趨勢觀察：資料安全内部洩露破壞解決之道

随着技術的進步，網絡攻擊變得越來越複雜，許多企業将網絡安全工作完全集中在外部攻擊上，這為内部風險留下了更多機會。一些公司沒有認識到由于員工的疏忽或惡意而丢失機密資訊的危險。毫無疑問，“内部威脅”是網絡安全中最被忽視的方面之一。

有資料表明，企業平均每月會有2.5%的員工存在洩露敏感資料的行為，這一占比并不算高，但延長到半年時間線中，造成資料洩露行為的占比就會上升到企業員工占比的接近10%的比例。相比外部威脅的不确定性，内部威脅影響相對更加直接，如員工離職時他們可能會破壞公司資料，或将資料帶到競争對手手中。

企業需警惕多樣性的内部威脅

内部威脅是多樣性的，其中絕大部分源于員工無意間的疏忽，最為典型的就是員工遭到釣魚攻擊造成資料或憑據外洩，或是員工辦公裝置、應用濫用造成的資料外洩，如員工将企業重要資料存儲到個人U盤，以及不安全的SaaS應用等濫用行為。

内部威脅的惡意行為相關事件近年來也屢有發生，其又分為兩種不同行徑，一種是員工離職（或遭解雇）後的惡意報複行為，如利用尚未收回的業務通路權限，破壞或竊取洩露企業敏感資料；另一種則是商業上的主動竊取、售賣企業敏感資料或系統通路權限行為。

近年來員工主動的惡意威脅事件經常發生，國内就有多起離職員工惡意删除企業資料的司法案件，惡劣行徑的員工不僅要付出法律責任，更為企業造成日常經營上的重大損失。

進入數字時代，企業正在産生比以往更多的并極具價值的資料，這些資料有的是企業客戶服務的使用者隐私資料，有的是企業核心的生産資料，安全的最大推動力合規安全（個人資訊保護法、資料安全法）要求，這些資料需要通過豐富的安全實踐予以保護，這些保護措施不僅包含外部風險，也需兼顧并不被廣泛關注到的内部風險之上。

掌握主動是内部風險管理核心

為應對内部風險管理，安全企業已推出成熟的安全解決方案，其中以IBM的Security QRadar，以及微軟Purview内部風險管了解決方案最為知名，但其解決方案的厚度所面向的企業群體多為中上遊客戶。如IBM的QRadar依托XDR、SIEM、SOAR的技術實踐，其安全解決方案已不完全限于内部安全風險。

與此同時，安全企業正在加速了解内部威脅，比如近年來對應出現的資料檢測和響應（Data Detection and Response,DDR）概念。頗受資本關注的初創安全企業Cyberhaven就是這一概念的代表企業，其指出，資料檢測和響應可随時随地查找并跟蹤内部敏感資料，以前所未有的方式對其進行保護。

該概念認為，企業需要掌握更加主動的内部風險管理機制，如資料始終在流動，從雲應用到資料倉庫，通過消息傳遞、協作工具和電子郵件的方式在人與人之間流動，而傳統的資料安全工具無法全面跟蹤并執行保護政策，資料檢測和響應将成為一種全新的主動的資料保護政策，進而動态解決資料安全的内部威脅問題。

基于該概念的商用型解決方案（産品）具備的第一能力是多源的資料發現，并加入上下文分析用于補足遺漏資料，并從源頭跟蹤使用者資料使用行為，監測保護資料最終流向，如通過Web、雲應用、電子郵件、移動儲存設備等方向的資料流通行為，一旦檢測到威脅就會進行幹預，并阻止資料離開企業的控制。

Cyberhaven認為，資料檢測和響應産品将取代DLP、内部風險管理、雲資料安全，成為現代企業基于多雲戰略的内部威脅資料保護的一種通用解決方案，它能夠了解資料在流轉過程中的所有威脅點，比如可以跟蹤識别加密資料或壓縮資料，并建設相應視圖，以實作最終基于異常行為和資料次元的細粒度控制。

