Fortscale公司能夠幫助企業(yè)組織保護傳統(tǒng)的企業(yè)網(wǎng)絡，而Avanan公司的產(chǎn)品則能夠在云中提供服務，PFU Systems, Inc.公司則側(cè)重于專注對移動設備的安全保護。

在1979年上映的電影《驚呼狂叫(When a Stranger Calls)》中，警察告訴年輕的保姆說，她所接到的叫她當心孩子安全的變態(tài)狂人的騷擾電話是從房子里打的，無疑進一步增添了恐懼。對于觀影者們而言，這是相當恐怖的，因為變態(tài)狂人已經(jīng)入侵到了房子里面，甚至可以隨意發(fā)泄破壞任何他想要破壞的東西，被鎖的大門或其他外圍防御措施對入侵者而言都形同虛設，入侵者可以暢通無阻。而到了現(xiàn)如今的2016年，我們可以理所當然地認為企業(yè)網(wǎng)絡安全正經(jīng)歷著類似的威脅：來自企業(yè)內(nèi)部的安全威脅。

慶幸的是，整個行業(yè)正如雨后春筍般涌現(xiàn)出各種不同的產(chǎn)品和服務，以幫助企業(yè)組織抵御來自內(nèi)部的安全威脅。在本文中，我們專門測試了來自Fortscale、Avanan和PFU Systems公司的產(chǎn)品，其中每款產(chǎn)品都側(cè)重于問題的不同方面。

· Fortscale公司在保護傳統(tǒng)網(wǎng)絡方面做了大量相當了不起的工作。當深度探測并挖掘到安全威脅時，其機器學習功能、及對于訪問權限和身份驗證日志的重點關注使得他們的產(chǎn)品具有了極高的準確率，但他們又僅僅只是為用戶提供所收集、整理的信息，而讓用戶擁有最終的任何實際的決定權。

· Avanan公司的產(chǎn)品擁有一個非常好的前端界面，并能夠完全在云中工作。其甚至可以與已經(jīng)經(jīng)由該公司優(yōu)化過的大多數(shù)其他安全工具結合，以在云環(huán)境內(nèi)工作。一般而言，鑒于數(shù)據(jù)本身的不可控和廣泛分布的自然特性，使得較之傳統(tǒng)的網(wǎng)絡，基于云的內(nèi)部威脅可能更難檢測到。但Avanan公司的產(chǎn)品則能夠提供唯一的保護，使得用戶免受來自受信任的內(nèi)部人士的威脅。

· PFU Systems, Inc.公司是富士通公司旗下子公司，該公司主要是通過他們的iNetSec system產(chǎn)品為移動設備提供抵御來自內(nèi)部的安全威脅服務。其可以幫助企業(yè)用戶部署一項BYOD計劃，而無需考慮與移動設備相關的額外的內(nèi)部安全風險問題，如特定的智能手機落入壞人之手的情況。

在我們?yōu)槠趲字艿臏y試過程中，所有這三款產(chǎn)品的性能表現(xiàn)都相當良好。在這期間，某些網(wǎng)絡結構是由供應商所提供的，而另一些則是由我們自己的內(nèi)部測試平臺提供。(讀者朋友們可以在此參見這三款產(chǎn)品的屏幕截圖。)

Fortscale：通過機器學習來抵御內(nèi)部威脅

相比于我們在過去幾年已經(jīng)研究過的其他企業(yè)的安全工具而言，該款Fortscale產(chǎn)品可以說是接近完成，并準備好開箱即用了。其作為一款單一的服務器被安裝在一個網(wǎng)絡上，然后連接到已被使用的任何安全信息和事件管理(SIEM)系統(tǒng)。無需由管理員來配置任何規(guī)則或進行任何編程，因為Fortscale使用機器學習和復雜的算法來找到與內(nèi)部威脅有關的異常或危險的行為。而且因為其集中在對于訪問和身份驗證日志的關注，對于大多數(shù)網(wǎng)絡保持至少一個月的數(shù)據(jù)，其能夠在第一天就開始找出安全威脅，但隨著時間的推移，其能夠更準確。

