数据保护从来并非易事,随着数据变得更庞大、多样化和广泛分布,保护工作会变得更具挑战性。由于组织现在需要更多共享数据,企业的数据分布开始从内部环境转向多种类型的云存储平台,这使得现有的以DLP为代表的数据保护做法不再有效。企业需要一种更加实时、更加主动的数据访问控制方法,利用人工智能和自然语言处理(NLP)等先进技术提供内容动态洞察,并根据语义上下文进行风险评估。

在此背景下,一种新兴的数据安全威胁检测和响应技术(Data Detection and Response,DDR)被提出,并被广泛视为新一代的数据泄露防护方法。在DDR技术方案中,引入了动态监控的概念,可以在包括云在内的各种数字化环境中实现对数据的实时安全监测和响应。为了让企业组织更好地了解这种新兴的数据安全防护方法,本文将对DDR的定义、工作原理、应用价值、威胁模型等进行分析。

DDR的定义与特点

目前的数据泄露防护技术依赖基于提前配置的规则过滤来保护数据的流动,有较高的规则、策略设置要求;同时,DLP需要以数据分级分类作为应用前提。对企业用户而言,手动或半自动化分类数据面临无法克服的挑战,用户很难一致且准确地对他们拥有的全部数据进行识别发现。而DDR是一种自主的数据访问控制方法,可以利用人工智能和自然语言处理(NLP)等先进技术提供内容动态洞察,并根据语义上下文进行风险评估。

相比传统DLP技术,DDR更加侧重于实时、主动的威胁监测、检测和响应,它能够在CSPM和DSPM等工具提供的静态防御之上补充动态监控能力。简而言之,DDR解决方案是使用实时日志分析来监控数据,并实时检测新出现的数据风险。

在大数据时代,监控每个数据的使用行为并不切实际,因此在DDR方案中需要包括数据安全和风险管理(DSPM)功能,以便发现和分类数据资产。DSPM可以检测出存在风险的数据资产并确定这些风险的优先级,DDR方案会根据DSPM的分析结果重点监控与风险相关的数据资产相关活动。DDR工具会几乎实时地解析与风险数据资产相关的日志,并使用威胁模型来识别可疑活动,例如数据流向外部账户。

如果发现新的风险,DDR会发出警报,并提供最佳的响应措施建议。这些警报通常需要紧急处理,需要立即采取行动。DDR警报常常在SOC/SOAR解决方案中直接使用,以更好地适应现有的业务操作,并缩短解决问题的时间。

DDR技术的应用价值

DDR提供了现有数据安全保护所缺少的关键任务功能。当以代理为主的保护模式行不通时,用户需要能够更及时地监控与数据有关的每个活动,这时DDR工具就可以发挥作用。它旨在保护数据不被泄露或滥用以及不违反法律法规,同时通过与SIEM或SOC等技术方案集成,DDR技术有助于减少组织的安全运营支出,使团队能够在一个集成的平台上处理所有的安全警报。

DDR技术应用的5个优势

  • 在静态防御基础上增强主动防御能力

2018年发生的Imperva攻击案例是一个值得借鉴的教训,它展示了静态数据安全防御的局限性。该攻击始于攻击者获取包含敏感数据的Amazon RDS数据库的快照,并利用从错误配置的计算实例中窃取的AWS API密钥。这是一个经常存在的数据安全薄弱环节。

尽管CSPM工具能够识别配置错误,而DSPM工具能够检测到存储在配置错误实例上的敏感数据,但Imperva攻击案例显示了这些防护方法的局限性。一旦攻击者获得合法的访问权限,他们的异常行为将无法被识别。

Imperva事件是在发生后十个月才通过第三方发现的。在此期间,该公司对于敏感数据已经泄露并无感知,也无法通知其用户。而DDR解决方案在此类事件发生时就能够及时识别此类攻击,并提醒内部安全团队,使他们能够立即做出响应,而不是在数月之后才发现。这种实时地监控和响应能力可以增强对潜在威胁的感知,帮助组织更快地采取适当的行动,以减轻潜在的损失。

  • 满足云环境下的数据应用需求

随着企业对计算技术的采用日益增长,监控数据资产的挑战变得更加突出。业务和数据团队不断寻求通过分析工具提升盈利能力的新方法。这通常意味着采用多种不同的工具和技术,包括数据库、无服务器查询引擎、商业智能和数据科学平台。而在开发端,微服务架构将代码库拆分成数十甚至数百个较小的服务,每个服务也都会伴随着各自的数据资产。

这种复杂性增加了数据追踪、管理以及安全防护的难度。有效的数据安全策略应该防止敏感数据在没有充分理由的情况下被复制,但实际情况往往比较混乱。此外,混合和多云环境越来越受欢迎,也进一步增加了数据复杂性。由于数据分布在如此多的潜在目标上,攻击面变得难以监控。

  • 实现无代理的DLP

在考虑到数据成为网络攻击(如勒索软件)的首要目标时,实时监控数据资产显然是必要的。然而,许多企业面临着保护敏感数据的有效方法缺失的问题。在云出现之前,工作主要在个人电脑上进行,这些电脑通过内部网络与服务器相连。安全团队可以通过在每个可以访问组织数据的设备和终端上安装代理(如防病毒工具)来监控流量和活动。

然而,云计算的兴起让现在的数据保护情况大不相同。如果没有运行云数据库或Kubernetes环境的系统,就无法在其上安装代理。因此,数据丢失预防(DLP)变得非常棘手。因此,业界倾向于采用DDR技术以改善云数据存储的安全态势。这类工具会试图检测错误配置和暴露的数据资产,从而尽量缩小云上的数据资产攻击面。

  • 跨环境的统一威胁模型

DDR允许组织统一监控所有的云上数据活动,而不是为每个数据服务构建临时解决方案或依赖一系列安全工具的拼凑。只要部署了一套数据威胁模型,它可以应用于存储敏感数据的每个环境。DDR取代了传统从每个数据库或虚拟机收集、解析和分析数据的劳动密集型过程。这有助于安全团队减少工作负担,并将精力集中在管理战略风险上,而不是在处理数十个或数百个潜在漏洞时进行无谓的努力。

DDR中的威胁检测模型

DDR技术的应用核心是在数据生产和运营体系中嵌入数据安全属性,以解决数据应用过程中的数据安全问题,其主要特点是能够根据应用程序和用户操作所处的上下文时间、位置、数据敏感性等因素,做出精确、智能的安全性判断与决策。虽然许多DDR解决方案可能会在未来几年内出现,但它们之间的区别就在于是否能够为实时检测提供高质量的威胁检测模型。

威胁模型是DDR解决方案的关键组成部分,因为仅仅依靠实时访问和解析日志进行检测是远远不够的。企业组织每天都会发生大量的数据事件,例如新数据服务的上线、新数据存储的创建以及备份和快照的生成。如果DDR工具无法准确识别其中哪些事件构成实际风险,就会导致关键事件被漏过,或者安全团队面临大量误报的困扰,这进一步加重了已经备受通知过多困扰的问题。

DDR的威胁模型应该由网络安全研究人员开发并不断完善,在设计DDR的威胁检测模型时,重点需要考虑以下因素:

  • 以前的数据泄露中揭示的攻击模式;
  • 每个数据服务中的特定弱点,以及攻击者可能会如何利用这些弱点;
  • 安全事件在系统日志中留下的独特印迹。