俗話說，明槍易躲，暗“賊”難防；外神好躲，內(nèi)鬼難防。看過《無間道》或者玩過《三國殺》的應該都清楚，他們時刻以非內(nèi)鬼身份去思考和與別人溝通，到關(guān)鍵時刻爆發(fā)，給予致命一擊。

網(wǎng)絡安全領(lǐng)域也是如此，一條黑色產(chǎn)業(yè)鏈正在無形的吞噬著這個時代，個人信息泄漏已經(jīng)在生活中埋下了一顆定時炸彈，并且“內(nèi)鬼”已經(jīng)讓這顆炸彈開始倒計時。

據(jù)公安部網(wǎng)站消息，自今年4月公安部部署全國公安機關(guān)開展打擊整治網(wǎng)絡侵犯公民個人信息犯罪專項行動以來，截至目前，全國公安機關(guān)網(wǎng)絡安全保衛(wèi)部門累計查破刑事案件1200余起，抓獲犯罪嫌疑人3300余人，其中抓獲銀行、教育、電信、快遞、證券、電商網(wǎng)站等行業(yè)內(nèi)部人員270余人，網(wǎng)絡黑客90余人，繳獲信息290余億條，清理違法有害信息42萬余條，關(guān)停網(wǎng)站、欄目近900個，專項行動取得明顯成效。

由此數(shù)據(jù)我們發(fā)現(xiàn)，信息泄露主要有兩個渠道：內(nèi)鬼加黑客，從這組數(shù)據(jù)看比例是270：90=3：1，也就是說信息泄露的75%為內(nèi)鬼所為。

“內(nèi)鬼”不除個人信息安全難以保障

對數(shù)據(jù)比較敏感的同學不難發(fā)現(xiàn)，行業(yè)內(nèi)部人員監(jiān)守自盜的數(shù)字則要比黑客高出3倍，當然我們也不排除黑客躲藏技術(shù)或許更高一籌的情況，不過可以確認的是，“內(nèi)鬼”已經(jīng)成為現(xiàn)階段信息泄漏的主要途徑之一。“內(nèi)鬼”不除，個人信息安全就難以得到保障。

“內(nèi)鬼”因何如此猖獗？一方面是由于企業(yè)內(nèi)網(wǎng)的薄弱，我們發(fā)現(xiàn)很多企業(yè)內(nèi)網(wǎng)除了統(tǒng)一的整體安全保護體系例如防火墻、IDS、防病毒、數(shù)據(jù)庫審計、口令密碼等之外，基本沒有專門的技術(shù)智能化保護措施，針對這些核心資源進行有效保護；另一方面，即使企業(yè)會根據(jù)業(yè)務需求制定內(nèi)部安全策略，以權(quán)限的形式指派承擔相關(guān)職責的人員，但這并不能有效防范擁有合法權(quán)限的內(nèi)部用戶的異常行為，即合法用戶的異常行為。

因此基于內(nèi)部用戶的行為分析，能夠發(fā)現(xiàn)內(nèi)部人員的操作是否會對系統(tǒng)安全產(chǎn)生威脅，是解決內(nèi)部威脅預警、檢測并保證系統(tǒng)安全的重要技術(shù)手段。

基于內(nèi)部用戶的行為分析區(qū)別于基于特征的分析，后者雖然是一種立桿見影的手段，對于傳統(tǒng)的安全風險很有效，但時效性欠缺，并需要強大的相應隊伍。而基于用戶行為的分析，是一種較為復雜的方式，通過數(shù)據(jù)統(tǒng)計的方式來尋找異常，但缺點是準確度不確定，收集的數(shù)據(jù)越完善，準確度越高。

如何做到準確無誤的找到并抓獲這個“內(nèi)鬼”？就需要知道他訪問的目的地、所用端口、什么協(xié)議以及訪問了什么端口、IP等內(nèi)容，好在很多網(wǎng)絡安全設備廠商用標準數(shù)據(jù)交換方式很好的解決了這個問題。

