隨著云計算、大數據、移動互聯網、人工智能等技術的蓬勃發展，以數據為核心的智能化革命正在成為產業轉型升級的新動力和新引擎，大量高價值數據資產源源不斷產生，數據泄漏風險日益凸顯。據美國Verizon 2020年《數據泄露調查報告》統計，70%的數據泄漏是由于擁有數據訪問權限的內部人員竊取、濫用造成的。

　　近年來，國家不斷加強數據司法保護，《網絡安全法》、《數據安全保護法》、《個人信息保護法》等相繼出臺實施，數據安全保護法律法規日益完善。如何避免內部人員泄漏敏感數據以及滿足法律合規要求，現已成為各企業在安全管理中的主要威脅與工作重點，企業組織對融合行為分析能力數據防泄漏應用的需求大幅提升。基于上述背景，發布本期牛品推薦——明朝萬達：基于UEBA的數據防泄漏解決方案。

　　牛品推薦

　　第三十三期

　　標簽

　　01

　　數據安全、數據防泄漏、用戶與實體行為分析、行為管控

　　用戶痛點

　　02

　　1、海量事件難于應對

　　根據思科的一份調查報告，77%的中型企業發現，從數量繁多的安全解決方案中找出真正有價值的安全警報非常困難。

　　2、惡意人員難以防范

　　心懷惡意的內鬼、失陷賬號與失陷主機導致的各種數據泄露手段不斷升級，網絡犯罪分子也在不斷提升專業竊取技術，意圖突破數據防泄漏產品安全防線。

　　3、潛在風險無法識別

　　傳統DLP無法進行組合式深度分析，也缺少多角度全景呈現，單憑客戶自身，很難從中真正發現惡意人員與實體。

　　解決方案

　　03

　　針對傳統DLP基于規則匹配的工作模式，無法發現未知風險，靈活性欠佳，存在誤報等問題。明朝萬達數據防泄漏系統利用UEBA（用戶和實體行為分析）技術，對每個用戶建立模型，多維度統計用戶歷史基線、部門歷史基線及群組歷史基線，實時檢測用戶偏離基線的行為。針對出現的統計指標異常、時序異常、模式異常等異常行為，采用深度學習算法進行異常行為檢測，多維度動態評估全網用戶數據泄漏的風險值。

　　基于規則匹配的傳統DLP轉向基于行為分析的增強DLP

　　基于行為分析的明朝萬達數據防泄漏系統可實現對企業數據資產使用情況的事前預測、事中阻斷、事后溯源全閉環管控。

　　1、事前預測

　　利用深度學習技術，檢測與其行為相似的個體并進行全網風險評估。可事前對未知數據泄漏風險進行有效預警，克服了傳統DLP基于模式匹配只能應對內部人員正在發生泄漏事件的局限。

　　2、事中阻斷

　　由明朝萬達安全策略專家依據經驗積累和客戶場景制定一系列保護企業核心數據資產的防泄漏策略，并可根據變化的內部用戶風險值，動態調整相應策略，一旦發現用戶行為超出可信區間，即可自動實施阻斷等措施，大大降低了數據泄漏事件的誤報率。

　　3、事后溯源

　　依托明朝萬達部署在云端的數據泄露監測平臺，實時感知暗網、網盤文庫、代碼托管、群聊論壇等渠道企業數據分布情況，第一時間發現數據資產泄露風險。可聯動企業內部DLP平臺，進行溯源分析，還原泄露場景，找出可疑用戶與實體，生成數據泄露報告并通知企業管理員，在實際場景中真正起到對內部數據泄漏的防范作用。

　　數據防泄漏整體解決方案

　　應用場景介紹

　　某待離職人員，已知曉其所在企業部署了數據防泄漏系統，該人員將內部數據通過拆解的形式，少量多次外發，試圖繞過安全策略。基于行為分析的數據防泄漏整體解決方案，依據該人員歷史外發基線、部門歷史外發基線、群組歷史外發基線和內置場景模型，發現該人員最近頻繁瀏覽招聘網站，存在外發簡歷情況，根據系統分析，多維動態評估判定該人員有惡意外發數據行為，立即調整策略，實行定向阻斷。并對已經外發的數據實行全網監測溯源，后發現某百度文庫內出現部分高度同源數據，立即將相關信息生成數據泄露報告發送至所屬企業郵箱。后經查證，此用戶在有了離職意愿后把企業內部技術資料同步至百度網盤。

　　通常企業為了保證業務的連續性，既定的策略往往很寬松，無法發現該緩慢泄漏行為。部分DLP廠商針對這種情況，支持判定一定時間內，人員外發數據總量是否達到既定閾值，但這種檢測效果很大程度上依賴于人為設定閾值的合理性，并且僅僅依賴外發數據閾值單一特征不足以判定其行為異常，存在一定的誤報率。最為嚴重的是，無法對已經泄露的部分數據進行全網溯源，泄露數據是否已經發生了擴散，程度如何都無從知曉。明朝萬達的數據防泄漏解決方案，通過將UEBA于DLP進一步結合，進一步實現了對諸如上述實際場景中的內部數據泄漏問題的防護預警，保證了企業的數據安全。

　　用戶反饋

　　04

　　將用戶實體行為分析（UEBA）應用到數據防泄漏領域，明朝萬達是屬于最早能夠落地的產品供應商之一。

　　——某安全行業協會負責人

　　明朝萬達的數據防泄漏產品技術思路新穎，實施服務能力最好，解決了其它產品無法解決的問題。

　　——某銀行科技部門負責人

　　明朝萬達始終堅持以客戶實際訴求為己任，在數據防泄漏技術、流程、服務上不斷創新，始終堅持交付客戶的產品能發揮真正的價值。

　　——某高校網絡空間安全學院院長

　　安全牛評

　　數據泄露的風險一方面來自于外部的竊取，另一方面也可能來自于內部的有意或無意的泄露。傳統的DLP產品更多的是發現獨立事件，無法將多事件以整體的方式呈現。而UEBA技術的優勢在于，將關注點聚焦于行為主體，不僅是對泄露事件告警，更是通過對行為主題畫像評分，起到預警的作用。UEBA技術讓DLP更加智能化，這就減少了人的行為干擾，內部人員的主觀惡意行為也能被監測到。UEBA與DLP結合將為已經趨于成熟的DLP產品提供新的研發方向，綜合提升DLP產品的實用性。

　　明朝萬達的DLP產品可以認為是一個體系，完成了整體的事前、事中、事后的綜合防護處置流程，及時有效的在海量數據中發現數據泄露風險，并快速處置的同時，對未來的泄露風險提高預測能力。