科技频道 > AI-道

传统手段应对力不从心,内部威胁成最大安全挑战

来源: 华夏晚报网
2018-09-04 18:07 
分享

调查显示,53%的组织在过去的1年内遭遇过内部攻击;27%的组织承认内部攻击越来越频繁;90%的组织承认其无法防御内部威胁。由于内部威胁往往具有隐蔽性、高危险性,传统手段面对内部威胁时力不从心。要落实内部威胁的方案落地,必须要看得清用户、抓得住行为、看得见风险、及时响应。

一、 日趋严重---企业内部威胁情况不容乐观

随着云计算和大数据技术的飞速发展,越来越多的业务应用构建在数据中心,进行统一管理。业务的集中,数据的集中,也意味着目标的集中、风险的集中。

数据已经成为企事业单位高价值的资产,包括客户隐私数据(身份信息、住址信息、财务状况)、商业秘密(知识产权、销售合同、业务机会)、内部机密(员工信息及薪酬、财务数据)等,成为黑产最重要的攻击目标和窃取的对象。过去的几年,我们经常可以在新闻中看到频繁发生的数据泄露事件,如美国最大的零售商Target、保险公司Anthem等等,去年7月,美国三大征信机构之一的Equifax数据泄露,影响面超过1.4亿美国人。保险公司为此还开发了一个门户网站,供民众查询自己的信息是否遭到泄露。外部黑客攻击继续领跑大型数据泄露主要原因排行榜。

与此同时,在企事业单位内部,从来也不是风平浪静的,内部威胁如影随形。不同角色的员工和用户(合作伙伴、离职倾向者、蓄意破坏者),其合法的身份存在大量的风险行为,企业内部威胁越来越严重。

1.png

二、 内部风险人员三大类型

内部风险的源头来自于内部人员的威胁,无论有意还是无意导致的破坏,或者是伪装成内部人员的入侵者,其危害性都是严重的,根据各自的特点和行为,我们将这三种情况总结如下图所示:

2.png

三、 难以防范---传统手段在应对内部威胁时的尴尬

内部威胁因为攻击者具备内部知识,因此可以直接访问核心信息资产,一旦发生,对企业造成的危害是巨大的;同时,由于来自内部的威胁和攻击相对更加隐蔽和难以防范,传统安全手段已经难以应对,也面临的多种问题。

传统的安全体系存在盲区

传统的安全体系是为了防范外部攻击者构建的,但是随着网络边界的消失,尤其是对于企事业单位内部人员的风险防范,已然失效;当攻击来自网络边界内部时,可以轻易躲过防火墙等设备,导致多数内部攻击对外部防范设备来说是透明的、不可见的。

隐蔽性

内部攻击者的恶意行为往往发生在正常工作的间隙,导致恶意行为嵌入在大量的正常行为数据中,提高了数据挖掘分析的难度;同时内部攻击者具有组织安全防御的相关知识,因此可以采取措施逃避安全检测。所以内部攻击者对于内部安全检测具有一定的隐蔽性。

高危险性

内部威胁往往比外部威胁造成更严重的后果,主要原因是攻击者自身具有企业组织的相关知识,可以接触到组织的核心资产(如知识产权等),从而对组织的经济资产、业务运行以及组织信誉进行破坏,对组织造成巨大损失。

四、 360内部威胁解决方案

360内部威胁解决方案,通过对企业员工上网行为、内容、内网用户业务访问操作行为、终端行为等多方面的数据进行汇聚分析,通过基线分析和机器学习,可以感知异常行为,发现内部威胁情况,及时进行告警和阻断处理。

要保证整个方案的落地,必须做到四点:看得清用户、抓得住行为、看得见风险、及时响应。

第一点:看得清用户--用户是谁

这就需要我们和HR系统、IT的业务系统对接,确定网络的虚拟用户,他是谁,属于哪个部门,用什么账号登陆,经常和谁联系,真实意图是什么。

首先最基本的是用户识别,用户识别的本质是将IP信息与用户的真实身份(用户名、手机号、其他第三方能确认身份的信息)关联起来。

那么如何关联?

一般用户的登录方式可总结为三类:本地认证、单点登录、第三方认证。不同的登录有各自的关联方式。

第二点:抓得住行为--怎样抓得细

要抓得住行为,数据是基础,所以在数据来源上,必须得丰富和全面,我们采用全方位的数据采集方案,在各互联网出口部署上网行为管理设备,内网中部署业务安全网关,充分采集上网行为数据、内网业务数据和终端数据,同时可直接对接第三方业务系统数据,保证了数据的全面、真实、有效。

3.png

对于互联网上的行为,具备强大的网站识别、应用识别和内容识别能力,能准确对用户上网行为及内容进行分类、识别,例如不仅要辨别邮件往来,还要识别邮件内容,不仅要通过哪个社交账号和别人联系,还需要了解其中的内容;

4.png

对于内网行为,通过对内网流量数据的分析,能准确还原业务操作的内容。如登陆OA系统、财务系统,不仅要知道员工什么时候登陆、业务传递,还需要知道表单的内容,上传下载的数据;对于终端行为,还要确切知道文件访问行为、打印行为等。

