初探新一代數據安全解決方案——ITP技術

在2010年的「曼寧事件」之後，美國政府為了應對內部人員帶來的大規模數據泄漏威脅所造成的嚴重後果，發布了一個《內部威脅計劃》(Insider Threat Program)，並由奧巴馬簽署了總統行政令13587，開始正式執行。最早的內部威脅保護概念，可能源自於此。

越是嚴格的法規要求越是需要通過先進的技術手段來落地執行，為了更好地防範內部威脅，一種新的數據安全技術體系——Insider Threat Protection（以下簡稱ITP）應運而生。

實際上，ITP技術在國外已經有了相關研究，下一代防火牆公司 Palo Alto 曾經在2015年申請過一個名為「自動化內部威脅保護」的專利，並於2017年得到美國專利局的批准。但 Palo Alto 畢竟是一家以下一代防火牆為核心的安全公司，因此如果有專註於數據安全公司來做ITP，可能會更與ITP的理念更加匹配。進一步來說，既然ITP技術需求源自於對企業數據的保護，那麼數據防泄漏(DLP)的公司，在對ITP的理解和實現方面可能更具優勢。

在今年1月舉辦的2018中國企業和個人數據安全技術大會上，國內一家以DLP起家，並專註統一內容安全技術(UCS)的信息安全公司天空衛士，正式發布並展示了他們最新的ITP技術及基於行為分析的ITM（內部威脅管理）解決方案。據了解，這是目前全球唯一正式落地並實現了產品化的ITP解決方案，安全牛通過與其聯合創始人、CTO陳少涵訪談交流並查閱了相關資料，對這項技術有了初步了解，在此分享出來。

一、ITP的特點與基本原理

ITP的核心理念可以概況為一句話：通過識別和管控企業內部有威脅的人的行為，來降低數據泄漏和其他風險。

ITP強調的是以人為核心的內部威脅防範，通過識別用戶的行為和其產生的各種數據，利用人工智慧和大數據等技術手段將其關聯，對高風險用戶的危險行為及其他用戶的類似行為進行管控，從而實現危險行為的阻斷並預防類似行為的發生。

識別和管控並非新興技術，一直都是傳統數據防泄漏方案的基本支撐。但ITP綜合考慮了網路管控、內容感知，以及更重要的用戶行為等因素，同傳統DLP技術相比，更加的智能化，有著更低的誤報率和更高的檢出率，此為ITP技術體系的最大的特點。

圖1 黃色圓圈為將來要接入的產品

上面的圖為ITP的構成框架，其基本原理為：

在內容感知技術之上(ASWG+DLP)，加入了對用戶、網路和終端行為與事件的風險分析，並根據具體情況，針對性地對用戶和終端行為進行培訓，然後將培訓結果評級調整，最後再返回給DLP的安全策略。這一過程包括了UEBA、統計學異常分析、貝葉斯統計模型、機器學習等關鍵技術。

從圖1中不難看出，ITP框架的核心在於其起到大腦中樞作用的引擎ITM（內部威脅管理），接下來本文結合相關資料，進一步了解這個引擎的工作原理。

二、核心引擎ITM

目前天空衛士發布的ITP方案中包括了Web安全網關、DLP、郵件安全、終端安全、移動安全等，未來還將集成下一代防火牆、威脅情報、資料庫安全等設備，整合移動DLP，並支持CASB和雲環境。所有這些設備採集到的用戶行為數據都會被反饋到「ITM」的分析中心，基於特有的演算法進行統計分析和比較，以發現異常行為。

圖2

結合圖2和相關資料，我們了解到ITM主要執行以下工作：

異常行為檢測：

由網路層（如數據包位元組數、網路連接數等）、應用層（如Web/郵件/FTP等）、告警事件三種行為的分值加權，得到異常風險分值ARS。

精準威脅行為回溯：

以觸發特定策略的數據泄漏事件中的用戶行為作正向樣本，正常用戶的行為作負向樣本，通過機器學習（雙向循環神經網路，BRNN）進行有監督的培訓，培訓結果產生的機器學習模型對所有用戶的行為進行評估，給出模型風險分值MRS。

專家系統：

由回溯得出的風險模式，結合專家經驗和大數據分析（即安全實驗室），基於貝葉斯概率動態下發給內部威脅管理(ITM)。ITM通過匹配得到不同用戶行為符合風險的概率，並將概率轉化為ERS分值。

最終，ARS、MRS和ERS加權得到用戶的總風險分值TRS。TRS再反饋給天空衛士的統一內容管理平台(UCSS)，讓DLP等設備的安全策略變得更精準，更有針對性。

三、ITP與UEBA的區別

說到行為感知，我們知道，UEBA（用戶與實體行為分析）為目前非常流行的技術。那麼ITP與之相比，又有哪些主要區別呢？本文認為，兩者最大的區別在於能否與「內容」實現聯動與融合。一言以蔽之，ITP可以看做是策略增強型深度內容感知的UEBA。

從技術點來看，ITP以大量的行為分析技術做支撐，實際上這也正是新一代數據安全技術與傳統數據防泄漏技術的主要區分，即從獨立的內容感知上升到內容感知與行為分析的智能融合，用戶行為分析的結果將直接作用於內容安全引擎的策略執行，同時內容安全引擎所捕獲的行為數據反哺於用戶行為分析引擎，雙擎合一將能更好地保護企業數據資產安全。

UEBA主要基於SIEM系統作日誌分析，針對的是入侵和攻擊，缺少的是內容分析。而ITP不僅可以通過ITM對用戶行為進行評判分析，還可以基於Web安全網關、DLP等安全設備進行內容分析，如惡意鏈接、惡意軟體、關鍵字、文件位元組數等，針對的是數據保護。

傳統DLP最大的問題是難以設置誤報率和檢出率之間的平衡策略。因為在處理一些數據或行為時，很多情況並不是非此即彼的，策略嚴格會影響工作效率，策略放鬆則會放大安全威脅。

ITP的解決之道是長期持續觀察用戶行為，並根據觀察和比較制定出用戶行為的風險值，一旦發現用戶行為超出可信區間，觸發報警或實施阻斷。比如，某內部用戶經常往外傳文件，而且經常會壓縮或加密文件，都屬於可疑行為，但系統並不會貿然響應，而是會結合歷史記錄做分析(ARS+MRS+ERS=TRS)，超出可信區間，才會觸發報警。

實際上，ITP體系中策略的來源和調整反饋，即可以是Web安全網關，也可以是DLP，還可以是NGFW等安全網關類產品。這也正是前面所提到的，Palo Alto 為什麼也要做ITP的主要原因。通過與第三方的威脅情報、防病毒、NGFW、資料庫保護、WAF等系統的聯動，天空衛士可以聯合國內有技術實力的安全廠商，共同打造建立起一個以ITM為核心的內部威脅防範生態系統，實現更加全面的企業用戶核心數據資產保護。

（聲明：本文技術圖片來自於天空衛士在2018中國企業和個人數據安全技術大會上發布展示的PPT）

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！