該解決方案可以記錄公司員工的所有操作資料資訊，以便于安全團隊進一步地跟蹤判斷，或為安全事件提供驗證，對于“意識”級别的教育，系統還在員工執行被認為是風險操作時予以彈窗警告，這幾乎等于警示性内部報警的操作可能會讓員工更加安分守操。

解決方案還包含一系列基礎性能力，如跨平台的使用者行為收集能力，與本地目錄服務的內建能力，對檔案開放共享或修改檔案擴充名等行為，區分個人應用與公司業務應用的不同執行個體等等，而在員工觸發相應的非法資料操作時，除了告警外，還會觸發螢幕截圖操作捕獲功能。

DDR已深度融入資料安全産業

DDR産品可以很好地解決内部風險，他可以監測資料流向，員工的資料使用行為，即企業可以利用該産品了解誰在洩露或破壞敏感資料，以及他們是如何做的。因資料安全的重要性，大陸資料安全産業近年來發展迅猛，也有不少安全廠商推出了自家的DDR産品，或類DDR産品。

國内資料安全創新廠商薮貓科技旗下DDR産品基于智能内容識别引擎、驅動級的終端應用事件監控、洩密風險檢測等核心技術而打造，産品可以對内檢測資料外發途徑，對外可防止病毒入侵竊取資料，確定企業核心資料資産合規合理使用，助力企業數字化轉型。

可以看到，國内安全廠商根據自身的了解，正在加大DDR産品的厚度，不僅關注資料安全的内部威脅，也将檢測和響應能力外延擴充到了外部。對于内部威脅，薮貓科技DDR産品同樣提供多元度的風險可疑行為的檢測，同時比對一套結合使用者信任評分和行為評分的動态響應決策系統，實作重點防範與持續監控的不同等級的響應阻斷機制。

國内落地各類安全檢測類産品需要與業務相結合，薮貓科技DDR産品在這方面深度整合現代數字化辦公體系，支援主流與自定義資料流動管道防護，可将DDR産品的資料保護機制覆寫到“每一個出口”，并提供全面的資料發現、行為分析、威脅預警、攔截驗證、追蹤溯源等閉環能力。

首屆騰訊數字安全創新大賽花魁紅途科技可為客戶提供多元度資料隐私保護方案，其資料隐私風險管理産品技術理念與DDR類産品具有一定相似性，該産品同樣基于資料全鍊路實作風險和違規跟蹤，其圍繞資料、資料庫、應用和使用者多元度進行高維關聯資料，為客戶建構風險監測底層能力，通過聚合分析資料隐私風險，實作應用側資料洩漏風險預警，有效解決漏報、誤報等行業難題。

專業資料安全廠商美創科技推出的資料防洩露系統與DDR系統也具有高度一緻性，該系統以統一政策為基礎，采用深層内容識别分析技術，對企業終端、網絡、應用系統中的敏感資料進行自動發現、内容識别、分類分級，對通過應用程式、終端端口、U盤、共享目錄、網盤、論壇、貼吧、FTP、郵件、QQ等途徑洩漏傳播敏感資料，提供阻斷和告警，并對使用者行為進行審計，生成安全報告，滿足各種應用場景。

引領資料營運安全（DataSecOps）理念發展的資料安全創新廠商數安行，其推出的數安行零信任資料營運安全平台以資料營運中内嵌資料安全屬性，進而解決資料營運過程中的諸多資料安全問題。平台可提供多源資料發現、全流程資料流動治理，以及風險感覺和自适應精準化防護的全能力搭建。産品應用可防範使用者違規下載下傳、有意或無意的資料濫用或擴散、惡意洩露資料等危險行為的發生，讓資料在企業各場景、各業務下安全流通。

國内資料安全廠商類似産品不再一一列舉，綜合挖掘發現，随着資料安全産業的高速發展，各類型資料安全解決方案也呈現井噴式發展之勢，國内安全廠商也以不同角度消化了解領先的技術理念，DDR也僅是其中之一，其優勢在于結合本土化應用特點，不斷優化技術落地，最終目的則是為客戶傳遞一套更加好用，且滿足多場景資料流通協同的安全解決方案。

#網絡安全##資料安全#