数据安全事件溯源主体漫谈

放眼全球，今年数据泄露大事件更是数不胜数：丰田汽车约29.6万条客户个人信息被泄露，英特尔第十代处理器Alder Lake BIOS 的源代码泄露……转向国内，今年也发生几次备受瞩目的大规模“数据泄露”安全事件，包括：腾讯QQ大面积账号被盗,学习通1.7273亿条用户数据泄露,西北工业大学遭美国国家安全局网络攻击泄露140GB高价值数据等。

这些热点事件只是当下网络安全事件的一个缩影。数字化时代，网络攻击日益呈现手段专业化、目的商业化、源头国际化的趋势，网络攻击的主要目标包括金融、通信、交通、能源、政务网络在内的关键信息基础设施，通过持续侵入控制重要网络系统，窃取敏感数据。而关键信息基础设施一旦遭到破坏、丧失功能或者数据泄露势必会威胁国家安全，国计民生以及公共利益。

为了避免网络数据安全事件，近两年来国家立法并相继颁行《网络安全法》《数据安全法》《关键信息基础设施安全保护条例》等多项法律法规并从严监管，而企业也会采取各种有效措施来降低网络数据安全事件发生的风险。但是，要做到真空安全，完全杜绝网络数据安全事件的发生概率是几乎不可能的。既然数据安全事件无法杜绝，聪明的企业会采用主动措施，在数据安全事件发生之前主动全面监控网络数据活动，预防并及时预警高风险数据威胁风险，并采取措施及时扼制数据泄露风险，极大降低或避免企业遭受损失的概率。

如同物理世界中的案件侦缉一样，一旦网络空间发生数据安全事件，就需要对事件进行溯源，抓取证据链，追责去责，最大限度追回损失并保障业务运行稳定。溯源的另一个目的是从事故中吸取教训，采取必要纠正措施避免类似事件再次发生。归结如此，关于“溯源”一个极其重要的指标因素就是要找到网络数据安全事件的“主体”。

传统的溯源手段基于数据安全事件的网络五元组数据，用事件的源IP地址找出当时对应的设备。找出的设备可以是网络上的任何节点，比如移动设备、打印机、计算机、服务器，或网络设备（比如交换机，路由器等），此网络节点设备就是事件的主体。

这样找出的网络数据安全事件主体虽可以帮助事件稽查人员完成事件调查报告，解释事件“真相”，但却很难从“真相”中吸取教训，并制定纠正和反制措施。因此，进化的溯源要求在此基础上运用不同网络应用的日志进行关联，找出事件当事人。这样关联出来的“当事人”就变成了事件主体。似乎这样，领导就可以找“当事人”谈话，了解具体情况，制定纠正措施并培训员工，避免类似事件再次发生，对溯源目标做到完美闭环。

通过系统应用的日志关联出来的“当事人”通常会被当成“坏人”，而实际情况却可能是这位“当事人”根本不是“坏人”，当他们和领导谈话时会完全崩溃，而且对事件发生一无所知。因此，要想溯源彻底，事件主体除了“设备”和“人”之外，还要追溯到“代理”。

“代理”是一个小程序（比如微信小程序）或插件，可用多种计算机（编译或解析）语言来完成。“代理”可以是“人”在“设备”上主动启用，也可以是通过其他方式自动启用。每个网络活动在“设备”上都有一个“代理”。如果网络数据安全事件发生，而追溯的“当事人”一无所知，原因基本上就是在其“设备”上有恶意的“代理”在作怪。找出这个“代理”是溯源软件的终极目标。好在利用现代大数据工具和机器学习算法可对各种“代理”进行聚类及画像，让我们距离找到网络数据安全事件主体的溯源软件又近了一步。

全息网御多年专注于行为数据驱动安全领域的技术研发，潜心开发的数据安全溯源平台对数据安全事件主体“设备”，“人”和“代理”按照时间序列进行多维关联，实时动态加载到数据活动安全周期中，真实还原每个数据活动场景，更加全面健全数据安全溯源系统，能够帮助企业做到真正全链条把控数据风险。