●●●
利用各種技術手段來檢測安全威脅是安全防護體系建設中重要的一部分,尤其是在大資料、人工智能等新技術不斷發展和成熟的當下,各行業所面臨的安全威脅複雜多樣,安全形勢嚴峻。如何高效的檢測到異常和威脅并實時對安全人員發出預警,是安全技術發展的趨勢和方向。
在資訊安全技術手段不斷革新的當下,行為判斷/鑒别是重要的發展方向之一。
什麼是行為判斷/鑒别
行為判斷/鑒别是指結合産品UBA模型、緩慢洩漏、關聯分析的資料輸出,結合溯源驗證能力,綜合鑒别使用者的異常行為,并進行歸類。
行為判斷/鑒别的特點與價值
使用者實體行為分析(UEBA)關聯了使用者活動和使用者相關的應用和終端等相關實體資訊,通過建構起人物角色與群組關系進一步定義個體與群組的合法和正常行為。
在檢測過程中,利用人物角色在群體與群體、群體與個體、個體與個體的次元上互相比對分析出遠離合法和正常行為的群體與個體,将異常使用者(失陷賬号)和使用者異常(非法行為)檢測出來,進而達到檢測業務欺詐、敏感資料洩露、内部惡意使用者、有針對性攻擊等進階威脅的目的事件,同時結合溯源驗證能力,綜合鑒别使用者的異常行為,并進行歸類。
行為判斷/鑒别模型應用場景
某銀行由于内部人員離職帶走敏感檔案,對銀行造成極大損失。
行為判斷/鑒别通過分析成功地幫助銀行檢測到該員工異常活動,登入到環境并橫向移動以擷取更進階别的通路權限。所有活動都有一個重點:通路私有資料或高價值資産,進行大量的拷貝行為。
應用示例
提供支援行為判斷/鑒别的分析解決方案幫助客戶實作對異常行為和安全威脅的檢測。實施部署後,可通過對比員工的實時行為和系統設定的基線,判斷是否存在偏差,定為異常行為和安全威脅。
行為判斷/鑒别範圍覆寫:
員工外發郵件的非公司郵箱的個數和郵件的數量,多次超過該使用者曆史外發郵件的範圍,範圍偏離基線;
員工發送郵件時,多次超過該使用者曆史郵件敏感級别,級别偏離基線;
員工使用U盤等外設拷貝檔案時,多次采用非授權外連操作,外連操作次數偏離基線;
員工多次發送郵件的接收人不是部門常用聯系人賬戶,接收人數量偏離基線;
員工外設拷貝檔案的次數多次超過其曆史次數,拷貝次數偏離基線;
員工列印檔案的次數多次超過其曆史列印次數及範圍,列印次數偏離基線;
▼▼▼
通過該員工行為預判趨勢,我們可以清楚地了解員工的異常行為。并通過深入研究使用者詳細資訊,快速看到有關該使用者的所有行為操作以及對該使用者預判曲線,通過關聯分析還可以對行為軌迹進行溯源,了解到更多發生的情況。
通過對行為判斷與鑒别方法模組化,企業能夠從行為驅動方面完全觸發“高危使用者和資産”告警,同時還可以清楚地将事件組合在一起,以充分了解異常發生的前因後果。