拒绝“内鬼式”数据泄露，安全内控如何构建？

近年来，数据泄露的案例屡见不鲜，产生的危害举不胜举。根据 Identify Theft Research Center 的数据显示，与 2021 年同期相比，2022 年第一季度实际报告的数据泄露事件数量增加了 14%，达到 404 起。国内，因数据泄露而受到法律制裁的案件也层出不穷。

可以说，对于一些重要基础行业系统和一些信息化程度较高的大中型企业来说，内网安全和数据内控已经成为其信息安全建设的重中之重。

近日，【网安新视界】第二季开讲，极盾科技解决方案负责人龚磊从数据安全内控的现状及挑战出发，分享了数据安全内控体系的构建思路以及实战案例。

企业数据安全内控现状及挑战

数据安全内控的重要性已经毋庸置疑，那么现在企业的数据安全处于怎样的状态呢？从数据的全生命周期和数据的空间流动两个视角来进行分析。

数据的全生命周期视角：

❥  数据本身防护角度：数据本身分为动态和静态，绝大部分风险来源于数据动态流动使用过程中。

❥ 暴露面角度：数据在使用过程中最为复杂，暴露面最大，风险相对也最高。

❥  建设基础层面：数据使用和共享保护措施薄弱，其余部分相对建设难度低，基础好。

数据的空间流动视角：

从空间视角，围绕数据的整个流转过程，数据安全防护需要兼顾终端域、应用域、存储域、硬件域以及其间流动传输过程的安全性。

由于应用域涉及大量的系统及场景，当前市场在应用域普遍缺乏好的解决方案。

根据数据安全的现状，企业的数据安全内控建设还面临一些困难与挑战。

1）能力分散，不成体系：当前数据安全的能力相对分散，都是基于单个域内单个场景的单点能力建设，不注重体系规划，无法形成统一管理和深度的关联分析。

2）成本高，路径漫长：数据安全内控建设涉及数据资产发现及梳理、行为采集、场景化监控分析及响应控制等一整套流程体系，每一个环节都需要大量人力物力的投入，成本高周期长。

3）效果难以保证：安全内控的本质是达到实际有效的场景化监控效果，但是受限于场景化经验以及数据分析能力，往往建设效果达不到预期，无法真正准确识别内部风险。

4）安全与业务的平衡：安全建设需要考虑对正常业务运营的影响，避免带来额外成本和大幅提升业务复杂度。传统的方案往往需要大量业务系统改造，对接成本高且影响正常业务系统开发维护。

