青骓 DDR 将彻底改变传统数据保护的理念，正如 EDR 给终端安全带来的变革一样。

 

01 从杀毒软件到 EDR 的演进说起

随着威胁模型的改变，我们经历了终端安全从静态到动态，从单点到全局的发展历程：


第一代：AV / NGAV
1980 ~ 2000 静态特征匹配

• 着眼于计算机病毒、特洛伊木马等
• 提取并匹配二进制文件的静态特征

第二代：EPP
2000 ~ 2010 静态特征与动态行为结合

• 着眼于新一代威胁，例如：Rootkit、恶意插件、流量木马、盗号软件等
• 基于数字签名认证体系，提取并匹配样本的动态行为特征
• 引入云安全与启发式扫描等概念，扩充并保护本地样本数据库与判别算法

第三代：EDR
2010 ~ 至今 基于威胁全生命周期的感知与防护

• 着眼于高级可持续威胁
• 从单点被动防御到全局主动感知
• 引入机器学习等方法，基于事件量化攻防态势

02 DLP 的单点失效

正如终端安全所经历的那样，传统 DLP 产品更多通过规则集合以及匹配引擎对文件进行静态扫描，数据在发送时会像经过高速检查站那样进行违例检查：通常那些将违禁物品（敏感数据）放在后备箱中的车辆会被查出问题，而那些精心设计过的对抗行为，例如将违禁物品藏进被拆开的坐垫下方，则往往难被发现。

一个简单的例子：

对任何像发送出去的文件，与一串字符串比如 0x7765206c697374656e2c77652068756e74 做一下异或操作，那基本上没有任何 DLP 产品的规则或者模型能知道这个文件原来是什么，只能判断这是个 binary 文件。

发出去之后，只要收到的人把收到的文件与 0x7765206c697374656e2c77652068756e74 再做一次异或，就能拿到这个文件的源文件。

Traditional DLP vendors focus more on conventional and data-specific content inspection methods, which can lead to incident fatigue and a siloed view of data movement.

—— Market Guide for Data Loss Prevention
Gartner, 2022

传统 DLP 供应商更关注于传统的特定数据内容的检测方法，这可能导致对风险事件的疲于应对以及对数据移动缺乏全局视角。

03 DDR 怎么解决单点失效

DDR 从一个文件的生成就开始对它进行监测，比如你从一个内部系统下载了一份敏感的数据 secret.xlsx，你将他其中的一部分复制粘贴到了一个新的文档 good.docx，然后将他加密压缩为 a.zip，并且通过加密的通道进行外发（比如 Signal 或者其他加密通讯工具），如果不知道这个片段数据来自 secret.xlsx，那么传统的终端 DLP 无法判断 a.zip 里面有什么，同时传统的网络 DLP 根本看不到这个文件（因为加密通讯）。只有从源头开始监控这个文件，并且追踪他的每一次变化，才能知道这是一份敏感数据，我们应该阻止它被发送出去。

DDR 的核心思路转变是：不单单根据一个文件的内容来判断他是否敏感，而是加上这个文件「从哪来，到哪去」的信息进行综合判断，这样一方面可以简化内容识别方面的规则配置，另一方面可以更准确地判断一个难以被规则定义的文件是否敏感。

比如在电商场景，很多时候敏感的信息是一些大促活动前的宣传图。

传统方式：可以通过 OCR 技术来识别图片内容，进一步通过规则判断这些内容是否敏感，但很多时候因为艺术字体和设计元素的关系，大量内容的识别并不够好，另外即使被识别出来，“我们将给前三百名购买的顾客五折优惠”这样一句话算不算敏感信息呢？相信很难有规则定义这句话敏感，但如果这张图被内部人员泄露给了竞争对手，那竞争对手在促销当日一定可以做出“我们将给前三百名购买的顾客三折优惠”这样极其有针对性的活动。

DDR：可以定义设计师电脑 Photoshop 或者其他制图软件生成的文件一律是敏感文件，对这些文件的各种变换进行跟踪，在这种情况下，可以更好地防止电商场景的敏感数据泄露。

我们认为 DDR 的关键的技术是「全生命周期的数据监测」（我们这么叫他），国外通常将这个技术称之为数据沿袭(Data Lineage)，在每个能检测到的地方，无论是终端侧、网络侧还是公有云上，对任何数据的生成、改变、流转都进行记录，这样才能做到更好的数据安全，这就是 DDR 产品与传统 DLP 产品的核心区别。

 

04 政策与市场趋势

• In 2021, Gartner fielded 29% more client inquiries on the topic of DLP than in 2020. These interactions have led to this research.
  
  相比于2020年，Gartner 在2021年收到的有关 DLP 主题的客户询问增加了 29%。这些互动促成了这项研究。
  --Market Guide for Data Loss Prevention, Gartner, 2022

 

• 2021年6月10日，《中华人民共和国数据安全法》正式颁布，并将于2021年9月1日起正式实施。
• 2022年7月，某超大规模数据泄露事件再次给市场敲响警钟，数据泄露成为更多安全负责人关注的核心问题。
  在对过去熟悉的多家大型国企、央企客户的访谈中，很多安全负责人都认为当前的 DLP 项目和产品的运营情况不达预期，期待更好用的产品。

05 青骓 DDR

青骓 DDR 由部署在终端的客户端和部署在云端的大数据服务端，配合一套完整的运营流程与机制，完成对数据泄露、保护、合规的「端-管-云」一体化防控。除了「全生命周期的数据监测」核心技术外，整套防控由「专家运营阶段」向「知识抽象阶段」发展 ，并为未来探索「AI 阶段」做铺垫。

让我们快速瞄一眼产品框架：

小彩蛋 ：关于 DDR 名字的由来
我们很早就意识到传统的单点方案难以有效应对数据泄露问题，所以在一边设计我们解决方案的时候也在想我们如何定位自己的产品，这时候，机智的定龙提议说：EDR 是专注于端点安全的更先进的解决方案，那咱们做数据安全，也是更先进的解决方案，要不咱叫 Data Detection and Response (DDR)？

最近在 Google 搜索的时候发现了 Cyberhaven 和 Dig 这两家公司，他们也称自己的产品为 DDR，并且 Dig 这个成立于 2021 年的以色列公司说自己是行业内第一家 Data Detection and Response (DDR)解决方案提供商；Cyberhaven 创立于2016年，正式推出 DDR 产品是在 2021年中。看来是英雄所见略同哈哈。