刘 慧,李 军,刘鉴竹
(中电科网络安全科技股份有限公司,四川 成都 610095)
IBM 安全团队于2023 年7 月发布的Cost of Data Breach Report显示,2023 年全球数据泄露的平均成本达到445 万美元,创该报告有史以来最高纪录,也较过去3 年均值增长了15%[1]。同月,著名咨询机构Verizon 发布了《2023 年数据泄露报告》,该报告对2022 年一年发生的16 312 起安全事件和5 199 起数据泄露事件进行了分析。报告显示,人是数据泄露事件的关键因素,安全事件涉及人为因素的占比为74%,包括人为错误、滥用职权、使用被盗凭证,以及社会工程学攻击,而人在安全事件中始终扮演着非常重要的角色[2]。在所有这些泄密事件中,内部威胁(即来自公司内部员工的威胁)在数据泄露事件中占据了较大的比例。
近年来,内网数据泄露案例层出不穷[3],例如2018 年7 月,某市保密局在工作中发现,该市科技局办公室副主任孙某使用的非涉密计算机中存储、处理涉密文件资料,共收集了包括1 份机密级、7 份秘密级在内的1 100 多份发改领域文件资料,孙某使用移动硬盘将部分数据导出至其在科技局的办公电脑,直至案发[4];2021 年5 月,某单位收到上级下发的秘密级工作方案,要求逐级参照制定,该单位业务部门负责人王某安排工作人员赵某负责起草方案,赵某“依葫芦画瓢”拟好初稿,便草草提交到单位内网的非涉密电子公文系统,王某审阅文稿时,未发现定密疏漏,该单位的下属单位均据此方案制文,通过该系统层层转发,造成泄密[5]。
本文对企事业单位内部网络数据防泄露问题展开了深入的研究。从内网数据生命周期的角度梳理出数据泄露的场景,并提出了基于分析规则的流式实时分析和基于AI 检测的离线行为建模分析两种技术实现方法。
随着数据泄露问题日益严重,已经有许多研究和实践工作致力于开发数据防泄露解决方案。目前,数据防泄露的技术路线主要包括数据加密技术、权限管控技术和基于内容深度识别的通道防护技术,然而这些方法存在一些问题[6]。
数据加密技术是过去十年国内数据泄露防护的重要技术之一,它涵盖了磁盘加密、文件加密和透明文档加解密等技术路线。加密技术可以从数据泄露的源头保护数据,在数据离开企业内部后仍能起到防止数据泄露的作用。然而,加密技术的密钥管理非常复杂,一旦密钥丢失或加密后的数据损坏,将导致原始数据无法恢复。
权限管控技术通过设置特定的安全策略,在敏感数据文件生成、存储和传输时实现自动化保护。它还通过条件访问控制策略防止敏感数据非法复制、泄露和扩散等操作。权限管理策略与业务流程有密切关联,对用户现有的业务流程可能产生影响。
基于内容深度识别的通道防护技术以深度内容识别为核心,根据敏感数据内容策略定义,监控数据的外传通道,并对敏感数据的外泄进行审计或控制。然而,在一些内网环境中,由于政策法规要求及商业利益保护等原因,通常不允许外部程序直接提取文件的内容信息,因此该技术在某些内网中的应用受到限制。
使用以上技术的传统数据防泄露产品主要侧重于静态的数据保护,往往忽视了用户行为导致的数据泄露场景,无法对内网用户的行为进行全面监测和分析,也无法有效识别和防止用户通过合法但有潜在风险的行为泄露数据,内网数据泄露的挑战亟待解决。因此,需要一种新的数据防泄露机制来应对当前和未来的数据安全风险。
本文提出的基于行为分析的内网数据防泄露方法弥补了传统方法的不足,具有很大的优势和潜力。该方法能够关注用户的行为特征和动态变化,充分考虑用户在内网中可能导致数据泄露的行为场景。通过检测场景,分析和识别数据泄露风险,能有效监测内网数据泄露事件。
