斯诺登是英雄 但你的企业内部也有"斯诺登"呢?

2017-01-04 09:34:00 作者:HanSight瀚思 分类 : 比特网

  他穿着一件黑色的夹克,仍然带着斯文的眼镜,却看着比上一次露面更瘦了,但他刚一在Twitter的直播软件Periscope上出现,数亿人就在全球各地躁动起来:

  “是的,就是他!”

  “没错,没错,他瘦了,但这就是我们的英雄。”

说明: Macintosh HD:Users:AngelaZhang:Downloads:70512a5690fc4205d4c0f1a6bb5d8c0b.jpg

  几秒种后,在网络直播软件的另一侧,传来了Twitter CEO 杰克·多西(Jack Dorsey)的声音和画面,他清了清嗓子,说出了所有人心中期待已久的名字:

  “你好,爱德华,爱德华·斯诺登(Edward Snowden),欢迎你。”

  今年的12月14日久违露面的斯诺登与多西进行了一个多小时的视频对话,Twitter使用直播APP Periscope全程播放了两人对话的实况,在这场对话中,斯诺登除了再次强调了“他为什么做那些应该做的事情”以及“那些被他曝光的事情要更进一步的进行严格管理”,他貌似对Twitter的功能改进更感兴趣,比如,斯诺登建议说:“Twitter可以把产品做的更加无缝化、融合化,比如说将更多的功能放到主APP上,甚至取消第三方网页跳转。”

  杰克·多西接受了斯诺登的建议,表示会对Twitter的功能做更多优化,但更多将斯诺登视作英雄的人却不断地在直播中怂恿杰克·多西:“嗨,杰克·多西,你知道我们想知道什么!”“多西,你能不能不要为自己做广告了。”“多西,奥巴马到底会不会赦免我们的英雄?”

  很显然,对大多数Twitter用户,甚至是大多数全球各地的人民来说,斯诺登是一个英雄,他的所作所为几乎就是典型的英雄式小说:孤胆英雄在阴霾中发现了不为人知的秘密,凭借一己之力将其公之于众,却受到不公平的待遇,只能远走他乡,从此过着不为人知的低调生活。

  斯诺登是英雄 但如果“英雄”出现在你的公司?

说明: Macintosh HD:Users:AngelaZhang:Desktop:瀚思微信:20161223:9e666d5a4ef664c7981aadcd7ea0a7ba.jpg

  2013年,身为美国国家安全局(NSA)雇员的爱德华·斯诺登,以系统管理人员的身份,获得了至少20万份最高机密文件,令NSA的调查人员大跌眼镜的是,斯诺登获得这些机密文件的方式非常简单,竟然是利用比较廉价、也容易获取的“网络爬虫”或爬行器类软件,通过程序设定自动抓取大量数据,而不是一个人坐在电脑前一一查找、复制、下载大量文件。

  但斯诺登的“搜索和准备的时间”可不是几分钟、几小时或是几天,在决定将所收集到的信息公之于众之前,这位英雄般的人物有超过半年的时间来做充足的准备,包括收集资料、存储、整理、公开以及确保自己能够离开美国政府的管辖范围之内。

  更令人称奇的是,在《卫报》将“棱镜计划”公之于众之前,号称无所不知的美国政府完全被蒙在鼓里——原本应该在斯诺登所工作的夏威夷分局部署的升级版安全措施,一直没有到位,因此,斯诺登在“NSA系统里所捣的那些鬼,从没有引爆系统的红色安全标志”,就这样,“棱镜门”事件就此发酵。

  如果美国国家安全局料想到会发生这样的事件,他们一定会在第一时间将安全措施进行升级,事实上,就在斯诺登事件发生之后,NSA火速进行了全机构的安全措施升级,除了在数据丢失预防(DLP)上下了很大功夫之外,最重要的就是对内部的权限管理、异常行为发现等系统进行了升级,他们要做的是,“绝对不能再出现类似的第二个斯诺登。”

  对于美国和全世界的人民来说,斯诺登毫无疑问是个英雄,但是美国国家安全局来说,“爱德华是机构历史上最大的叛徒”,虽然他披露了很多非法监控和非法审查的计划,但对于NSA来说,这显然是一种背叛的行为,“NSA恨不能有个时光机,在斯诺登这么做以前就把他抓起来坐牢”——一位Twitter上的用户调侃道。

  或许,斯诺登的出现对国际社会是件好事,但如果类似的“英雄”出现在你的企业中呢?想必这也是会让人非常头疼的吧?

