神州数码云科安全态势感知系统能够检测的七大类安全风险
日期:2017-10-25 来源: 浏览:

当前信息安全领域,正在面临多种挑战。一方面,企业安全架构日趋复杂,各种类型的安全设备、安全数据越来越多,传统的分析能力明显力不从心;另一方面,以APT为代表的新型威胁的兴起,内控与合规的深入,越来越需要储存与分析更多的安全信息,并且需要更加快速的做出判定和响应。

现在,来自IT环境的各类日志也加入了大数据的队伍,但企业的CIO们也意识到从日志中获取有价值的决策信息并不简单:

海量日志内容难以处理

日志报警缺乏关联性

大量的误报信息

多种控制台界面

在以往,了解难以察觉的安全威胁会耗费数天甚至数月的时间,因为大量的互不相干的数据流难以形成简明、有条理的事件“拼图”。所采集和分析的数据量越大,看起来越混乱,重构事件所需的时间也越长。如果攻击快速且凶猛(例如拒绝服务攻击或快速传播的蠕虫),花数天或数月诊断问题会带来巨大的合规和财务影响。哪些资产真正处于威胁风险中,哪些资产有补救控制或应对措施?要知道这些问题,管理员需要监控所有系统的安全状况,包括访问其网络的移动设备和个人拥有设备,并及时确定优先级和补救措施。研究报告证实,只有35%的企业可以快速检测安全漏洞,多数商业机构都缺乏驾驭大数据的安全力量。

 

用户和实体行为分析(UEBA)技术,是网络安全工具市场新成员,旨在提供防火墙和入侵预防系统(IPS)等传统网络安全工具所不具备的功能。有了UEBA,公司企业不仅仅能从网络流量和反恶意软件扫描获悉入侵指标(IoC),还能深入理解用户行为。

UEBA系统可识别不同类型的异常用户行为,这些异常用户行为可被视作威胁及入侵指标。下面是UEBA技术可帮检测到的7类安全风险。

 

1. 缓慢少量攻击

 坏人、外部人和内部人都知道,传统安全工具基于基本阈值起效。他们清楚,只要做同样的事情超过“X”次,就会触发警报。于是,他们降低攻击速度和规模,以便保持低调,避免被侦测到。此种做法的一个例子,可以参考每天仅一次,通过邮件渗漏少量信用卡号。UEBA可检测到此种模式,并将之识别为需加以调查的重复性行为。

 

2. 共谋

 UEBA可帮助发现紧密合作突然改变行为模式的一组人员。比如说,一组人决定打劫客户记录谋私利,但知道安全措施在监视。于是,每个成员分走一部分记录,通过邮件发送到自己的个人账户上。UEBA不仅会找出用户行为的突然改变,还会标出这是该组人员内部统一的改变,然后标记整组。

 

3. 在噪音中隐身

每个员工都有一个角色,须按角色需求执行特定动作。比如说,小王在负责打印抵押单的团队。小赵在同一家公司,担任退休计划财务顾问,却在2周时间里打印了2张抵押单。虽然打印抵押单对小王、小王的团队和整个公司而言,都是很平常的一件事;对小赵及其团队成员来说就太异常了。UEBA可从人群中鉴别出此类行为异常人员,让安全团队启动调查过程,在无需审查其他人的情况下进行针对性调查。

 

4. 持续渗漏尝试

 如果渗漏敏感数据的尝试受阻,攻击者往往就会尝试另一种方法以绕过安全系统。比如说,小张试图将敏感数据用邮件发到自己的个人账户,但被封了。他继续尝试上传文件到他个人网站的云存储中,也被封堵了。然后,他试图将文件拷贝到U盘中,再次遭遇U盘端口不可用的封禁状态。于是,他点击了“打印”按钮——成功了!UEBA技术能将所有这些行为都拼起来,小张最终会在自己的工作台位迎来调查人员的到访。

 

5. 好奇风险

 有些人就是控制不住哪扇门都想推开看看。其中很多人仅仅是好奇,或者就是想碰碰底线而已,但现实就是,这些人往往就是面对明知不应该打开的文件,还忍不住手痒点开的那些。他们会访问那些被封禁的网站,不断尝试,以为没人真的在监视。这些雇员就是网络钓鱼攻击最用以得手的入口点。UEBA能发现这些闲极无聊的人,向他们警示这些危险行为。

 

6. 离职员工

 UEBA能发现正打算离职的员工在行为上的改变,可使安全团队在这些人提交辞职报告之前就发现他们。这很重要!因为员工离职,往往会造成敏感数据随之外泄。因为UEBA能看出表征员工离职意愿的行为改变,这些员工就能在数据流出公司大门之前被发现。

 

7. 长期潜伏者

 与百无聊赖的手痒人士不同,这些人才是真的坏心眼。在寻找金矿的时候,他们会梳理文件系统,试图登录能发现的任何什么东西。这些人目标远大,不达目的不罢休,除非找到价值巨大的敏感数据——或者,被UEBA发现,否则他们会一直游弋在公司系统中。

 

神州云科安全态势感知系统,是一款基于大数据、流量检测、威胁情报等技术的企业级智能安全分析系统,它具有海量数据采集、集中存储、快速检索、实时分析及告警、威胁响应、可视化展现和安全报告等功能。为企业外部攻击、内部违规行为和APT攻击检测、调查取证、安全态势感知、审计合规提供了一个智能、高效、可灵活扩展的解决方案。

产品采用旁路快速侦测、响应和预测的方式,是对现有纵深防御体系中安全产品的有效补充,它是信息安全未来的发展方向。

 

Add:北京市海淀区上地九街9号数码科技广场
Email:yunkesecurity@digitalchina.com  
Tel:400 810 9119 转4

版权所有 不得转载 深圳神州数码云科信息安全有限公司 | 粤ICP备17053336