IT安全人員表示�����,近些年來大型企業(yè)在網(wǎng)絡安全方面的開支主要投入在防火墻�����、反病毒系統(tǒng)和基于特征(signature-based)的數(shù)字看守系統(tǒng)這些邊界防御工具上�����,但是�����,重大數(shù)據(jù)泄密事件仍層出不窮��,絲毫沒有放緩的跡象��。
原因何在����?
其中一個原因是由于邊界本身在逐漸消失���,越來越多的企業(yè)組織在啟動移動技術(shù)和全天候辦公模式�,結(jié)果導致越來越多的設備可以訪問企業(yè)網(wǎng)絡�。同時,企業(yè)組織還將越來越多的業(yè)務職能外包給非雇員合同工和供應商��,他們常常需要訪問企業(yè)網(wǎng)絡才能正常開展工作。
不僅如此��,大肆炒作的“物聯(lián)網(wǎng)”使企業(yè)網(wǎng)絡向另一大批“授權(quán)設備”敞開了大門���,給惡意人員可乘之機��,鉆設備的空子�����,大搞破壞�����,近期的互聯(lián)網(wǎng)基礎設施公司Dyn遭黑客攻擊事件就明確無誤的印證了這一點����,導致世界知名的網(wǎng)絡公司(包括Netflix�����、Twitter����、亞馬遜和Tumblr)的服務持續(xù)不斷的受到干擾�����。
因此����,盡管許多企業(yè)組織的開支仍往往集中在邊界防御�,但安全專家們已經(jīng)意識到:當下將惡意人員完全隔離在企業(yè)網(wǎng)絡之外幾乎是不可能的。于是����,大家開始尋找其他可以緩解入侵者帶來危害的更好方法。當然����,我們需要防范的不僅僅是黑客引起的安全事件。
最新研究表明��,內(nèi)部威脅(Insider Attack)在如今的數(shù)據(jù)泄密事件中已經(jīng)占到20%-60%����。事件的始作俑者有的是備受信賴的企業(yè)員工���,有的是擁有合法登錄信息的其他授權(quán)用戶����,而傳統(tǒng)邊界防御卻無力阻止這種內(nèi)部威脅,網(wǎng)絡安全人員紛紛將目光投向用戶行為分析(UBA)���,并愈發(fā)看重這項技術(shù)����。
UBA技術(shù)是從一大批名為數(shù)據(jù)分析的“大數(shù)據(jù)”技術(shù)演變而來的����,可以對數(shù)字系統(tǒng)不斷記錄的日常事件數(shù)據(jù)和活動日志進行實時監(jiān)控、關聯(lián)和分析��。
由于連中型公司通常每天都有成千上萬個設備與企業(yè)網(wǎng)絡進行聯(lián)系���,這類聯(lián)系必將生成大量的數(shù)據(jù)���,這其中就很可能含有企圖入侵或攻擊的線索。純粹依賴人力來篩查����、解讀這類海量信息帶來的安全影響明顯是不現(xiàn)實的,UBA結(jié)合了強大的計算機系統(tǒng)�、先進的應用數(shù)學模型以及業(yè)務和行為情報來分析數(shù)據(jù),查出不易被發(fā)現(xiàn)的異?���;顒樱⑶姨嵝寻踩珜I(yè)人員留意應立即注意的問題����。
UBA可以根據(jù)不斷輸入的內(nèi)容進行“學習”,主動尋找內(nèi)部威脅和欺詐行為�、檢測高級的惡意軟件活動、密切關注用戶的行動,從而自動識別高危行為�。
我們在之前的文章中也反復提到過���,UBA的技術(shù)核心就是“使用無監(jiān)督式的機器學習算法監(jiān)測用戶的行為模式����,建立模型��,進行監(jiān)測����,并作出判斷和預報?!?/p>
在這一點上,HanSight UBA利用了無監(jiān)督機器學習業(yè)界前沿的研究成果�,基于多種先進算法集,使得異常分析在企業(yè)缺乏標注安全數(shù)據(jù)的情況下也能達到好的效果�。
