对抗内部威胁的3个顶级工具

我们测试了三种产品，每一种都专注于内部威胁问题的不同方面。Fortscale在保护传统网络方面做得很出色。它的机器学习能力以及对访问和身份验证日志的关注，使它具有极高的准确率。基于云的内部威胁更难以检测，但Avanan独特地保护了云中的受信任内部威胁。PFU系统将内部威胁安全应用于其iNetSec系统的移动设备。(阅读全文。）下面是个人的评论：

Fortscale已接近完成，并准备去开箱。它被安装在网络作为一个单一的服务器，然后将其链接到已被使用的任何安全信息和事件管理（SIEM）系统上。有配置或编程由管理员来完成作为Fortscale使用机器学习和复杂的算法来发现异常或与内部威胁相关的危险行为没有规定。

一个简洁的特性是，某些用户可以被固定到登录醒目页面以进行额外的审查。这些被称为“关注用户”(follow Users)的人会被添加到仪表板最右边的一栏，如果有可用的信息，还会加上他们的照片、标题和网络群组。

将某人添加到下面的用户池中不需要设置标准。也许调查人员出于某种原因怀疑该员工，或者也许Fortscale的管理人员看到了一个账户的低水平异常。点击被关注用户组中的一个用户，会弹出Fortscale在一段时间内收集到的有关该用户的所有信息。

Fortscale的界面真正出色之处在于当你深入到警报时。在我们的测试中，该程序能够识别一个异常，即用户首先对Oracle数据库进行“所有记录”调用，然后打印超过350页。这可能是一名员工准备离开公司，并想带走他们的专有信息，使用非常低的技术手段捕获和窃取数据。但即使是这种低技术含量的方法也无法逃脱Fortscale敏锐而富有洞察力的眼光。

Avanan完全在云中运行，因此设置没有物理组件。它与包括亚马逊、谷歌和微软在内的所有最大的云服务提供商合作。测试云的设置过程只花了几分钟。许多云提供商保留关于用户和程序在云中的各种操作的数据长达一年或更长时间。阿瓦南可以利用这些数据，并立即开始工作，甚至可以识别几个月前发生的可疑内部威胁活动。

就其本身而言，Avanan是防范内部威胁的强大工具。然而，该产品的另一个优势在于，它提供了许多流行的安全程序的点击安装。Avanan不收取用户安装，云内的应用程序。用户只需要付出任何其他供应商的费用，以及他们现有的许可证，甚至可能覆盖云部署。在我们的测试过程中，我们安装了Check Point的，帕洛阿尔托和赛门铁克的软件进入我们的测试云。在任何情况下，我们得到了完整的云功能。

主要Avanan控制台基本上是像SIEM本身，虽然它在云中运行任何其他SIEM或安全程序的数据整合。它也有一个强大的影子IT功能，已安装在云中显示的应用程序，是谁在使用他们，他们在做什么。整个应用程序可以被拒绝，并移除了云计算，无论用户的数量，防止任何程序在成为内部威胁本身，或充当对于像禁止文件传输或数据共享车辆。

PFU系统，富士通公司，旨在管理通过与他们的iNetSec系统流动性产生的程序内部威胁的可能性增加。所述iNetSec智能搜索系统被部署为网络设备，它通常位于网络的LAN段，并通过移动用户使用的VLAN段之间。一旦部署，将iNetSec智能搜索发现的器具，分类和管理，以实施网络访问策略的所有移动设备。除了设备管理，它将绘制和可视化的装置，以防止滥用带宽和经营阻止高风险应用细分的所有应用流量。

虽然iNetSec大多与内部威胁而言，它也可以扫描内部网络流量检测基于行为的相关高级持续威胁（APT）的存在。这是能够做到这一切，没有任何移动设备上安装代理的需求。一旦我们的测试平台iNetSec去住，该设备扫描连接到网络的每一个移动设备。该设备能够找到的任何设备与MAC地址，包括路由器和VoIP电话。它这样做是为了监视通信通过网络网关以及可能是一个有源APT的指示的任何横向运动移动。

一旦每个设备被批准或拒绝，并建立一个策略来管理是要连接的新设备，iNetSec开始监视那些什么设备和用户都在做。主仪表板显示每个连接的设备和它的当前活动。管理员可以选择允许或禁止任何应用程序在网络上的使用。虽然这不会从移动设备，其中iNetSec在没有直接控制删除它们，这将防止它们被用来传输文件或进行互动与受保护网络。在案件管理员认为是极端的，某些程序或恶意软件的存在可能引发设备立即拒绝进行网络访问都在一起。