  毫无疑问,确保机密数据和资产的安全,一直是企业组织所面临的一大挑战,据美国波耐蒙研究所(Ponemon Institute)2015年的一项调查显示,目前损失最为惨重的网络犯罪案件多数是由企业内部人员监守自盗导致,其次才是拒绝服务攻击(DoS)和基于Web的攻击。

  这正应了那句俗话:“日防夜防,家贼难防”,组织内部的安全隐患往往具有隐藏深、发动时机不确定、难以及时辨认、对安全防范规程较为熟悉以及安全事件进展迅速等特点,这往往对组织机构的安全体系造成极大的破坏,对正常的业务、核心的数据甚至是组织机构的信誉造成不可挽回的严重损失。

  但既然是“家贼”,就意味着威胁来源在组织机构中是“合理的存在”,拥有正常的行为权限和操作手段,甚至会将自己的威胁操作,隐藏在正常的工作流程和业务操作之中(比如说化整为零),变得难以察觉。

  这也意味着想要通过过去安全防范体系中对“传统恶意行为”的定义可能不能起到全部的作用。

  另一方面,每家组织机构的业务流程、工作规范都不同:例如,在A公司属于异常行为的操作(比如说深夜刷卡进入数据中心或是突然取消了数据备份作业),在B公司很可能就不是,反之亦然,这意味着对“恶意行为”的定义是动态的、不停变化的。

  在面对以上两种情况的时候,传统的安全防范机制是撰写大量的规则,这种方式费时费力不说(要为每一个部门、每一类人员都撰写一套规则),还需要时刻更新大量规则(某些部门最近加班较多或是近期公司业务规则发生变化);

  而且,此外,还需要时刻处理死板规则产生的大量报警(临时性出现的业务需求或产品故障,导致了紧急性的大量事物处理)。

  可以说,传统的方式不仅不能防范很多居心叵测着深藏不露、化整为零的安全威胁,更在及时性、灵活性和工作繁重性上不能够满足组织机构安全管理团队的需求。

  抛开斯诺登所作所为的正义性不谈,谁的组织机构、企业公司内,都不希望出现斯诺登式的人物,因为这类人物的出现往往不是在内部进行破坏,就是将收集到的数据信息出卖给企业的竞争对手或是不利于自己的第三方,如果传统的内部安全威胁防范方式越来越捉襟见肘,那么有什么样的新技术可以弥补甚至是取代传统的技术呢?

  用户行为分析:让大数据+算法告诉你真相

说明: Macintosh HD:Users:AngelaZhang:Desktop:pr传播报告:12.23:4.jpeg

  设想一下,如果我们能够将每一个用户的行为——他的业务流程、工作方式、日常习惯和权限权责等——都集中在一个完整的大数据平台集合中并加以分析,为用户建立执行的正常活动确立基线,也就是用户“日常行为的画像”,就能够迅速识别偏离正常行为的异常行为,以便安全分析员执行调查。

  这听起来像不像:小明每天放学后都要在家打游,今天到家后却很殷勤的又给妈妈端茶倒水,又帮爸爸拿拖鞋,还主动带着家里的小狗下楼遛弯,恩,这些反常的举动一定存在着什么蹊跷!比如说,小明是不是前几天的期中考试成绩不太理想?!

