守护大数据安全的“福尔摩斯”
作者: 日期:2022年01月20日 阅:5,196

著名作家阿瑟·柯南·道尔(Arthur Conan Doyle)塑造的神探福尔摩斯百余年来曾影响了数代人对侦探职业的羡慕和敬畏。福尔摩斯以其头脑冷静、观察敏锐、推理超凡,善于观察并从演绎推理来解决问题而风靡世界。福尔摩斯的故事曾吸引和激励了无数年轻人投身到侦缉破案的职业中。

侦缉工作的重要部分之一就是从蛛丝马迹中寻找证据,推断事件发生的可能原因。一个案件经常因为缺乏足够的现场证据,可能导致案件侦缉工作持续数日、数月甚至是数年。因而若是具备福尔摩斯的智慧和经验,能够在缺乏证据链的背景下推演并追溯事件的原因,复盘整个过程就显得十分重要了。但是,随着科技的不断进步,尤其是监控摄像头的普遍使用之后,许多案件的侦缉工作已经变得非常简单:调用录像,重现事故现场,很多情况下就可以对案件一目了然,尤其是对各种盗窃事件,只要需要在受保护资产周围架设监控系统,即便不是铜墙铁壁的防盗设施,资产安全也通常是相安无事,因为监控摄像头能在其所覆盖范围内实时记录事故的现场情况,尤其对事件主体的行为记录进行回放,为事件调查提供了足够的证据。可以说,在科技风驰电掣般发展的现代世界,像“福尔摩斯”那样的个人能力不再是决定案件侦破的决定因素,而“福尔摩斯”的许多能力已经被监控摄像头这样的现代化工具使所取代,甚至做得更好,曾经的“福尔摩斯”时代渐渐落下帷幕。

随着监控摄像头的普及与应用,不仅简化了事故或案件的调查过程,也对犯罪分子产生了巨大的威慑作用,使犯罪事件大量减少,降低了社会治安治理的成本。可令人遗憾的是这种在现实世界已被证实行之有效的技术手段,在缥缈的数字世界仍然无法实现。众所周知,网络空间最核心的安全问题就是数据安全,绝大多数的网络攻击和犯罪活动都是以获取重要的核心数据为目的。四通八达的计算机网络就像是通向各地的公路网,承载着大量的数据资产,频繁交互,川流不息。因为缺乏有效手段对这些流动的数据资产进行实时监控,当事故发生时,通常只能求助于“福尔摩斯式”的侦探方法,即从网络中的安全设备和主机收集各种日志。处理这些杂乱无章的“大数据”不仅消耗各方人力物力资源,而且需要大量时间来分析、推断、取证,同时因为数据源的质量低下,导致“垃圾进 – 垃圾出”的现象,造成分析结果误导,进一步拖长事故的调查取证时间。这种陈旧低效,严重依赖调查人员技术手段的人为因素在网络数据还未被视为资产的时代似乎是可以被接受的。可随着数字化转型的不断升级,数据作为第五大生产要素,视为资产而被广泛使用,数据安全也被纳入国家法律监管的范畴之内,快速高效的事故调查能力已迫在眉睫,在网络空间安装“监控摄像头”无疑是一个不二的选择。参考现实世界的监控摄像头,网络空间的监控摄像头应具备如下能力:

  • 识别网络及数据资产的使用者,即用户的姓名或登录账号及其特征;
  • 通过数据的分类分级,识别重要或敏感的数据资产,可能是结构化数据、非结构化数据、或半结构化数据,以文件、字段或其它形态出现;
  • 识别与数据相关的应用或业务系统,包括各种云服务、内部应用、或第三方合作伙伴的业务系统;
  • 识别用户所使用的终端设备,包括手机或桌面电脑等。

在此基础上,更重要的是实时关联上述四个维度的关系,实现在任何时间,对任何一个流动在网络中的数据资产,都能随时找到其使用者及相关应用和其使用的设备。当有违规事件发生时,瞬间可以定位到违规者,达到实时监控的目的。

全息网御数年来一直坚持对流动数据资产可视化的研发工作,旗下OnFire数据安全风险感知产品正是应运而生守护大数据安全的“福尔摩斯”。OnFire创造性地将数据防泄漏(DLP)技术、云应用安全代理(CASB)技术,及用户和实体行为分析(UEBA)技术通过独特的专利手段融合为统一的实时可视化平台,首创网络空间流动数据资产的“监控摄像头”,实时关联、监控、并记录网络中流动数据资产与其使用者的互动关系,对用户的异常行为及数据访问的违规行为及时报警,将数据资产泄露、追踪溯源等事故调查时间从原来的数日、数周、甚至数月缩减到几分钟、几小时,极大地提高了IT部门的工作效率和对事故的响应时间,更好的满足《数据安全法》和《个人信息保护法》对数据安全监管提出的新要求。


相关文章