“內(nèi)鬼泄密”是一個(gè)令人頭疼的問題�����。特別是當(dāng)今的信息時(shí)代�����,數(shù)據(jù)就是財(cái)產(chǎn)���,信息就是價(jià)值���。單位里“內(nèi)鬼泄密”不僅會造成企業(yè)經(jīng)濟(jì)損失����、也會對企業(yè)形象和品牌以及關(guān)聯(lián)事項(xiàng)帶來無法預(yù)估的風(fēng)險(xiǎn)���。這也反映出企業(yè)對內(nèi)部人員異常的信息訪問行為缺乏有效的監(jiān)管手段�����。傳統(tǒng)的安全設(shè)備更多的是防護(hù)外部的威脅攻擊����,對內(nèi)部人員異常行為缺乏識別手段�,內(nèi)部人員可以繞過安全防護(hù)機(jī)制直接接觸核心資產(chǎn)。萬物互聯(lián)時(shí)代又提供了更多方便的渠道進(jìn)行數(shù)據(jù)外發(fā)���,加大了“內(nèi)鬼泄密”排查的難度��。
舉個(gè)比較典型的項(xiàng)目需求案例�����,一家大型政府單位���,核心應(yīng)用部署在內(nèi)部網(wǎng)絡(luò)與外部互聯(lián)網(wǎng)隔離���,整體網(wǎng)絡(luò)環(huán)境也都遵循《等保2.0》的規(guī)范進(jìn)行部署�����,所以整體上不太擔(dān)心遭遇外部攻擊事件導(dǎo)致數(shù)據(jù)被竊取�。但是由于其核心應(yīng)用數(shù)據(jù)的敏感性,用戶希望有一套完善的內(nèi)部泄密的防護(hù)方案�����,將“內(nèi)鬼泄密”的可能性及其影響降至最低�。
經(jīng)過與公司內(nèi)多個(gè)產(chǎn)品線的技術(shù)溝通,還真找到了一款完美符合用戶需求的軟件——北信源UEBA系統(tǒng)���。
北信源UEBA系統(tǒng)建設(shè)之初的目標(biāo)就是內(nèi)部人員行為監(jiān)控���,發(fā)現(xiàn)內(nèi)部人員異常泄密行為,并提供追溯分析的手段��。北信源UEBA系統(tǒng)基于幾十種信息泄漏場景全方面采集內(nèi)部人員的日常行為信息���,針對日常的行為數(shù)據(jù)進(jìn)行特征提取和行為指標(biāo)建模����。基于構(gòu)建的行為指標(biāo)體系��,對人員日常的行為進(jìn)行刻畫�����。采用機(jī)器學(xué)習(xí)算法進(jìn)行歷史基線����、群體基線及分群分析,找出可疑信息泄露主體并提供追溯和下鉆分析的手段�。
總體來說,北信源UEBA系統(tǒng)具有以下幾個(gè)特性:
分布式系統(tǒng)架構(gòu):系統(tǒng)采用分布式系統(tǒng)架構(gòu)�����,將系統(tǒng)整體劃分為若干業(yè)務(wù)領(lǐng)域劃分模塊的���、小的自治服務(wù)�,每個(gè)服務(wù)都是自我包含的����,并且實(shí)現(xiàn)了單一的業(yè)務(wù)功能���。
分布式全文檢索引擎:引擎提供億級日志數(shù)據(jù)秒級檢索能力。引擎具備單機(jī)部署��、多機(jī)部署兩種模式��。當(dāng)性能產(chǎn)出瓶頸時(shí)����,可直接水平擴(kuò)展��。最高可擴(kuò)展是PB級別�、100多臺節(jié)點(diǎn)。
可視化組件庫:內(nèi)置豐富的可視化組件���,包括:餅圖���、柱狀圖、折線圖��、雷達(dá)圖�、散點(diǎn)圖����、熱力圖等��。多類數(shù)據(jù)源��,結(jié)合豐富的可視化組件����,靈活組裝,多維度分析��、展示各類數(shù)據(jù)主題�。
綜合風(fēng)險(xiǎn)分析:采用分布式存儲系統(tǒng)對海量人員行為數(shù)據(jù)進(jìn)行存儲,構(gòu)建安全大數(shù)據(jù)倉庫�����,利用SPARK����、FLINK等大數(shù)據(jù)分析技術(shù)結(jié)合孤立森林、SVM��, K-Means聚類等機(jī)器學(xué)習(xí)算法進(jìn)行各類行為分析,挖掘異常行為主體���。
對象軌跡探索圖形化:以人或者設(shè)備為出發(fā)點(diǎn)分析并展示通過各類日志�����、基礎(chǔ)數(shù)據(jù)構(gòu)建的安全知識圖譜���。并以圖形方式進(jìn)行展示。支持知識圖譜圖形的持續(xù)探索�����。
重點(diǎn)對象監(jiān)控取證:靈活設(shè)定重點(diǎn)可疑對象的監(jiān)控策略��,即時(shí)下達(dá)���,即時(shí)執(zhí)行截屏、錄屏等取證操作��。
結(jié)合以上手段和功能��,威懾和預(yù)警了“內(nèi)鬼泄密”的行為�,企事業(yè)單位可以選用北信源UEBA系統(tǒng),為用戶保駕護(hù)航!
