国产成人福利在线视频播放下载,成人无码www免费视频在线看,放荡的美妇在线播放,大地资源网最新更新,国产成人精品日本亚洲网站

如何利用UBA技術(shù)解決內(nèi)部威脅問題

　　今天，如果我們談起威脅這個詞，大家感悟比較深的還是外部威脅，比如黑客DDOS攻擊、APT攻擊等等，卻忽略對企業(yè)傷害更加大內(nèi)部威脅。事實上，據(jù)2013年美國的CERT調(diào)查顯示53%的企業(yè)認為內(nèi)部威脅的危害要遠大于外部威脅; 2014年Spectorsoft的調(diào)查報告指出75%的內(nèi)部威脅事件沒有對外報告出來; 2015年的FortScale調(diào)查也反饋85%的數(shù)據(jù)泄露是來于內(nèi)部威脅。

　　內(nèi)部威脅VS外部威脅

　　這些數(shù)據(jù)都證實了內(nèi)部威脅已經(jīng)不可忽略，并且成為網(wǎng)絡(luò)安全事件頭號“通緝犯”。那為什么我們很少聽到內(nèi)部威脅引發(fā)的安全事件呢?也許用一個詞解釋比較合理“家丑不可外揚”，但這絕不代表沒有。事實上，內(nèi)部人員相對外部攻擊更容易接近重要信息或系統(tǒng)，并且內(nèi)部人員也會有更大動力或傾向利用他們的職權(quán)去讓自己獲得利益，正所謂“禍起蕭墻”，攻破堡壘往往都是“自己人”。

　　那么到底何為內(nèi)部威脅呢?簡單說，內(nèi)部威脅就是指現(xiàn)在或前雇員、承包商、合作伙伴等通過他們的信任而有意、無意或誤用方式來對公司或組織的員工、客戶、資產(chǎn)、信譽或利益產(chǎn)生傷害。不管哪種形式內(nèi)部威脅都和產(chǎn)生此類威脅的人相關(guān)，因此要解決好內(nèi)部威脅，發(fā)現(xiàn)“壞人”是解決內(nèi)部威脅的主要手段。

　　內(nèi)部威脅類型

　　解決內(nèi)部威脅，傳統(tǒng)技術(shù)存在先天不足

　　問題1： 報警數(shù)量多，誤報率高。我們知道傳統(tǒng)解決內(nèi)部威脅一般都是通過SOC或SIEM和DLP產(chǎn)品等來解決，類似SIEM和SOC這樣產(chǎn)品都是針對“安全事件”的管理和分析的工具，會產(chǎn)生大量的告警數(shù)據(jù)。但是在特殊客戶場景下，很多告警都是無效的，結(jié)果就演變成天天在喊“狼來了”，大部分時間狼都沒來。但是，如果狼真的來了，也可能就忽略了。

　　問題2：操作復(fù)雜，投入成本高。對當(dāng)前企業(yè)來說安全的投入難點實際往往不在安全產(chǎn)品的購買，往往是缺少有高級安全經(jīng)驗的人。企業(yè)想要能夠使用好SIEM和DLP產(chǎn)品很困難，需要擁有大批具備高級安全經(jīng)驗的人，投入也是很大。因此每當(dāng)發(fā)生安全事件，需要投入不少安全人員和時間才能解決。

　　應(yīng)對內(nèi)部威脅需要全新技術(shù)手段——UBA

　　這里先簡單介紹一下UBA是什么。根據(jù)2015年Gartner的定義來看，UBA用戶行為分析是幫助企業(yè)或組織發(fā)現(xiàn)內(nèi)部威脅，目標攻擊和金融欺詐。但在2016年Gartner提出了UEBA(User and Entity Behavior Analytics)獨立市場，定位解決企業(yè)內(nèi)部威脅和目標攻擊。

　　從Garnter定義可以看出UBA的市場正在被看好，發(fā)展也比較快，并且在安全上提出了獨立UEBA市場。利用UBA技術(shù)解決內(nèi)部威脅是一種新的手段方法， 該技術(shù)發(fā)展到今天已經(jīng)具備了能夠?qū)Ψ墙Y(jié)構(gòu)化數(shù)據(jù)進行分析能力，擁有一定的預(yù)測能力，已經(jīng)開始應(yīng)用到內(nèi)部威脅和目標攻擊防護中去，而不再僅僅局限于調(diào)查分析了。

　　UBA技術(shù)到底是如何實現(xiàn)的?從下圖UBA基本數(shù)據(jù)處理過程可以看出，UBA以用戶上下文的組件為核心實現(xiàn)驅(qū)動或關(guān)聯(lián)數(shù)據(jù)enrich、行為分析和異常檢測等功能。

　　UBA基本數(shù)據(jù)處理邏輯框架圖

　　首先，數(shù)據(jù)enrich需要用到用戶上下文的信息，比如從VPN登陸后，訪問內(nèi)部業(yè)務(wù)的一條日志，會被豐富成具體是哪個員工通過哪個賬號，使用了哪個終端，從什么位置，并且通過什么IP地址訪問了什么業(yè)務(wù)系統(tǒng)等，其中員工名稱、位置、終端名稱和業(yè)務(wù)系統(tǒng)等都是通過上下文信息獲得。

