技术先进使得更容易检测隐蔽异常终端用户行为,如端点设备安装异常应用或可疑偏离基线活动圆桌讨论研究方法构建监控上下文 企业内幕威胁保护努力- 包括处理特权用户和正规雇员
有个足球雷竞技app主持人:JohnDix网络世界主编
参加者:
Eric Ogren分析师Ogren集团
FerisRifaiBay动态CEO
Ken Ammon首席战略官Xedium
先定义内幕威胁问题有多大?
AMMON:长久以来, 草棚/软门方法处理安全问题, 内部没有真正的政策执行, 而且你已经看到长矛打字和证书窃取方法 产生访问内部基础 几乎没有能力防止特权升级第三方存取和云计算, 它真的拓展了内幕威胁的风险平面, 结果我们看到核心问题引起兴趣爆炸
思考内幕者时我想特权用户和入侵者假冒特权用户并不是攻击频率 而是一旦获得特权访问后能获取的广度大故障来自特权用户
RIFAI:内幕身份证书今天肯定比以往任何时候更高风险员工优先获取信息,甚至是承包商和提供商访问,如今成为网络罪犯的首要目标看目标大多数人都同意这涉及到内幕证书被盗或利用
有个足球雷竞技app++网络世界最大内幕威胁Sys管理员变流氓+
内幕威胁有随时间变化吗? 还是仅仅因为我们有新工具揭露它而更加关注?
AMMON:我认为接入点-移动工具BYOD互连企业-大大放大威胁并引导精密单元演化
旧时所有事都得进楼里 周界工作雷竞技电脑网站现今不多 — — 移动托管应用外包管理中心或数据中心,这些中心甚至可能不以自己的假设为依托。通信通道绕过传统安全系统比较容易
组织是否转移足够资源应对这些威胁
RIFAI:调查显示人们理解有问题,记住一旦外部攻击破坏网络周界,它便成为内幕员,所以你必须像对待外部安全一样严肃地看待内部安全。从定义上讲内幕者是一个人, 所以,你不仅要注意今天使用敏感数据的人, 还要注意他们使用数据的方式
需要解析以解内幕者行为复杂问题的方式整合数据, 并研究与规范有实际作用的偏差, 并调用并隔离数据上千或上百万次会话中 有时可以读取它并说 `这是一个威胁'需要解析层才能让你能见化到 成吨假阳性, 因为大多数大组织正与数以百万计事件抗争
守法要求是否足以消除威胁?
守法多年来一直是安全最好的朋友雷竞技电脑网站下方是它绝对抑制创新, 因为现在更难证明在这个移动和虚拟化数据中心的新世界中增量安全并用新方法解决问题因为很显然它今天不工作遍历各地的人们被攻破 给经济造成巨大损失
连顺从性都破解,对吗?
