伴隨全球數(shù)字化浪潮蓬勃發(fā)展,社會各行業(yè)所產(chǎn)生和使用的數(shù)據(jù)資源不斷增長,其價值日益凸顯。企業(yè)在面臨日益嚴峻的外部網(wǎng)絡(luò)攻擊威脅的同時,也面臨著因“內(nèi)鬼”竊取、內(nèi)部員工疏忽、賬號和主機失陷等各種內(nèi)部威脅導致的數(shù)據(jù)泄漏。
有調(diào)查報告顯示,全球有70%的數(shù)據(jù)泄漏是由于擁有數(shù)據(jù)訪問權(quán)限的內(nèi)部人員竊取、濫用造成的。因此,是否能夠有效應對及解決內(nèi)部威脅已成為當下企業(yè)在構(gòu)建數(shù)據(jù)安全防御體系過程中必須考量的重要標準。
傳統(tǒng)的安全產(chǎn)品由于缺乏對用戶異常行為的關(guān)聯(lián)分析,從而無法快速準確地識別定位風險以及追蹤溯源,已逐漸不能滿足當前企業(yè)的安全需求。
新一代安全產(chǎn)品基于大數(shù)據(jù)安全分析和機器學習技術(shù),通過刻畫用戶行為,可對內(nèi)部違規(guī)操作、竊取數(shù)據(jù)、非法刪除等異常行為進行多角度關(guān)聯(lián)分析,發(fā)現(xiàn)隱藏的未知風險并可能夠追蹤溯源,從而實現(xiàn)對企業(yè)內(nèi)部人員異常行為的探索發(fā)現(xiàn),并精準定位風險人員。
應用場景一:網(wǎng)絡(luò)流量異常
某企業(yè)內(nèi)部網(wǎng)絡(luò)出現(xiàn)了網(wǎng)絡(luò)卡頓的情況,系統(tǒng)檢查網(wǎng)絡(luò)上傳與下載流量發(fā)現(xiàn)網(wǎng)絡(luò)帶寬占滿。
通過系統(tǒng)日志對個人用戶進行流量建模,發(fā)現(xiàn)某員工外發(fā)的非公司郵箱個數(shù)、郵件數(shù)量、接收賬戶以及通過外設(shè)拷貝文件的次數(shù)偏離基線,定位其可能存在安全風險。
應用場景二:上網(wǎng)行為異常
某企業(yè)系統(tǒng)檢測到企業(yè)員工一段時間的上網(wǎng)流量超過了其歷史流量范圍值,且流量峰值偏離基線;同時檢測到該員工多次訪問企業(yè)禁止瀏覽的非法網(wǎng)站,非法網(wǎng)站瀏覽次數(shù)偏離基線。
應用場景三:登錄行為異常
某企業(yè)系統(tǒng)檢測到系統(tǒng)用戶曾多次在非工作時間使用非本人(綁定)設(shè)備持續(xù)性登錄系統(tǒng)失敗,相關(guān)登錄行為偏離了正常基線,可能存在安全風險。
明朝萬達Chinasec(安元)
