分享

监管预测、告警响应、审计溯源——三驾马车为内部威胁安全治理保驾护航

Viviany 发表于 2022-10-24 09:23:12 [显示全部楼层] 只看大图 回帖奖励 阅读模式 关闭右栏 0 525
随着信息技术在各领域的蓬勃发展,各行业所产生和使用的数据资源不断增长,其价值日益凸显,信息安全风险也随之而来。企业在面临日益严峻的外部网络攻击威胁的同时,也面临着因“内鬼”窃取、内部员工疏忽、账号和主机失陷等各种内部威胁,导致安全事故频发。内部威胁已成为破坏企业信息安全的重要隐患。


北1.jpg


“内部威胁是否容易被检测发现”,答案肯定是不容易被发现的。内部威胁难以被检查和发现主要体现在以下四个方面:


1)   产生威胁的内部人员情况复杂,内部人员的恶意行为往往发生在正常工作的间隙,导致恶意行为嵌入在大量的正常行为数据中,其隐蔽性和多元性难以发现。


2)   企业对于内部人员是基于“默认信任”的模式,传统安全防护机制上更多的倾向于检测和阻断外部攻击,而较少投入在内部安全防护上面,难以清晰辨别内部人员的正常行为操作与危害性行为操作。


3)   内部人员熟悉内部安全运行机制,网络安全边界透明化使得他们能够比较容易地规避系统防御检测机制,导致内部威胁难以发现。


4)   某些情况下即便通过检测机制发现了恶意行为,但除非是获取法律认可的充分证据,否则无法判定内部人员存在恶意行为。内部人员可以工作疏忽等理由和借口进行掩饰和推脱。


现今内部威胁导致的安全事故频发,针对内部人员行为的审计分析、异常行为预警、威胁事故阻断、威胁事件取证溯源能够有效应对及解决内部威胁,已成为当下企业在构建数据安全防御体系过程中考量的重要标准。


北信源ueba系统以数据驱动为核心主线,人员为根本,围绕用户与实体之间行为的持续监测,融合安全信息和事件管理(SIEM)技术,贯穿从信息采集、提取、识别、关联、建模和检测的整个分析过程,实现“违规行为预警、异常行为检测、异常对象风险评估、异常行为追溯”的风险控制体系,用户实体行为分析的工作模式,实现对企业数据资产使用情况的事前预测、事中响应、事后溯源的全闭环管控,有效提升企业对内部人员风险把控。



北信源ueba数据安全防御流程


北2.png


事前:监管预测


北3.png


对正常行为和人员进行抽象归纳,利用大数据技术生成个体行为画像和群体行为画像,对比分析账户的活动是否偏离个人行为画像和群体行为画像,综合判断账户疑似被盗用风险评分,帮助安全团队及时发现账号失陷;构建时序异常检测模型,通过时序关联和自学习算法生成用户访问动态基线、群体访问动态基线,利用基线,结合具体内部威胁场景,可实现对高频、越权、伪造身份、冒用身份、数据窃取等多种异常行为的分析和检测,进一步关联敏感数据的访问特征,定位是否存在内部人员窃取敏感数据行为,保障企业核心数据资产的安全。


事中:告警响应


北4.png


结合客户实际业务场景,制定一系列保护企业核心数据资产的防泄漏策略,可根据内部用户风险值的变化,动态调整相应策略,构建用户及实体的行为时间线,进行风险聚合。结合组织结构、资产关键性、人员角色和访问级别等进行权重评估,进行综合风险定级并排序,从而明确用户、实体、事件或潜在事件应该优先处理范围,可以极大的缓解安全团队人力短缺的现状。融入安全设备的响应策略,可自动实施阻断等措施,透过SOAR的安全编排,进行安全告警的分析和分类,利用人机结合的方式对安全事件进行定义、划分优先级,建立标准化安全事件的处理工作流,从而达到一体化安全运营,同时也支持短信、邮件、工单响应方式,提升安全团队整体协同,形成行为异常的检测与响应闭环。


事后:审计溯源


北5.png


采用5w1h分析法以用户角度从用户行为原因、对象、地点、时间、人员、方法等六个方面,使用链接分析、基于序列的关联分析、遍历分析等分析大数据关联分析方法,在海量日志中抽丝剥茧获取用户行为审计记录,上下文检索技术、漏斗模型法与桑基图示路径遍历结合,对用户行为操作关键流程节点图示具象化。突出显示关键阶段的信息,亦可点击关键节点展开流经此处的所有行为信息。可以直观地反映出用户行为的一些习惯,了解用户操作之间跳转关系如何,从而有针对性的对偏离异常行为进行及时的跟踪与调查,附加北信源特有的终端取证技术,对用户的终端关键操作进行截取保存,可为后续真实事件的调查取证提供完整的溯源证据。

(文章来自北信源,如有违权为请联系删除!)

没找到任何评论,期待你打破沉寂

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则