国产成人福利在线视频播放下载,成人无码www免费视频在线看,放荡的美妇在线播放,大地资源网最新更新,国产成人精品日本亚洲网站

如何利用UBA技術(shù)解決內(nèi)部威脅問(wèn)題

　　今天，如果我們談起威脅這個(gè)詞，大家感悟比較深的還是外部威脅，比如黑客DDOS攻擊、APT攻擊等等，卻忽略對(duì)企業(yè)傷害更加大內(nèi)部威脅。事實(shí)上，據(jù)2013年美國(guó)的CERT調(diào)查顯示53%的企業(yè)認(rèn)為內(nèi)部威脅的危害要遠(yuǎn)大于外部威脅; 2014年Spectorsoft的調(diào)查報(bào)告指出75%的內(nèi)部威脅事件沒(méi)有對(duì)外報(bào)告出來(lái); 2015年的FortScale調(diào)查也反饋85%的數(shù)據(jù)泄露是來(lái)于內(nèi)部威脅。

　　內(nèi)部威脅VS外部威脅

　　這些數(shù)據(jù)都證實(shí)了內(nèi)部威脅已經(jīng)不可忽略，并且成為網(wǎng)絡(luò)安全事件頭號(hào)“通緝犯”。那為什么我們很少聽(tīng)到內(nèi)部威脅引發(fā)的安全事件呢?也許用一個(gè)詞解釋比較合理“家丑不可外揚(yáng)”，但這絕不代表沒(méi)有。事實(shí)上，內(nèi)部人員相對(duì)外部攻擊更容易接近重要信息或系統(tǒng)，并且內(nèi)部人員也會(huì)有更大動(dòng)力或傾向利用他們的職權(quán)去讓自己獲得利益，正所謂“禍起蕭墻”，攻破堡壘往往都是“自己人”。

　　那么到底何為內(nèi)部威脅呢?簡(jiǎn)單說(shuō)，內(nèi)部威脅就是指現(xiàn)在或前雇員、承包商、合作伙伴等通過(guò)他們的信任而有意、無(wú)意或誤用方式來(lái)對(duì)公司或組織的員工、客戶(hù)、資產(chǎn)、信譽(yù)或利益產(chǎn)生傷害。不管哪種形式內(nèi)部威脅都和產(chǎn)生此類(lèi)威脅的人相關(guān)，因此要解決好內(nèi)部威脅，發(fā)現(xiàn)“壞人”是解決內(nèi)部威脅的主要手段。

　　內(nèi)部威脅類(lèi)型

　　解決內(nèi)部威脅，傳統(tǒng)技術(shù)存在先天不足

　　問(wèn)題1： 報(bào)警數(shù)量多，誤報(bào)率高。我們知道傳統(tǒng)解決內(nèi)部威脅一般都是通過(guò)SOC或SIEM和DLP產(chǎn)品等來(lái)解決，類(lèi)似SIEM和SOC這樣產(chǎn)品都是針對(duì)“安全事件”的管理和分析的工具，會(huì)產(chǎn)生大量的告警數(shù)據(jù)。但是在特殊客戶(hù)場(chǎng)景下，很多告警都是無(wú)效的，結(jié)果就演變成天天在喊“狼來(lái)了”，大部分時(shí)間狼都沒(méi)來(lái)。但是，如果狼真的來(lái)了，也可能就忽略了。

　　問(wèn)題2：操作復(fù)雜，投入成本高。對(duì)當(dāng)前企業(yè)來(lái)說(shuō)安全的投入難點(diǎn)實(shí)際往往不在安全產(chǎn)品的購(gòu)買(mǎi)，往往是缺少有高級(jí)安全經(jīng)驗(yàn)的人。企業(yè)想要能夠使用好SIEM和DLP產(chǎn)品很困難，需要擁有大批具備高級(jí)安全經(jīng)驗(yàn)的人，投入也是很大。因此每當(dāng)發(fā)生安全事件，需要投入不少安全人員和時(shí)間才能解決。