数据安全的本质还是为了业务服务，安全的使用数据。面对当下数据安全内控建设的极大挑战，作为一家新兴的网络安全公司-极盾科技是如何应对的呢？

数据安全内控体系建设路径

首先，在数据安全内控建设中，考虑到企业一方面不希望大幅地影响整个业务的正常运行，同时也不希望投入大量的改造成本、开发成本去配合安全的内控建设。

为了平衡安全、成本和业务的多重需求，极盾科技根据数据安全治理的建设路径，建设性地提出了数据安全内控体系的建设路径。数据安全治理体系的建设路径分为 7 步：

第 1 步 企业现状调研：包括企业架构、网络拓扑、安全管理现状、业务流程、数据流程等。

第 2 步 数据资产梳理：通过业务调研、自动扫描发现数据资产，制定数据分类分级标准，同时对数据资产进行梳理和打标。

第 3 步 安全风险评估：围绕数据生命周期进行风险评估，根据各项法律法规对标分析。

第 4 步 安全体系设计：基于风险评估、组织架构、业务流程、数据流程，设计数据安全管理及技术体系，并建立管理体系。

第 5 步 技术工具实施：基于分类分级、风险评估结果，建设数据安全技术工具，敏感数据识别、脱敏加密工具、访问控制、日志审计等。

第 6 步 快速试点验证：通过试点运行，及时发现可能存在的管理漏洞和技术缺陷，并通过定期审计发现可能存在的运营不足。

第 7 步 持续优化改进：设立运营指标、定期审计、持续优化改进，反哺管理、技术、运营体系，不断螺旋式提升数据安全水位。

数据安全法中明确提出企业必须建立健全数据安全治理体系，根据数据安全治理的建设路径，数据安全内控建设的“四步走”战略应运而生：

Step1 资产识别及梳理：风险客体/对象为企业数据资产，首先通过敏感数据识别、数据分类分级等进行资产梳理及打标，为后续安全防护提供依据。

Step2 行为采集：风险主体来自于内部员工，通过收集各个安全域内及域间动态数据使用行为及静态人员（部门、岗位、在职状态）信息进行后续安全分析。

Step3 安全分析：基于用户行为及操作数据的敏感程度，构建场景化实时监控模型，精准识别数据使用风险。

Step4 安全防御：基于安全风险分析的结果，灵活制定响应控制措施，联动内部告警处置工具，提升安全运营效率。

数据安全内控体系整体框架

其次，根据现状，数据安全的一个核心挑战就是不够体系化。那怎么样才能做到体系化呢？

在数据安全建设路径中，结合统一的策略管理、统一的资产管理、安全分析和应急响应能力，围绕数据生命周期构建的技术框架，构建出数据安全内控体系的整体框架。

数据安全内控实战案例

一切准备就绪，只是纸上谈兵没有任何意义。基于极盾科技自研的一款无感 IT 风险管控平台-极盾·觅踪，某大型企业和极盾科技合力打造了一套场景化的 UEBA 数据安全内控体系，识别出了该企业客服系统中时间、地域、设备、内容、权限以及业务流程等类型的风险。

下图为部分风险案例：

 那么，这一切是如何实现的？

极盾·觅踪是极盾科技自研的无感 IT 风险管控平台，致力于通过分析企业内部人员业务操作行为，实时检测人员是否有异常、违规行为风险，进而发现是否存在敏感数据外流、泄露等安全风险。结合模块化的风险指标算法，构建企业内控策略模型（UEBA），有效降低、控制企业由内部人员造成的数据泄露风险。

基于极盾·觅踪的 UEBA 数据安全内控体系主要有四大模块：

 第一阶段是安全设备的接入：直接采用该企业自有的 DLP 和 DPM 进行终端域层面的数据接入；通过极盾·觅踪引入的数据安全网关来实现应用层面流量的收集和系统层面操作行为的采集；数据库层面，可以对接数据库的操作日志；还有各个安全域的相关属性的行为信息。

第二阶段是智能数据安全风险识别：数据收集和标准化处理之后，构建完整的特征体系。基于构建的特征，采用策略管控和模型分析去识别各类场景下的安全风险。

第三阶段是响应模块：通过灵活的剧本编排、处置脚本设置实现针对各类负责安全场景的一系列安全响应动作。

第四阶段是识别效果层面的持续机制：基于策略和模型识别的风险作为样本，然后进行场景化的验证，包括一些场景坏样本的持续积累。之后进行特征的优化，包括模型的优化，进一步持续进行策略分析和模型的迭代，从而进一步提高整个风险的识别效率。

基于极盾·觅踪的 UEBA 数据安全内控体系能够成功落地关键在于 UEBA 的落地。UEBA 就是用户实体行为分析，这个概念在安全行业已经有较长时间了，但是 UEBA 的落地是非常少的，落地成功的就更少了。

UEBA 的落地如果仅是基于单纯的专家策略规则肯定是完全不够的。极盾科技引入了一种机器学习的能力来落地真正的 UEBA，主要是无监督分析的模型和有监督的分析模型两大块能力。

 无监督分析：假设全量人群在多纬空间上呈离散分布，构建全局空间。

❥  在多个纬度偏离正常人群的人会成为空间中的异常点，需要重点关注。

❥  具有某种企图的非正常人员，往往行为上会有某种相似性，从而在空间上体现出某种聚集性。

❥  无监督可以在不知道哪些是目标人群的背景下，通过发现异常点和异常聚集的人来识别可能的风险。

❥  无监督不依赖目标人群样本，有助于识别传统规则未发现的风险。

有监督分析：假设目标人群必然具有某些特性，通过学习目标人群的特性找出跟已知目标人群相似的人，同时不断输入新的目标样本，不断学习。

❥  构建多个纬度的监控特征，学习目标人群普遍具有或相关性高的典型特征，构建模型。

❥  通过人工验证结果以及新的目标样本持续输入，优化重点监控的特征，从而持续更新模型，提升最终识别效果。

极盾科技期待帮助更多的企业建设数据安全内控体系，防止数据泄露，助力企业做好数据安全合规。