内部网络(简称内网)是采用Internet 技术,在政府机构、企事业单位内部建立的专用网络。它是日常办公和科研生产的重要网络,用于组织内部的数据交流和共享。内网数据通常包含组织的核心机密、财务报表、技术设计等高价值信息。这些数据一旦泄露会对组织甚至国家造成巨大损失,因此内部网络往往与国际互联网进行物理隔离或高强度逻辑隔离。
当前,大多数内部网络严格遵循等级保护的要求,实施了较为完善的防护措施[7],但内网数据泄露风险仍然存在,数据泄露事件时有发生。这些防护措施能够为数据泄露场景的研究提供条件,例如:依据组织内部情况或者相关法律法规对数据进行分类分级,控制数据的外发途径,限定数据内部的流转方式,建立安全审计机制等。对数据进行分类分级可以更准确地确定数据泄露的风险区域,挖掘基于分级数据的泄露场景;控制数据的外发途径,以及限定数据内部的流转方式,使得数据只能通过有限的、可控的途径外发或在网络内部流转,可以较为清晰地梳理出在数据外发和流转过程中潜在的泄露场景;建立安全审计机制,可以记录用户的操作日志、数据传输日志、网络访问日志等,这些日志可以被收集和分析,为数据泄露场景的分析提供基础数据源。
因此,基于内网的以上特点,可以依据内网数据分类分级情况、数据外发途径、数据流动方式、用户操作行为等梳理数据泄露场景。
内网数据泄露的途径多种多样,其中包括数据分级分类不准确导致被错误分发,弱密码或暴力破解工具获取登录凭证访问敏感数据,内部人员利用其内部访问权限故意窃取数据等,这些方式都与人的因素密不可分。
从内网数据生成、数据存储、数据访问、数据流转、数据外发、数据备份、数据销毁7 个阶段的生命周期出发,结合内网数据泄露的途径,可以全面了解数据在整个生命周期中可能面临的风险,梳理出如下数据泄露的场景,如图1 所示。
图1 数据泄露场景列表
以下场景中提及了两种数据泄露的对象,分别为敏感信息和商密文件。敏感信息指的是那些可能对个人、组织或业务造成损害或泄露的信息。这些信息可能包含个人身份信息、专利、客户数据、财务数据等。商密文件在本文中特指采用了密级标识技术,通过标识来表示保密等级的文件,例如核心商密等级、普通商密等级、非密等级。通过文件的密级标识可以进行适当的访问控制和保护措施。敏感信息包含了商密文件,但不仅限于商密文件。
数据生成阶段指的是数据的初始产生过程,包括用户各种形式的数据输入、记录、生成等活动。在这个阶段,数据可能因人为错误导致敏感信息被错误地记录或公开。
场景举例说明:商密文件预定的密级标识不正确,如将核心商密错误地标注为普通商密文件。这种情况会错误地设置该文件的访问权限,导致非授权人员可以获取到该文件的内容,引发数据泄露。通过结合文件创建操作日志、定密辅助系统日志进行关联分析可检测该场景。
针对该阶段梳理出的场景包括商密文件预定的密级标识不正确、敏感信息分级分类不正确。
数据存储阶段指的是用户将数据保存在各种存储设备或存储介质中,以便后续使用和访问。在这个阶段,内网中未设置存储设备的访问控制策略或者访问控制策略失效都会导致数据泄露。
场景举例说明:重要商密文件存储在非授权计算机的存储设备上,例如核心商密文件存储在未授权存储该保密等级的非密计算机存储设备上。由于非授权计算机没有适当的访问控制机制和物理安全措施,可能会导致非授权人员可以轻易访问或者设备被攻击而引发数据泄露。通过文件监控审计日志结合资产台账中该资产的保密等级信息,可检测该场景。
针对该阶段梳理出的场景包括:重要商密文件存储在非授权计算机的存储设备上,存储有敏感信息的存储设备或介质丢失。
