企業如何構建用戶行為分析功能?
隨著越來越多新類型的攻擊涌現,企業面臨的威脅日益增加,而網絡安全事件在數量和復雜程度方面也在成比例增加。
根據Ponemon研究所《2016年數據泄露成本研究》顯示,在2016年所有數據泄露事故中,48%是由惡意內部人員(員工、承包商或其他第三方)造成。
傳統安全系統通常是通過單個時間點在所選位置搜索已知簽名或者漏洞利用來尋找攻擊者,而隨著攻擊者在不斷滲透和逃避企業防御,現在的數字企業需要的是通過行為分析實現快速檢測和響應。
現在每個企業每天都會生成海量日志數據,涉及用戶行為、服務器活動、應用和網絡設備等。然而,企業卻無法從這些日志數據中獲得洞察力,安全團隊面臨著從日志中挖掘有效數據的難題,以致他們無法更好地保護和管理數字企業的運營。
用戶行為分析是安全技術的創新,它可幫助企業將安全和風險管理提升到新的水平。該技術讓企業可更容易地了解用戶以及資產行為模式,以發現惡意內部人員或外部威脅,而不會中斷業務。
為了在企業中引入和部署新技術,你必須了解其架構,以及該技術在某些條件下在特定環境中如何運作。用戶行為分析平臺由以下三個主要組件構成:
- 數據整合:這是構建用戶行為分析的基本要求。企業應該能夠整合所需日志來源,包括來自安全信息和事件管理系統的結構化或非結構化信息示例日志、VPN網關、網絡流數據和應用日志,以及來自CSV文件和syslogs的攝取日志。
- 數據分析:數據分析的主要目的是豐富和分析數據,利用分析算法來學習環境(例如服務器與用戶活動,或者正常用戶與特權用戶),并從中挖掘有效數據。此外,該組件旨在能夠分析用戶和系統行為,并區分正常和惡意活動。
- 數據呈現&可視化:這是指以對企業和安全團隊有用的方式呈現數據分析結果,讓用戶交互中的模式和趨勢顯而易見,并可深入到詳細的事件。
構建用戶行為分析功能
在企業中構建新功能的最佳方法是從小步驟開始,并根據正在發生的變化逐步部署更多步驟。這可讓利益相關者了解用戶行為分析技術及業務案例,以及它可為提升企業安全帶來的價值。
此外,用戶行為分析市場包含各種供應商產品以及服務,可幫助查找個人,無論他們是惡意或無意的內部人員或外部威脅。供應商還可幫助檢測不同類型的攻擊實體(例如用戶、系統或IP地址),并將其進行區分。
對于用戶行為分析部署,企業應該考慮幾個階段:
第一階段:企業應識別和研究市面上可行的產品和服務,以及如何將用戶行為分析技術整合到現有安全產品類別。
他們應該了解頂級供應商是哪家;他們提供什么技術、功能或服務;并根據各種問卷完成供應商評估。這些問題應該側重于許可模式、云計算與內部部署模型對比、硬件設備與虛擬設備部署對比、可用的預配置報告與自定義功能以及其他因素。
在這個階段,企業會了解技術及其功能,以及供應商的產品如何在企業中運用以滿足企業獨特的安全要求,并與供應商的產品路線圖保持一致。
在第一階段獲得較高水平的了解后,則可進入第二階段,這個階段需要深入分析前5或6名的供應商產品。
