数据安全内部威胁解决之道——Data Detection and Response，DDR

随着技术的进步，网络攻击变得越来越复杂，许多企业将网络安全工作完全集中在外部攻击上，这为内部风险留下了更多机会。一些公司没有认识到由于员工的疏忽或恶意而丢失机密信息的危险。毫无疑问，“内部威胁”是网络安全中最被忽视的方面之一。

有数据表明，企业平均每月会有2.5%的员工存在泄露敏感数据的行为，这一占比并不算高，但延长到半年时间线中，造成数据泄露行为的占比就会上升到企业员工占比的接近10%的比例。相比外部威胁的不确定性，内部威胁影响相对更加直接，如员工离职时他们可能会破坏公司数据，或将数据带到竞争对手手中。

企业需警惕多样性的内部威胁

内部威胁是多样性的，其中绝大部分源于员工无意间的疏忽，最为典型的就是员工遭到钓鱼攻击造成数据或凭据外泄，或是员工办公设备、应用滥用造成的数据外泄，如员工将企业重要数据存储到个人U盘，以及不安全的SaaS应用等滥用行为。

内部威胁的恶意行为相关事件近年来也屡有发生，其又分为两种不同行径，一种是员工离职（或遭解雇）后的恶意报复行为，如利用尚未收回的业务访问权限，破坏或窃取泄露企业敏感数据；另一种则是商业上的主动窃取、售卖企业敏感数据或系统访问权限行为。

近年来员工主动的恶意威胁事件经常发生，国内就有多起离职员工恶意删除企业数据的司法案件，恶劣行径的员工不仅要付出法律责任，更为企业造成日常经营上的重大损失。

进入数字时代，企业正在产生比以往更多的并极具价值的数据，这些数据有的是企业客户服务的用户隐私数据，有的是企业核心的生产数据，安全的最大推动力合规安全（个人信息保护法、数据安全法）要求，这些数据需要通过丰富的安全实践予以保护，这些保护措施不仅包含外部风险，也需兼顾并不被广泛关注到的内部风险之上。

掌握主动是内部风险管理核心

为应对内部风险管理，安全企业已推出成熟的安全解决方案，其中以IBM的Security QRadar，以及微软Purview内部风险管理解决方案最为知名，但其解决方案的厚度所面向的企业群体多为中上游客户。如IBM的QRadar依托XDR、SIEM、SOAR的技术实践，其安全解决方案已不完全限于内部安全风险。

与此同时，安全企业正在加速理解内部威胁，比如近年来对应出现的数据检测和响应（Data Detection and Response,DDR）概念。颇受资本关注的初创安全企业Cyberhaven就是这一概念的代表企业，其指出，数据检测和响应可随时随地查找并跟踪内部敏感数据，以前所未有的方式对其进行保护。

该概念认为，企业需要掌握更加主动的内部风险管理机制，如数据始终在流动，从云应用到数据仓库，通过消息传递、协作工具和电子邮件的方式在人与人之间流动，而传统的数据安全工具无法全面跟踪并执行保护策略，数据检测和响应将成为一种全新的主动的数据保护策略，从而动态解决数据安全的内部威胁问题。

基于该概念的商用型解决方案（产品）具备的第一能力是多源的数据发现，并加入上下文分析用于补足遗漏数据，并从源头跟踪用户数据使用行为，监测保护数据最终流向，如通过Web、云应用、电子邮件、移动存储设备等方向的数据流通行为，一旦检测到威胁就会进行干预，并阻止数据离开企业的控制。

Cyberhaven认为，数据检测和响应产品将取代DLP、内部风险管理、云数据安全，成为现代企业基于多云战略的内部威胁数据保护的一种通用解决方案，它能够理解数据在流转过程中的所有威胁点，比如可以跟踪识别加密数据或压缩数据，并建设相应视图，以实现最终基于异常行为和数据维度的细粒度控制。

