放眼全球,今年數據泄露大事件更是數不勝數:豐田汽車約29.6萬條客戶個人信息被泄露,英特爾第十代處理器Alder Lake BIOS 的源代碼泄露……轉向國內,今年也發生幾次備受矚目的大規模“數據泄露”安全事件,包括:騰訊QQ大面積賬號被盜,學習通1.7273億條用戶數據泄露,西北工業大學遭美國國家安全局網絡攻擊泄露140GB高價值數據等。
這些熱點事件只是當下網絡安全事件的一個縮影。數字化時代,網絡攻擊日益呈現手段專業化、目的商業化、源頭國際化的趨勢,網絡攻擊的主要目標包括金融、通信、交通、能源、政務網絡在內的關鍵信息基礎設施,通過持續侵入控制重要網絡系統,竊取敏感數據。而關鍵信息基礎設施一旦遭到破壞、喪失功能或者數據泄露勢必會威脅國家安全,國計民生以及公共利益。
為了避免網絡數據安全事件,近兩年來國家立法并相繼頒行《網絡安全法》《數據安全法》《關鍵信息基礎設施安全保護條例》等多項法律法規并從嚴監管,而企業也會采取各種有效措施來降低網絡數據安全事件發生的風險。但是,要做到真空安全,完全杜絕網絡數據安全事件的發生概率是幾乎不可能的。既然數據安全事件無法杜絕,聰明的企業會采用主動措施,在數據安全事件發生之前主動全面監控網絡數據活動,預防并及時預警高風險數據威脅風險,并采取措施及時扼制數據泄露風險,極大降低或避免企業遭受損失的概率。
如同物理世界中的案件偵緝一樣,一旦網絡空間發生數據安全事件,就需要對事件進行溯源,抓取證據鏈,追責去責,最大限度追回損失并保障業務運行穩定。溯源的另一個目的是從事故中吸取教訓,采取必要糾正措施避免類似事件再次發生。歸結如此,關于“溯源”一個極其重要的指標因素就是要找到網絡數據安全事件的“主體”。
傳統的溯源手段基于數據安全事件的網絡五元組數據,用事件的源IP地址找出當時對應的設備。找出的設備可以是網絡上的任何節點,比如移動設備、打印機、計算機、服務器,或網絡設備(比如交換機,路由器等),此網絡節點設備就是事件的主體。
這樣找出的網絡數據安全事件主體雖可以幫助事件稽查人員完成事件調查報告,解釋事件“真相”,但卻很難從“真相”中吸取教訓,并制定糾正和反制措施。因此,進化的溯源要求在此基礎上運用不同網絡應用的日志進行關聯,找出事件當事人。這樣關聯出來的“當事人”就變成了事件主體。似乎這樣,領導就可以找“當事人”談話,了解具體情況,制定糾正措施并培訓員工,避免類似事件再次發生,對溯源目標做到完美閉環。
通過系統應用的日志關聯出來的“當事人”通常會被當成“壞人”,而實際情況卻可能是這位“當事人”根本不是“壞人”,當他們和領導談話時會完全崩潰,而且對事件發生一無所知。因此,要想溯源徹底,事件主體除了“設備”和“人”之外,還要追溯到“代理”。
“代理”是一個小程序(比如微信小程序)或插件,可用多種計算機(編譯或解析)語言來完成。“代理”可以是“人”在“設備”上主動啟用,也可以是通過其他方式自動啟用。每個網絡活動在“設備”上都有一個“代理”。如果網絡數據安全事件發生,而追溯的“當事人”一無所知,原因基本上就是在其“設備”上有惡意的“代理”在作怪。找出這個“代理”是溯源軟件的終極目標。好在利用現代大數據工具和機器學習算法可對各種“代理”進行聚類及畫像,讓我們距離找到網絡數據安全事件主體的溯源軟件又近了一步。
全息網御多年專注于行為數據驅動安全領域的技術研發,潛心開發的數據安全溯源平臺對數據安全事件主體“設備”,“人”和“代理”按照時間序列進行多維關聯,實時動態加載到數據活動安全周期中,真實還原每個數據活動場景,更加全面健全數據安全溯源系統,能夠幫助企業做到真正全鏈條把控數據風險。
