“离职员工”试图打包资料带走，如何防止敏感数据外泄？

​

·2010 年 5 月间，某家电巨头四名前职工非法泄露该家电洗衣机重要生产和采购环节数据，给家电集团造成直接经济损失共计 2952.35 万元。

·2017 年 1 月，某科技巨头消费者终端业务 6 名员工，离职后拿着该企业终端的知识产权结果赚钱，最终被批捕。

·2022 年 5 月，某互联网企业技术员工下载了多达 57 万页的知识产权到自己的个人设备上，意图利用这些信息在他的新职位上为自己谋利。

员工离职，心情肯定是五味杂陈的。

有的员工可能因为种种原因，想带着一些“纪念品”离开，这其中可能就包括公司的机密资料。

数据显示，高达 59%的离职员工承认曾在离职时私自带走公司机密文件数据。85%的职员可以轻松地下载"有竞争力"的资料和信息，然后带到下一份工作中。

但对于企业来说，哪怕是 1%泄露的可能，也很可能是致命的伤害。

好消息是，可以利用技术手段，通过对潜在的异常行为进行监测，发现这些离职风险。

极盾·觅踪，围绕业务构建动态零信任机制，基于 UEBA（用户实体行为分析），进行离职风险监测，能够全面覆盖员工离职的全周期，包括已离职、离职中以及预离职。

已离职

原则上，一旦员工离职，应立即从系统中注销其账号，以防止未授权访问，并确保撤销该员工对所有系统、应用程序和数据的访问权限。

若因离职操作流程失误导致已经离职的员工还可以继续登入系统，只要该离职员工尝试登录系统，一旦输入账号，极盾·觅踪便可立即识别并产生“离职员工异常登录”的警告。

离职中

“离职中”是指已经提出离职，正在走离职手续但未离开公司的员工。

通过极盾·觅踪的“调查分析”功能，查看该员工在指定时间段内的行为分析报告，包括访问行为、导出/下载行为等，能清晰地获知该员工在指定时间段内敏感数据导出或下载情况，重要页面访问情况等。

​

之后可将该员工加入“离职中”名单，对该名单设定特有的管控规则，对重要页面访问以及导出/下载严格管控，并可开启文件脱敏以及页面脱敏等防护措施。

预离职

“预离职”是指打算离职但还未提出离职的员工。

员工若想在离职前批量打包一些机密文件，会有一些异常行为，如异常访问平时不经常访问的系统，频繁访问系统并批量导出/下载资料，越权访问某些系统等等。

极盾·觅踪，围绕业务构建动态零信任机制，基于 UEBA（用户实体行为分析），能够建立动态行为基线来发现用户偏离正常模式的行为，通过角色、设备、IP、登录时间、登录时⻓、操作行为等特征进行建模,并灵活制定相关策略规则，当用户行为偏离正常行为轨迹，应该进行异常告警，通常通过“用户与用户组行为基线的对比”和“用户自身行为基线对比来”判断这些异常行为。

​

（1）用户与用户组行为基线的对比

同一部门同一岗位的员工其对系统数据的使用状况一般都差不多，利用员工的行为与同部门同岗位员工的行为基线进行对比，来发现风险。

例如：【当天页面访问次数大于同岗位 30 天日均访问基数五倍】、【最近 7 天页面访问次数大于同岗位 30 天日均访问基数三倍】、【最近 7 天文件导出次数大于同岗位 30 天日均访问基数三倍】等等，一旦触犯规则，系统即刻告警。

（2）用户自身行为基线对比

每个用户平时都有一个业务正常开展下的行为基线，一旦基线发生重大偏离，可判断为异常行为。

例如【访问从未访问过的系统】、【非工作时间频繁导出文件】、【非常用设备/IP 导出文件】、【当日页面访问次数大于自身 30 天日均访问基数五倍】、【最近 7 天文件导出次数大于自身 30 天日均访问基数三倍】等等，一旦触犯规则，系统即刻告警。

离职风险监测并不是某一个单一的异常点就可以确定, 以上例子只是为了举例说明，最终必定是一系列异常行为的有机融合。

​

这一切的实现基于极盾·觅踪的核心方法论：通过以人为核心，围绕业务场景，以数据分类分级为基础，基于零信任框架和人工智能模型的用户及实体行为分析（UEBA）为抓手的整体思路，构建应用系统数据使用全流程的安全监控体系。

“以人为核心”：在系统数据使用访问过程中，人员为行为主体，通过收集人员的“动态”行为信息、环境信息以及相对“静态”的人员权限、组织架构、岗位部门等信息，构建人员主体画像，识别人员风险。

“以数据分类分级为基础”：通过引入数据安全网关，从数据访问使用过程中基于敏感识别和分类分级规则，识别当前访问数据的重要程度和敏感程度，从而进行针对性防护。

“围绕业务场景”：通过内部人员在账号、权限、访问行为、数据操作等不同客体对象纬度行为特征的挖掘，识别异常的数据使用访问风险，实现精准定位判断。

“用户及实体行为分析为抓手”：基于零信任框架和人工智能模型的行为分析技术，高效识别数据使用的行为风险，并进行实时响应告警，在必要是联动相关业务系统对风险行为进行有效阻断和拦截。

​