IT安全人員表示,近些年來(lái)大型企業(yè)在網(wǎng)絡(luò)安全方面的開(kāi)支主要投入在防火墻�����、反病毒系統(tǒng)和基于特征(signature-based)的數(shù)字看守系統(tǒng)這些邊界防御工具上,但是�����,重大數(shù)據(jù)泄密事件仍層出不窮��,絲毫沒(méi)有放緩的跡象����。
原因何在?
其中一個(gè)原因是由于邊界本身在逐漸消失��,越來(lái)越多的企業(yè)組織在啟動(dòng)移動(dòng)技術(shù)和全天候辦公模式���,結(jié)果導(dǎo)致越來(lái)越多的設(shè)備可以訪問(wèn)企業(yè)網(wǎng)絡(luò)�����。同時(shí)����,企業(yè)組織還將越來(lái)越多的業(yè)務(wù)職能外包給非雇員合同工和供應(yīng)商,他們常常需要訪問(wèn)企業(yè)網(wǎng)絡(luò)才能正常開(kāi)展工作�����。
不僅如此�����,大肆炒作的“物聯(lián)網(wǎng)”使企業(yè)網(wǎng)絡(luò)向另一大批“授權(quán)設(shè)備”敞開(kāi)了大門���,給惡意人員可乘之機(jī)����,鉆設(shè)備的空子���,大搞破壞���,近期的互聯(lián)網(wǎng)基礎(chǔ)設(shè)施公司Dyn遭黑客攻擊事件就明確無(wú)誤的印證了這一點(diǎn)�,導(dǎo)致世界知名的網(wǎng)絡(luò)公司(包括Netflix�����、Twitter�����、亞馬遜和Tumblr)的服務(wù)持續(xù)不斷的受到干擾��。
因此�����,盡管許多企業(yè)組織的開(kāi)支仍往往集中在邊界防御��,但安全專家們已經(jīng)意識(shí)到:當(dāng)下將惡意人員完全隔離在企業(yè)網(wǎng)絡(luò)之外幾乎是不可能的���。于是,大家開(kāi)始尋找其他可以緩解入侵者帶來(lái)危害的更好方法�����。當(dāng)然,我們需要防范的不僅僅是黑客引起的安全事件�����。
最新研究表明�,內(nèi)部威脅(Insider Attack)在如今的數(shù)據(jù)泄密事件中已經(jīng)占到20%-60%。事件的始作俑者有的是備受信賴的企業(yè)員工�����,有的是擁有合法登錄信息的其他授權(quán)用戶����,而傳統(tǒng)邊界防御卻無(wú)力阻止這種內(nèi)部威脅,網(wǎng)絡(luò)安全人員紛紛將目光投向用戶行為分析(UBA)��,并愈發(fā)看重這項(xiàng)技術(shù)����。
UBA技術(shù)是從一大批名為數(shù)據(jù)分析的“大數(shù)據(jù)”技術(shù)演變而來(lái)的,可以對(duì)數(shù)字系統(tǒng)不斷記錄的日常事件數(shù)據(jù)和活動(dòng)日志進(jìn)行實(shí)時(shí)監(jiān)控���、關(guān)聯(lián)和分析��。
由于連中型公司通常每天都有成千上萬(wàn)個(gè)設(shè)備與企業(yè)網(wǎng)絡(luò)進(jìn)行聯(lián)系,這類聯(lián)系必將生成大量的數(shù)據(jù)���,這其中就很可能含有企圖入侵或攻擊的線索��。純粹依賴人力來(lái)篩查�����、解讀這類海量信息帶來(lái)的安全影響明顯是不現(xiàn)實(shí)的��,UBA結(jié)合了強(qiáng)大的計(jì)算機(jī)系統(tǒng)�����、先進(jìn)的應(yīng)用數(shù)學(xué)模型以及業(yè)務(wù)和行為情報(bào)來(lái)分析數(shù)據(jù)�����,查出不易被發(fā)現(xiàn)的異?�;顒?dòng)����,并且提醒安全專業(yè)人員留意應(yīng)立即注意的問(wèn)題。
UBA可以根據(jù)不斷輸入的內(nèi)容進(jìn)行“學(xué)習(xí)”�����,主動(dòng)尋找內(nèi)部威脅和欺詐行為����、檢測(cè)高級(jí)的惡意軟件活動(dòng)、密切關(guān)注用戶的行動(dòng)�����,從而自動(dòng)識(shí)別高危行為�����。
我們?cè)谥暗奈恼轮幸卜磸?fù)提到過(guò),UBA的技術(shù)核心就是“使用無(wú)監(jiān)督式的機(jī)器學(xué)習(xí)算法監(jiān)測(cè)用戶的行為模式���,建立模型����,進(jìn)行監(jiān)測(cè)����,并作出判斷和預(yù)報(bào)?!?/p>
在這一點(diǎn)上,HanSight UBA利用了無(wú)監(jiān)督機(jī)器學(xué)習(xí)業(yè)界前沿的研究成果�,基于多種先進(jìn)算法集,使得異常分析在企業(yè)缺乏標(biāo)注安全數(shù)據(jù)的情況下也能達(dá)到好的效果���。