Fortscale也很經(jīng)濟，對于一家有20000個工位的中型企業(yè)，每年每位用戶的定價約為10美元。而對于較大規(guī)模的許可證購買用戶和一次性購買多年許可證的用戶而言，還可以享受折扣優(yōu)惠。雖然這款Fortscale產(chǎn)品的處理并生成警報的過程是相當復雜的，在某種意義上，其可以歸結為能夠像一個人工一樣處理信息。如果一名早晨在加利福尼亞州工作的用戶突然在中午時間從烏克蘭的IP地址登錄到了一款受保護的系統(tǒng)，那么一個人工就可以很容易地將其識別為安全攻擊，但計算機卻對此存在一定的困難，特別是如果該實例不太明顯的話。

我們發(fā)現(xiàn)，從某種意義上說，F(xiàn)ortscale有些類似于IBM的沃森，能夠?qū)崿F(xiàn)連接，并向人類用戶提升問題，以便對問題進行有針對性的調(diào)解。其中的秘密就在于Fortscale集中于非常具體的信息，而其安全威脅模式已經(jīng)被編程設定，并且能夠根據(jù)其所保護的特定的環(huán)境進行學習。具體來說，其著眼于OS認證，VPN訪問，文件訪問，來自現(xiàn)有的安全產(chǎn)品的日志的數(shù)據(jù)，大多數(shù)攻擊者試圖訪問的一個網(wǎng)絡的最重要和最危險的部分。

從該Fortscale產(chǎn)品的界面，一名用戶永遠不會知道在后臺正在進行著這么多的處理。被提交到人工以進行考慮決斷的事件需要由Fortscale產(chǎn)品所考察的幾個因素的支持。沒有任何一個單一的事件足以促發(fā)一個警報，這一事實使得能夠?qū)⒄`報降至最低。

其另一個實用的功能，同時也顯示了這款Fortscale產(chǎn)品是真正專為人類用戶而設計的功能是：對于某些特定用戶可以在登錄初始頁面進行額外審查。這類用戶被稱為“Followed Users”，這些用戶被添加到儀表板的最右邊的列，并被要求填寫完整的信息，包括他們的照片，頭銜和網(wǎng)絡群組，如果這方面的信息是可用的話，都要逐一填寫完整。

并沒有設置標準以添加某些用戶到Followed Users池的必要。這完全取決于系統(tǒng)管理員。也許在現(xiàn)實世界的調(diào)查員或?qū)徲媶T因某種原因懷疑某員工在網(wǎng)絡之外的活動，或者Fortscale管理員看到一個帳戶出現(xiàn)了低級別的異常，并希望對該用戶進行標記，以防萬一。這甚至可能是網(wǎng)絡上的某個VIP，而該VIP的活動需要不惜一切代價的進行保護，或是沒有獲得安全檢查的臨時承包商。原因真的并不重要。用戶可被添加到Followed Users組或隨時根據(jù)需要從中刪除。

在Followed Users群組中點擊一名用戶，將顯示出Fortscale隨著時間的推移而收集的關于該用戶的所有的信息，包括任何是否曾經(jīng)發(fā)展成一個實際的警報的信息。這與從用戶池中選擇任何一名用戶沒有任何不同。其只是要求對這些用戶進行額外的審查和確保更方便的訪問。

除了Followed Users區(qū)域，F(xiàn)ortscale產(chǎn)品的主界面看起來很像一款典型的安全儀表板。前10個開放的警報用紅色，黃色和綠色的顏色代碼突出顯示。也有關于由不同群組正在生成的警報的數(shù)量和修復率的信息，管理員在此處關閉一個警報，并解決問題。所有這些信息可以被收集，并投入到一個獨特的、圖形化的報告中，以顯示整體性安全視圖，細化到一個警報中所包含的各種因素，以及監(jiān)督管理者或?qū)徲媶T的信息。這些報告呈現(xiàn)給企業(yè)CXO級別的老板們看，相當好，而且是相當容易理解的。

而當您深入到警報時，這款Fortscale產(chǎn)品界面確實非常棒的地方就體現(xiàn)出來了。在為管理員顯示警告背后的背景故事方面，該程序作了非常出色的工作。即使是一個低級別或初級的分析師也可以通過警告背后的故事方面來充分理解該警報。其是由引起警報的指標進行分解。在一個案例中，有七個指標引發(fā)產(chǎn)生了內(nèi)部威脅警報，包括一個數(shù)據(jù)使用異常因素、每天使用了大量的設備、地理位置異常，大量的來源國異常和源設備問題。在這種情況下，很容易推測：有問題的員工很可能不是一個真正的內(nèi)部威脅，而是有人獲得了他們被泄露的身份憑據(jù)。