　　應(yīng)對(duì)內(nèi)部威脅需要全新技術(shù)手段——UBA

　　這里先簡(jiǎn)單介紹一下UBA是什么。根據(jù)2015年Gartner的定義來(lái)看，UBA用戶(hù)行為分析是幫助企業(yè)或組織發(fā)現(xiàn)內(nèi)部威脅，目標(biāo)攻擊和金融欺詐。但在2016年Gartner提出了UEBA(User and Entity Behavior Analytics)獨(dú)立市場(chǎng)，定位解決企業(yè)內(nèi)部威脅和目標(biāo)攻擊。

　　從Garnter定義可以看出UBA的市場(chǎng)正在被看好，發(fā)展也比較快，并且在安全上提出了獨(dú)立UEBA市場(chǎng)。利用UBA技術(shù)解決內(nèi)部威脅是一種新的手段方法， 該技術(shù)發(fā)展到今天已經(jīng)具備了能夠?qū)Ψ墙Y(jié)構(gòu)化數(shù)據(jù)進(jìn)行分析能力，擁有一定的預(yù)測(cè)能力，已經(jīng)開(kāi)始應(yīng)用到內(nèi)部威脅和目標(biāo)攻擊防護(hù)中去，而不再僅僅局限于調(diào)查分析了。

　　UBA技術(shù)到底是如何實(shí)現(xiàn)的?從下圖UBA基本數(shù)據(jù)處理過(guò)程可以看出，UBA以用戶(hù)上下文的組件為核心實(shí)現(xiàn)驅(qū)動(dòng)或關(guān)聯(lián)數(shù)據(jù)enrich、行為分析和異常檢測(cè)等功能。

　　UBA基本數(shù)據(jù)處理邏輯框架圖

　　首先，數(shù)據(jù)enrich需要用到用戶(hù)上下文的信息，比如從VPN登陸后，訪問(wèn)內(nèi)部業(yè)務(wù)的一條日志，會(huì)被豐富成具體是哪個(gè)員工通過(guò)哪個(gè)賬號(hào)，使用了哪個(gè)終端，從什么位置，并且通過(guò)什么IP地址訪問(wèn)了什么業(yè)務(wù)系統(tǒng)等，其中員工名稱(chēng)、位置、終端名稱(chēng)和業(yè)務(wù)系統(tǒng)等都是通過(guò)上下文信息獲得。

　　其次，豐富后的行為信息會(huì)被關(guān)聯(lián)分組或行為分析，而行為分析常見(jiàn)的就是基線分析和Peer Group分析等。最后都會(huì)進(jìn)入到異常檢測(cè)部件，根據(jù)一些規(guī)則或數(shù)據(jù)分析模型來(lái)生成異常行為事件。再按照人的維度將異常行為事件進(jìn)入到風(fēng)險(xiǎn)引擎計(jì)算出人的異常風(fēng)險(xiǎn)。

　　當(dāng)然要做好UBA或者UEBA產(chǎn)品，不只是構(gòu)建一套基本處理框架，還有不少的技術(shù)要點(diǎn)或者技術(shù)上的坑是不得不解決的。第一點(diǎn)需要獲取多類(lèi)型數(shù)據(jù)，如果說(shuō)解決內(nèi)部威脅針對(duì)單一類(lèi)型數(shù)據(jù)或者設(shè)備去做UBA，非常片面，價(jià)值點(diǎn)低。第二點(diǎn)不僅要集成結(jié)構(gòu)化數(shù)據(jù)還能集成非結(jié)構(gòu)數(shù)據(jù)。比如身份系統(tǒng)信息、個(gè)人身體健康記錄等，而這些數(shù)據(jù)往往是對(duì)用戶(hù)上下文組件做數(shù)據(jù)支撐。最后，元數(shù)據(jù)獲取。例如終端，不能僅僅是一些病毒漏洞或系統(tǒng)基本信息，還需要能夠?qū)⑦M(jìn)程、驅(qū)動(dòng)、網(wǎng)絡(luò)訪問(wèn)等涉及行為信息手段都需要能夠捕獲。

