2022-12-20 10:00|
发布者: 七里香|
查看: 199|
评论: 0|原作者: 七里香
| "堡垒最容易从内部攻破",“内鬼”数据泄露、攻击者渗透潜伏、主机失陷沦为黑客的“肉鸡”……内部威胁是最难捕获的,并且可能是最具破坏性的。 保密管理尤是如此。涉密单位内部防护不到位,会让外部敌人轻易找到破绽从而攻城掠地。从近年披露的案例来看,保密管理工作不规范,保密意识淡薄,保密技能缺失,已经成为泄密事件发生的主要原因。 万里红人员保密行为分析系统(UEBA)以用户和实体为中心,构建用户实体风险画像,根据画像多维、全面的数据指标精准定位单位中保密安全意识淡薄的人员、潜在的窃密分子和单位安全管理薄弱地带,使安全管理核心力量更有效地靶向打击和治理,构筑钢铁堡垒,进而高质量强化单位保密安全管理打击能力。 变革保密安全管理手段,从盲看到实管转变 在保密领域,当前的打刻、邮件、网络、终端检测、敏感信息检测、技防等系统以事件为主体:一方面,通过检测引擎依赖于一些已知规则进行检测,而“内鬼”往往熟知这些安全规则、内控措施,会通过降低非法操作行为的次数和规模等各种方式逃避检测,具有极高的隐蔽性和伪装性;另一方面,传统事件告警,一事件一报警,把事件当成一个独立的个体进行处理,告警量大、误报率高,让安全管理人员无从下手,系统中存在着大量搁置的告警,使精准有效的检测结果淹没在海量的噪声中。这使得组织时刻笼罩在极度的风险中,亟需一款新产品打破当前的困境。 从告警事件管理向风险用户管理转变,万里红人员保密行为分析系统(UEBA)从一个新的角度——以用户和实体为中心,对保密管理的单位、人员、资产三大核心实体,进行实体活动、实体特征智能关联和拉通,结合机器学习和专家经验动态规则实时计算个体偏差、群体偏差等数据指标,并通过积分的形态体现个体和群体的各类行为的偏离度,从而构建出单位、人员、资产的保密行为风险画像,根据画像多维、全面的数据指标精准定位单位中保密安全意识淡薄的人员、潜在的窃密分子和单位安全管理薄弱地带,智能风险行为序列,风险一目了然,使安全管理核心力量更有效的靶向打击和保密治理。 什么是UEBA? UEBA(User and Entity Behavior Analytics),定义为“通常基于基本分析方法与高级分析方法的组合,对用户和实体的行为进行检测,以发现异常行为”。其中: U(User):即用户,UEBA以分析用户行为为首要任务。 E(Entity):即实体,包括账号、机器、数据资产、应用程序等。 B(Behavior):即行为,指用户及实体的行为和活动,而非其他静态属性或参数。 A(Analytics):即分析,UEBA结合基础分析和高级分析,而非简单地使用规则匹配。 赋能保密工作日常管理,揪出“内鬼” 自监管单位,为了保护单位秘密和执行国家保密局的保密要求,会定期对单位内部的人员进行保密培训。而培训属于被动接收的过程,因此往往效果并不明显,单位人员出于业务工作需要常常会疏于保密管理,造成失密行为时有发生。 万里红人员保密行为分析系统(UEBA)通过专家经验和机器学习对每个用户进行风险画像,并对风险进行准确的积分,管理人员可直接在系统中筛选出当前时间有风险积分且积分低于top10的人员,进行保密教育。 此外,针对单位内部可能会存在的极少数破坏分子,万里红人员保密行为分析系统(UEBA)通过长时间的数据积累,对每个人建立行为基线,并实时与现行行为和部门平均水平进行偏离情况动态积分。结合专家经验和机器学习对“水滴搬家” 等故意无规律访问涉密信息的行为全局关联、进行高积分,管理员人员可直接对系统高危风险人员top10的人员进行重点调查,揪出“内鬼”。 当前,终端敏感信息检测、网络敏感信息检测、数据库敏感信息检测、微信敏感信息检测、微博敏感信息检测等工具在保密安全领域已广泛应用。万里红人员保密行为分析系统(UEBA),以其强大的高级安全分析能力,深度挖掘隐藏异常行为,对现有技防系统能力进行有力补充,弥补了传统检测技术、单点安全分析的不足,可全面提升已购产品价值,筑牢保密安全的“钢铁堡垒”。 (文章来自万里红,如有违权请联系删除!) |