  是的,这就是用户行为分析(UBA)所做的事情。UBA的原理很像小明父母发现他的异常举动所必需的大脑思考过程:使用统计分析和机器学习技术,UBA使用统计分析和机器学习技术,实时分析并了解用户行为和模式,从而检测和评估企业中的高危用户行为。

  当然,笔者更相信小明的父母是因为对自己孩子了解至深。UBA也在帮助企业深入了解自己的内部系统,达到明察秋毫的目的。

  UBA可以主动寻找内部威胁和欺诈行为、检测高级的恶意软件活动、密切关注用户的行为行动,从而自动识别高危行为,并向安全分析员表明用户的风险状况。这一切不需要分析员花大量的时间来筛选大量的误报干扰警报,UBA可以有效地关联安全警报,并确定优先级。

  但就像我们的大脑有时候也会出现误判一样(比如说小明当天的殷勤举动,不过是想要买一本《哈利·波特》新的续集),聪明如UBA也会出现“误报”的情形:毕竟,一名授权用户试图在半夜访问企业组织的文件服务器是有多种可能的,这其中既有可能是一起登录信息被恶意利用的事件:攻击者企图将数据泄露到服务器外面,以窃取企业信息或知识产权,也有可能只是该用户当晚有维护工作,不得不凌晨时分还要继续工作。

  严格来说,UBA的“误报”分为两种情况:

  第一种,是在设定“基线”的时候出现的问题,导致“正常活动基线”并不能准确的衡量用户的异常情况,这是机器“误报”;

  第二种,是在将UBA所产生各种数值结果呈现给安全分析员、安全管理员时无法准确让后者理解并作出判断,导致的人工“误判”。

  针对UBA使用中的上述两类情况,HanSight瀚思为瀚思用户行为分析系统(HanSight UBA)进行了两项针对性的优化:

  首先,HanSight UBA不再简单的以个体的活动作为“基线”的设定标准(即横向的与个体自身的历史记录比较),更进一步加入了“以群为单位的多维度基线偏离(即与同部门、同业务的人的行为进行对比)”,进一步降低了误报的几率;

说明: Macintosh HD:Users:AngelaZhang:Desktop:瀚思微信:20161223:幻灯片11.gif

  HanSight瀚思以群为单位的多维度基线偏离降低误报

  其次,HanSight UBA已经内置37种检测场景,并可以通过独特的“仪表盘”功能,将机器学习和算法产生的各种数值结果翻译成用户能够理解的安全场景,从而让安全管理员或安全分析人员能够从最直观的信息展示中做出预判,减少因对数值结果理解的偏差而造成的误判。

  可以说,UBA的出现,是企业信息安全防范技术的一个突破,它不再将安全风险防范的目标仅仅聚焦在“如何定义‘黑’(即病毒木马DDoS攻击、非法入侵等)上”,转而将安全分析的对象瞄准“白”,也就是通过定义正常的日常操作与业务活动,设定企业安全无风险的“基线”,让所有的“黑”——特别是对企业威胁最大的内部安全隐患——直接曝光在“光天化日之下”,原形毕露。

  HanSight UBA是一项涉及数据整合、数据挖掘、关联、数据呈现及可视化和服务交付等多种技术的集成式解决方案,它的高效实现基于两点:

  第一,是否能够收集到足够的、有效的组织机构结构化信息和非结构化信息,形成服务于UBA的大数据集合;

  第二,是否有高效的算法,以此建立高效、准确的UBA分析引擎,这样才能在将含有业务上下文的合适数据接入引擎后,获得较为准确的基线和更为准确的报警。

  可以说,UBA是一项由“大数据+算法”告诉你真相的安全风险防范技术,但是UBA的算法可不仅仅是“编程”或是“计算方法”这么简单。

  UBA最终拼的是机器学习

  我们知道,UBA的思路就是“假定人群中是好人居多的,于是要从人群中找到大部分人做事的规律,再把不符合规律的坏人挑选出来”,这就意味着,你没法事先知道机器或用户的好坏,所以只能先假设他们是恶意的,你的网络和系统是缺乏抵抗力的,所以你时刻对每个人的行为进行监测和制作模型,从而找到恶意行为者。

  这也就意味着,对用户来说,合格的UBA解决方案是自动化、智能化的,极少需要人工参与,UBA的全流程——建立大数据集合,进行监测,放弃了人工干预的规则制定,建立安全防范的行为模式模型(基线)——需要的是具有自学习能力的“算法”,即机器学习。