数据访问阶段指的是获取和查看存储在内网中的数据的行为,包括本地文件访问、应用系统访问、数据库访问。
3.3.1 本地文件访问
如果用户在本地访问文件时,权限分配不当或者用户访问时通过截屏等方式故意泄密等情况都有可能发生数据泄露。
场景举例说明:用户访问不符合自身保密等级的商密文件。这种情况存在内部滥用数据的风险,也可能成为攻击者的目标,攻击者通过社交工程、恶意软件或其他方式获取用户的登录凭证,导致数据泄露。通过文件监控审计日志结合用户台账中用户的保密等级信息可检测该场景。
针对数据访问阶段中本地文件访问梳理出的场景包括:用户访问不符合自身保密等级的商密文件,用户访问知悉范围以外的敏感信息,用户查看敏感信息时使用手机拍照或录像,偏离个人基线的敏感信息访问,偏离群体基线的敏感信息访问,用户违规篡改/破坏商密文件密级标识,用户违规篡改/破坏商密文件内容,违反访问策略的敏感信息访问,用户查看敏感信息时截屏。
3.3.2 应用系统访问
用户对应用系统的恶意使用和非授权使用可能会导致数据泄露。
场景举例说明:偏离个人基线的敏感信息下载。当用户或员工的下载行为偏离其个人的正常行为模式时,如突发大规模地下载敏感文件,超出了其日常工作或需求的范围,这可能意味着用户正在进行大量数据的拷贝、备份或转移,增加了数据泄露的风险。通过创建个人下载敏感文件的基线,比对当前下载行为是否偏离基线的方式可检测该场景。
针对数据访问阶段中应用系统访问梳理出的场景包括:用户超授权范围访问重要应用系统、偏离个人基线的敏感信息下载(频次/数量)、偏离群体基线的敏感信息下载(频次/数量)、非法设备接入网络之后下载敏感信息、重要应用系统编程接口(Application Programming Interface,API)访问异常(时段/次数)。
3.3.3 数据库访问
数据库的访问控制策略不完善或已失效可能导致数据库的敏感信息泄露。
场景举例说明:普通用户直接访问重要应用系统数据库。重要应用系统往往会有严格的访问控制机制,普通用户通常不具备直接访问数据库的权限。但如果用户通过一些技术手段,如利用漏洞或采用非授权的账户登录,绕过访问控制,直接访问数据库,就有可能导致数据泄露。利用数据库操作审计日志,结合用户台账信息关联分析可检测该场景。
针对数据访问阶段中数据库访问梳理出的场景包括:重要应用系统数据库访问控制违规,重要应用系统数据库访问偏离基线(周期、时序、动作、时长、频次),普通用户直接访问重要应用系统数据库。
数据流转阶段指的是数据在内部网络进行传输和流动的过程。相比外网,内网中的数据流转手段和方式较少,限制更严格,通过专用的内部流转程序和系统完成,例如基于身份认证的邮件系统、电子公文交换系统。这类系统虽然有权限和访问控制策略,但有时也会出现由于人为疏忽未建立合适的访问控制策略或者访问控制策略失效的情况。
场景举例说明:商密文件向非授权人员流转,指的是标识了保密等级的商密文件向不符合该密级访问权限的人员流转,可能由人为失误、权限管理不当或恶意行为引发,导致信息泄露。通过邮件收发日志、文件传输日志,结合人员台账信息,设置匹配规则可检测该场景。
针对该阶段梳理出的场景包括:商密文件向非授权网络流转,商密文件向非授权安全域流转,商密文件向非授权设备流转,商密文件向非授权人员流转。
数据外发阶段指的是将数据带出内部网络的行为。这包括将数据打印、刻录、复制到可移动介质,通过外接网络非法传输等方式。在这个阶段中,人为因素是导致数据泄露的直接原因,可能由于个人动机、疏忽大意或不当操作而发生。针对该阶段梳理出的场景包括打印/刻录带出、外设带出、网络带出3 类。