该解决方案可以记录公司员工的所有操作数据信息，以便于安全团队进一步地跟踪判断，或为安全事件提供取证，对于“意识”级别的教育，系统还在员工执行被认为是风险操作时予以弹窗警告，这几乎等于警示性内部报警的操作可能会让员工更加安分守操。

解决方案还包含一系列基础性能力，如跨平台的用户行为收集能力，与本地目录服务的集成能力，对文件开放共享或修改文件扩展名等行为，区分个人应用与公司业务应用的不同实例等等，而在员工触发相应的非法数据操作时，除了告警外，还会触发屏幕截图操作捕获功能。

DDR已深度融入数据安全产业

DDR产品可以很好地解决内部风险，他可以监测数据流向，员工的数据使用行为，即企业可以利用该产品了解谁在泄露或破坏敏感数据，以及他们是如何做的。因数据安全的重要性，我国数据安全产业近年来发展迅猛，也有不少安全厂商推出了自家的DDR产品，或类DDR产品。

​国内数据安全创新厂商薮猫科技旗下DDR产品基于智能内容识别引擎、驱动级的终端应用事件监控、泄密风险检测等核心技术而打造，产品可以对内检测数据外发途径，对外可防止病毒入侵窃取数据，确保企业核心数据资产合规合理使用，助力企业数字化转型。

可以看到，国内安全厂商根据自身的理解，正在加大DDR产品的厚度，不仅关注数据安全的内部威胁，也将检测和响应能力外延扩展到了外部。对于内部威胁，薮猫科技DDR产品同样提供多维度的风险可疑行为的检测，同时匹配一套结合用户信任评分和行为评分的动态响应决策系统，实现重点防范与持续监控的不同等级的响应阻断机制。

国内落地各类安全检测类产品需要与业务相结合，薮猫科技DDR产品在这方面深度整合现代数字化办公体系，支持主流与自定义数据流动渠道防护，可将DDR产品的数据保护机制覆盖到“每一个出口”，并提供全面的数据发现、行为分析、威胁预警、拦截取证、追踪溯源等闭环能力。

首届腾讯数字安全创新大赛花魁红途科技可为客户提供多维度数据隐私保护方案，其数据隐私风险管理产品技术理念与DDR类产品具有一定相似性，该产品同样基于数据全链路实现风险和违规跟踪，其围绕数据、数据库、应用和用户多维度进行高维关联数据，为客户构建风险监测底层能力，通过聚合分析数据隐私风险，实现应用侧数据泄漏风险预警，有效解决漏报、误报等行业难题。

专业数据安全厂商美创科技推出的数据防泄露系统与DDR系统也具有高度一致性，该系统以统一策略为基础，采用深层内容识别分析技术，对企业终端、网络、应用系统中的敏感数据进行自动发现、内容识别、分类分级，对通过应用程序、终端端口、U盘、共享目录、网盘、论坛、贴吧、FTP、邮件、QQ等途径泄漏传播敏感数据，提供阻断和告警，并对用户行为进行审计，生成安全报告，满足各种应用场景。

引领数据运营安全（DataSecOps）理念发展的数据安全创新厂商数安行，其推出的数安行零信任数据运营安全平台以数据运营中内嵌数据安全属性，从而解决数据运营过程中的诸多数据安全问题。平台可提供多源数据发现、全流程数据流动治理，以及风险感知和自适应精准化防护的全能力搭建。产品应用可防范用户违规下载、有意或无意的数据滥用或扩散、恶意泄露数据等危险行为的发生，让数据在企业各场景、各业务下安全流通。

国内数据安全厂商类似产品不再一一列举，综合挖掘发现，随着数据安全产业的高速发展，各类型数据安全解决方案也呈现井喷式发展之势，国内安全厂商也以不同角度消化理解领先的技术理念，DDR也仅是其中之一，其优势在于结合本土化应用特点，不断优化技术落地，最终目的则是为客户交付一套更加好用，且满足多场景数据流通协同的安全解决方案。