OGREN: Absolutely.公司正在尽其所能,他们有好人, 他们知道安全问题,他们是完全无助的,不是吗?在某些点上我们需要挖掘空间 寻找新事物 向前移动最先进守法性实际上减慢了点
永不混淆守法安全并在一定程度上连通人不一定等得上人
回到假正题上... 假设内幕人是人, 假正题会变得非常危险 因为你指向员工行业是否做了足够的限制假阳性 当它涉及到内幕威胁
多家公司都浸泡假阳性回归到基于分析的补救需求 帮助理解模式 适当分类事件 诊断事件原因 判断正确动作
AMMON:我认为你必须分离认证和授权通过VPN等遗留机制验证自己的思想 允许你移动再也不能容忍您应认证自身, 并仅提供您需要的具体访问权限 。更容易监控清除很多噪声 特别是特权用户
一旦你控制并监控访问, 你必须移位到内部执行水平 而不是邮箱分析所以想以更主动的方式执行策略 我想你想提供效率更高的工具我知道我们已经从日志数据化为主格式转而全面记录会话假设有人企图违章, 你可以重播屏幕上他们所做的事 并大大削弱拼接分片的任务
是否有组织前台使用所有最新工具正确操作
MMON:大约一个月前我曾参加面板会议, 并有一个COS非常透彻地介绍这个问题和他们所做的一切, 而在光谱的另一端,COS没有线索发现这个领域甚至有焦点技术可用所以我想你们有真正的山峰和山谷
我完全同意这一点有些客户的周界受控,网络受控, 但他们仍然有这种缺陷理解 他们的敏感信息正在发生, 而其他人知道 并做适当的投资 甚至驱动 很多需求现在不是多数, 但它肯定向着这个方向前进
AMMON:当我们找到新客户时,我们通常会看到他们试图把由现有安全投资构成的解决方案拼凑在一起难免学习建设维护是一项代价高昂的工作无法真正满足审计师 因为它分布性强 一开始从不真正工作多安全投放 完全按理做, 但不一定要扩展到 部分这些其他使用案例渐渐地认知到 现有方法可能永远无法让你实现 你需要新事物
我见过公司这样做,约翰类似金融行业, 需要能够监控用户行为并报告大都受大海技术驱动 — — 人带平板或手机绕过防火墙和所有其它事物 — — 旧外围模型早已消失。
说到新技术,云化如何使图片复杂化
AMMON:我认为对于你的风险平面如何通过虚拟化和云增加有不完全理解多购方并不知道问题多举个例子,如果你使用虚拟化平台, 你现在可以通过虚拟化平台访问每个主机, 并透过程序前门或平台本身
您必须保护这些新访问点, 您必须能够创建规则并控制并控制访问网络托管机提供云环境自服务管理服务, 并存管理API现在特权角色并不仅仅是个人,它们是程序-弹性计算,如果证书失密或控制不力,你可能会发生硬美元损失。万万例亚马逊误算后 你就会得到帐单高调关注这个问题 并需要不单从用户角度处理它 而且还处理应用编程接口
RIFAI:你可以想象恶意内幕者有可能利用云相关漏洞并窃取云系统信息,或有人使用云系统攻击雇主本地资源等并加增前所没有的接入点 并增加开发机会
消除内幕威胁的必要工具现在都可用吗?
问题以人为中心 问题多维性需要多科方法今日市场有顶尖解决方案 能够显示用户逐例案例 何为正常与异常 并大规模实现并肯定我们已经进步, 但它不一定是 高推荐物 所有公司一些人使用这些技术,但不是市场中每个人都知道
AMMON:我把挑战划分为两个不同的桶一是内幕威胁与标准用户相关,二是内幕威胁与特权用户相关发现问题大时 讨论定义标准用户的角色 并限制企业内访问目标化和定义特权用户容易得多,因为受众小
攻击需要两个步骤:获取访问权限,通常涉及标准用户,然后提升权利高阶权步骤 正在引起绝大多数问题 你正在读 关于现在。万一没有提升这些权利的能力 便无法存取服务账号分配恶意软件系统无法开始监听网络接口
无法破坏数据广度访问能力 特权用户今日技术问题可定义可解
下一前沿实为, “ 如何处理标准用户? ”, 难点在于识别规则与权利 并部署企业系统, 并计及遗留并进化云化平台 并强制实施
这么多安全投资一直专注于预防和阻塞并试图理解恶意软件,正在转向安全模型 更多关乎用户授权 数据存取和数据流更多的是,人们在做什么 和他们在做什么 东西,他们访问 和哪里资产公司去健康变换 安全模型开始恢复平衡外头有技术帮助公司
OK,有闭合思想吗?
安全公开讨论 最佳实践和产品攻击者会飞过组织事实上他们反正都这么做作为一个社区,我们应该提高安全性静默文化会错失良机-公开对话与对话可有效推广最佳实践因为我们不谈安全是企业不可分割的一部分, 我们失去了启蒙自我并说,'嘿,如果我们在这里改变几件事情, 就可以反射企业, 人人都出局'