当前位置:安全客 >> 内参详情

【RSA最前线】RSA2017:用行为分析的方法解决企业内部威胁

2017-02-17 17:33:43 来源:安全客 阅读:2641次

2月13日~17日,RSA Conference 2017在美国旧金山召开,来自全球的信息安全厂商、安全专家、爱好者们齐聚旧金山,共享了这为期一周时间的安全行业盛宴。近几年来,随着安全威胁的不断变化和升级,针对APT、0day、社会工程学等高级威胁的防御成为行业关注的焦点。而在RSA现场刚刚结束的一场演讲中,360企业安全集团高级副总裁袁沈钢表示,“除了这些外部高级威胁对企业的困扰,由内部员工造成的安全威胁更可怕,这种内部威胁所造成的损失更大,内部威胁已经成为企业安全所面临的严峻问题之一。”

http://p6.qhimg.com/t01fa2ed7736d275f63.png

360企业安全集团高级副总裁 袁沈钢

袁沈钢已经是连续15年参加了RSA大会,他介绍到,如果大家细心关注每一届的RSA大会,就会注意到侧重于外部威胁安全防护的厂商有数百家之多,但只有十几家厂商在关注内部威胁。而根据Forrester Research的调查显示,超过60%的安全威胁是内部造成的,这其中36%是因为内部人员的无意滥用,25%是因为内部的恶意人员造成的。

与外部威胁相比,企业内部的员工更容易通过他们的访问特权和工作便利对企业的信息系统造成威胁,并且内部员工的动机往往更加强烈。

但是目前,企业有的只是基于边界的解决方案,这都是针对外部威胁的防护而建立的,对于内部威胁来说却无法看清。就好比想要通过边界的安全网关上的日志,来找出发生在内部网络中的威胁一样,很难办到。企业内部网络就像是一个黑匣子,IT管理人员只能是猜测发生了什么。

http://p2.qhimg.com/t016dd3b7d6fb9503a0.png

边界安全产品缺乏来自内部服务和终端的数据,对于分析内部威胁是不够全面的。而且只包含IP地址、端口等网络层信息的数据也没有足够的意义来理解用户的行为。同时,来自不同设备或系统的数据又是相对孤立的,因此它同样不能告诉你发生在组织内部的一些故事。

如何才能解决发生在“黑匣子”内的安全威胁,袁沈钢介绍到,一方面我们仍然要重视和增强传统Web安全网关、下一代防火墙等边界安全产品的能力。另一方面,是要增加两个关键的内部数据探针,一个是终端软件,用以收集终端用户的行为,二是业务安全网关,该网关将能够收集来自各种内部系统、数据库、服务器的数据。这两个关键的数据探针可以帮助用户看清发生在企业内部的一切,从本质上来说是将企业内部的这个“黑匣子”变成了“水晶球”。

袁沈钢表示, 边界+内部这些所有的探针就像是人的身体,如果没有强大的大脑那就发挥不了太大的作用。在这两层探针的基础上,我们还有一个UEBA平台,它可以将来自边界安全网关、业务安全网关、终端软件的数据,更全面综合起来,并进行用户行为分析,通过用户ID、应用ID、内容ID以及设备ID在数据之间建立一个内聚关系,来看清企业内部正在发生的一切。

http://p5.qhimg.com/t012e891b9798d5c185.png

“边界安全网关、NGFW更多的是解决外部威胁,而业务安全网关SSG更关注内部威胁。”袁沈钢透露,这款全新的产品SSG将在今年3月份正式发布。


本文由 安全客 原创发布,如需转载请注明来源及本文地址。
本文地址:http://bobao.360.cn/news/detail/21.html

参与讨论,请先 | 注册 | 匿名评论
发布
用户评论
无任何评论