復雜,內部人員的惡意行為往往發生在正常工作的間隙,導致惡意行為嵌入在大量的正常行為數據中,其隱蔽性和多元性難以發現。
2、企業對于內部人員是基于“默認信任”的模式,傳統安全防護機制上更多的傾向于檢測和阻斷外部攻擊,而較少投入在內部安全防護上面,難以清晰辨別內部人員的正常行為操作與危害行為操作。
3、內部人員熟悉內部安全運行機制,網絡安全邊界透明化使得他們能夠比較容易地規避系統防御檢測機制,導致內部威脅難以發現。
4、某些情況下即便通過檢測機制發現了惡意行為,但除非是獲取法律認可的充分證據,否則無法判定內部人員存在惡意行為,內部人員可以工作疏忽等理由掩飾和推脫。
如何提取數據、快速甄別有效信息、識別出內部威脅,通過圖形化視圖提供決策依據,預防員工的異常行為,追溯員工的異常操作,規避內部威脅引發的安全事件等,已成為當下企業在構建數據安全防御體系過程中考量的重要標準。
結合大數據技術的用戶行為分析
北信源網絡安全行為大數據分析(UEBA)系統建設的總體目標是將對象行為數據、對象異常行為用例場景、大數據建模分析技術、可視化分析技術有機結合,對關鍵數據資源的使用行為進行監控,實現“異常數據使用行為預警、可疑對象行為追溯和畫像分析、可疑對象行為輔助取證”的業務管理閉環,全方面提升用戶防范關鍵數據泄露的能力。
系統圍繞數據安全防護場景中常見的實體、行為對象以及對象行為構建多種結合業務場景的分析主題,實現全面用戶行為風險評估體系。
系統基于規則和機器學習算法的行為分析,將大數據技術與用戶業務場景緊密結合。圍繞正常員工、無意識違規員工、惡意人員三類人群結合賬號登陸、數據獲取、內部共享、外部傳輸的數據獲取及使用途經構建數據安全分析及防護體系。
北信源UEBA產品基于以下四大主題場景進行行為分析,構建行為基線,最終圍繞人員、賬號、設備、應用和文件進行行為畫像,以及一些綜合分析。
一、應用查詢數據泄露
主要用于分析從核心應用系統上查詢一些敏感數據并泄露出去的行為,例如身份證號、手機號、客戶信息等。
二、文件數據泄露
主要用于分析從指定系統上下載文件,或從其他方式獲取到敏感文件,并通過多種外發通道進行泄露的行為。
三、應用賬號異常分析
主要用于對一些重要應用系統的賬號被泄露、冒用等異常行為的分析和發現。
四、運維特權賬號行為分析
通過對堡壘機運維的特權賬號的操作行為進行分析,發現運維特權賬號異常行為。
北信源UEBA系統,通過全方面的數據可視展示,幫助企事業單位及時發現數據信息的內部威脅和風險行為,讓用戶對全局信息一覽無余并及時響應異常風險事件,有效規避內部行為引發的數據泄露事件,讓內部威脅無處遁形,助力企業在激烈的市場競爭中保持競爭優勢。
