行为分析是企业网络安全领域最近的热门词汇之一,据安全分析师称,有超过35家供应商在争夺客户。
网络安全中的行为分析大致定义为使用软件工具检测网络中异常的数据传输模式。该理论是,分析工具将检测异常,并警告IT经理,谁将阻止异常行为或网络攻击。
企业使用行为分析技术来检测绕过防火墙、入侵防御系统和杀毒软件等防范技术的入侵行为。这些常规工具匹配以前攻击中识别的指纹或签名,而行为分析工具研究和报告异常,并根据正常行为的基线进行判断。美国国家安全局(National Security Agency,简称nsa)是行为分析的用户之一检测对其私有云系统的威胁.
根据451 Research分析师埃里克·奥格伦的一份报告,行为分析工具市场在2015年获得了发展,但仍“不成熟”。他指出,有时很难证明这个概念在支持安全方面的有效性,并呼吁对概念案例研究进行更集中的证明,以证明这些工具的价值。
虽然有些人对行为分析的价值持怀疑态度,但有一家公司已经看到了真正的价值。羊皮纸今年8月,数以千计的学校、大学和其他企业使用了数字证书管理服务。该公司部署了一种不同寻常的行为分析工具。来自供应商的企业免疫系统DarktraceParchment的工程副总裁鲍勃·兰根(Bob Langan)表示,该工具依赖机器学习来检测其网络内部出现的威胁。
“我们想加强我们的边界,补充防火墙正在做的事情,”兰根在描述为什么羊皮纸选择Darktrace时说。他在接受采访时说,其他安全措施的部分问题在于,很难100%掌握最新病毒或其他攻击的最新情况。
Darktrace内的工具是一个可视化工具控制台,允许网络技术人员深入到个人台式电脑或移动设备上观看实时数据包进出,兰甘过世说“没有做这个,尤其是它如何适应和让我们发现新的东西,”他补充道。
兰根说:“我可以重放一个安全事件,缩小范围,观察争议点,评估根本原因,并采取措施纠正它,这是很大的好处,也节省了时间。”
虽然看起来Darktrace工具会增加it员工的工作量,但它实际上减少了他们必须评估的安全日志的数量。
“我的人几乎不需要浏览事件日志。他们只是深入挖掘,不需要浏览数百万条日志就能知道到底发生了什么,”兰根说。“我认为,传统的方法和工具与Darktrace的做法相比显得苍白无力。它每天每时每刻都在更新,我也不再担心在我不知道来源的情况下睡觉时被击中。这不仅仅是了解我们公司面临的威胁,它还会走向全球。”
羊皮纸是私人所有的兰根不愿透露他的公司为Darktrace的硬件和软件花了多少钱。
Darktrace表示,他们的大多数客户都是按月付费订阅该工具的,其中包括由Darktrace威胁分析师准备的软件、硬件和威胁情报报告。具体的定价尚未公布,但Darktrace表示,价格是根据连接网络的设备数量、流量和网络配置而定的。
451 Research的分析师奥格伦说,Darktrace企业免疫系统由网络设备组成,使用300种不同的用户、设备和网络活动测量来检测攻击。Darktrace使用数学模型对网络视图进行分组分析,允许公司区分可接受的新业务行为和可疑活动。Darktrace也制作了该产品的工业版。
Ogren说,在参与行为分析的35家以上公司中,规模最大的公司是RSA,LogRhythm,Rapid7和Splunk.专注于网络流量数据开发行为模型的玩家包括Niara和威达网络, Ogren说。
另外,Gartner最近排名(需要注册)IBM、惠普企业和英特尔安全与Splunk和LogRhythm一起成为安全信息和事件管理市场的领导者。
这篇题为“网络安全行为分析工具进入企业”的文章最初发表于《计算机世界》 .