如何避免员工盗取企业数据 薮猫科技分享数据安全内部威胁解决之道

前不久，日本电报电话公司因临时员工盗取公司重要数据并售卖的新闻被曝光，该起事件发生之后因受到上级单位监管处罚，该公司总裁森林正彰也因事件宣布将于3月底引咎辞职，但有一点他们是积极的，那就是宣布接下来将启动一项6000余万美元的网络安全投资计划，以全面加强内外部的网络安全防御和管理。

进入数字时代，企业正在产生比以往更多的并极具价值的数据，这些数据有的是企业客户服务的用户隐私数据，有的是企业核心的生产数据，安全的最大推动力合规安全（个人信息保护法、数据安全法）要求，这些数据需要通过丰富的安全实践予以保护，这些保护措施不仅包含外部风险，也需兼顾并不被广泛关注到的内部风险之上。

数据的重要性有多高，相应地就需要付出多大的力度予以保护。那么在技术层面如何保护企业敏感数据的内部威胁？带着这一问题，安全419最近走进数据安全初创厂商薮猫科技，与薮猫科技技术总监孙超进行了深入交流，为大家全面了解了他们的数据安全内部威胁的解决之道。

数据安全的内部威胁往往是网络安全中最被忽视的方面之一，这一威胁主要体现分为：员工的恶意破坏与非法行为，以及员工的无意识疏忽。根据孙超介绍来看，国内的数据安全产品对于企业数据内部保护已经走过了二十余年的发展路程，其中早期的产品和解决方案在解决内部威胁上比较粗暴，其主要采用加密和敏感数据检测这两种方式，这些技术手段不能说是过时，但已经很难适用当前的企业业务发展阶段。

企业与企业之间的业务沟通，员工与员工之间的工作协同，都需要用到企业的大量数据，如果企业的敏感数据仍然采用加密的这种粗暴方式去处理就变得不那么现实，虽然可以有审批机制在其中发挥作用，但采用这种管理方式多半会在长期的工作环境中变为形式主义。所以孙超就明确提出，解决企业的内部安全威胁，必须是建立在不会影响业务的前提之下，这也是当前CSO们的主要考量。

解决企业的内部安全威胁，重点地对内部数据予以保护，从法律合规角度来看，从网络安全法和数据安全法的施行，以及相关配套的标准、意见、办法的出台，已经给出了相应的框架型方案。孙超指出，就以各行业当前都在进行的数据分类分级工作为例，其实强调的就是从过去简单粗暴的方式，正式过渡到分级保护思路上的演变，这也是当前数据治理的核心理念。

企业内部不是所有数据都需要重点保护，在数据分类分级之后，不同等级的数据会采用不同的保护措施，其中重要数据一定是需要重点保护的，亦是将有限的安全成本投入到高价值目标上。这也是数据分类分级的核心理念，即保护最重要的数据，对不重要且敏感的数据进行宽松处理。当然在实际应用中，需要根据企业的特点和需求进行分级，这方面各行业都有各行业的标准。

至于安全厂商们当前对于数据安全的内部威胁的理解也在发生变化，以薮猫科技为例，他们当前的解法是在基于数据在内部流转过程中实现基于技术层面的风险发现和阻断，从而带来有效的数据安全内部风险管理。孙超进一步强调，任何场景下都没有百分百的安全，CSO在解决企业安全方面最重要的是守住底线。另外当企业数据资产在数字时代业务场景不断冲击之下带来的增量上的变化，以及业务协同上的变化，企业投入安全还必须平衡其中的核心逻辑问题，那就是必须考虑安全与业务之间的平衡问题，要解决这种平衡，制度与技术两者带来的管理方式均不可或缺。

青骓数据风险检测与响应产品 DDR（Data Detection and Response）目前是薮猫科技2021年成立以来的商业化主打产品，作为一款数据的DR产品，也就是说他会随时对企业的内部数据风险进行检测，并且能够做到在技术上的及时响应。

根据孙超的介绍，薮猫科技DDR具备快速部署特点，并且支持桌管或AD程序静默安装和静默运行。其作为一款端类产品在全面部署之后的整体工作流程上，最先做的企业数据资产的全面清点，借助系统内部针对全行业的数据分类分级标准流程，全面地为企业提供可视化管理分散在企业员工终端上的数据资产，这也是数据安全内部管理措施的源头。这一部分的工作重点就是要对不同等级的数据提供分级保护，从而从技术上建立起一套符合现代化业务逻辑的数据安全管理模式。

在进入DDR产品应用的第二个环节，则是对所有的数据资产在基于全面现代化办公场景下的流转追踪。举个例子，如果有员工从企业的云服务器上下载了一份代码文件，或是数据库文件，这一行为本身就会被追踪并记录在案，而员工在之后有无意或恶意的私传或盗取该文件，则会立即触发响应阶段的告警拦截机制，从而阻断员工的不安全行为。

