关于“内部威胁防护”的那些两三事

    网络安全行业正在经历一个巨大的变化，历年来，网络信息安全管理预算都是由对外部环境威胁盗取企业发展核心资产的恐惧而驱动的。然后，根据麦肯锡的报告，在2017年数据泄露的50％是由内部风险所致。在其最新的报告中，Gartner指出2019年对内部威胁的兴趣和咨询都比2018年提高了两倍，天空卫士具有自主知识产权的新一代数据安全保护技术ITP（Insider Threat Protection）应运而生。
    数据安全项目周期长，通常由一系列更宽松的政策，逐步优化，以满足个性化的各企业数据核心资产的需求，怎样才能减少误报，但不错过任何一次数据泄漏一直是一个严重的问题。天空卫士ITP技术应用人工智能继续视察辨认人在计算机环境中的行动，将传统的基于内容的数据防泄露技术升级到基于行动的数据防泄漏技术，根据变化的内部管理用户进行风险值，动态调整相应的数据安全策略，一旦我们发现企业用户行为超出可信区间，即可触发报警或实施阻断等措施，大大降低了数据网络安全事件的误报率，ITP内部威胁防护系统相关技术已广泛应用于运营商、航空、银行、物流等行业领域。
    Gartner在“3 Ways to Stop Insider Threats”一文中提出了以下三种方式：
 

1、提高对员工进行监控和监督管理能力的投资
 

    天空卫士UCS技术在对用户举行全方位数据平安维护的同时也能收集到用户各个维度的行动：
    增强型Web安全网关（ASWG）：全方位监控用户Web行为
    增强型Email安全网关（ASEG）：全方位监控用户邮件行为
    数据安全终端（UCSC）：全方位监控用户终端行为
    移动接入网关（MAG）：全方位监控移动终端行为
    数据安全监控服务器（U CWI）：全面监控内部应用程序行为
    全流量网络抓取（NCP）：全流量监控系统用户所有企业网络社会行为
    深度内容检测：监测用户基于数据的行为

    以上全方位的用户行为日志会汇总ITP体系的大脑ITM（内部环境威胁企业管理系统服务器），运行机器通过学习及先进的统计学算法模块对内网每个用户需要进行财务风险评分。并将计算出的风险评分反馈给以上各网关设备，实现我们针对高风险用户的动态发展策略调整，达到以人为核心的数据网络安全保护。
 

2、建立用户画像
 

    通过多维度的用户行为分析的天空卫士ITM系统，从使用的先进的统计算法和机器学习算法有以下几个方面的用户风险评分。
    网络异常检测模块：利用先进的统计算法来建立流量模型为每个用户，多维统一历史流量统计的用户组的用户基础线，实时检测用户基线是否偏离，并通过数据泄漏的特性模型用户流量趋势调整检测算法来异常时，通过数据泄漏的各信道的风险来计算用户的精确值。
    终端异常检测模块：实现数百个潜在异常风险行为检测点，通过关联分析和异常检测算法将异常风险行为映射到潜在安全异常模型，减少单点异常引起的误报。
    专家系统：安全专家把多年的安全经验和机器学习算法结合起来、预设专家模型，关联用户行为和数据安全风险模型和木马风险模型结合起来。确定匹配用户和现场的安全风险模型的程度，精确的刻画内部用户行为特征。
 

3、回溯内部风险事件
 

    天空卫士ITM体系应用深度学习技术，对曾经发生的内部风险事件进行建模，实时学习风险行为特征，并在全网中检测与其行为相似的个体。此模型克服了基于社会规则的风险管理行为分析检测方法只能应对已知风险的局限，通过网络用户使用环境会计数据可以实时学习，可应对未知风险。同时也可检测出后期发展进行变种的攻击行为能力以及被感染还未触发数据窃取行为或攻击行为的个体。
    ITP外部要挟防护系统相干技术已普遍应用于运营商、航空、银行、物流等领域企业，赞助企业检测内部风险，并对风险进行实时响应。以下是在天空卫士ITP体系在某运营商进行专业技术公司的案例研究分析。
    Web上传异常检测
    用户网络中部署ASWG产品获取用户上网行为并将用户访问日志发送到ITM服务器，经过对个人用户进行流量建模，ITM检测到某用户超出个人及群体基线的情况，ITM系统提升此用户风险等级，并将其风险等级下发给ASWG设备。

    经过进一步分析，我们发现用户的大量数据传输到百度网盘，并命中DLP策略，为了防止误判，此DLP策略设置的默认操作是审计。 在收到该用户增加的风险值后，ASWG自动实现了无人工干预的阻断动作，有效减少了企业核心数据泄露造成的损失，同时不影响大多数正常员工对百度网盘的访问。

    员工离职泄密风险
    部署在用户网络中的ASWG检测到一个用户频繁访问招聘网站，通过深入内容检测发现该用户有离职简历，且该用户非工作时间的离职数据量严重偏离其个人历史基线和群体历史基线，经核实，该用户有意愿离职后留下一批企业活动策划方案同步到个人网盘。

    感染木马风险
    用户在网络镜像口部署了天空卫士全流量数据分析技术设备NCP，实时对网络发展中所有数据包可以进行管理监控和统计，并将统计研究结果发送给ITM，ITM 扫描发现该机器有网络扫描445端口的行为，同时该机还参观了矿场，这些功能允许网络到主机的木马模型对用户的矿业专家系统相匹配。后经查证此机器感染WannaMine 4.0病毒，通过使用机器进行学习算法，管理员还发现了用户信息网络中存在访问DGA域名等其他国家安全的问题。

    从以上实例可以看出，天空卫士ITP系统可以从多维用户行为中挖掘出潜在的内部风险，并动态调整数据安全策略，实时响应风险，在不降低用户数据安全保护水平的情况下，大大降低误报率。基于行为的动态分析可以区分风险的用户的级别，基于深度内容分析DLP技术的组合，将用户数据泄露在萌芽阶段扼杀。
 

更多产品了解

欢迎扫码加入云巴巴企业数字化交流服务群

产品交流、问题咨询、专业测评

都在这里！