上一节提到的数据加解密技术在很大程度上保证了数据存储、传输中的安全,但加解密最大的问题和难点在于使用中的数据始终是需要明文方式使用和展现的,此外各种加解密手段的不统一,文件加解密速度较慢对业务流程的干扰也影响了企业的使用。
为了减少对于业务流程和用户使用习惯的干扰,基于流量分析的解决方案逐步进入CSO的视野。流量分析最初的审计对象是人的行为,但是由于数据量太大、建模时间较长、算法效率较低、误报率比较高,逐步转为对敏感数据的日志审计。
用户实体行为分析UEBA,随着大数据的应用获得用武之地,在DLP领域有着突出的优势。在DLP实践中,对应的要素是人,数据,如何操作。传统的UEBA,不关注数据本身,只关注大量日志的汇集。传统UEBA的技术思路,使得UEBA具有先天的不足:1)收集海量的日志,每天日志量超过亿级,挖掘有效的数据难度增加;2)建立模型,分析用户行为;每个企业具有不同的企业文化,用户行为上有很大差异,企业管理的差异性明显,传统UEBA需要为每个企业建立模型,建模时间周期长,模型不具有通用性;3)收集广泛意义的信息,准确性低。综上,传统UEBA建设成本高,后期分析成本大。
国内使用UEBA的企业,需要专署的运维团队执行,带来运营成本的增加,大部分企业不具备相应的保障条件。新一代的UEBA,在兼顾传统UEBA基础要素的前提下,将关注点从广泛的日志汇集转移到人对敏感数据的日志汇集,并辅助可视化及其他的分析挖掘手段,降低运营成本,提高效率。
在对数据进行防护时,首先对用户和数据相关的资源进行采集,其次是对流量数据进行清洗并使用模型对数据流量进行分析,最后结合防护策略,对用户的行为进行持续性的分析和验证。优秀的数据分析模型和持续性分析的要求构成了公司的大数据处理的核心壁垒。
数据流量分析的过程包括(1)异常行为定义(2)行为模型建立。
按照天空卫士的分类防范,敏感数据行为包括网络访问、数据传输、终端操作行为,上述行为基本上就可以发现用户行为的核心动作,从而判断用户的行为是否异常。
模型的建立依靠统计模型、神经网络模型和专家模型,并且以概率的方式展现给系统管理员,进行后续的运营管理。其中统计模型是最为常见也是最主要的分析模型,对各输入的参数进行建模处理,自动建立行为基线,并在持续的运行过程中发现和行为基线偏离较大的数据点,从而发现用户的异常行为;神经网络模型通过双向神经元训练,增加分类的准确度;专家模型适用于一些显著、易于理解且传统算法难以识别的行为进行建模。
