摘要:每次公布重大數(shù)據(jù)泄露事件都有一個共同的特點(diǎn):直到發(fā)現(xiàn)時已為時已晚。2015年2月,美國人事管理辦公室(OPM)被黑客滲透并盜走2100萬聯(lián)邦工作人員的背景調(diào)查信息,在此事件發(fā)生之后仍然活躍了三個多月,相關(guān)安全人員才了解到這一點(diǎn)。事實(shí)上,這些事件有另一個共同點(diǎn),就是采取的預(yù)防性安全措施不夠,不足以阻止這些事件發(fā)生。
每次公布重大數(shù)據(jù)泄露事件都有一個共同的特點(diǎn):直到發(fā)現(xiàn)時已為時已晚。2015年2月,美國人事管理辦公室(OPM)被黑客滲透并盜走2100萬聯(lián)邦工作人員的背景調(diào)查信息,在此事件發(fā)生之后仍然活躍了三個多月,相關(guān)安全人員才了解到這一點(diǎn)。事實(shí)上,這些事件有另一個共同點(diǎn),就是采取的預(yù)防性安全措施不夠,不足以阻止這些事件發(fā)生。
預(yù)防一直是安全的重要組成部分。防火墻設(shè)在敏感的私人網(wǎng)絡(luò)的邊界,并試圖阻止每一個惡意文件的攻擊。而發(fā)生的美國人事管理辦公室(OPM)黑客事件和其他無數(shù)的攻擊事件證明,僅僅設(shè)置防火墻是遠(yuǎn)遠(yuǎn)不夠的。美國人事管理辦公室的2100多萬條記錄被泄露都是在第一時間發(fā)現(xiàn)之前。預(yù)防是網(wǎng)絡(luò)安全的重點(diǎn)舉措,但需要有更多的措施。當(dāng)人們進(jìn)入2016年,面對新的威脅時,檢測將成為企業(yè)的安全標(biāo)準(zhǔn)中與預(yù)防同樣重要的一個組成部分。像其他許多企業(yè)的其他部分一樣,改進(jìn)網(wǎng)絡(luò)安全和消除災(zāi)害的方法是來自于大數(shù)據(jù)分析的形式。
預(yù)防是不夠的
如果網(wǎng)絡(luò)犯罪已經(jīng)停止攻擊,企業(yè)的安全性對于這種問題難以取得進(jìn)展。很多時候,安全團(tuán)隊和企業(yè)在受到攻擊后,第三方才會通知他們可能面臨的問題。而在數(shù)據(jù)移動的情況下,或有可疑的遠(yuǎn)程登錄時,很清楚什么是錯的。對于它們之間的相互關(guān)系,如果沒有一個清晰的畫面,這可能需要幾個星期甚至幾個月的問題進(jìn)行檢測,甚至更長的時間。
除此之外,企業(yè)的大多數(shù)解決方案在預(yù)防網(wǎng)絡(luò)犯罪方面越來越困難。安全威脅每天都在演變進(jìn)化,黑客在攻擊保護(hù)網(wǎng)絡(luò)的軟件和解決方案方面保持遙遙領(lǐng)先。哪怕病毒使得代碼進(jìn)行一些小的調(diào)整,或員工下載了一個被感染的附件,或發(fā)現(xiàn)網(wǎng)絡(luò)罪犯進(jìn)入網(wǎng)絡(luò)之后,安全人員都要花費(fèi)大量時間試圖阻止災(zāi)難發(fā)生,尤其是沒有任何問題的地方。
在監(jiān)視可疑行為時簡化檢測
用戶行為分析(UBA)解決方案能夠監(jiān)視所有的網(wǎng)絡(luò)活動,幫助安全團(tuán)隊確定問題所在,因為他們正在研究和分析問題,而不是采用半年的時間學(xué)習(xí)第三方法規(guī)文件和企業(yè)所提醒的發(fā)生過的問題。通過分析網(wǎng)絡(luò)上所有用戶,UBA工具制定一個明確的標(biāo)識。每當(dāng)一個帳戶偏離那些既定的規(guī)范,將其標(biāo)記為異常。企業(yè)目前采用了安全事故和事件管理(SIEM)系統(tǒng),可以記錄分析行為的數(shù)據(jù)。而以UBA工具為輔助,安全人員知道要尋找什么,他們可以及時發(fā)現(xiàn)問題,并解決這些問題之前,他們不會破壞任何數(shù)據(jù)。
人們可以網(wǎng)絡(luò)上學(xué)習(xí)UBA工具算法。當(dāng)他們收集和評估的詳細(xì)信息,他們成為一個全面安全協(xié)議的更有效的方法。這是越來越重要,因為攻擊者都在不斷更新和修改發(fā)展過程中,即使在他們已經(jīng)檢測到。設(shè)計的解決方案只是一個或幾個形式的異常行為,不一定能夠跟蹤入侵者。通過自動檢測和分析,團(tuán)隊能夠迅速作出反應(yīng),并側(cè)重于主要的問題。他們每天收到的警報都是低效的,而且通常不會停止攻擊。當(dāng)安全小組知道哪些警報是最危險的,這樣他們可以將所有的資源投入到解決最棘手的問題上。
企業(yè)投資的SIEM解決方案可以幫助IT團(tuán)隊和安全團(tuán)隊的工作更有效。工作UBA進(jìn)入方程可以讓SIEM更有用,利用數(shù)據(jù)庫可以更聰明,并避開敏感的持續(xù)攻擊。UBA提出的任何和所有可疑的用戶深刻的分析,通過網(wǎng)絡(luò)可以詳細(xì)了解他們的一舉一動,并采取措施,以解決更高的準(zhǔn)確性。而這項工作的大部分工作都是手工完成的,浪費(fèi)時間,并不可避免地導(dǎo)致不準(zhǔn)確。
推進(jìn)安全協(xié)議要具有較好的檢測能力,有效的解決方案迅速成為企業(yè)一個必要的競爭力。更重要的是,當(dāng)這些問題持續(xù)存在時,企業(yè)客戶就有可能將他們的業(yè)務(wù)轉(zhuǎn)到別的廠商。