3.5.1 打印/刻录带出类
场景举例说明:用户违规降低商密文件密级后打印/刻录商密文件,指用户故意或错误地将高保密等级文件的密级降低,并将其打印或刻录到低密级介质中的行为,例如将核心商密文件的密级修改为非密文件之后打印带走。通过文件监控审计日志、打印刻录日志,关联用户降密操作和打印刻录行为进行分析,可检测出该场景。
针对数据外发阶段中打印/刻录带出类梳理出的场景包括:用户违规夹带打印/刻录敏感信息,用户违规降低商密文件密级后打印/刻录商密文件,用户多次登录失败后成功登录操作系统(疑似暴力破解)并打印/刻录敏感信息,偏离个人基线的异常打印/刻录,偏离群体基线的异常打印/刻录,用户非工作时间打印/刻录敏感信息,用户使用运维终端大量打印/刻录敏感信息,已申请离职人员大量打印/刻录敏感信息,违反安全策略打印/刻录文件。
3.5.2 外设带出类
场景举例说明:违反安全策略插入USB 介质,指的是用户违反安全规定,将未经审批的USB 设备插入受控环境,可能导致数据泄露和安全风险的发生。通过外设使用日志,以及设置受控设备PID/VID 白名单,可检测该场景。
针对数据外发阶段中外设带出类梳理出的场景包括:违反安全策略插入USB 介质,用户多次登录失败后成功登录操作系统(疑似暴力破解)后使用外设拷贝敏感信息,外设使用人不在专用优盘的使用范围之内,专用优盘拷贝商密文件数量超过阈值。
3.5.3 网络带出类
场景举例说明:违规外联之后传输敏感信息,指的是在未经授权的情况下,通过非安全渠道方式,将内部网络与外网相连,并将敏感信息传输给外部网络的行为。通过关联网络连接审计日志、文件传输流量日志可检测该场景。
针对数据外发阶段中网络带出类梳理出的场景为违规外联之后传输敏感信息。
数据备份阶段指的是为了数据的可恢复性和容灾能力而进行的备份操作。数据备份可以保证数据在意外灾难或数据丢失时的恢复,如果备份权限失控或者用户备份行为背离其日常行为轨迹都有可能发生数据泄露。
场景举例说明:从非应用系统发起的数据库备份操作异常。正常情况下对数据库的备份是通过应用系统发起的,如果是非应用系统发起的备份操作,则是管理员周期性的备份行为,存在一定的规律。如果备份操作与历史基线相比,在时间或频次等特征上出现了显著的差异,那么在备份过程中可能会暴露重要数据,造成敏感信息的泄露。通过创建数据库备份操作的基线,可以检测当前备份操作是否与基线偏离来检测该场景。
针对该阶段梳理出的场景包括:从非应用系统发起的数据库备份操作异常,用户非授权数据备份,用户备份行为背离其日常行为轨迹。
数据销毁阶段指的是在数据不再提供应有的价值时对数据进行永久删除或销毁处理,其目的是防止被人非法窃取。在这个阶段,敏感存储设备使用完成后未进行数据抹除或者未按照密级信息处理的要求进行闭环处理等都可能导致数据泄露。
场景举例说明:销毁数据检查不合规,指未能按照规定的安全要求和程序进行数据销毁的情况。这可能包括错误地执行数据销毁过程,未能验证销毁的数据完整性或未能记录销毁操作的详细信息等。这种情况可能导致敏感数据被恢复、重建或未经授权的访问,从而导致数据泄露和安全风险的增加。通过数据销毁日志可检测该场景。
针对该阶段梳理出的场景包括:销毁数据检查不合规,用户申请销毁敏感信息载体长时间未闭环,商密文件保密期限超期长时间未销毁。
采用基于分析规则的流式实时分析和基于AI检测的离线行为建模分析两种方法对数据泄露场景进行检测。
基于分析规则的流式实时分析方法适用于实时监测和响应场景,通过定义和应用预先设定的规则来检测异常行为。这种方法可以快速识别已知的模式和规则,具有实时性高和响应性强的特点。然而,基于规则的方法在应对未知的、新型的行为时可能会有一定的局限性。
