微软数据安全防护中的几个小细节

微软这几年在安全领域的发力是有目共睹的。包括在SolarWinds事件中的秀肌肉，和Windows Defender现在越来越牛的防护能力，传统的PC杀软市场到后面已经越来越小了。笔者最近对微软的数据安全防护体系做了一些调研，看到一些有趣的细节，决定跟大家分享下。

微软在他的文档中针对内鬼泄露讲了以下几个场景：

• 离职员工窃取数据策略

• 常规数据泄露

• 高敏人群数据泄露策略

• 心生不满的员工进行的数据窃取

• 安全策略违反

• 病人数据误用

• 离职员工安全策略违反

• 高敏人群安全策略违反

• 心生不满的员工进行的安全策略违反

这里面针对内鬼泄露，微软其实着重强调了两类场景，一类是常规数据泄露，一类是安全策略违反。

常规数据泄露应用主要是微软的DLP来发现。安全策略违反则是依赖Windows Defender的能力。如果映射到甲方安全建设中，就是一部分检测逻辑是在DLP上的，另一部分检测能力是建在EDR上的。从甲方安全映射来讲，一部分是数据安全团队在建设和运营，一部分是网络安全团队在建设和运营。所以，对于数据泄露的发现，要两边配合。又或者将网络安全建设运营的能力生成的安全策略违反告警交由数据安全团队运营，例如安全软件被禁用。

在这两类的检测场景中，微软又将场景分别映射到了三类人群：离职员工，高敏人群和心生不满的员工。

这里就涉及到如何界定三类员工的问题。微软提供了一个叫Connector的东西，其实就是搞个定时任务从HR系统中自动进行信息抽取，来识别这三类人群。

其中，离职员工信息来自于HR系统中的离职信息，毕竟都有一个月的离职期。心生不满的员工则是来自于HR系统中的pip（performance improvement plan）信息，考评信息，例如被打C了，以及职位变动和薪资变动信息等，例如降薪降级。而高敏人群这里包括几种，一种是接触的数据本身敏感度非常高，例如DBA，例如财务，例如某些能直接接触敏感信息的客服，还有一些是接触数据敏感程度中等，但容易导致数据泄露的环节，例如外包。

针对这几类人群的划分，也体现了数据安全中的一个重要原则，根据人群进行权限管控和检测。其实，前几年谈的比较火的UEBA就是这个视角。但因为融合了各种复杂的概念，还是没看到啥落地有效的东西。

具体在进行数据安全防护系统研发时，如何与HR系统进行打通，获得标准化的数据进行实施，这里其实可以进行借鉴。

聊完这些，眼尖的同学可能会看见其中一个明显不和谐的场景：病人数据误用是什么鬼。。。。

病人数据误用是微软针对医疗行业一个特殊的应用场景。美国为保护个人医疗信息的隐私和安全，制定了HIPAA( 健康保险便利和责任法案   Health Insurance Portability and Accountability Act )和 HITECH ( Health Information Technology for Economic and Clinical Health  Act)。里面强调了对病人个人信息的保护。

在这个场景里面，微软对存储了病人电子医疗记录的系统进行了特殊的防护。包括非授权的访问，查看，修改和导出记录。

这其实讲的是，我们除了对常规的DLP中的检测进行策略建设外，我们还需要针对特定的系统维护特定的策略。这里面是因为国外医疗法案的需求。

对国内公司而言，对于自身的高敏系统，要进行梳理，针对高敏系统，单独进行数据安全策略的运维和运营。例如，对金融公司而言，需要对客户系统进行单独的策略建设。一方面，数据在系统上的增删改导出api跟用户行为需要做好映射，日志也需要记录更全。例如常规的系统日志可能只留存了accesslog，但高敏系统需要留存完整的http报文，包括cookie信息浏览器信息。甚至可能需要建设单独的埋点，来识别异常。