但Fortscale還能夠檢測出那些不太明顯的事件，然后將這些相關情況展示給管理者，來幫助他們更好的理解發(fā)生了什么情況。在另一個例子中，一個用戶在受保護的系統(tǒng)進行了大量的監(jiān)聽，而所有的監(jiān)聽在技術上都是受到了網(wǎng)絡管理政策授權的，那么這些監(jiān)聽就不會觸發(fā)警報。但Fortscale則能夠借助大量的目標設備異常和一些故障代碼，通過鏈接活動時間異常捕獲他們。而通過查看Fortscale所展示的發(fā)出警報背后的背景故事，人們就可以很好的了解到：一名管理員在一個區(qū)域的責任便是登錄系統(tǒng)數(shù)小時，但他們并不負責維護。

偶爾，他們也會被一個有壞的或無效密碼的系統(tǒng)拒絕，生成錯誤代碼異常。但是，因為他們會在這一點上停止，不會產(chǎn)生一個正常的SIEM警報。而Fortscale則能夠?qū)⑵涮砑拥剿麄冋诟墒裁吹膱D片，否則這類信息可能會被丟失在看似無關的巨大的網(wǎng)絡數(shù)據(jù)流中。

在第二個例子中，一個真正的內(nèi)部威脅也會被捕獲，即使其遵循了大部分的網(wǎng)絡管理規(guī)則。Fortscale不對有關用戶作任何的判斷，因而其自身也不需要采取任何措施，僅僅只是呈現(xiàn)警報背后的背景故事給相關的安全管理人員。也許只是一名用戶正在幫助另外一個部門的一個朋友;又或者他們只是純粹的好奇;或者他們實際上真的是一個間諜或心懷不滿的員工。這都需要交由人工做出最終的決定并采取適當?shù)拇胧獸ortscale可以突出顯示他們的這些活動，否則這類活動很可能就會避開檢測了。

最后一個例子，F(xiàn)ortscale能夠標記那些采用了一個低技術含量的方法的內(nèi)部活動，在這種情況下，是通過檢查打印日志來完成的。該方案能夠識別異常，例如：某個用戶第一次對Oracle數(shù)據(jù)庫進行了“所有記錄”的調(diào)用，然后打印了超過350頁。對比他們以前的打印機使用情況，他們在過去的兩個月里只發(fā)送了幾個頁面的打印需求到打印機，然后突然發(fā)送了一份超過300頁的打印需求。

除了就相關的可疑活動和當前全貌的相關事件向管理員發(fā)出報警之外，F(xiàn)ortscale不會采取任何實際措施。再次強調(diào)，這可能是與工作相關的，但這也可能是一名雇員正準備離開公司，而使用了非常低技術的方式想竊取企業(yè)專有信息和數(shù)據(jù)的一種情況。但即使是低技術含量的方法，也很難逃出具有高度警惕性和洞察力的Fortscale的“法眼”。

Avanan：穿透云

在云中保護數(shù)據(jù)，特別是應對來自內(nèi)部的威脅是非常困難的，因為數(shù)據(jù)往往被安置在不同的地方，而且通常并不由擁有這些數(shù)據(jù)的企業(yè)組織所直接控制。盡管云服務供應商們將有助于保護企業(yè)用戶的數(shù)據(jù)抵御來自外部的安全威脅，但如果一個授權用戶突然開始在異地發(fā)送機密文件，他們一般不會做任何事情。事實上，他們甚至可能會開放更多的帶寬，使這個過程變得更順利。

Avanan公司成立于2014年，主要工作重點放在云安全領域。該系統(tǒng)還能夠完全在云中運行，因此其安裝程序無需任何物理組件。其適用于所有大型的云服務提供商，包括亞馬遜，谷歌和微軟。 Avanan的產(chǎn)品也非常經(jīng)濟，其基礎平臺的起始售價為每月每位用戶5美元，而針對大型部署的售價可能更低。對于我們的測試云，整個安裝過程只用了幾分鐘。

