“作为数字技术的关键要素,全球数据爆发增长,海量集聚,成为实现创新发展、重塑人们生活的重要力量,事关各国安全与经济社会发展。”数据的重要性不言而喻。然而,近年来,全球数据被攻击、窃取、劫持等现象又层出不穷,俨然成为安全的“重灾区”,给经济、政治、社会等领域带来巨大风险。
——《全球数据安全倡议》
大数据技术在政府、交通、医疗、运营商、金融、公安等行业创造商业和应用价值的同时,数据泄漏问题日趋严重。传统的数据安全防护手段已无法满足当前政企用户面临的日趋严峻的数据安全风险。作为国内新一代信息安全技术企业的代表厂商,明朝万达认为当下数据安全防护主要存在以下问题:
♦ 传统“亡羊补牢”式的安全检测防护手段缺乏及时性和有效性
传统安全产品以事后防护为主,但缺乏事前安全监测防护,难以处理未知威胁和内部威胁。而且攻击者总能找到绕过传统安全技术的方法,比如规则驱动的恶意文件签名,沙盒。
♦ 单点日志数据分析手段缺少全局视角的威胁挖掘能力
各类日志分布广,跨越应用、主机、安全设备、中间件、数据库等,可利用的价值不高,缺少关联挖掘更有用的信息,无法以多角度日志分析提供有效地预报,导致安全事件频发以及巨大经济损失,单个事件行为在单点局部分析没有异常点,但是汇总全量数据综合分析极有可能存在异常行为,造成数据“缓慢泄露”等事件发生。
♦ 安全防护手段缺少统一的“协同”预警与处置机制保障
用户虽然部署了安全设备,但每个设备只能解决一类问题,在单一设备上,也只能查询该设备上的日志。企业的内网设备、应用等实体也可能存在风险,单一的设备无法有效的发现内部威胁,发生安全事件时依旧是被动响应并处理,无法有效促使各安全系统和平台协同管控。
基于此,明朝万达认为未来数据安全防护体系将更加看重安全的监测和响应能力,充分利用态势感知、大数据分析及预测技术,大幅提高安全事件监测预警和快速响应能力,应对大量未知安全威胁。实现安全事件溯源分析以及安全系统的协调防护,最终解决内部员工数据窃取,降低敏感数据泄漏风险。
UEBA(用户与实体行为分析)作为一项高速成长且不断创新的技术,应对日益增长且纷繁复杂的内部威胁、数据泄漏、应用安全等威胁的需求,是实现主动防御数据安全防护体系的基础,满足主动防御数据安全防护体系的核心能力。通过UEBA不仅可以发现内部失陷主机,还能对安全策略联动以及渗透成功后的内部横向移动有更强的洞察力,实现政企用户主动防御的安全体系。
明朝万达基于对数据安全领域的深入探索,结合政企行业对数据安全防护新需求,帮助政企用户构建UEBA平台,为主动防御安全体系奠定基础。
UEBA平台通过采集业务系统日志信息、安全设备日志信息等用户行为进行综合分析,发现横向移动、数据传输、持续回连等异常行为,通过行为分析从正常用户中发现异常的恶意用户,从正常行为中发现异常的恶意行为。基于大数据分析和机器学习,提高内部威胁以及提升威胁检测的响应能力。帮助企业做到安全风险事前防范,及时告警敏感数据泄漏行为,而且平台能够对接第三方系统进行策略联动,管控异常风险,最终实现“协同联动,体系防御”的安全防御效果。
超20+数据采集方式满足灵活采集需要
基于采集探针,覆盖文件、数据库、中间件、SNMP、开源数据中间件、Socket、API等20多种数据采集方式,并集成探针监控,平台会将所有的采集到的数据针对不同数据的数据格式要求实现数据的解析、清洗、重组、封装,最终实现不同格式数据的统一格式采集。
基于大数据存储能力满足针对各类数据的有效存储保障
实现数据的存储功能,为后续分析计算提供基础数据。平台分为大数据存储平台以及平台库,大数据存储平台负责存储用户行为数据、业务数据以及系统运维数据等,平台库负责存储规则、资产数据以及UEBA平台运行数据等。
基于NLP+业务模型建立多场景协同威胁行为监测与防护
基于大数据驱动实现持续性监测,采用非监督、有监督等机器学习技术构建UEBA分析模型,包含UEBA分析模型以及行为挖掘引擎,针对特定场景,配置对应的分析模型,实现特定场景下的用户行为分析,及时发现安全威胁,防护数据安全。
围绕用户行为为核心的异常监测机制
通过多种分析方式发现用户异常安全行为事件,结合安全事件溯源的上下文信息,可与数据源系统进行策略联动,在一定程度上达到控制用户行为的目标。对特殊关注的用户,支持用户风险画像,分析用户在不同场景下的异常行为。实现针对异常行为,安全威胁事件的安全系统协同防护。
多类型的可视化图表展示建立实时告警保障
基于前期对数据信息的分析结果从敏感行为信息列表、敏感行为统计、用户异常行为分析、异常告警行为事件分析等多个方面实现用户日志数据以及分析结果的数据统计与展示,可以使用户更加快捷方便的在页面查看用户行为数据的统计结果进行可视化展示、统一告警等。
威胁可视
综合多种设备数据源进行用户异常行为关联分析与检测,发现内部威胁。
行为防范
基于UEBA用户异常行为分析引擎,实现对用户异常行为事件的事前防范。
重点监测
能够对重点风险用户进行风险画像,防范未知风险。
安全联动
安全事件一旦发生后,可对事件产生的各个环节进行审计,并追溯到原始日志,进行策略联动处理,进一步管控用户行为,形成闭环。
体系防护
帮助政企用户构建具有主动防御的数据安全体系,围绕“人”、“数据”、“设备”等多因素联动处置体系化防护。
项目名称
某运营商数据安全项目
项目概述
通过管理和技术措施相结合,某集团建立了数据防泄漏安全体系,增强了终端防范外部攻击威胁的能力和异常事件处置能力,并能够在一定程度上防范敏感信息的泄漏,但是随着员工数量的日益增加以及日常信息化水平的不断提升,数据防泄漏安全体系在实际使用和维护管理过程中也逐渐暴露出一些问题,在某些应用场景下已无法有效满足员工办公、安全管理和业务发展的需要。急需加强数据应用安全管理和风险防控工作。
建设内容
通过建设UEBA平台,以标准协议接口与各个安全系统的日志信息对接,进行内部人员异常行为的探索发现和风险人员的精准定位,持续审计、跟踪并进行风险预警,最终实现各安全系统协同防控;内置多种规则和策略模型,配合基线学习、机器学习等多种分析方法,检测各种用户异常行为,通过深钻和关联促进分析结果更加准确,及时应对各类用户群体诸如越权访问、无意数据泄漏、主动数据窃取等安全威胁。
项目成果
从技术层面为用户提供异常行为安全分析支撑,从制度方面促进信息系统的规范化管理,帮助客户提高工作透明度、防范信息泄漏导致的风险。进一步优化现有数据防泄漏系统,通过架构调整提高整体可用性。将被动转主动,根据事件上报预测潜在风险,提升终端敏感信息防泄漏的管理水平和技术能力,夯实终端管控的安全性和高效性。
最新评论