这本由供应商编写的技术入门读物由Network World编辑,以消除产品促销,但读者应该注意,它可能有个足球雷竞技app会支持提交者的方法。
日复一日,员工在上班时间从公司办公室使用合法凭证访问公司系统。保证系统安全。但是在午夜之后,突然使用相同的凭证连接到数据库服务器并运行该用户以前从未执行过的查询。系统还安全吗?
也许是。毕竟,数据库管理员必须进行维护,而且维护通常是在下班后进行的。可能是某些维护操作需要执行新的查询。但也许不是。用户的凭证可能已经被泄露,并被用来进行数据泄露。
对于传统的安全控制,没有明确的答案。静态的周界防御已经不再适合当今世界,数据泄露越来越多地是通过窃取用户凭证进行的。而且,对于那些滥用特权的恶意内部人士,它们从来没有多大用处。今天的BYOD环境也会留下一个静态的边界,因为新的规则必须不断增加外部访问。
一种名为“用户行为分析”(User Behavior Analytics, UBA)的新方法可以利用大数据和机器学习算法来评估用户活动的风险,近乎实时地消除这种猜测。UBA使用建模来建立正常行为。
该建模包含以下信息:来自HR应用程序或目录的用户角色和标题,包括访问、帐户和权限;从网络基础设施收集的活动和地理位置数据;来自深度安全解决方案防御的警报,等等。这些数据是基于过去和正在进行的活动进行关联和分析的。
这种分析将考虑事务类型、所使用的资源、会话持续时间、连接性和典型的对等组行为。UBA确定什么是正常行为,什么是异常或异常活动。如果一个人的异常行为(如午夜数据库查询)被发现被其他同侪分享,就不再被认为是中度或高风险。
接下来,UBA进行风险建模。反常行为不会自动被认为是一种风险。首先必须根据其潜在影响进行评估。如果明显异常的活动涉及不敏感的资源,如会议室调度信息,则潜在影响较小。然而,试图访问敏感文件,如知识产权,具有较高的影响评分。
因此,特定交易对系统构成的风险使用公式:风险=可能性x影响。
可能性是指用户行为异常的概率。它由行为建模算法决定。
与此同时,影响是基于访问信息的分类和重要性,以及对这些数据的控制。
然后可以将交易及其计算的风险与进行交易的用户关联起来,以确定风险级别。用户风险的计算通常包括其他因素,如资产分类、权限、潜在漏洞、策略等。这些因素的任何增加都会增加该用户的风险评分。
自定义权重值可以用于这些计算中的所有因素,以自动调优整个模型。
最后,UBA收集、关联和分析数百个属性,包括情景信息和第三方威胁信息。其结果是一个丰富的、上下文感知的pb级数据集。
UBA的机器学习算法不仅可以剔除假阳性并提供可操作的风险情报,还可以根据收集的信息修改规范、预测和总体风险评分流程。
信息分类的变化以及操作上的变化(例如新的部门、新的工作代码或新的地点)都会自动合并到系统的数据集中。例如,如果临时授予IT管理员更高级别的系统访问权限,那么他们的风险评分将在这段时间内更改。UBA还可以以自动化的方式确定哪些自定义加权值在减少误报方面具有最大的操作意义。
由此产生的智能可以离线挖掘,以深入了解企业的安全状况,通常会发现未被怀疑的漏洞,例如提供了比用户更多的用户组、未使用的凭证的存在,或者用户拥有的访问权限明显多于或少于他们应该拥有的权限。
不太明显的恶意行为,如蓄意破坏、窃取企业的商业秘密,或长期的活动,如财务欺诈,也会产生UBA系统可以检测到的异常行为模式。
最后,如果发现一个用户构成了严重的风险,系统可以做出相应的反应,从阻止进一步访问到实施基于风险的自适应身份验证,这将挑战他们的第二种身份验证形式。用户登录后的活动也可能受到限制。
UBA正在改变安全和欺诈管理,因为它使企业能够检测合法用户帐户/身份何时已被外部攻击者破坏或被内部人员滥用为恶意目的。
Gurucul是基于身份的威胁威慑技术的供应商。作者是公认的信息安全、身份与访问管理、安全风险管理方面的专家。在创立Gurucul之前,Saryu是Vaau的创始团队成员,这是一家企业角色管理初创企业,被Sun Microsystems收购。她曾在Oracle和Sun Microsystems担任安全产品的产品战略领导职务,并在Ernst & Young的IT安全实践部门担任了几年的高级职务。