以NetFlow標準為例，由于一個IP數(shù)據(jù)包的Flow至少定義了幾個關(guān)鍵元素：源IP地址、目的IP地址、源端口號、目的端口號、第三層協(xié)議的類型等，NetFlow可以利用分析IP數(shù)據(jù)包的幾種屬性，快速區(qū)分網(wǎng)絡中傳送的各種類型的業(yè)務數(shù)據(jù)流。

而瀚思則可以通過大數(shù)據(jù)安全平臺的采集器將日志和NetFlow統(tǒng)一收集，從而進行關(guān)聯(lián)分析。

做好關(guān)聯(lián)分析最終揪出“內(nèi)鬼”

但是，在做好關(guān)聯(lián)分析前還要弄清楚一件事情：日志、網(wǎng)絡流量、權(quán)量抓包的數(shù)據(jù)分析并不是新的課題，但為什么現(xiàn)在不奏效了？

這是由于在大數(shù)據(jù)時代，企業(yè)的這些數(shù)據(jù)量要以億為單位，而“內(nèi)鬼”的異常行為所產(chǎn)生的日志，只有幾條，在大數(shù)據(jù)技術(shù)和機器學習技術(shù)的能力不完善的情況下，要做到在這些數(shù)據(jù)中查找出幾條的異常數(shù)據(jù)，說成大海撈針也只是有過之而不及。

HanSight瀚思不擔心這個問題，相反，對于我們來說，數(shù)據(jù)量越大，數(shù)據(jù)源越多，對于分析的結(jié)果越精準。

正如上文提到的，有了日志和數(shù)據(jù)流，HanSight UBA就可以如魚得水，其基于實際安全場景的多維度異常檢測功能，通過獨特的“儀表盤”功能將機器學習和算法產(chǎn)生的各種數(shù)值結(jié)果翻譯成用戶能夠理解的安全場景。

實測表明，在普通的服務器上，HanSight UBA利用GPU優(yōu)化的高速算法，一分鐘內(nèi)就能完成大部分企業(yè)業(yè)務場景下的行為數(shù)據(jù)分析，得益于HanSight瀚思特殊數(shù)據(jù)庫和算法，這要比用Spark實現(xiàn)快三四十倍。

　　HanSight UBA 產(chǎn)品界面

瀚思希望利用機器學習讓讓潛在的威脅浮出水面，更讓威脅發(fā)現(xiàn)速度和準確率方面遠快于傳統(tǒng)的網(wǎng)絡威脅發(fā)現(xiàn)解決方案。

落實到具體的分析規(guī)則，客戶可以與HanSight瀚思共同定制。就內(nèi)部威脅而言，分析被審計用戶當前審計周期的行為和行為的相似性，同時針對具有異常行為的用戶通過敏感活動屏蔽方法分析具體的異常活動，并通過更新敏感活動權(quán)重以建立一個動態(tài)更新的異常行為檢測模型。最終從不同維度，按系統(tǒng)預設的不同模塊生成分析結(jié)果，以圖表來展現(xiàn)局內(nèi)整體的安全態(tài)勢。

其實針對企業(yè)中的“內(nèi)鬼”，堡壘機技術(shù)是一個很好課題，它綜合了運維管理和安全的融合，切斷了終端計算機對網(wǎng)絡和服務器資源的直接訪問，繼而采用協(xié)議代理的方式，接管了終端計算機對網(wǎng)絡和服務器的訪問。如果“內(nèi)鬼”想繞過堡壘機也并無可能，但這一些都不會逃過大數(shù)據(jù)安全分析平臺的眼睛，通過收集的服務器日志進行關(guān)聯(lián)分析，就該可以發(fā)現(xiàn)該用戶是否通過堡壘機登陸。

特洛伊木馬攻破固若金湯的特洛伊的道理，我們耳熟能詳，最堅固的堡壘，往往都是從內(nèi)部攻破的，信息安全也同樣如此。

多年前，在攻防之間總有著“道高一尺魔高一丈”的說法，因為我們發(fā)現(xiàn)攻擊者總是在暗，防守者卻在明，演變到今天，已經(jīng)不再是明暗，信息安全領(lǐng)域開始上演“無間道”大戲，而大數(shù)據(jù)安全分析平臺不僅可以讓黑客的攻擊暴露在運維人員的眼前，也必然可以讓內(nèi)鬼的每一次行動在該平臺下無所遁形。