压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

數據保護從來并非易事，隨著數據變得更龐大、多樣化和廣泛分布，保護工作會變得更具挑戰性。由于組織現在需要更多共享數據，企業的數據分布開始從內部環境轉向多種類型的云存儲平臺，這使得現有的以DLP為代表的數據保護做法不再有效。企業需要一種更加實時、更加主動的數據訪問控制方法，利用人工智能和自然語言處理（NLP）等先進技術提供內容動態洞察，并根據語義上下文進行風險評估。

在此背景下，一種新興的數據安全威脅檢測和響應技術（Data Detection and Response,DDR）被提出，并被廣泛視為新一代的數據泄露防護方法。在DDR技術方案中，引入了動態監控的概念，可以在包括云在內的各種數字化環境中實現對數據的實時安全監測和響應。為了讓企業組織更好地了解這種新興的數據安全防護方法，本文將對DDR的定義、工作原理、應用價值、威脅模型等進行分析。

DDR的定義與特點

目前的數據泄露防護技術依賴基于提前配置的規則過濾來保護數據的流動，有較高的規則、策略設置要求；同時，DLP需要以數據分級分類作為應用前提。對企業用戶而言，手動或半自動化分類數據面臨無法克服的挑戰，用戶很難一致且準確地對他們擁有的全部數據進行識別發現。而DDR是一種自主的數據訪問控制方法，可以利用人工智能和自然語言處理（NLP）等先進技術提供內容動態洞察，并根據語義上下文進行風險評估。

相比傳統DLP技術，DDR更加側重于實時、主動的威脅監測、檢測和響應，它能夠在CSPM和DSPM等工具提供的靜態防御之上補充動態監控能力。簡而言之，DDR解決方案是使用實時日志分析來監控數據，并實時檢測新出現的數據風險。

在大數據時代，監控每個數據的使用行為并不切實際，因此在DDR方案中需要包括數據安全和風險管理（DSPM）功能，以便發現和分類數據資產。DSPM可以檢測出存在風險的數據資產并確定這些風險的優先級，DDR方案會根據DSPM的分析結果重點監控與風險相關的數據資產相關活動。DDR工具會幾乎實時地解析與風險數據資產相關的日志，并使用威脅模型來識別可疑活動，例如數據流向外部賬戶。

如果發現新的風險，DDR會發出警報，并提供最佳的響應措施建議。這些警報通常需要緊急處理，需要立即采取行動。DDR警報常常在SOC/SOAR解決方案中直接使用，以更好地適應現有的業務操作，并縮短解決問題的時間。

DDR技術的應用價值

DDR提供了現有數據安全保護所缺少的關鍵任務功能。當以代理為主的保護模式行不通時，用戶需要能夠更及時地監控與數據有關的每個活動，這時DDR工具就可以發揮作用。它旨在保護數據不被泄露或濫用以及不違反法律法規，同時通過與SIEM或SOC等技術方案集成，DDR技術有助于減少組織的安全運營支出，使團隊能夠在一個集成的平臺上處理所有的安全警報。

DDR技術應用的5個優勢

• 在靜態防御基礎上增強主動防御能力

2018年發生的Imperva攻擊案例是一個值得借鑒的教訓，它展示了靜態數據安全防御的局限性。該攻擊始于攻擊者獲取包含敏感數據的Amazon RDS數據庫的快照，并利用從錯誤配置的計算實例中竊取的AWS API密鑰。這是一個經常存在的數據安全薄弱環節。

盡管CSPM工具能夠識別配置錯誤，而DSPM工具能夠檢測到存儲在配置錯誤實例上的敏感數據，但Imperva攻擊案例顯示了這些防護方法的局限性。一旦攻擊者獲得合法的訪問權限，他們的異常行為將無法被識別。