由于大多數(shù)云供應商均提供了對于無限的存儲容量的功能訪問權限，許多企業(yè)組織會將涉及到用戶的不同操作行為的數(shù)據(jù)和應用程序保存在云中長達一年或更長的時間。Avanan可以挖掘數(shù)據(jù)，甚至能夠識別幾個月前就已經(jīng)發(fā)生的可疑的內(nèi)部安全威脅活動，或?qū)⑿碌陌咐c可以追溯到幾個月或幾年前的潛在的模式連接起來。

就其本身而言，Avanan是一款用于防止內(nèi)部威脅的強大的工具。然而，該產(chǎn)品的另一大優(yōu)點是，其提供了一鍵點擊就能夠安裝許多流行的安全程序，甚至包括那些以前沒有在云中使用被優(yōu)化的安全程序。 Avanan并不收取用戶在云中安裝這些應用程序的費用。

用戶只需要支付任何其他供應商所要收取的費用，而他們現(xiàn)有的許可甚至可能已經(jīng)涵蓋了云部署。在我們的測試過程中，我們在我們的測試云中安裝了Check Point、Palo Alto和賽門鐵克軟件。在所有的測試情況下，我們均獲得了完整的云功能。每款程序還能夠直接報告給Avanan的主界面，以添加額外的指標納入內(nèi)部安全威脅調(diào)查或提供一般的云安全更新，如存在內(nèi)部的惡意軟件文件。

除了Avanan，可以運行多少附加程序并沒有上限。例如，企業(yè)用戶可以運行多款防病毒程序而不相互干擾，并且其支持超過40種選擇。還支持向FireEye這樣的沙盒，以及象Splunk和ArcSight這樣的SIEM方案。

一旦安裝完畢，Avanan將為在云中發(fā)生的一切受保護的數(shù)據(jù)提供完全的可見性。有可用于確保基本或常識類型的用戶規(guī)則的一個自動化策略引擎。從那里，管理員可以為不同的文件夾和數(shù)據(jù)如何使用、訪問和共享設置獨特的規(guī)則。因為這些都是文件級的規(guī)則，它們適用于用戶和已安裝的所有程序。

在我們的測試網(wǎng)絡中，當一名有著高憑證的用戶安裝了需要訪問受保護區(qū)域內(nèi)的數(shù)據(jù)的程序時，其會被叫停，即使用戶有適當?shù)膽{據(jù)來安裝該問題程序。這將防止用戶意外地安裝某些東西，即使是一款想要訪問受保護數(shù)據(jù)的常用的程序。

當某用戶違反了政策規(guī)定時，在Avanan中可以定義幾個動作。簡單地通知用戶可能的安全漏洞，以自定義的消息解釋為什么一個動作會被拒絕。通過這種方式，用戶可以為他們在云中的不當或不良行為受到教育，此后不太可能成為意外的內(nèi)部威脅。

而如果用戶操作行為的危險嚴重性進一步加劇，那么就會收到拒絕的警告提醒，但他們也有解釋自己行為的機會。也許他們有一個有效的商業(yè)理由需要將機密數(shù)據(jù)發(fā)送給自己的某個同事。然后，管理員可以考慮他們的理由，然后做出進一步的允許或拒絕可疑操作的行為。在這兩種情況下，都將產(chǎn)生一個審核跟蹤以用來為調(diào)查用戶在未來的任何進程或程序。最后，當管理策略被破壞時，其相關操作過程可以完全被拒絕，而安全團隊是否通知用戶皆可。Avanan的主要控制臺基本上就像一款SIEM本身，雖然其將來自任何其他SIEM和運行在云中的安全程序的數(shù)據(jù)都進行了整合。其還有一個強大的影子IT功能，這顯示了哪些應用程序已經(jīng)被安裝在云中，誰在使用這些應用程序以及正在做什么操作的相關信息。整個應用程序可以被拒絕，并從云計算中移除，無論其用戶數(shù)量是多少，進而防止任何程序成為內(nèi)部威脅本身，或者成為被禁止傳輸?shù)奈募蚬蚕頂?shù)據(jù)的工具。

