企业数据资产是企业经营、决策和战略制定的基础。企业在产业与服务、营销支持、业务运营、风险管控、信息披露等生产、经营、管理活动中涉及到大量的商业秘密、工作秘密以及员工和客户的隐私信息,保护好这些数据对企业声誉和运营安全至关重要。然而,数据的泄露却成为了企业的一大隐患。
据报道,一家高新技术企业技术负责人李某和销售部门的孙某都曾是该公司离职员工,他们利用在原公司获得的商业秘密,生产并销售与原公司产品相似的产品,获得了高达2500余万元的巨额利润。这种背叛行为不仅给原公司造成了巨大的经济损失,也对知识产权保护和商业竞争产生了严重冲击。
近80%数据泄露来自内部
从中国裁判文书网所有与数据泄露相关的典型判例研究发现,近80%的数据泄露和内部人员相关。无论是内部员工的“无意识泄密”,还是有意识的“内鬼”行为,都可能给企业带来巨大的损失。
内部威胁总在暗处,作为防守方往往“看不见”“摸不着”。内部威胁难以被检查和发现主要体现在以下四方面:
1、产生威胁的内部人员情况复杂,内部人员的恶意行为往往发生在正常工作的间隙,导致恶意行为嵌入在大量的正常行为数据中,其隐蔽性和多元性难以发现。
2、企业对于内部人员是基于“默认信任”的模式,传统安全防护机制上更多的倾向于检测和阻断外部攻击,而较少投入在内部安全防护上面,难以清晰辨别内部人员的正常行为操作与危害行为操作。
3、内部人员熟悉内部安全运行机制,网络安全边界透明化使得他们能够比较容易地规避系统防御检测机制,导致内部威胁难以发现。
4、某些情况下即便通过检测机制发现了恶意行为,但除非是获取法律认可的充分证据,否则无法判定内部人员存在恶意行为,内部人员可以工作疏忽等理由掩饰和推脱。
如何提取数据、快速甄别有效信息、识别出内部威胁,通过图形化视图提供决策依据,预防员工的异常行为,追溯员工的异常操作,规避内部威胁引发的安全事件等,已成为当下企业在构建数据安全防御体系过程中考量的重要标准。
结合大数据技术的用户行为分析
北信源网络安全行为大数据分析(UEBA)系统建设的总体目标是将对象行为数据、对象异常行为用例场景、大数据建模分析技术、可视化分析技术有机结合,对关键数据资源的使用行为进行监控,实现“异常数据使用行为预警、可疑对象行为追溯和画像分析、可疑对象行为辅助取证”的业务管理闭环,全方面提升用户防范关键数据泄露的能力。
系统围绕数据安全防护场景中常见的实体、行为对象以及对象行为构建多种结合业务场景的分析主题,实现全面用户行为风险评估体系。
系统基于规则和机器学习算法的行为分析,将大数据技术与用户业务场景紧密结合。围绕正常员工、无意识违规员工、恶意人员三类人群结合账号登陆、数据获取、内部共享、外部传输的数据获取及使用途经构建数据安全分析及防护体系。
北信源UEBA产品基于以下四大主题场景进行行为分析,构建行为基线,最终围绕人员、账号、设备、应用和文件进行行为画像,以及一些综合分析。
一、应用查询数据泄露
主要用于分析从核心应用系统上查询一些敏感数据并泄露出去的行为,例如身份证号、手机号、客户信息等。
二、文件数据泄露
主要用于分析从指定系统上下载文件,或从其他方式获取到敏感文件,并通过多种外发通道进行泄露的行为。
三、应用账号异常分析
主要用于对一些重要应用系统的账号被泄露、冒用等异常行为的分析和发现。
四、运维特权账号行为分析
通过对堡垒机运维的特权账号的操作行为进行分析,发现运维特权账号异常行为。
北信源UEBA系统,通过全方面的数据可视展示,帮助企事业单位及时发现数据信息的内部威胁和风险行为,让用户对全局信息一览无余并及时响应异常风险事件,有效规避内部行为引发的数据泄露事件,让内部威胁无处遁形,助力企业在激烈的市场竞争中保持竞争优势。
