融合UBA技术 落地数据安全内部威胁之道

关注网络安全威胁的企业往往只关注外部攻击者，并投资于用于保护外围设备、端点、电子邮件和数据的解决方案，虽然这是必要的，但他们通常缺乏保护内部风险的能力，即企业通常无法协调处置来自内部员工的疏忽或恶意行为。

当前，28%的数据泄露是由内部人员造成的，另外72%是由利用自动化、脚本和其他技术窃取数据的外部攻击者组成的，企业需将两端威胁置于同一水平当中，了解如何全面规避风险。本文，将集中讨论内部风险的规避方法，Veriato在一份报告当中就归纳了发现和处置内部风险的方法：

企业需要首先定义内部风险的含义，企业的生产力、安全性和盈利能力面临许多与员工相关的威胁，每一个不同层面的威胁都会在内部引起不同程度的关注。在企业内部，最需要的是确定哪种内部威胁值得关注，并且判断是否需要监控员工活动，以发现或调查当前威胁。

最需要关注的是内部数据窃取和不知情的疏忽两大方面，其中前者，员工可访问企业最具价值的数据，当员工不再效忠于企业利益时，就有可能做出基于自身或情绪上的报复行为。对于大多数试图识别内部威胁的企业来说，最大的挑战就是了解员工的行为和行动。

在这方面报告引入了UBA用户行为分析概念，在人力资源部门从表象观察到的判断依据之外，如基于个人家庭问题、上下班的时间习惯、是否在找新工作、是否存在绩效考核不满等情绪问题等等之上，UBA解决方案通过监控和分析每位员工的行为，比较当前和过去的行为和沟通，寻找可能表明潜在威胁的异常情况，以便发送警报供其他团队做出响应。

从定义到监控基于行为的基本威胁，到上升到具体的潜在或明确威胁，报告提示了一些具体的异常活动检测项，如登陆异常、程序使用异常、过度打印、复制敏感数据、创建后门等等。在这方面，两项技术能够帮助到企业，分别是UAM用户活动监控和SIEM安全信息事件管理，其中技术应用的不同各有优势，其中前者在用户行为的可见性方面更优，后者则是一个综合型解决方案，不仅能提供内部威胁的数据溯源能力。

相比外部威胁的不确定性，来自内部员工的疏忽或恶意行为相对更加直接，在我国，员工离职后报复恶意破坏公司数据的司法案件就屡次上演，这强调了企业防范内部威胁的重要性。

对于大多数试图识别内部威胁的企业来说，最大的挑战是了解员工的行为和行动，当前，国内数据安全赛道绝大多数安全产品都融合了UBA技术，通过用户行为的全面分析和审计，从而落地解决企业的内部安全风险问题。