Avanan并不像Fortscale在傳統(tǒng)網(wǎng)絡中的表現(xiàn)那樣，完全呈現(xiàn)個別內(nèi)部威脅活動的圖像，但可疑的活動仍然可以通過借助最少的培訓而檢測到。在我們的demo演示中，一個用戶試圖訪問他們有權限訪問的文件夾，但隨后試圖執(zhí)行被管理政策禁止的功能，即試圖將文件移動到一個不太安全的區(qū)域。在這種情況下，用戶很可能真正的內(nèi)部威脅。

在另一個例子中，一名用戶再次訪問合法的文件夾，但卻是從來自世界各地的多個位置進行訪問的，而這些地理位置都將在Avanan內(nèi)的圖形地圖上顯示。在這種情況下它很可能用戶憑據(jù)被黑受損的情況。在這兩種情況下，Avanan都將采取相應措施，以防止內(nèi)部威脅。

鑒于當前的企業(yè)組織這么多的數(shù)據(jù)被遷移到云中，有一款像Avanan這樣的程序是相當必要的。能夠保護您企業(yè)的數(shù)據(jù)和文件免遭內(nèi)部威脅，但僅僅通過一鍵點擊就能在云中部署大量安全程序的價值不能被過分夸大。能夠充分了解在云中發(fā)生的所有用戶、程序和訪問行為真的揭開了云計算的神秘面紗，讓管理員們能夠像一款傳統(tǒng)的網(wǎng)絡一樣實施管理和保護，使得基于云的數(shù)據(jù)真正能夠免于受到外部和內(nèi)部的威脅。

iNetSec智能搜索工具：無代理的移動設備掃描

當用戶被允許使用平板電腦，智能手機和其他移動設備訪問企業(yè)網(wǎng)絡時，這些移動設備無疑為企業(yè)網(wǎng)絡的安全性又新增了一些問題。這些移動設備增加了更多的潛在責任，因為他們本質(zhì)上是通常要離開辦公室和管理人員的控制之下的網(wǎng)絡客戶。除了帶來了正常的內(nèi)部威脅問題，移動性也增加了可靠的設備裝置可能會丟失或被盜的可能性，進而為進入受保護的網(wǎng)絡潛在的打開了一個窗口。

PFU Systems是富士通公司旗下子公司，該公司旨在通過他們的iNetSec system產(chǎn)品來為客戶管理由移動應用程序所帶來的日漸增加的潛在內(nèi)部威脅。該系統(tǒng)產(chǎn)品所做的一切工作的重點便是集中于移動設備應用程序的管理。所以，一家企業(yè)客戶是否需要這樣的一款程序?qū)⑷Q于他們自身的業(yè)務開展對于移動應用程序或BYOD部署的依賴。

iNetSec智能搜索系統(tǒng)的部署為一個網(wǎng)絡設備，通常位于一個網(wǎng)絡的局域網(wǎng)段和移動用戶使用的VLAN段之間。一個單一的iNetSec設備最多可以支持16個VLAN。該iNetSec智能搜索設備起始售價為8410美元，包括管理軟件、一年的售后支持和一臺設備配備1000并行設備的容量。

一旦部署完成之后，該款iNetSec智能搜索設備將負責發(fā)現(xiàn)、分類和管理所有的移動設備，以執(zhí)行網(wǎng)絡訪問策略。除了實施設備管理，其還將圖形化和可視化的所有應用程序的流量，以防止帶寬濫用和阻止高風險的應用程序運行。

雖然iNetSec主要關注于內(nèi)部威脅方面，但其也可以掃描內(nèi)部網(wǎng)絡流量以檢測基于行為相關的高級持續(xù)性威脅(APT)的存在。其能夠做到這一切，而無需在任何移動設備上安裝代理，因此，參與BYOD計劃的用戶將不必在自己的個人設備上安裝多余的或不需要的軟件。

第一步，一旦我們iNetSec測試平臺正式上線，便會開始掃描連接到網(wǎng)絡的每款移動設備。該iNetSec設備實際上是能夠找到任何設備的MAC地址，包括路由器和VoIP電話，并在主控制臺正確識別它們。這樣做是為了監(jiān)視通過網(wǎng)絡網(wǎng)關的通信流量以及任何可能是一個活躍的APT的指示的橫向移動。