同時,UBA經(jīng)過認真管理――這一點我們會在后面詳細地探討�,與邊界防御工具不同,就會具有獨特的功能:它可以識別不懷好意或粗心大意的內(nèi)部人員從事的異?���;顒踊蚩梢苫顒樱@些擁有訪問網(wǎng)絡的權(quán)限的內(nèi)部人員,很可能在以未授權(quán)����、有危害的方式來使用那些權(quán)限。
如果UBA得到合理配置和部署���,其識別和標記潛在危險內(nèi)部活動的能力將是企業(yè)級網(wǎng)絡安全“武器庫”中一種非常厲害的“武器”���。
舉個例子,某個受信賴的中層員工在特殊的時間(比如��,凌晨2:00)通過VPN連接并登錄所在企業(yè)的網(wǎng)絡�,花了幾小時訪問了眾多服務器和幾十個或幾百個文件,想一想這代表著什么����?如果許多被訪問的文件在這名員工之前工作中從未涉及過的地方,想想這又代表了什么����?要是沒有檢測到惡意軟件,IP地址也是干凈的��,公司的安全系統(tǒng)能夠識別出這個活動是異常���、可能的惡意活動嗎����?目前,這對于大多數(shù)企業(yè)組織來說是不可能的�����,除非它們已經(jīng)制定了妥善管理的UBA計劃���。
UBA能夠檢測異常情況�����,有合理的跡象表明哪里出了什么岔子�,從而發(fā)出警報����,這在一方面依賴系統(tǒng)對于用戶的什么行為是“正常”行為的理解���。讓UBA發(fā)揮正常作用的前提是�,系統(tǒng)中要有每個用戶的角色和職責方面的正確信息�����,包括這些人的屬性:職銜����、組織結(jié)構(gòu)中的位置����、該人經(jīng)常共事的小組或團隊���、正常的工作時間����、辦公地點�、網(wǎng)絡訪問權(quán)限等等信息�����。UBA把這些信息與系統(tǒng)自動整理的個人使用計算機留下的行為數(shù)據(jù)關聯(lián)起來�����,為用戶建立執(zhí)行的正?��;顒哟_立基線��,具體參數(shù)如IP地址�、登錄和退出時間�、服務器訪問嘗試�、打開和下載的文件��、網(wǎng)站訪問����、打印任務等。
管理UBA的一項重大任務就是設定適當?shù)母婢撝?����。事實證明���,單一監(jiān)測維度的異常很容易造成大量的誤報����。典型的設定閾值做法是�,將每個用戶分派到同部門小組,小組中的成員有著類似的業(yè)務職能和訪問權(quán)限�����。
在此方面�����,除同部門外,HanSight UBA還以個人����、資產(chǎn)、資產(chǎn)群等為單位建立多維度行為基線群��,并通過算法計算出多個維度異常分值的綜合值��,進一步降低誤報�,在700百多種場景數(shù)據(jù)測試下顯示,綜合檢測率達業(yè)界最高����,即>87.4%�。
同時,還可以為每個用戶賦予一個基準風險分值(baseline risk score)�。風險分值最低的人員,比如網(wǎng)絡訪問權(quán)限非常有限的兼職行政管理人員���,風險最高的將是可無限制訪問整個IT基礎設施的網(wǎng)絡管理員���。每個人的風險分值決定了異常檢測的敏感性和異常行為的嚴重程度。相應地����,對低風險的員工而言�����,觸發(fā)警報的閾值就要高得多���。(原文作者:?Jason Straight? ?原文鏈接:http://www.legaltechnews.com/id=1202779048814/Can-User-Behavior-Analytics-Do-a-Better-Job-of-Protecting-Your-Data)[ 本文系HanSight瀚思編譯!]