DDR产品的第三个环节，则是多源技术的汇聚以达到可控的安全管理手段。这一部分的工作最重要的就是阻断风险，从数据流转检测追踪进入到响应阶段，系统可对应不同等级数据的保护机制，对应设定放行、审计、告警、阻断，以及需要通过领导审批等对应措施，其提供了灵活的管控方式，从而在不影响业务的前提下避免敏感数据的有意或无意的内部数据风险行为。

从了解上来看，薮猫科技的DDR产品从易于企业管理的角度给予了多种技术予以保障数据安全的内部风险，该DDR产品主要是从用户的数据流转的行为侧进行检测，在风险的源头，比如通过社交软件私发，U盘拷贝，邮箱外发，云存储保存等等全风险渠道行为之前判断并匹配相应的安全机制，并且在技术上，通过不同的明暗水印技术，终端“行车记录仪”等技术，以便管理人员随时进行违规取证和溯源追查。

从安全层面来言，薮猫科技的DDR产品提供基本的网络准入功能，从利于管理的角度来说，该DDR本身既是一款终端数据风险管控产品，也全面提供桌面管理功能。另外薮猫科技为其DDR产品采用了模块化设计，同时支持一键关停或部分关停，这一功能的提供也为管理人员带来了风险管理的灵活性和稳定性。在技术上如触发了风险报警，系统则会通过企业IM向管理人员及时发送通知，同时全面提供自定义的风险报告。

从孙超的介绍来看，薮猫科技的DDR产品也在随着技术的演变，一直在不断地迭代升级。比如在系统应用的第一步企业内部数据的全面清点上，他们就利用了自研的AI大语言模型技术，从而辅助提高数据分析识别的准确性，有了这一技术的加持其数据分类分级的保护工作也才能更加精准。在现场我们也看到了该技术在具体应用时的直观表现，当然在具体的产品应用部署时，还需要业务侧的进一步确认。

孙超也向我们介绍了薮猫科技DDR解决方案在某大型集团企业的落地实践案例，该案例中，DDR产品在部署时从面向该集团的全面业务调研，到集团多部门架构下的全数据的分类分级制定与确认，该方案实际部署时根据其业务特点划分了9大业务模块，通过500多条内容识别策略，和近30个具体的管控策略，全面实现了集团内十余个部门的数千端点的内部数据安全的审计与管理。

在产品后台，企业的安全管理人员可以全面了解企业内部数据的分布，与日常使用流转情况，除了系统级管控策略下的可管可控，安全管理人员也可以直接干预以消除威胁。举例来说，管理人员可以看到都有哪些人会频繁接触到企业核心的敏感数据，他们的行为是否属于正常操作，而在该案例中基于客户实际面临的核心风险窗口，其主要监管范围为敏感数据的外发和转存行为，以及异常文件打印监管。

从安全运营角度来看，DDR部署之后最先解决的一个突出问题，也是该企业之前没有留意到的一个问题，那就是当前应用软件自带的云同步、云存储功能的滥用问题。考量这一行为本身可能是员工的无意识行为，但考虑应用软件这一功能的普遍存在，并且从能够集中有效管控角度来说，也是提前为该集团消除了潜在的数据泄露事件。

在薮猫科技DDR解决方案部署之后，该集团企业在原有的数据安全设计方案之外落地到了每一个终端，利用其全面的技术功能点建立起了完善的数据安全内部风险管理体系，企业可以及时地捕捉到来自内部的数据流转过程中的安全风险，其中对结构化数据通过技术工具进行管控，对非结构化数据通过管理制度进行管控，也是全面达到了内部数据安全管控的事前感知、事中控制、事后溯源定责的既定预期。

在内部威胁方面，有数据表明企业平均每月会有2.5%的员工存在有意或无意的敏感数据泄露行为，这一占比并不算高，但延长到半年时间线中，造成数据泄露行为的占比就会上升到企业员工占比的接近10%的比例。在实际的企业数据泄露安全事件当中，更是有75%的事件可追溯为员工的无意或恶意行为。以上这些数据表明了数据安全的内部威胁是一种普遍的威胁。

员工是第一道防线，也是最后一道防线，构建内部风险解决方案应该是每家公司的安全战略的重要部分。从薮猫科技对应的产品和技术的了解来看，其具备数据资产测绘、数据分类分级、数据流转追踪、风险阻断、违规取证等多种技术汇聚而成，其既是一套安全的技术工具，也是一套安全的管理工具。在这样一套技术和管理工具部署之后，客户一侧还可以根据自身的业务需求来做灵活的策略调整，从而将安全按需融入业务当中，从而为客户在数字时代更加安全地激发数据价值。