“內(nèi)鬼泄密”是一個(gè)令人頭疼的問(wèn)題。特別是當(dāng)今的信息時(shí)代,數(shù)據(jù)就是財(cái)產(chǎn),信息就是價(jià)值��。單位里“內(nèi)鬼泄密”不僅會(huì)造成企業(yè)經(jīng)濟(jì)損失�����、也會(huì)對(duì)企業(yè)形象和品牌以及關(guān)聯(lián)事項(xiàng)帶來(lái)無(wú)法預(yù)估的風(fēng)險(xiǎn)�。這也反映出企業(yè)對(duì)內(nèi)部人員異常的信息訪問(wèn)行為缺乏有效的監(jiān)管手段�����。傳統(tǒng)的安全設(shè)備更多的是防護(hù)外部的威脅攻擊���,對(duì)內(nèi)部人員異常行為缺乏識(shí)別手段�,內(nèi)部人員可以繞過(guò)安全防護(hù)機(jī)制直接接觸核心資產(chǎn)���。萬(wàn)物互聯(lián)時(shí)代又提供了更多方便的渠道進(jìn)行數(shù)據(jù)外發(fā),加大了“內(nèi)鬼泄密”排查的難度����。
舉個(gè)比較典型的項(xiàng)目需求案例,一家大型政府單位�,核心應(yīng)用部署在內(nèi)部網(wǎng)絡(luò)與外部互聯(lián)網(wǎng)隔離,整體網(wǎng)絡(luò)環(huán)境也都遵循《等保2.0》的規(guī)范進(jìn)行部署��,所以整體上不太擔(dān)心遭遇外部攻擊事件導(dǎo)致數(shù)據(jù)被竊取���。但是由于其核心應(yīng)用數(shù)據(jù)的敏感性��,用戶希望有一套完善的內(nèi)部泄密的防護(hù)方案���,將“內(nèi)鬼泄密”的可能性及其影響降至最低�。
經(jīng)過(guò)與公司內(nèi)多個(gè)產(chǎn)品線的技術(shù)溝通�,還真找到了一款完美符合用戶需求的軟件——北信源UEBA系統(tǒng)。
北信源UEBA系統(tǒng)建設(shè)之初的目標(biāo)就是內(nèi)部人員行為監(jiān)控�,發(fā)現(xiàn)內(nèi)部人員異常泄密行為,并提供追溯分析的手段���。北信源UEBA系統(tǒng)基于幾十種信息泄漏場(chǎng)景全方面采集內(nèi)部人員的日常行為信息���,針對(duì)日常的行為數(shù)據(jù)進(jìn)行特征提取和行為指標(biāo)建模?���;跇?gòu)建的行為指標(biāo)體系,對(duì)人員日常的行為進(jìn)行刻畫(huà)��。采用機(jī)器學(xué)習(xí)算法進(jìn)行歷史基線��、群體基線及分群分析,找出可疑信息泄露主體并提供追溯和下鉆分析的手段���。
總體來(lái)說(shuō)�,北信源UEBA系統(tǒng)具有以下幾個(gè)特性:
分布式系統(tǒng)架構(gòu):系統(tǒng)采用分布式系統(tǒng)架構(gòu)�,將系統(tǒng)整體劃分為若干業(yè)務(wù)領(lǐng)域劃分模塊的、小的自治服務(wù)�,每個(gè)服務(wù)都是自我包含的,并且實(shí)現(xiàn)了單一的業(yè)務(wù)功能���。
分布式全文檢索引擎:引擎提供億級(jí)日志數(shù)據(jù)秒級(jí)檢索能力��。引擎具備單機(jī)部署����、多機(jī)部署兩種模式�����。當(dāng)性能產(chǎn)出瓶頸時(shí)����,可直接水平擴(kuò)展��。最高可擴(kuò)展是PB級(jí)別、100多臺(tái)節(jié)點(diǎn)�。
可視化組件庫(kù):內(nèi)置豐富的可視化組件,包括:餅圖�����、柱狀圖�、折線圖、雷達(dá)圖����、散點(diǎn)圖、熱力圖等��。多類數(shù)據(jù)源�����,結(jié)合豐富的可視化組件�����,靈活組裝�����,多維度分析、展示各類數(shù)據(jù)主題���。
綜合風(fēng)險(xiǎn)分析:采用分布式存儲(chǔ)系統(tǒng)對(duì)海量人員行為數(shù)據(jù)進(jìn)行存儲(chǔ)���,構(gòu)建安全大數(shù)據(jù)倉(cāng)庫(kù),利用SPARK��、FLINK等大數(shù)據(jù)分析技術(shù)結(jié)合孤立森林�����、SVM��, K-Means聚類等機(jī)器學(xué)習(xí)算法進(jìn)行各類行為分析����,挖掘異常行為主體。
對(duì)象軌跡探索圖形化:以人或者設(shè)備為出發(fā)點(diǎn)分析并展示通過(guò)各類日志�����、基礎(chǔ)數(shù)據(jù)構(gòu)建的安全知識(shí)圖譜��。并以圖形方式進(jìn)行展示�����。支持知識(shí)圖譜圖形的持續(xù)探索��。
重點(diǎn)對(duì)象監(jiān)控取證:靈活設(shè)定重點(diǎn)可疑對(duì)象的監(jiān)控策略����,即時(shí)下達(dá),即時(shí)執(zhí)行截屏��、錄屏等取證操作����。
結(jié)合以上手段和功能,威懾和預(yù)警了“內(nèi)鬼泄密”的行為����,企事業(yè)單位可以選用北信源UEBA系統(tǒng),為用戶保駕護(hù)航�����!
