在2010年的“曼宁事件”之后,美国政府为了应对内部人员带来的大规模数据泄漏威胁所造成的严重后果,发布了一个《内部威胁计划》(Insider Threat Program),并由奥巴马签署了总统行政令13587,开始正式执行。最早的内部威胁保护概念,可能源自于此。

越是严格的法规要求越是需要通过先进的技术手段来落地执行,为了更好地防范内部威胁,一种新的数据安全技术体系——Insider Threat Protection(以下简称ITP)应运而生。

实际上,ITP技术在国外已经有了相关研究,下一代防火墙公司 Palo Alto 曾经在2015年申请过一个名为“自动化内部威胁保护”的专利,并于2017年得到美国专利局的批准。但 Palo Alto 毕竟是一家以下一代防火墙为核心的安全公司,因此如果有专注于数据安全公司来做ITP,可能会更与ITP的理念更加匹配。进一步来说,既然ITP技术需求源自于对企业数据的保护,那么数据防泄漏(DLP)的公司,在对ITP的理解和实现方面可能更具优势。

在今年1月举办的2018中国企业和个人数据安全技术大会上,国内一家以DLP起家,并专注统一内容安全技术(UCS)的信息安全公司天空卫士,正式发布并展示了他们最新的ITP技术及基于行为分析的ITM(内部威胁管理)解决方案。据了解,这是目前全球唯一正式落地并实现了产品化的ITP解决方案,安全牛通过与其联合创始人、CTO陈少涵访谈交流并查阅了相关资料,对这项技术有了初步了解,在此分享出来。

一、ITP的特点与基本原理

ITP的核心理念可以概况为一句话:通过识别和管控企业内部有威胁的人的行为,来降低数据泄漏和其他风险。

ITP强调的是以人为核心的内部威胁防范,通过识别用户的行为和其产生的各种数据,利用人工智能和大数据等技术手段将其关联,对高风险用户的危险行为及其他用户的类似行为进行管控,从而实现危险行为的阻断并预防类似行为的发生。

识别和管控并非新兴技术,一直都是传统数据防泄漏方案的基本支撑。但ITP综合考虑了网络管控、内容感知,以及更重要的用户行为等因素,同传统DLP技术相比,更加的智能化,有着更低的误报率和更高的检出率,此为ITP技术体系的最大的特点。

图1 黄色圆圈为将来要接入的产品

上面的图为ITP的构成框架,其基本原理为:

在内容感知技术之上(ASWG+DLP),加入了对用户、网络和终端行为与事件的风险分析,并根据具体情况,针对性地对用户和终端行为进行培训,然后将培训结果评级调整,最后再返回给DLP的安全策略。这一过程包括了UEBA、统计学异常分析、贝叶斯统计模型、机器学习等关键技术。

从图1中不难看出,ITP框架的核心在于其起到大脑中枢作用的引擎ITM(内部威胁管理),接下来本文结合相关资料,进一步了解这个引擎的工作原理。

二、核心引擎ITM

目前天空卫士发布的ITP方案中包括了Web安全网关、DLP、邮件安全、终端安全、移动安全等,未来还将集成下一代防火墙、威胁情报、数据库安全等设备,整合移动DLP,并支持CASB和云环境。所有这些设备采集到的用户行为数据都会被反馈到“ITM”的分析中心,基于特有的算法进行统计分析和比较,以发现异常行为。

图2

结合图2和相关资料,我们了解到ITM主要执行以下工作:

  • 异常行为检测:

由网络层(如数据包字节数、网络连接数等)、应用层(如Web/邮件/FTP等)、告警事件三种行为的分值加权,得到异常风险分值ARS。

  • 精准威胁行为回溯:

以触发特定策略的数据泄漏事件中的用户行为作正向样本,正常用户的行为作负向样本,通过机器学习(双向循环神经网络,BRNN)进行有监督的培训,培训结果产生的机器学习模型对所有用户的行为进行评估,给出模型风险分值MRS。

  • 专家系统:

由回溯得出的风险模式,结合专家经验和大数据分析(即安全实验室),基于贝叶斯概率动态下发给内部威胁管理(ITM)。ITM通过匹配得到不同用户行为符合风险的概率,并将概率转化为ERS分值。

最终,ARS、MRS和ERS加权得到用户的总风险分值TRS。TRS再反馈给天空卫士的统一内容管理平台(UCSS),让DLP等设备的安全策略变得更精准,更有针对性。

三、ITP与UEBA的区别

说到行为感知,我们知道,UEBA(用户与实体行为分析)为目前非常流行的技术。那么ITP与之相比,又有哪些主要区别呢?本文认为,两者最大的区别在于能否与“内容”实现联动与融合。一言以蔽之,ITP可以看做是策略增强型深度内容感知的UEBA。

从技术点来看,ITP以大量的行为分析技术做支撑,实际上这也正是新一代数据安全技术与传统数据防泄漏技术的主要区分,即从独立的内容感知上升到内容感知与行为分析的智能融合,用户行为分析的结果将直接作用于内容安全引擎的策略执行,同时内容安全引擎所捕获的行为数据反哺于用户行为分析引擎,双擎合一将能更好地保护企业数据资产安全。

UEBA主要基于SIEM系统作日志分析,针对的是入侵和攻击,缺少的是内容分析。而ITP不仅可以通过ITM对用户行为进行评判分析,还可以基于Web安全网关、DLP等安全设备进行内容分析,如恶意链接、恶意软件、关键字、文件字节数等,针对的是数据保护。

传统DLP最大的问题是难以设置误报率和检出率之间的平衡策略。因为在处理一些数据或行为时,很多情况并不是非此即彼的,策略严格会影响工作效率,策略放松则会放大安全威胁。

ITP的解决之道是长期持续观察用户行为,并根据观察和比较制定出用户行为的风险值,一旦发现用户行为超出可信区间,触发报警或实施阻断。比如,某内部用户经常往外传文件,而且经常会压缩或加密文件,都属于可疑行为,但系统并不会贸然响应,而是会结合历史记录做分析(ARS+MRS+ERS=TRS),超出可信区间,才会触发报警。

实际上,ITP体系中策略的来源和调整反馈,即可以是Web安全网关,也可以是DLP,还可以是NGFW等安全网关类产品。这也正是前面所提到的,Palo Alto 为什么也要做ITP的主要原因。通过与第三方的威胁情报、防病毒、NGFW、数据库保护、WAF等系统的联动,天空卫士可以联合国内有技术实力的安全厂商,共同打造建立起一个以ITM为核心的内部威胁防范生态系统,实现更加全面的企业用户核心数据资产保护。

(声明:本文技术图片来自于天空卫士在2018中国企业和个人数据安全技术大会上发布展示的PPT)

声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。