　　其次，豐富后的行為信息會被關(guān)聯(lián)分組或行為分析，而行為分析常見的就是基線分析和Peer Group分析等。最后都會進入到異常檢測部件，根據(jù)一些規(guī)則或數(shù)據(jù)分析模型來生成異常行為事件。再按照人的維度將異常行為事件進入到風(fēng)險引擎計算出人的異常風(fēng)險。

　　當(dāng)然要做好UBA或者UEBA產(chǎn)品，不只是構(gòu)建一套基本處理框架，還有不少的技術(shù)要點或者技術(shù)上的坑是不得不解決的。第一點需要獲取多類型數(shù)據(jù)，如果說解決內(nèi)部威脅針對單一類型數(shù)據(jù)或者設(shè)備去做UBA，非常片面，價值點低。第二點不僅要集成結(jié)構(gòu)化數(shù)據(jù)還能集成非結(jié)構(gòu)數(shù)據(jù)。比如身份系統(tǒng)信息、個人身體健康記錄等，而這些數(shù)據(jù)往往是對用戶上下文組件做數(shù)據(jù)支撐。最后，元數(shù)據(jù)獲取。例如終端，不能僅僅是一些病毒漏洞或系統(tǒng)基本信息，還需要能夠?qū)⑦M程、驅(qū)動、網(wǎng)絡(luò)訪問等涉及行為信息手段都需要能夠捕獲。

　　應(yīng)對內(nèi)部威脅，UBA技術(shù)先天性優(yōu)勢從何而來?看UBA技術(shù)魂魄與血肉

　　UBA技術(shù)魂魄就是Context上下文。實際上UEBA產(chǎn)品已經(jīng)能夠?qū)τ脩?、終端、文件、應(yīng)用和其他實體構(gòu)建上下文的接口。例如用戶的角色是工程師還是銷售、職位是經(jīng)理還是VP，職時間，直接領(lǐng)導(dǎo)、離職狀態(tài)、身體健康狀況等都是用戶的Context。當(dāng)然相關(guān)對象的上下文可以形成關(guān)聯(lián)關(guān)系，比如從用戶上下文可以關(guān)聯(lián)到終端上下文。對于上下文構(gòu)建不僅是需要通過用戶配置和對接其他系統(tǒng)來獲取，更需要通過機器學(xué)習(xí)構(gòu)建上下文。比如說職位信息可能變化不大可以認為接近靜態(tài)信息，但是對于系統(tǒng)進程信息、文件敏感等級信息都是需要根據(jù)數(shù)據(jù)來動態(tài)變化的。

　　如果說UBA技術(shù)魂魄是上下文，那么內(nèi)部異常行為事件或者規(guī)則就是UBA產(chǎn)品的血和肉。對于客戶而言，UBA產(chǎn)品體現(xiàn)價值在于產(chǎn)生內(nèi)部威脅的異常行為事件。而異常行為事件或規(guī)則的制定，則驅(qū)動Context上下文部件構(gòu)建什么樣上下文信息。關(guān)于異常行為規(guī)則的制定，簡單的方式是基于各種類別內(nèi)部數(shù)據(jù)進行針對性定義。以VPN接入舉例，簡單的異常行為就是賬號登陸失敗連續(xù)多次，稍微復(fù)雜點就是與上次登陸設(shè)備相同，但本次登陸失敗，還要和上下文信息明顯有關(guān)，就是本次登錄成功的設(shè)備，之前從來都是失敗的，這些異常行為背后可能是賬號是否已經(jīng)泄露，或者設(shè)備被別人持有或者控制，或者被別人暴力破解成功等?？偨Y(jié)起來就是，內(nèi)部威脅的異常行為的提出基本都是來自于安全經(jīng)驗和客戶環(huán)境和場景的驅(qū)動。

　　基于這樣技術(shù)優(yōu)勢，UBA在應(yīng)對內(nèi)部威脅時，存在兩點明顯優(yōu)勢。優(yōu)勢1：操作簡易化，找到“壞的人”，UBA產(chǎn)品是長時間持續(xù)對人的異常行為進行記錄和分析，上報高質(zhì)量的異常行為，大大削減了告警的數(shù)量，讓人能夠關(guān)注到重點，減少誤報率。優(yōu)勢2：高質(zhì)量的異常行為， UBA產(chǎn)品卻是直接提供以“人”視角給出判定，讓一般安全管理員就可以快速的定位“壞”人背后的行為，并較容易確定其產(chǎn)生異常行為的證據(jù)。

　　寫在最后，UBA技術(shù)采用最大的技術(shù)理念就是上下文感知，而上下文感知是采用信息的共性和關(guān)聯(lián)特性，進行持續(xù)性學(xué)習(xí)的方式，更接近人腦的方式，記錄和分析一些信息面。UBA定位是人，回答的問題是：這個用戶行為異常嗎?而不是“這事異常事件嗎”，這是一種解決內(nèi)部威脅全新技術(shù)手段，能夠幫助用戶及早發(fā)現(xiàn)可疑行為，為信息安全專業(yè)人員指明方向，從而確定是否有安全問題需要引起注意。