0x00、安全业务需求

2018年6月份，IBM针对全球470家公司，2200+数据泄露案例做了深入的调查分析，发现Top5行业分布：金融行业 16%、服务行业 15%、制造业14%、高新技术行业13%、零售业 7%。数据丢失的主要原因：

1、来至外部黑客攻击和来至内部人员窃取48%

2、员工信息处理不当27%

3、系统故障25% （应用错误，以外的数据转存/泄露，数据传输过程中的逻辑错误, 身份验证失败, 数据恢复失败等）

数据泄漏衡量指标：

1、MTTI （Mean time to identify）检测到泄露事件发生的时间

2、MTTC（mean time to contain）解决泄漏时间和最终恢复服务的时间

我们将如何解决呢？

1、组建数据泄露事件响应团队

2、广泛是用加密/DLP/数据分级

3、员工培训

4、威胁情报共享

5、商业保险

看了这份报告后，其实它指出了传统行业数据防泄漏如何去做，但是没有考虑在公有云环境下，我们应该如何去做。

0x01、公有云数据防泄漏解决方案

笔者有幸在前几年参与过国内Top制造业和地图公司的数据防泄漏项目，先聊聊传统行业是如何做的。

1、深入业务部门做涉密数据、数据分级、传输途径、存储位置以及使用人及部门调研，最终形成业务系统数据流转图。（人工）

2、通过数据防泄密系统自动化监控网络、主机的数据泄露风险评估。

3、部署DLP系统阻断以上泄露途径。

传统的数据存储位置一般都是内部网盘、文件服务器、PC本地。泄漏点途径：U盘、打印、MSN、应用程序控制、https上传等。

数据防泄漏产品经过这几年的发展，技术方面已经产生了很大的变化，传统的数据分级已经变成AI方式识别和分类、通过正则表达式、文件指纹的方式也逐步被AI机器学习方式所取代。数据落磁加密已经从传统的Agent透明加密演变成以KMS为核心的文件加密系统。

在公有云上，我们数据存储数据的位置也发生了改变，从文件服务器已经升级成了对象存储OSS。客户端的工作方式已经从传统网络迁移到公有云环境，如何你想获取内部文件一般都是使用CASB客户端或者VPN登陆到云端VPC内部才和获取机密数据使用。

那么公有云数据防泄漏产品需要具备以下功能点：

1、可通过机器学习自动发现、分类和保护云中的敏感数据、建立机密数据流转图。

2、在控制面板中看到敏感数据是如何被使用的、存储到什么位置。

3、有能力检测到未知授权的访问和数据意外泄露报警。

4、有能力满足GDPR、PCI-DSS、国内等保方面的安全合规。

0x02、数据防泄漏产品详细设计

业务流程分析：

· 操作用户：云端的用户身份识别可以从两个方面收集：公有云控制台IAM子账号。在云上做的任何一个API的操作都需要记录下来，另外一方面是通过CASB或者VPN拨入VPC中的账号。

· 敏感数据：无论是在对象存储、RDS、自建数据库（MySQL、redis）、个人PC中、应用系统中等数据。要通过record item方式展示给租户。可以分成两大类：一类是客户数据（信用卡数据、身份证数据、个人医疗金融数据等）、另外一类是公司数据（HR数据、上市计划等）

· 数据流转：静态的数据一定要经过处理才能产生更有价值的业务流程。例如：

· 业务流程：财务人员把各个分公司的基础财务报表生成管理层报表->CFO查看->德勤（财务审计）所以要从全业务链（数据采集、转换、保存和传输）无死角监控。

在这个敏感数据处理流程中，我们的数据审计人员需要知道的是：

1、本业务流程谁接触了数据：会计、CFO、德勤

2、本业务流程数据处理那些涉密数据：财务报告

3、业务流转中涉及到哪里API操作：业务系统审计API、OSS上传下载API、电子邮件发送API

那么我们可以获取更高级的安全事件：

1、数据越权访问，其他部门的工作人员访问财务报告属于越权访问

2、数据访问异常，整个流程API调用都很少的，如果有海量的调用，有可能被黑客入侵。

数据安全防泄密流程中哪些过程可以自动化？

1、数据发现（OSS上传数据、CASB客户端感知到财务数据下载到终端）

2、数据分级（通过NLP识别财务报告、通过机器学习分类算法归类财务数据）

3、异常告警（数据越权访问、数据访问异常等）

那么这个流程需要人工做什么呢？

人工调整业务流程。

那么我们抽象一下整个业务流程：

DASHBOARD

主要功能：告诉企业内审人员有多少用户、访问多少敏感信息、它们的来源以及衡量数据泄露安全指标。

1、MTTI

2、用户身份  

3、记录条目：record：personal information、username、email、address、salary、文档。

4、数据源： OSS、RDS、自建数据库（MySQL、redis等）、业务系统等。

DATA FLOW

主要功能：自动识别记录工作流，同时兼顾人工调整

1、工作流显示、调整

2、自动导出审计报告

ALERT

主要功能：查询数据泄露告警事件、完成内审流程。

1、查询合规检测、数据越权访问、异常行为等告警事件。

2、提供内审工作流，提高内审效率。

0x03、展望

人工智能技术又一次颠覆了传统数据防泄漏安全产品，让我们拥抱这种小趋势，最终革新整个信息安全产业。