隨著越來越多新類型的攻擊涌現(xiàn)，企業(yè)面臨的威脅日益增加，而網(wǎng)絡安全事件在數(shù)量和復雜程度方面也在成比例增加。

根據(jù)Ponemon研究所《2016年數(shù)據(jù)泄露成本研究》顯示，在2016年所有數(shù)據(jù)泄露事故中，48%是由惡意內部人員（員工、承包商或其他第三方）造成。

傳統(tǒng)安全系統(tǒng)通常是通過單個時間點在所選位置搜索已知簽名或者漏洞利用來尋找攻擊者，而隨著攻擊者在不斷滲透和逃避企業(yè)防御，現(xiàn)在的數(shù)字企業(yè)需要的是通過行為分析實現(xiàn)快速檢測和響應。

現(xiàn)在每個企業(yè)每天都會生成海量日志數(shù)據(jù)，涉及用戶行為、服務器活動、應用和網(wǎng)絡設備等。然而，企業(yè)卻無法從這些日志數(shù)據(jù)中獲得洞察力，安全團隊面臨著從日志中挖掘有效數(shù)據(jù)的難題，以致他們無法更好地保護和管理數(shù)字企業(yè)的運營。

用戶行為分析是安全技術的創(chuàng)新，它可幫助企業(yè)將安全和風險管理提升到新的水平。該技術讓企業(yè)可更容易地了解用戶以及資產行為模式，以發(fā)現(xiàn)惡意內部人員或外部威脅，而不會中斷業(yè)務。

為了在企業(yè)中引入和部署新技術，你必須了解其架構，以及該技術在某些條件下在特定環(huán)境中如何運作。用戶行為分析平臺由以下三個主要組件構成：

數(shù)據(jù)整合：這是構建用戶行為分析的基本要求。企業(yè)應該能夠整合所需日志來源，包括來自安全信息和事件管理系統(tǒng)的結構化或非結構化信息示例日志、VPN網(wǎng)關、網(wǎng)絡流數(shù)據(jù)和應用日志，以及來自CSV文件和syslogs的攝取日志。

數(shù)據(jù)分析：數(shù)據(jù)分析的主要目的是豐富和分析數(shù)據(jù)，利用分析算法來學習環(huán)境（例如服務器與用戶活動，或者正常用戶與特權用戶），并從中挖掘有效數(shù)據(jù)。此外，該組件旨在能夠分析用戶和系統(tǒng)行為，并區(qū)分正常和惡意活動。

數(shù)據(jù)呈現(xiàn)&可視化：這是指以對企業(yè)和安全團隊有用的方式呈現(xiàn)數(shù)據(jù)分析結果，讓用戶交互中的模式和趨勢顯而易見，并可深入到詳細的事件。

構建用戶行為分析功能

在企業(yè)中構建新功能的最佳方法是從小步驟開始，并根據(jù)正在發(fā)生的變化逐步部署更多步驟。這可讓利益相關者了解用戶行為分析技術及業(yè)務案例，以及它可為提升企業(yè)安全帶來的價值。

此外，用戶行為分析市場包含各種供應商產品以及服務，可幫助查找個人，無論他們是惡意或無意的內部人員或外部威脅。供應商還可幫助檢測不同類型的攻擊實體（例如用戶、系統(tǒng)或IP地址），并將其進行區(qū)分。

對于用戶行為分析部署，企業(yè)應該考慮幾個階段：

第一階段：企業(yè)應識別和研究市面上可行的產品和服務，以及如何將用戶行為分析技術整合到現(xiàn)有安全產品類別。

他們應該了解頂級供應商是哪家；他們提供什么技術、功能或服務；并根據(jù)各種問卷完成供應商評估。這些問題應該側重于許可模式、云計算與內部部署模型對比、硬件設備與虛擬設備部署對比、可用的預配置報告與自定義功能以及其他因素。

在這個階段，企業(yè)會了解技術及其功能，以及供應商的產品如何在企業(yè)中運用以滿足企業(yè)獨特的安全要求，并與供應商的產品路線圖保持一致。

在第一階段獲得較高水平的了解后，則可進入第二階段，這個階段需要深入分析前5或6名的供應商產品。