关于“内部威胁防护”的那些两三事

来源: 云巴巴 2020-03-23 17:06:09

    网络安全行业正在经历一个巨大的变化,历年来,网络信息安全管理预算都是由对外部环境威胁盗取企业发展核心资产的恐惧而驱动的。然后,根据麦肯锡的报告,在2017年数据泄露的50%是由内部风险所致。在其最新的报告中,Gartner指出2019年对内部威胁的兴趣和咨询都比2018年提高了两倍,天空卫士具有自主知识产权的新一代数据安全保护技术ITP(Insider Threat Protection)应运而生。
    数据安全项目周期长,通常由一系列更宽松的政策,逐步优化,以满足个性化的各企业数据核心资产的需求,怎样才能减少误报,但不错过任何一次数据泄漏一直是一个严重的问题。天空卫士ITP技术应用人工智能继续视察辨认人在计算机环境中的行动,将传统的基于内容的数据防泄露技术升级到基于行动的数据防泄漏技术,根据变化的内部管理用户进行风险值,动态调整相应的数据安全策略,一旦我们发现企业用户行为超出可信区间,即可触发报警或实施阻断等措施,大大降低了数据网络安全事件的误报率,ITP内部威胁防护系统相关技术已广泛应用于运营商、航空、银行、物流等行业领域。
    Gartner在“3 Ways to Stop Insider Threats”一文中提出了以下三种方式:

 

1、提高对员工进行监控和监督管理能力的投资
 

    天空卫士UCS技术在对用户举行全方位数据平安维护的同时也能收集到用户各个维度的行动:
    增强型Web安全网关(ASWG):全方位监控用户Web行为
    增强型Email安全网关(ASEG):全方位监控用户邮件行为
    数据安全终端(UCSC):全方位监控用户终端行为
    移动接入网关(MAG):全方位监控移动终端行为
    数据安全监控服务器(U CWI):全面监控内部应用程序行为
    全流量网络抓取(NCP):全流量监控系统用户所有企业网络社会行为
    深度内容检测:监测用户基于数据的行为

关于“内部威胁防护”的那些两三事

    以上全方位的用户行为日志会汇总ITP体系的大脑ITM(内部环境威胁企业管理系统服务器),运行机器通过学习及先进的统计学算法模块对内网每个用户需要进行财务风险评分。并将计算出的风险评分反馈给以上各网关设备,实现我们针对高风险用户的动态发展策略调整,达到以人为核心的数据网络安全保护。
 

2、建立用户画像
 

    通过多维度的用户行为分析的天空卫士ITM系统,从使用的先进的统计算法和机器学习算法有以下几个方面的用户风险评分。
    网络异常检测模块:利用先进的统计算法来建立流量模型为每个用户,多维统一历史流量统计的用户组的用户基础线,实时检测用户基线是否偏离,并通过数据泄漏的特性模型用户流量趋势调整检测算法来异常时,通过数据泄漏的各信道的风险来计算用户的精确值。
    终端异常检测模块:实现数百个潜在异常风险行为检测点,通过关联分析和异常检测算法将异常风险行为映射到潜在安全异常模型,减少单点异常引起的误报。
    专家系统:安全专家把多年的安全经验和机器学习算法结合起来、预设专家模型,关联用户行为和数据安全风险模型和木马风险模型结合起来。确定匹配用户和现场的安全风险模型的程度,精确的刻画内部用户行为特征。

 

3、回溯内部风险事件
 

    天空卫士ITM体系应用深度学习技术,对曾经发生的内部风险事件进行建模,实时学习风险行为特征,并在全网中检测与其行为相似的个体。此模型克服了基于社会规则的风险管理行为分析检测方法只能应对已知风险的局限,通过网络用户使用环境会计数据可以实时学习,可应对未知风险。同时也可检测出后期发展进行变种的攻击行为能力以及被感染还未触发数据窃取行为或攻击行为的个体。
    ITP外部要挟防护系统相干技术已普遍应用于运营商、航空、银行、物流等领域企业,赞助企业检测内部风险,并对风险进行实时响应。以下是在天空卫士ITP体系在某运营商进行专业技术公司的案例研究分析。
    Web上传异常检测
    用户网络中部署ASWG产品获取用户上网行为并将用户访问日志发送到ITM服务器,经过对个人用户进行流量建模,ITM检测到某用户超出个人及群体基线的情况,ITM系统提升此用户风险等级,并将其风险等级下发给ASWG设备。

关于“内部威胁防护”的那些两三事

    经过进一步分析,我们发现用户的大量数据传输到百度网盘,并命中DLP策略,为了防止误判,此DLP策略设置的默认操作是审计。 在收到该用户增加的风险值后,ASWG自动实现了无人工干预的阻断动作,有效减少了企业核心数据泄露造成的损失,同时不影响大多数正常员工对百度网盘的访问。

关于“内部威胁防护”的那些两三事

    员工离职泄密风险
    部署在用户网络中的ASWG检测到一个用户频繁访问招聘网站,通过深入内容检测发现该用户有离职简历,且该用户非工作时间的离职数据量严重偏离其个人历史基线和群体历史基线,经核实,该用户有意愿离职后留下一批企业活动策划方案同步到个人网盘。