Imperva事件是在發生后十個月才通過第三方發現的。在此期間，該公司對于敏感數據已經泄露并無感知，也無法通知其用戶。而DDR解決方案在此類事件發生時就能夠及時識別此類攻擊，并提醒內部安全團隊，使他們能夠立即做出響應，而不是在數月之后才發現。這種實時地監控和響應能力可以增強對潛在威脅的感知，幫助組織更快地采取適當的行動，以減輕潛在的損失。

• 滿足云環境下的數據應用需求

隨著企業對計算技術的采用日益增長，監控數據資產的挑戰變得更加突出。業務和數據團隊不斷尋求通過分析工具提升盈利能力的新方法。這通常意味著采用多種不同的工具和技術，包括數據庫、無服務器查詢引擎、商業智能和數據科學平臺。而在開發端，微服務架構將代碼庫拆分成數十甚至數百個較小的服務，每個服務也都會伴隨著各自的數據資產。

這種復雜性增加了數據追蹤、管理以及安全防護的難度。有效的數據安全策略應該防止敏感數據在沒有充分理由的情況下被復制，但實際情況往往比較混亂。此外，混合和多云環境越來越受歡迎，也進一步增加了數據復雜性。由于數據分布在如此多的潛在目標上，攻擊面變得難以監控。

• 實現無代理的DLP

在考慮到數據成為網絡攻擊（如勒索軟件）的首要目標時，實時監控數據資產顯然是必要的。然而，許多企業面臨著保護敏感數據的有效方法缺失的問題。在云出現之前，工作主要在個人電腦上進行，這些電腦通過內部網絡與服務器相連。安全團隊可以通過在每個可以訪問組織數據的設備和終端上安裝代理（如防病毒工具）來監控流量和活動。

然而，云計算的興起讓現在的數據保護情況大不相同。如果沒有運行云數據庫或Kubernetes環境的系統，就無法在其上安裝代理。因此，數據丟失預防（DLP）變得非常棘手。因此，業界傾向于采用DDR技術以改善云數據存儲的安全態勢。這類工具會試圖檢測錯誤配置和暴露的數據資產，從而盡量縮小云上的數據資產攻擊面。

• 跨環境的統一威脅模型

DDR允許組織統一監控所有的云上數據活動，而不是為每個數據服務構建臨時解決方案或依賴一系列安全工具的拼湊。只要部署了一套數據威脅模型，它可以應用于存儲敏感數據的每個環境。DDR取代了傳統從每個數據庫或虛擬機收集、解析和分析數據的勞動密集型過程。這有助于安全團隊減少工作負擔，并將精力集中在管理戰略風險上，而不是在處理數十個或數百個潛在漏洞時進行無謂的努力。

DDR中的威脅檢測模型

DDR技術的應用核心是在數據生產和運營體系中嵌入數據安全屬性，以解決數據應用過程中的數據安全問題，其主要特點是能夠根據應用程序和用戶操作所處的上下文時間、位置、數據敏感性等因素，做出精確、智能的安全性判斷與決策。雖然許多DDR解決方案可能會在未來幾年內出現，但它們之間的區別就在于是否能夠為實時檢測提供高質量的威脅檢測模型。

威脅模型是DDR解決方案的關鍵組成部分，因為僅僅依靠實時訪問和解析日志進行檢測是遠遠不夠的。企業組織每天都會發生大量的數據事件，例如新數據服務的上線、新數據存儲的創建以及備份和快照的生成。如果DDR工具無法準確識別其中哪些事件構成實際風險，就會導致關鍵事件被漏過，或者安全團隊面臨大量誤報的困擾，這進一步加重了已經備受通知過多困擾的問題。

DDR的威脅模型應該由網絡安全研究人員開發并不斷完善，在設計DDR的威脅檢測模型時，重點需要考慮以下因素：

• 以前的數據泄露中揭示的攻擊模式；
• 每個數據服務中的特定弱點，以及攻擊者可能會如何利用這些弱點；
• 安全事件在系統日志中留下的獨特印跡。

參考鏈接：

https://www.dig.security/post/an-introduction-to-data-detection-and-response-ddr