“內鬼泄密”是一個令人頭疼的問題。特別是當今的信息時代,數據就是財產,信息就是價值。單位里“內鬼泄密”不僅會造成企業經濟損失、也會對企業形象和品牌以及關聯事項帶來無法預估的風險。這也反映出企業對內部人員異常的信息訪問行為缺乏有效的監管手段。傳統的安全設備更多的是防護外部的威脅攻擊,對內部人員異常行為缺乏識別手段,內部人員可以繞過安全防護機制直接接觸核心資產。萬物互聯時代又提供了更多方便的渠道進行數據外發,加大了“內鬼泄密”排查的難度。
舉個比較典型的項目需求案例,一家大型政府單位,核心應用部署在內部網絡與外部互聯網隔離,整體網絡環境也都遵循《等保2.0》的規范進行部署,所以整體上不太擔心遭遇外部攻擊事件導致數據被竊取。但是由于其核心應用數據的敏感性,用戶希望有一套完善的內部泄密的防護方案,將“內鬼泄密”的可能性及其影響降至最低。
經過與公司內多個產品線的技術溝通,還真找到了一款完美符合用戶需求的軟件——北信源UEBA系統。
北信源UEBA系統建設之初的目標就是內部人員行為監控,發現內部人員異常泄密行為,并提供追溯分析的手段。北信源UEBA系統基于幾十種信息泄漏場景全方面采集內部人員的日常行為信息,針對日常的行為數據進行特征提取和行為指標建模。基于構建的行為指標體系,對人員日常的行為進行刻畫。采用機器學習算法進行歷史基線、群體基線及分群分析,找出可疑信息泄露主體并提供追溯和下鉆分析的手段。
總體來說,北信源UEBA系統具有以下幾個特性:
分布式系統架構:系統采用分布式系統架構,將系統整體劃分為若干業務領域劃分模塊的、小的自治服務,每個服務都是自我包含的,并且實現了單一的業務功能。
分布式全文檢索引擎:引擎提供億級日志數據秒級檢索能力。引擎具備單機部署、多機部署兩種模式。當性能產出瓶頸時,可直接水平擴展。最高可擴展是PB級別、100多臺節點。
可視化組件庫:內置豐富的可視化組件,包括:餅圖、柱狀圖、折線圖、雷達圖、散點圖、熱力圖等。多類數據源,結合豐富的可視化組件,靈活組裝,多維度分析、展示各類數據主題。
綜合風險分析:采用分布式存儲系統對海量人員行為數據進行存儲,構建安全大數據倉庫,利用SPARK、FLINK等大數據分析技術結合孤立森林、SVM, K-Means聚類等機器學習算法進行各類行為分析,挖掘異常行為主體。
對象軌跡探索圖形化:以人或者設備為出發點分析并展示通過各類日志、基礎數據構建的安全知識圖譜。并以圖形方式進行展示。支持知識圖譜圖形的持續探索。
重點對象監控取證:靈活設定重點可疑對象的監控策略,即時下達,即時執行截屏、錄屏等取證操作。
結合以上手段和功能,威懾和預警了“內鬼泄密”的行為,企事業單位可以選用北信源UEBA系統,為用戶保駕護航!
