隨著越來越多新類型的攻擊涌現(xiàn),企業(yè)面臨的威脅日益增加,而網(wǎng)絡(luò)安全事件在數(shù)量和復(fù)雜程度方面也在成比例增加。
根據(jù)Ponemon研究所《2016年數(shù)據(jù)泄露成本研究》顯示,在2016年所有數(shù)據(jù)泄露事故中,48%是由惡意內(nèi)部人員(員工、承包商或其他第三方)造成。
傳統(tǒng)安全系統(tǒng)通常是通過單個時間點(diǎn)在所選位置搜索已知簽名或者漏洞利用來尋找攻擊者,而隨著攻擊者在不斷滲透和逃避企業(yè)防御,現(xiàn)在的數(shù)字企業(yè)需要的是通過行為分析實現(xiàn)快速檢測和響應(yīng)。
現(xiàn)在每個企業(yè)每天都會生成海量日志數(shù)據(jù),涉及用戶行為、服務(wù)器活動、應(yīng)用和網(wǎng)絡(luò)設(shè)備等。然而,企業(yè)卻無法從這些日志數(shù)據(jù)中獲得洞察力,安全團(tuán)隊面臨著從日志中挖掘有效數(shù)據(jù)的難題,以致他們無法更好地保護(hù)和管理數(shù)字企業(yè)的運(yùn)營。
用戶行為分析是安全技術(shù)的創(chuàng)新,它可幫助企業(yè)將安全和風(fēng)險管理提升到新的水平。該技術(shù)讓企業(yè)可更容易地了解用戶以及資產(chǎn)行為模式,以發(fā)現(xiàn)惡意內(nèi)部人員或外部威脅,而不會中斷業(yè)務(wù)。
為了在企業(yè)中引入和部署新技術(shù),你必須了解其架構(gòu),以及該技術(shù)在某些條件下在特定環(huán)境中如何運(yùn)作。用戶行為分析平臺由以下三個主要組件構(gòu)成:
數(shù)據(jù)整合:這是構(gòu)建用戶行為分析的基本要求。企業(yè)應(yīng)該能夠整合所需日志來源,包括來自安全信息和事件管理系統(tǒng)的結(jié)構(gòu)化或非結(jié)構(gòu)化信息示例日志、VPN網(wǎng)關(guān)、網(wǎng)絡(luò)流數(shù)據(jù)和應(yīng)用日志,以及來自CSV文件和syslogs的攝取日志。
數(shù)據(jù)分析:數(shù)據(jù)分析的主要目的是豐富和分析數(shù)據(jù),利用分析算法來學(xué)習(xí)環(huán)境(例如服務(wù)器與用戶活動,或者正常用戶與特權(quán)用戶),并從中挖掘有效數(shù)據(jù)。此外,該組件旨在能夠分析用戶和系統(tǒng)行為,并區(qū)分正常和惡意活動。
數(shù)據(jù)呈現(xiàn)&可視化:這是指以對企業(yè)和安全團(tuán)隊有用的方式呈現(xiàn)數(shù)據(jù)分析結(jié)果,讓用戶交互中的模式和趨勢顯而易見,并可深入到詳細(xì)的事件。
構(gòu)建用戶行為分析功能
在企業(yè)中構(gòu)建新功能的最佳方法是從小步驟開始,并根據(jù)正在發(fā)生的變化逐步部署更多步驟。這可讓利益相關(guān)者了解用戶行為分析技術(shù)及業(yè)務(wù)案例,以及它可為提升企業(yè)安全帶來的價值。
此外,用戶行為分析市場包含各種供應(yīng)商產(chǎn)品以及服務(wù),可幫助查找個人,無論他們是惡意或無意的內(nèi)部人員或外部威脅。供應(yīng)商還可幫助檢測不同類型的攻擊實體(例如用戶、系統(tǒng)或IP地址),并將其進(jìn)行區(qū)分。
對于用戶行為分析部署,企業(yè)應(yīng)該考慮幾個階段:
第一階段:企業(yè)應(yīng)識別和研究市面上可行的產(chǎn)品和服務(wù),以及如何將用戶行為分析技術(shù)整合到現(xiàn)有安全產(chǎn)品類別。
他們應(yīng)該了解頂級供應(yīng)商是哪家;他們提供什么技術(shù)、功能或服務(wù);并根據(jù)各種問卷完成供應(yīng)商評估。這些問題應(yīng)該側(cè)重于許可模式、云計算與內(nèi)部部署模型對比、硬件設(shè)備與虛擬設(shè)備部署對比、可用的預(yù)配置報告與自定義功能以及其他因素。
在這個階段,企業(yè)會了解技術(shù)及其功能,以及供應(yīng)商的產(chǎn)品如何在企業(yè)中運(yùn)用以滿足企業(yè)獨(dú)特的安全要求,并與供應(yīng)商的產(chǎn)品路線圖保持一致。
在第一階段獲得較高水平的了解后,則可進(jìn)入第二階段,這個階段需要深入分析前5或6名的供應(yīng)商產(chǎn)品。
京公網(wǎng)安備 11010502049343號