而基于AI 检测的离线行为建模分析方法则可以处理更复杂和隐蔽的异常行为。利用统计学、离线异常检测等技术,该方法可以通过分析大量的数据和学习正常行为模式来检测异常。它可以自动识别未知的异常行为,具有较高的准确性和自适应性。但由于需要进行离线训练和建模,该方法的实时性可能较差,需要周期性地对模型进行更新和调整。
综合采用这两种方法可以充分利用它们的实时性和准确性优势。通过基于分析规则的实时分析及时发现已知的异常行为,以及通过基于AI 检测的离线行为建模分析处理复杂和未知的行为,提高检测的准确性和覆盖范围,实现全面的场景检测。
基于分析规则的流式实时分析是通过复杂事件处理引擎(Complex Event Processing)进行规则匹配和响应,识别已知模式的异常行为和违规行为的过程,属于最经典和传统的一种关联分析技术。
本文选用开源Esper 引擎对数据进行处理,Esper 是一种用于复杂事件处理和流分析的引擎[8],具有可扩展性强,内存效率高,内存计算低延迟、高吞吐、实时流处理的特点。Esper 提供了一种事件处理语言(Event Processing Language,EPL),它是一种用于处理基于时间的高频事件数据的声明性语言,可实现和扩展sql 标准,并支持针对事件和时间的丰富表达式[9],对于大量事件的处理,能够用最短的时间做出反应,触发相应的操作,如图2所示。
图2 Esper 数据处理流程
下面以多次登录失败后成功登录操作系统(疑似暴力破解)并打印敏感信息的场景为例,介绍利用分析规则检验异常的过程,如图3 所示。
图3 基于分析规则的检测
(1)编写规则。利用EPL 语句编写事件规则,规则逻辑如下:如果在10 min(可配置)内获取到连续4 次(可配置)登录结果为失败的登录日志、1 次结果为成功的日志,之后在接下来的10 min(可配置)之内又获取到在该设备打印敏感信息的打印审计日志,则产生“多次登录失败后成功登录操作系统并打印敏感信息”安全事件。
(2)注册规则。Esper 引擎在处理数据时依赖EPL 的定义,EPL 解析后会注册到规则引擎中。对于基于时间窗的规则语句,Esper 会将历史数据缓存在历史数据库中,供引擎处理。
(3)发生登录及打印行为。用户发生了登录及打印行为,由安全登录系统和打印刻录监控系统记录日志。包含登录时间、登录/打印IP、登录动作(登录、登出)、操作结果(成功、失败)、文件密级等信息。
(4)获取日志。采集日志之后经范式化处理获取到标准的安全登录日志和打印审计日志,形成实时数据流。
(5)产生事件。实时数据流经过事件流适配器接收后,交由Esper 引擎进行处理,如果命中之前注册的规则,则处理过后交由输出适配器发给外部程序。按照事先定义的逻辑,产生对应的安全事件。例如10 min 内发生了4 次登录失败之后又登录成功的行为,紧接着的3 min 内又发生了打印核心商密文件的行为,则命中规则,产生“多次登录失败后成功登录操作系统并打印敏感信息”事件。
利用基于AI 检测的离线行为建模分析进行异常检测的方法分为两个阶段,即AI 行为建模、AI异常行为检测。
4.2.1 AI 行为建模
AI 行为建模是在用户存量离线行为数据下的模型训练,其利用统计学、离群异常检测等技术,通过对用户历史行为数据多视角地自动建模学习,训练用户行为模式的模型。使用定时器方法,只需收集一定时间的历史数据,启动定时任务即可实现模型的自动迭代更新。本文使用的建模流程如图4 所示。
