投稿邮箱

digitcw@163.com

您的位置:首页 > 行业动态 >
数据泄漏多是内鬼所为 什么技术可以“抓鬼”?
作者:数字通信世界   添加时间:2019-08-06
数据泄漏多是内鬼所为,什么技术可以“抓鬼”?
随着数字经济到来,各种数据被第三方有意无意的收集。尤其在云时代的背景下,数据也更加的集中。
 
在数字经济时代,市场竞争很大一部分来源于知识产权的竞争,机密数据的防护很可能会关乎到整个公司的生死存亡。然而,常言道,外贼易挡,家贼难防。企业数据泄密事件通常是由组织内部的员工或领导者引起的,如何应对这种“内鬼式”的商业间谍已经成为摆在企业网络安全面前的一道巨大难题。
 
“内鬼自盗”并非偶然,疏于防范损失惨重
近些年,关于内部人员窃取数据非法销售的新闻层出不穷,这些事件不仅发现难度大,而且对于组织的破坏能力强。比如:特斯拉前员工马丁·特里普(Martin Tripp)盗取的“数十份有关特斯拉的生产制造系统的机密照片和视频”;苹果公司前员工张晓浪在参与无人驾驶汽车项目时,凭借职务关系,通过“广泛的内部安全和机密数据库访问权”非法获取大量信息;台积电任职10年的技术副总,将16nm,10nm等机密文件非法保持,准备离职......
 
内部人员盗取数据并非偶然,从希拉里·克林顿、斯诺登、“闺蜜门”,到SWIFT、泰国的ATM机,大都是“自己人”在捣乱。据调研机构波洛蒙研究所的调查,组织的内部员工的无意行为是最常见的内部威胁形式,占数据泄露事件的64%,而外部攻击行为只占数据泄露事件的23%。
 
对此,亚信安全首席研发官吴湘宁认为:“数据泄露的事件时有发生,很多企业直到数据泄露很久才发现数据被盗,这给企业造成了无可挽回的损失。因此,企业需要提高对于数据泄露的警惕,严格管理用户登录凭证,加强对于异常操作行为的监控,并且通过态势感知技术量化可疑活动的风险。同时,企业还需要做好数据被盗取的准备,通过数据清洗、犯罪调查等技术,在数据泄露事件发生之后,防止敏感数据的滥用,降低内部数据的外泄风险。”
 
打造以数据安全为核心的威胁防御体系
作为数据安全防御体系的重点,亚信安全“可信身份认证体系+安全态势感知SSA+高级威胁终端监测及响应系统CTDI+数据安全脱敏”的联合应用,将有助于用户提高甄别“内鬼”和防范数据泄露事件发生。
(1)可信身份认证体系
身份认证与业务场景密切相关,不同场景对身份认证的强弱度要求不同,这包括身份管理、访问管理、高级认证、身份威胁分析、特权账号管理、堡垒机、互联网接入认证、网站统一认证等方方面面。防范“内鬼”最常用的方法非“4A”莫属,它通过对IT系统的账号(Account)、认证(Authentication)、授权(Authorization)和审计(Audit)进行统一集中管理,解决了“When”、“Where”、“What”、“Who”、 “How”这样的问题。
(2)安全态势感知
安全态势感知通过使用人物画像、上下文感知、威胁情报、专业运营等技术与服务实现内部威胁发现的高命中率,并智能协同安全防护设备进行实时控制,自学习的人物安全基线驱动弹性授权,实现自动化、智能化的事后、事中、事前管控。态势感知对于“内鬼”类安全事件最主要的作用在于发现于两种特征,一是异常用户(账号盗用),二是用户异常(合法的人做不合法的事,或做合法的事获取不正当的利益)。
(3)高级威胁终端监测及响应
在发现数据窃取行为或者进行安全审计时,企业安全管理人员急需了解攻击是如何发生的、哪些主机和账号遭到了入侵、内部的违规操作是偶然发生还是故意、哪些数据被泄露、是否还留有后门?而回答这一系列问题的关键在于调查确证。高级威胁终端监测及响应系统CTDI,是一款终端威胁检测及响应的EDR产品,其就像是终端行为记录的高清摄像头,能够将内核态和用户态的详细记录汇总到服务器进行关联分析和高级查询。此外,CTDI更可同其他安全产品联动,防止事件影响和波及范围进一步扩大,实现功能的最大化。
(4)数据脱敏过滤
数据脱敏(DM)是一种主动预防技术,旨在通过向用户提供高度仿真的数据,而不是真实和敏感的数据,同时保持其执行业务流程的能力,从而防止滥用敏感数据。亚信安全数据脱敏解决方案提供了静态脱敏与动态脱敏功能,可以根据数据访问者的身份提供不同程度的安全处理策略,防止隐私数据在未经脱敏的情况下从内部流出。
 
加强内部安全管理,建立配套应急预案
亚信安全所倡导的数据安全治理框架包含了基础安全工作,涵盖了设施、数据、服务的支撑工具,并从流程和风险管理、法规遵从、安全协作等方面加以细化。企业级用户可以通过分类、发现、保护、执行和监视的闭环方法,为数据安全治理提供各级产品层面的智能联动,为治理对象提供精密编排调度和管理的能力。
 
吴湘宁表示:“针对黑客入侵、病毒爆发、数据泄露,每一个企业和组织都应该根据自己的情况来设计出合适的培训方案、安全应急响应方案以及取证分析方案,否则数据泄露事件很可能会自己身上重演。需要注意的是,如果用户不能对自己的基础设施进行定期技术检测,很可能会因为其中潜在的安全问题而陷入困境,而内鬼就会在这块温床中肆意妄为。”