將移動設備放到一邊，管理員可以允許每一個進程連接到網(wǎng)絡，并設置所需的環(huán)境和批準條件，或者他們可以拒絕所有的進程。這也可以通過政策而非查看每一臺設備來實現(xiàn)，而如果在網(wǎng)絡上有成千上萬臺設備的話，這會更好。在我們的小測試平臺，我們只是簡單的看了每一進程，其非常快。

規(guī)則可以基于某些方面的安全性來建立，諸如移動設備多久需要連接到網(wǎng)絡一次，以保持其憑證的有效。所以，您可以據(jù)此來進行iNetSec的設置。例如，如果一款移動設備不能每隔七天登錄一次，就可以考慮其是否丟失或者被盜。這將有助于防止出現(xiàn)一種內(nèi)部威脅的可能性，而這種情況對于非移動系統(tǒng)通常不容易發(fā)生，即授權的設備落入非授權用戶手中。設備試圖在超出了規(guī)定時間之后連接到企業(yè)網(wǎng)絡，可以被強制按照不同的程序才能重新獲得完整的網(wǎng)絡訪問權限，甚至也許需要來自安全管理人員的直接審批。

一旦每款設備被批準或拒絕訪問企業(yè)網(wǎng)絡，并制定了一套相應的管理策略來管理那些想要連接到企業(yè)網(wǎng)絡的任何新設備，iNetSec將開始監(jiān)視這些設備和用戶都在做什么。主儀表盤會顯示每款連接的設備及其當前的活動。例如，您甚至可以看到，哪些用戶正在觀看YouTube視頻或純粹只是玩玩手機以消磨時間。這是很重要的，因為正在被用戶所使用的每款應用程序被分配了一定水平的風險，即使其并沒有主動實施任何不良操作。在我們的測試網(wǎng)絡中，一款文件共享應用程序一上線就獲得了非常高水平的關注度。即使是像Adobe SendNow這樣的一些看似正常的程序，鑒于其存在被濫用的潛力，也是高危因素。

管理員可以選擇允許或禁止任何應用程序在企業(yè)網(wǎng)絡上的使用。雖然這不會將其從移動設備上刪除，而iNetSec也對于移動設備沒有直接的控制，但其可以防止它們被用來傳送文件或與受保護的網(wǎng)絡交互。在管理員認為是極端的情況下，某些程序或惡意軟件的存在可能引發(fā)設備訪問網(wǎng)絡的權限被立即拒絕。

具有諷刺意味的是，iNetSec采用地址解析協(xié)議欺騙(ARP Spoofing) 使得在緊急情況下，能夠立即拒絕一款移動設備對于企業(yè)網(wǎng)絡的訪問，并且如果需要的話，也可以讓他們稍后加入企業(yè)網(wǎng)絡。ARP欺騙是攻擊者有時所使用的一種技術，所以看到其被巧妙的使用，是相當有趣的。

除了監(jiān)測應用程序，iNetSec還在網(wǎng)絡中著眼于監(jiān)測移動用戶的流量模式。所以，如果有人使用自己的手機來移動文件或訪問禁止區(qū)域，iNetSec可能會標記該行為。但是，如果沒有涉及到真正的惡意軟件或可疑應用程序的情況下，用戶做這樣也許是被允許的，也不會被iNetSec標記。

在現(xiàn)如今這個時代，很少有企業(yè)組織機構能夠負擔得起完全防止其用戶采用自己的移動設備工作的成本了，甚至連最保守的企業(yè)都接受了某種形式的BYOD計劃。但不可否認，移動設備的增加無疑為企業(yè)網(wǎng)絡帶來了對于安全問題和潛在的來自那些授權設備對于內(nèi)部網(wǎng)絡的威脅。這款iNetSec設備可以修補諸多安全漏洞，賦予企業(yè)網(wǎng)絡管理員關于哪些用戶和設備正在做著什么操作的清晰的視圖，并且能夠針對他們所察覺到的任何內(nèi)部威脅立即作出反應。

本文作者約翰·布里登是一位擁有超過20年的業(yè)界相關經(jīng)驗、并屢獲殊榮的評論家和演說家。目前，他是Tech Writers Bureau的CEO，該公司擁有一批有影響力的記者和作家寫手，這些撰稿者均供職于政府機構和其他各行各業(yè)。各位讀者可以通過[email protected]聯(lián)系到他。