图4 AI 行为建模流程
在行为建模中采用了统计算法和离群检测算法,分别对单维行为特征数据和多维行为特征数据进行模型训练。
统计算法:针对数据内容确定的单维行为特征,可以利用高斯模型建立异常检测基线模型。例如,对于打印行为,如果需要单独考量每项指标(例如打印页数、打印频度)的变化情况,可针对每一项指标建立基线模型。基线模型包括个体基线和群组基线。
离群检测算法:针对需要综合多个行为特征共同权衡才能判断异常的情况,采用无监督的机器学习算法进行学习,如KMeans、BIRCH 等。比如判别某次SSH 远程登录是否异常,需考虑登录方式、登录状态、登录用户等多个行为特征来综合研判,则使用该方法进行建模。
4.2.2 AI 异常行为检测
AI 异常行为检测是利用AI 行为建模训练输出的模型,对用户的实时行为进行监控。通过比对模型,分析用户的“非正常”行为模式来锁定内部的潜在威胁。AI 异常行为实时检测流程如图5 所示。
图5 AI 异常行为实时检测流程
下面以偏离个人基线的异常打印为例,介绍其分析过程。
第1 个阶段为行为建模,具体如图6 所示。
图6 阶段一行为建模
(1)算法配置。该场景采用高斯算法对打印审计数据建模。高斯算法又称为正态分布算法,该算法根据样本数据的均值、方差,得到分析对象的基线。其优点在于能够很好地处理噪声和异常值。需要配置以下内容:
①筛选的日志类型,其目的是选取合适的数据集,该场景设置的日志类型为打印控制审计的日志。
②数据集的聚合字段名称,设置为人员唯一编号。
③需要提取的特征字段名称,例如打印数量、打印频次、打印时间等。
④异常判断依据的阈值,一般来说,可以选择均值加减几倍方差的范围作为异常值的判断区间。例如,选择均值加减3 倍方差的范围,即如果某次打印数量超过均值加减3 倍方差的范围,则被视为异常行为。
算法配置完成后,启动周期性的定时任务等待数据采集入库后进行模型训练。
(2)收集数据。采集一段时间用户打印文件的审计日志,其中包含算法配置阶段配置的特征字段,例如打印数量、打印频次、打印时间等。
(3)模型训练。将筛选出的打印日志以人员唯一编号分组聚合,对每个人员的打印文件数量训练数据构建基线模型。
(4)生成基线。这里选取“天”为时间粒度分隔,基线模型由历史行为数据中每天的基线值组成。对训练数据每个月份中每一天的打印文件数量分别做均值和方差计算,由均值加3 倍方差的计算公式得到该点的基线值,例如将每个月1 日的打印文件数量数据集合做均值和方差计算,根据上述基线值计算方式得到基线模型中1号这个点的基线值,基线模型其余点的计算方式相同,基线模型如图7所示。
图7 基于Gaussian 分布算法的基线模型
第2 个阶段为异常检测,具体如图8 所示。
图8 阶段二异常检测
(1)采集数据。采集实时打印数据,采集到的数据进入AI 分析引擎。
(2)异常检测。根据算法配置的阈值判断进入AI 分析引擎的实时数据是否满足异常行为的条件。例如,将某用户实时打印日志中的打印数量与该用户打印数量基线模型中对应时间点的基线值进行比对,如果超过模型对应点的基线值,如图9所示,则判定为异常。
图9 偏离基线的异常检测
(3)产生事件。生成“偏离个人基线的异常打印”安全事件。
本文通过对具体场景进行检测的验证实验,成功证明了基于行为分析的内网数据泄露场景检测方法的可行性和有效性。目前已将这些研究成果成功应用于数据防泄露监测平台,取得了令人满意的效果,为解决内网数据防泄露问题提供了一种新的研究思路和实践方法。在未来的研究中将进一步改进和优化这些方法,以适应不断变化的内网环境和数据泄露威胁。