  因此,UBA的技术核心就是使用无监督式的机器学习算法监测用户的行为模式,建立模型,进行监测,并作出判断和预报。

说明: Macintosh HD:Users:AngelaZhang:Desktop:瀚思微信:20161223:斯诺登:WechatIMG86.jpeg

  瀚思用户行为分析系统-HanSight UBA

  作为国内首家真正实现多维度用户行为分析的UBA产品,HanSight UBA集成了四大类算法集合及数十种算法,其中不仅有常见的聚类算法,更包括了数据拓扑分析、变分自编码器等无监督机器学习业界前沿的研究成果,再将其与内置的37种检测场景相结合,构建了一整套监督和非监督式的机器学习体系。这不仅让HanSight UBA有助于显示异常行为和身份识别频率,发现严重的内部威胁和针对性高级攻击,更使得异常分析在企业缺乏标注安全数据的情况下也能达到好的效果。

  除此以外,HanSight瀚思在HanSight UBA中引入了机器学习领域日益成熟的GPU技术,利用GPU优化的高速算法,在普通服务器上,进一步的提高了UBA异常检测的速度,“一分钟内就能完成大部分企业业务场景下的行为数据分析”。

  随着机器学习、GPU优化、场景检测等技术不断地丰富UBA的功能、提高和加速UBA的判断速度,UBA将在许多方面为企业提供巨大的价值:它提供了企业内部安全威胁的快速预判和极佳可见性,以便企业深入了解潜在的内部威胁,评估用户的正常活动与异常活动中的行为变化。可以说,UBA正在成为新一代以认知计算、人工智能为核心的信息安全防范体系的代表性产品。

  但对组织机构的安全管理员、分析员们来说,想要获得UBA所提供的巨大价值,仍然需要进行大量的工作,从前期的数据收集与接入,到密切关注基线建立期的用户行为,再到充分理解UBA所展现的威胁情报,以及日常UBA运行中的矫正与优化,这都需要安全团队投入100%的精力和努力。

  当然,为此付出再多的努力对安全团队和组织机构的运营者们来说也是值得的,毕竟,UBA相比传统的安全威胁防范技术已经是很大的进步,更何况,谁也不希望在自己的组织机构内部,给那些对敏感信息觊觎已久的黑手,哪怕是万分之一的机会。

芥末视频

最近更新
科普

科普图集
带着朋友和机器人上月亮散步

带着朋友和机器人上月亮散步>>详情

邮件订阅

软件信息化周刊
比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯,最新的软件技巧,最新的软件与服务业内动态来为IT用户找到软捷径。
商务办公周刊
比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中,与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊!
网络周刊
比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧,帮助网管答疑解惑,成为网管好帮手。
服务器周刊
比特服务器周刊作为比特网的重点频道之一,主要关注x86服务器,RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析,让您第一时间了解服务器行业的趋势。
存储周刊
比特存储周刊长期以来,为读者提供企业存储领域高质量的原创内容,及时、全面的资讯、技术、方案以及案例文章,力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。
安全周刊
比特安全周刊通过专业的信息安全内容建设,为企业级用户打造最具商业价值的信息沟通平台,并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比,比特安全周刊运作模式更加独立,对信息安全界的动态新闻更新更快。
新闻中心热点推荐
新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事,为企业级用户打造重点突出,可读性强,商业价值高的信息共享平台;同时为互联网、IT业界及通信厂商提供一条精准快捷,渗透力强,覆盖面广的媒体传播途径。
云计算周刊
比特云计算周刊关注云计算产业热点技术应用与趋势发展,全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。
CIO俱乐部周刊
比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托,汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台,并持续提供丰富的资讯和服务,探讨信息化建设,推动中国信息化发展引领CIO未来职业发展。
IT专家网
IT专家新闻邮件长期以来,以定向、分众、整合的商业模式,为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容,包括IT新闻、评论、专家答疑、技巧和白皮书。此外,IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。
X周刊
X周刊是一份IT人的技术娱乐周刊,给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍,同时用户还能参与我们推荐的互动游戏,给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。