　　應(yīng)對(duì)內(nèi)部威脅，UBA技術(shù)先天性?xún)?yōu)勢(shì)從何而來(lái)?看UBA技術(shù)魂魄與血肉

　　UBA技術(shù)魂魄就是Context上下文。實(shí)際上UEBA產(chǎn)品已經(jīng)能夠?qū)τ脩?hù)、終端、文件、應(yīng)用和其他實(shí)體構(gòu)建上下文的接口。例如用戶(hù)的角色是工程師還是銷(xiāo)售、職位是經(jīng)理還是VP，職時(shí)間，直接領(lǐng)導(dǎo)、離職狀態(tài)、身體健康狀況等都是用戶(hù)的Context。當(dāng)然相關(guān)對(duì)象的上下文可以形成關(guān)聯(lián)關(guān)系，比如從用戶(hù)上下文可以關(guān)聯(lián)到終端上下文。對(duì)于上下文構(gòu)建不僅是需要通過(guò)用戶(hù)配置和對(duì)接其他系統(tǒng)來(lái)獲取，更需要通過(guò)機(jī)器學(xué)習(xí)構(gòu)建上下文。比如說(shuō)職位信息可能變化不大可以認(rèn)為接近靜態(tài)信息，但是對(duì)于系統(tǒng)進(jìn)程信息、文件敏感等級(jí)信息都是需要根據(jù)數(shù)據(jù)來(lái)動(dòng)態(tài)變化的。

　　如果說(shuō)UBA技術(shù)魂魄是上下文，那么內(nèi)部異常行為事件或者規(guī)則就是UBA產(chǎn)品的血和肉。對(duì)于客戶(hù)而言，UBA產(chǎn)品體現(xiàn)價(jià)值在于產(chǎn)生內(nèi)部威脅的異常行為事件。而異常行為事件或規(guī)則的制定，則驅(qū)動(dòng)Context上下文部件構(gòu)建什么樣上下文信息。關(guān)于異常行為規(guī)則的制定，簡(jiǎn)單的方式是基于各種類(lèi)別內(nèi)部數(shù)據(jù)進(jìn)行針對(duì)性定義。以VPN接入舉例，簡(jiǎn)單的異常行為就是賬號(hào)登陸失敗連續(xù)多次，稍微復(fù)雜點(diǎn)就是與上次登陸設(shè)備相同，但本次登陸失敗，還要和上下文信息明顯有關(guān)，就是本次登錄成功的設(shè)備，之前從來(lái)都是失敗的，這些異常行為背后可能是賬號(hào)是否已經(jīng)泄露，或者設(shè)備被別人持有或者控制，或者被別人暴力破解成功等。總結(jié)起來(lái)就是，內(nèi)部威脅的異常行為的提出基本都是來(lái)自于安全經(jīng)驗(yàn)和客戶(hù)環(huán)境和場(chǎng)景的驅(qū)動(dòng)。

　　基于這樣技術(shù)優(yōu)勢(shì)，UBA在應(yīng)對(duì)內(nèi)部威脅時(shí)，存在兩點(diǎn)明顯優(yōu)勢(shì)。優(yōu)勢(shì)1：操作簡(jiǎn)易化，找到“壞的人”，UBA產(chǎn)品是長(zhǎng)時(shí)間持續(xù)對(duì)人的異常行為進(jìn)行記錄和分析，上報(bào)高質(zhì)量的異常行為，大大削減了告警的數(shù)量，讓人能夠關(guān)注到重點(diǎn)，減少誤報(bào)率。優(yōu)勢(shì)2：高質(zhì)量的異常行為， UBA產(chǎn)品卻是直接提供以“人”視角給出判定，讓一般安全管理員就可以快速的定位“壞”人背后的行為，并較容易確定其產(chǎn)生異常行為的證據(jù)。

　　寫(xiě)在最后，UBA技術(shù)采用最大的技術(shù)理念就是上下文感知，而上下文感知是采用信息的共性和關(guān)聯(lián)特性，進(jìn)行持續(xù)性學(xué)習(xí)的方式，更接近人腦的方式，記錄和分析一些信息面。UBA定位是人，回答的問(wèn)題是：這個(gè)用戶(hù)行為異常嗎?而不是“這事異常事件嗎”，這是一種解決內(nèi)部威脅全新技術(shù)手段，能夠幫助用戶(hù)及早發(fā)現(xiàn)可疑行為，為信息安全專(zhuān)業(yè)人員指明方向，從而確定是否有安全問(wèn)題需要引起注意。