同時(shí),UBA經(jīng)過(guò)認(rèn)真管理――這一點(diǎn)我們會(huì)在后面詳細(xì)地探討����,與邊界防御工具不同,就會(huì)具有獨(dú)特的功能:它可以識(shí)別不懷好意或粗心大意的內(nèi)部人員從事的異?���;顒?dòng)或可疑活動(dòng)����,這些擁有訪問(wèn)網(wǎng)絡(luò)的權(quán)限的內(nèi)部人員��,很可能在以未授權(quán)���、有危害的方式來(lái)使用那些權(quán)限���。
如果UBA得到合理配置和部署,其識(shí)別和標(biāo)記潛在危險(xiǎn)內(nèi)部活動(dòng)的能力將是企業(yè)級(jí)網(wǎng)絡(luò)安全“武器庫(kù)”中一種非常厲害的“武器”�。
舉個(gè)例子,某個(gè)受信賴的中層員工在特殊的時(shí)間(比如���,凌晨2:00)通過(guò)VPN連接并登錄所在企業(yè)的網(wǎng)絡(luò)�����,花了幾小時(shí)訪問(wèn)了眾多服務(wù)器和幾十個(gè)或幾百個(gè)文件����,想一想這代表著什么��?如果許多被訪問(wèn)的文件在這名員工之前工作中從未涉及過(guò)的地方,想想這又代表了什么�?要是沒(méi)有檢測(cè)到惡意軟件,IP地址也是干凈的����,公司的安全系統(tǒng)能夠識(shí)別出這個(gè)活動(dòng)是異常、可能的惡意活動(dòng)嗎����?目前,這對(duì)于大多數(shù)企業(yè)組織來(lái)說(shuō)是不可能的��,除非它們已經(jīng)制定了妥善管理的UBA計(jì)劃�。
UBA能夠檢測(cè)異常情況���,有合理的跡象表明哪里出了什么岔子,從而發(fā)出警報(bào)����,這在一方面依賴系統(tǒng)對(duì)于用戶的什么行為是“正常”行為的理解���。讓UBA發(fā)揮正常作用的前提是���,系統(tǒng)中要有每個(gè)用戶的角色和職責(zé)方面的正確信息���,包括這些人的屬性:職銜、組織結(jié)構(gòu)中的位置�、該人經(jīng)常共事的小組或團(tuán)隊(duì)、正常的工作時(shí)間����、辦公地點(diǎn)、網(wǎng)絡(luò)訪問(wèn)權(quán)限等等信息��。UBA把這些信息與系統(tǒng)自動(dòng)整理的個(gè)人使用計(jì)算機(jī)留下的行為數(shù)據(jù)關(guān)聯(lián)起來(lái)���,為用戶建立執(zhí)行的正?����;顒?dòng)確立基線�,具體參數(shù)如IP地址��、登錄和退出時(shí)間����、服務(wù)器訪問(wèn)嘗試、打開(kāi)和下載的文件�、網(wǎng)站訪問(wèn)、打印任務(wù)等�。
管理UBA的一項(xiàng)重大任務(wù)就是設(shè)定適當(dāng)?shù)母婢撝怠J聦?shí)證明��,單一監(jiān)測(cè)維度的異常很容易造成大量的誤報(bào)���。典型的設(shè)定閾值做法是���,將每個(gè)用戶分派到同部門小組,小組中的成員有著類似的業(yè)務(wù)職能和訪問(wèn)權(quán)限��。
在此方面�,除同部門外,HanSight UBA還以個(gè)人�、資產(chǎn)、資產(chǎn)群等為單位建立多維度行為基線群�,并通過(guò)算法計(jì)算出多個(gè)維度異常分值的綜合值,進(jìn)一步降低誤報(bào)�����,在700百多種場(chǎng)景數(shù)據(jù)測(cè)試下顯示�,綜合檢測(cè)率達(dá)業(yè)界最高����,即>87.4%����。
同時(shí),還可以為每個(gè)用戶賦予一個(gè)基準(zhǔn)風(fēng)險(xiǎn)分值(baseline risk score)�。風(fēng)險(xiǎn)分值最低的人員,比如網(wǎng)絡(luò)訪問(wèn)權(quán)限非常有限的兼職行政管理人員��,風(fēng)險(xiǎn)最高的將是可無(wú)限制訪問(wèn)整個(gè)IT基礎(chǔ)設(shè)施的網(wǎng)絡(luò)管理員�����。每個(gè)人的風(fēng)險(xiǎn)分值決定了異常檢測(cè)的敏感性和異常行為的嚴(yán)重程度�。相應(yīng)地,對(duì)低風(fēng)險(xiǎn)的員工而言�,觸發(fā)警報(bào)的閾值就要高得多。(原文作者:?Jason Straight? ?原文鏈接:http://www.legaltechnews.com/id=1202779048814/Can-User-Behavior-Analytics-Do-a-Better-Job-of-Protecting-Your-Data)[ 本文系HanSight瀚思編譯����!]