关于“内部威胁防护”的那些两三事

    感染木马风险
    用户在网络镜像口部署了天空卫士全流量数据分析技术设备NCP,实时对网络发展中所有数据包可以进行管理监控和统计,并将统计研究结果发送给ITM,ITM 扫描发现该机器有网络扫描445端口的行为,同时该机还参观了矿场,这些功能允许网络到主机的木马模型对用户的矿业专家系统相匹配。后经查证此机器感染WannaMine 4.0病毒,通过使用机器进行学习算法,管理员还发现了用户信息网络中存在访问DGA域名等其他国家安全的问题。

关于“内部威胁防护”的那些两三事

    从以上实例可以看出,天空卫士ITP系统可以从多维用户行为中挖掘出潜在的内部风险,并动态调整数据安全策略,实时响应风险,在不降低用户数据安全保护水平的情况下,大大降低误报率。基于行为的动态分析可以区分风险的用户的级别,基于深度内容分析DLP技术的组合,将用户数据泄露在萌芽阶段扼杀。
 

更多产品了解

欢迎扫码加入云巴巴企业数字化交流服务群

产品交流、问题咨询、专业测评

都在这里!

 

评论列表

为你推荐

如何强化应用安全能力,全面拦截 Log4j 漏洞攻击

如何强化应用安全能力,全面拦截 Log4j 漏洞攻击

最近几天对于很多开发者而言,只能用争分夺秒与胆战心惊来形容。而造成这一切的源头,来自于被公布的 Apache Log4j2 远程代码执行漏洞(CNVD-2021-95914)

2021-12-14 17:22:18

计算机信息系统安全的独立式部署简介

计算机信息系统安全的独立式部署简介

互联网渗透到我们日常生活的方方面面,很大程度上影响了我们日常交流和工作的方式。本篇文章就详细的谈一下有关信息系统安全技术的相关特性。很多人一听到这个词就会觉得它一定晦涩难懂,但其实,信息系统安全带宽管理器的基本功能非常简单,快来了解下吧。     中小,

2022-11-21 10:13:59

这是你所担忧的DevOps云应用安全问题吗

这是你所担忧的DevOps云应用安全问题吗

安全是一切工作的前提,没有了安全,也就没有了保障,更不用谈什么结果。这篇文章将告诉你关于DevOps云应用安全的相关知识,让你在以后关于“DevOps云应用安全”的问题上降低风险。

2020-04-15 16:22:59

从“哈勃”中看出的勒索病毒的解决之道

从“哈勃”中看出的勒索病毒的解决之道

网络攻击随着万物上云序幕的拉开也在不断的升级,传统的暴力破解,漏洞攻击或分布式拒绝服务攻击等形式还没有落幕,新的攻击方式或者说更高级的攻击方式已经开始了上演。

2022-11-23 10:23:45

2020年关于网络安全领域的五大预测

2020年关于网络安全领域的五大预测

对于网络安全人员来说,必须主动掌握应对网络威胁,而不是被动应对网络威胁,在不断变化的威胁形势下,仅仅填补漏洞或为以前的威胁设计一个安全态势已经远远不够了。新的一年即将到来,随之而来的是新的威胁和趋势,特别是在网络安全领域

2020-03-11 17:57:04

面对网络安全问题怎么去维护

面对网络安全问题怎么去维护

在信息化时代,互联网的发展已经日新月异,网络安全将面对不一样的挑战。

2020-03-10 14:55:53

严选云产品

华途终端数据防泄漏系统TDLP 华途终端数据防泄漏系统TDLP,通过灵活的策略满足不同客户不同场景下的安全管控需求 ,深度内容识别、语义分析、对边界行为实现智能化防护 。强制透明加密、半透明加密、智能加密满足不同的加密场景 ,通过文档加密、文档脱敏、外发管控、外设管控等手段满足多种维度管控需求。
DDos游戏盾 DDoS游戏盾基于业内领先的技术架构和核心调度算法,通过客户端集成SDK加密鉴权,精准识别正常用户与非法用户,颠覆传统DDoS/CC攻击 的防御模式,无视一切网络DDoS攻击。
畅捷通好生意开店神器 畅捷通好生意,无需专人即可在多平台同步开店。
洲明科技5G+8K应用方案 洲明科技5G+8K应用方案,采用先进的实时编码技术、5G高速实时传输技术、沉浸式虚拟直播技术以及AI画质增强技术解决硬件设备价格昂贵、传输宽带不足以及8K内容匮乏等痛点。满足了包含智慧直播、智慧医疗、智慧教育、智慧会议等行业的迫切需求。
聚水潭跨境电商ERP系统 聚水潭跨境电商ERP系统通过供应链精细化管理,补货、头程、海外仓、尾程全链路管控 ,以及财务利润精细化管控,财务利润精细化管控进行管控。
腾讯云数据万象 CI 腾讯云数据万象(Cloud Infinite,CI)依托腾讯云对象存储 COS 服务,能够对存储在云上的图片、视频、音频、文档等数据进行处理,为客户提供专业一体化的数据处理解决方案,涵盖图片处理、内容审核、内容识别、媒体处理、文档 服务等功能,满足您多种场景维度的业务需求。

甄选10000+数字化产品 为您免费使用

申请试用