5.png

第三点:看得见风险

要做到风险看得见,首先需要将多种数据基于用户有机的关联起来,基于业务场景,建立数据模型,针对不同的群体,对风险行为进行量化。

其次,通过用户行为雷达,准确实时的发现个群差异、历史差异,发现偏差,预知风险

6.png

还可以通过情绪指数变化发现异常,根据Ekman博士的情绪分类理论,基本情绪分为:快乐、悲伤、愤怒、恐惧、惊讶这五种。聊天记录、发帖记录中的关键词,能够充分反映个人对周边事件、事物的情绪特点。通过已标注的情绪字典,基于CNN神经网络算法,能够准确的对个体、群体的在某一时间段的情绪信号进行跟踪,发现指数异常变化时的原因,防患于未然。

最后,所谓风险看得见,当然要风险一目了然,并且足够详细,所以系统有两个模块:风险概览和风险取证,分别针对当前风险的概览情况和详细情况进行展示。

1) 风险概览---可查看内部风险概览,查看TOP风险用户排名,查看关注的用户风险情况,可按事件和部门分别查看。

7.png

2) 风险取证---用户的基本信息一目了然,通过时间维度和事件类型了解员工的活动特点,详细记录下事件的上下文详情。

8.png

第四点:及时响应风险处理

发现风险是过程,风险的处理才是结果,也是整个解决方案生态链的最终一环。

9.png

对于内部威胁和风险,通过实时海量数据的智能检测分析技术和全面的大屏可视化能力,及时发现威胁和风险,同时协同设备进行相关策略调整,阻断其攻击,能够帮助快速消灭问题于萌芽,有效减少企业损失。

1) 对于互联网风险行为的阻断

不让看,阻塞翻墙软件,过滤非法(涉黄、涉毒、涉枪)网页,切断非法信息获取渠道。

不能说,对论坛、微博等社交媒体进行管控,只能看帖,不能评论,不能发帖。

都记下,所有浏览、外发行为实名制记录日志,便于日后可查、可追溯。

2) 对于业务风险行为的告警阻断

通过对内网业务系统流量进行审计、日志进行分析,统计用户的风险违规操作信息并进行推送告警处理。

五、 关键技术

用户行为分析系统基于大数据架构的智能分析系统,是整个方案的大脑,其针对不同的业务场景(如账号异常、业务违规、数据泄露等),进行科学合理的数据建模,通过基线分析、异常检测等算法,帮助发现和量化风险。

1. 数据分析双引擎

整个大数据分析流程里会用到两个分析引擎:实时检测引擎(基于规则)和异常检测引擎(基于基线分析和机器学习),二者结合完成了风险事件的发现。

10.png

系统主要接入的数据是:来自探针采集的数据,来自设备、终端、服务器的日志,以及和AD实时同步的账号、组织结构信息。

以上信息进入系统之后,经过数据预处理,将日志、数据库记录和员工信息关联,在此基础上可以做一些基于专家知识的实时监测(比如:越权访问、敏感数据查询下载等),之后归一化的数据会进入spark,为高级分析做基础,原始数据会进入ElasticSearch,为数据快速查询作准备。

最后,根据不同的业务场景(如账号异常、业务违规等),内置了大量的数据模型,这些模型通过基线分析、异常检测算法,帮助我们发现和量化风险,并把这些风险以事件的形式存入ElasticSearch系统,方便后续的查询取证。

2. 丰富的风险模型

UBA通过整合不同的风险行为,对不同行为进行分类,建立超过30+的风险模型,覆盖四大场景-—数据泄露、账号异常、业务风险、负面情绪。每个大场景下有不同的风险行为种类。

11.png

例如个群基线偏差风险,根据各个维度可分别进行基线比对,通过个人跟自己历史差异、个人跟群体差异比较,直观的发现和定位异常。

3. 高质量业务操作日志

做内部威胁分析离不开业务数据,很多企业也都有自己的内部系统,特别是一些大公司或者机构,内部业务系统多达几十上百个,一些系统日志不全或者根本没有日志,在做数据分析的时候,这部分数据是缺失的,影响了分析结果。

360内部威胁的解决方案里,部署业务安全网关,通过业务自学习引擎,无需定制开发,分钟级配置,可获取高质量的业务操作日志。

12.png

六、 结束语

内部威胁是每一家公司企业都面临的安全问题,尤其是对合法用户、非法行为带来的数据泄露和业务风险问题,一直是企业高层关注的重点。360内部威胁态势感知解决方案就是为此而设的,通过深度洞悉用户行为,结合大数据分析平台、业务建模和机器学习能力,快速感知内部威胁风险,达到防攻击、防违规、防泄密、防内鬼的目的。

分享
分享到新浪微博
分享到微信
中国日报网版权说明:凡注明来源为“中国日报网:XXX(署名)”,除与中国日报网签署内容授权协议的网站外,其他任何网站或单位未经允许禁止转载、使用,违者必究。如需使用,请与010-84883777联系;凡本网注明“来源:XXX(非中国日报网)”的作品,均转载自其它媒体,目的在于传播更多信息,其他媒体如需转载,请与稿件来源方联系,如产生任何问题与本网无关。
版权保护:本网登载的内容(包括文字、图片、多媒体资讯等)版权属中国日报网(中报国际文化传媒(北京)有限公司)独家所有使用。 未经中国日报网事先协议授权,禁止转载使用。给中国日报网提意见:cdoffice@chinadaily.com.cn
中文 | English