企業(yè)如何構(gòu)建用戶行為分析功能?
隨著越來(lái)越多新類型的攻擊涌現(xiàn),企業(yè)面臨的威脅日益增加,而網(wǎng)絡(luò)安全事件在數(shù)量和復(fù)雜程度方面也在成比例增加。
根據(jù)Ponemon研究所《2016年數(shù)據(jù)泄露成本研究》顯示,在2016年所有數(shù)據(jù)泄露事故中,48%是由惡意內(nèi)部人員(員工、承包商或其他第三方)造成。
傳統(tǒng)安全系統(tǒng)通常是通過(guò)單個(gè)時(shí)間點(diǎn)在所選位置搜索已知簽名或者漏洞利用來(lái)尋找攻擊者,而隨著攻擊者在不斷滲透和逃避企業(yè)防御,現(xiàn)在的數(shù)字企業(yè)需要的是通過(guò)行為分析實(shí)現(xiàn)快速檢測(cè)和響應(yīng)。
現(xiàn)在每個(gè)企業(yè)每天都會(huì)生成海量日志數(shù)據(jù),涉及用戶行為、服務(wù)器活動(dòng)、應(yīng)用和網(wǎng)絡(luò)設(shè)備等。然而,企業(yè)卻無(wú)法從這些日志數(shù)據(jù)中獲得洞察力,安全團(tuán)隊(duì)面臨著從日志中挖掘有效數(shù)據(jù)的難題,以致他們無(wú)法更好地保護(hù)和管理數(shù)字企業(yè)的運(yùn)營(yíng)。
用戶行為分析是安全技術(shù)的創(chuàng)新,它可幫助企業(yè)將安全和風(fēng)險(xiǎn)管理提升到新的水平。該技術(shù)讓企業(yè)可更容易地了解用戶以及資產(chǎn)行為模式,以發(fā)現(xiàn)惡意內(nèi)部人員或外部威脅,而不會(huì)中斷業(yè)務(wù)。
為了在企業(yè)中引入和部署新技術(shù),你必須了解其架構(gòu),以及該技術(shù)在某些條件下在特定環(huán)境中如何運(yùn)作。用戶行為分析平臺(tái)由以下三個(gè)主要組件構(gòu)成:
- 數(shù)據(jù)整合:這是構(gòu)建用戶行為分析的基本要求。企業(yè)應(yīng)該能夠整合所需日志來(lái)源,包括來(lái)自安全信息和事件管理系統(tǒng)的結(jié)構(gòu)化或非結(jié)構(gòu)化信息示例日志、VPN網(wǎng)關(guān)、網(wǎng)絡(luò)流數(shù)據(jù)和應(yīng)用日志,以及來(lái)自CSV文件和syslogs的攝取日志。
- 數(shù)據(jù)分析:數(shù)據(jù)分析的主要目的是豐富和分析數(shù)據(jù),利用分析算法來(lái)學(xué)習(xí)環(huán)境(例如服務(wù)器與用戶活動(dòng),或者正常用戶與特權(quán)用戶),并從中挖掘有效數(shù)據(jù)。此外,該組件旨在能夠分析用戶和系統(tǒng)行為,并區(qū)分正常和惡意活動(dòng)。
- 數(shù)據(jù)呈現(xiàn)&可視化:這是指以對(duì)企業(yè)和安全團(tuán)隊(duì)有用的方式呈現(xiàn)數(shù)據(jù)分析結(jié)果,讓用戶交互中的模式和趨勢(shì)顯而易見,并可深入到詳細(xì)的事件。
構(gòu)建用戶行為分析功能
在企業(yè)中構(gòu)建新功能的最佳方法是從小步驟開始,并根據(jù)正在發(fā)生的變化逐步部署更多步驟。這可讓利益相關(guān)者了解用戶行為分析技術(shù)及業(yè)務(wù)案例,以及它可為提升企業(yè)安全帶來(lái)的價(jià)值。
此外,用戶行為分析市場(chǎng)包含各種供應(yīng)商產(chǎn)品以及服務(wù),可幫助查找個(gè)人,無(wú)論他們是惡意或無(wú)意的內(nèi)部人員或外部威脅。供應(yīng)商還可幫助檢測(cè)不同類型的攻擊實(shí)體(例如用戶、系統(tǒng)或IP地址),并將其進(jìn)行區(qū)分。
對(duì)于用戶行為分析部署,企業(yè)應(yīng)該考慮幾個(gè)階段:
第一階段:企業(yè)應(yīng)識(shí)別和研究市面上可行的產(chǎn)品和服務(wù),以及如何將用戶行為分析技術(shù)整合到現(xiàn)有安全產(chǎn)品類別。
他們應(yīng)該了解頂級(jí)供應(yīng)商是哪家;他們提供什么技術(shù)、功能或服務(wù);并根據(jù)各種問(wèn)卷完成供應(yīng)商評(píng)估。這些問(wèn)題應(yīng)該側(cè)重于許可模式、云計(jì)算與內(nèi)部部署模型對(duì)比、硬件設(shè)備與虛擬設(shè)備部署對(duì)比、可用的預(yù)配置報(bào)告與自定義功能以及其他因素。
在這個(gè)階段,企業(yè)會(huì)了解技術(shù)及其功能,以及供應(yīng)商的產(chǎn)品如何在企業(yè)中運(yùn)用以滿足企業(yè)獨(dú)特的安全要求,并與供應(yīng)商的產(chǎn)品路線圖保持一致。
在第一階段獲得較高水平的了解后,則可進(jìn)入第二階段,這個(gè)階段需要深入分析前5或6名的供應(yīng)商產(chǎn)品。
