IT安全人員表示���,近些年來大型企業(yè)在網絡安全方面的開支主要投入在防火墻、反病毒系統(tǒng)和基于特征(signature-based)的數字看守系統(tǒng)這些邊界防御工具上�,但是,重大數據泄密事件仍層出不窮��,絲毫沒有放緩的跡象���。
原因何在?
其中一個原因是由于邊界本身在逐漸消失���,越來越多的企業(yè)組織在啟動移動技術和全天候辦公模式��,結果導致越來越多的設備可以訪問企業(yè)網絡�。同時,企業(yè)組織還將越來越多的業(yè)務職能外包給非雇員合同工和供應商�����,他們常常需要訪問企業(yè)網絡才能正常開展工作�。
不僅如此,大肆炒作的“物聯網”使企業(yè)網絡向另一大批“授權設備”敞開了大門���,給惡意人員可乘之機�����,鉆設備的空子�����,大搞破壞��,近期的互聯網基礎設施公司Dyn遭黑客攻擊事件就明確無誤的印證了這一點�,導致世界知名的網絡公司(包括Netflix����、Twitter、亞馬遜和Tumblr)的服務持續(xù)不斷的受到干擾。
因此�����,盡管許多企業(yè)組織的開支仍往往集中在邊界防御����,但安全專家們已經意識到:當下將惡意人員完全隔離在企業(yè)網絡之外幾乎是不可能的。于是���,大家開始尋找其他可以緩解入侵者帶來危害的更好方法���。當然,我們需要防范的不僅僅是黑客引起的安全事件����。
最新研究表明,內部威脅(Insider Attack)在如今的數據泄密事件中已經占到20%-60%�。事件的始作俑者有的是備受信賴的企業(yè)員工,有的是擁有合法登錄信息的其他授權用戶����,而傳統(tǒng)邊界防御卻無力阻止這種內部威脅�,網絡安全人員紛紛將目光投向用戶行為分析(UBA),并愈發(fā)看重這項技術。
UBA技術是從一大批名為數據分析的“大數據”技術演變而來的����,可以對數字系統(tǒng)不斷記錄的日常事件數據和活動日志進行實時監(jiān)控、關聯和分析����。
由于連中型公司通常每天都有成千上萬個設備與企業(yè)網絡進行聯系,這類聯系必將生成大量的數據����,這其中就很可能含有企圖入侵或攻擊的線索。純粹依賴人力來篩查�����、解讀這類海量信息帶來的安全影響明顯是不現實的,UBA結合了強大的計算機系統(tǒng)�����、先進的應用數學模型以及業(yè)務和行為情報來分析數據�����,查出不易被發(fā)現的異?��;顒?��,并且提醒安全專業(yè)人員留意應立即注意的問題。
UBA可以根據不斷輸入的內容進行“學習”��,主動尋找內部威脅和欺詐行為�����、檢測高級的惡意軟件活動�、密切關注用戶的行動,從而自動識別高危行為���。
我們在之前的文章中也反復提到過�����,UBA的技術核心就是“使用無監(jiān)督式的機器學習算法監(jiān)測用戶的行為模式����,建立模型�����,進行監(jiān)測��,并作出判斷和預報�。”
在這一點上���,HanSight UBA利用了無監(jiān)督機器學習業(yè)界前沿的研究成果�,基于多種先進算法集���,使得異常分析在企業(yè)缺乏標注安全數據的情況下也能達到好的效果��。
同時��,UBA經過認真管理――這一點我們會在后面詳細地探討�,與邊界防御工具不同,就會具有獨特的功能:它可以識別不懷好意或粗心大意的內部人員從事的異?��;顒踊蚩梢苫顒?,這些擁有訪問網絡的權限的內部人員��,很可能在以未授權���、有危害的方式來使用那些權限�。
如果UBA得到合理配置和部署����,其識別和標記潛在危險內部活動的能力將是企業(yè)級網絡安全“武器庫”中一種非常厲害的“武器”。
舉個例子����,某個受信賴的中層員工在特殊的時間(比如,凌晨2:00)通過VPN連接并登錄所在企業(yè)的網絡�,花了幾小時訪問了眾多服務器和幾十個或幾百個文件,想一想這代表著什么���?如果許多被訪問的文件在這名員工之前工作中從未涉及過的地方���,想想這又代表了什么����?要是沒有檢測到惡意軟件��,IP地址也是干凈的�����,公司的安全系統(tǒng)能夠識別出這個活動是異常�����、可能的惡意活動嗎����?目前�����,這對于大多數企業(yè)組織來說是不可能的����,除非它們已經制定了妥善管理的UBA計劃。
UBA能夠檢測異常情況��,有合理的跡象表明哪里出了什么岔子����,從而發(fā)出警報,這在一方面依賴系統(tǒng)對于用戶的什么行為是“正?����!毙袨榈睦斫?����。讓UBA發(fā)揮正常作用的前提是�����,系統(tǒng)中要有每個用戶的角色和職責方面的正確信息�����,包括這些人的屬性:職銜�、組織結構中的位置�����、該人經常共事的小組或團隊��、正常的工作時間�����、辦公地點、網絡訪問權限等等信息��。UBA把這些信息與系統(tǒng)自動整理的個人使用計算機留下的行為數據關聯起來����,為用戶建立執(zhí)行的正常活動確立基線���,具體參數如IP地址���、登錄和退出時間、服務器訪問嘗試���、打開和下載的文件�����、網站訪問�、打印任務等�。
管理UBA的一項重大任務就是設定適當的告警閾值。事實證明��,單一監(jiān)測維度的異常很容易造成大量的誤報。典型的設定閾值做法是�,將每個用戶分派到同部門小組,小組中的成員有著類似的業(yè)務職能和訪問權限���。
在此方面���,除同部門外,HanSight UBA還以個人����、資產、資產群等為單位建立多維度行為基線群��,并通過算法計算出多個維度異常分值的綜合值�����,進一步降低誤報��,在700百多種場景數據測試下顯示����,綜合檢測率達業(yè)界最高�����,即>87.4%。
同時�����,還可以為每個用戶賦予一個基準風險分值(baseline risk score)���。風險分值最低的人員��,比如網絡訪問權限非常有限的兼職行政管理人員�����,風險最高的將是可無限制訪問整個IT基礎設施的網絡管理員����。每個人的風險分值決定了異常檢測的敏感性和異常行為的嚴重程度��。相應地�����,對低風險的員工而言�����,觸發(fā)警報的閾值就要高得多。(原文作者:?Jason Straight? ?原文鏈接:http://www.legaltechnews.com/id=1202779048814/Can-User-Behavior-Analytics-Do-a-Better-Job-of-Protecting-Your-Data)[ 本文系HanSight瀚思編譯���!]
