网络安全行业正在经历一场巨变。历年来,网络安全预算都是由对外部威胁盗取企业核心资产的恐惧而驱动的。然后,根据麦肯锡的报告,在2017年有50%的数据泄露事件是由内部风险造成的。在其最新的报告中,Gartner指出2019年对内部威胁的兴趣和咨询都比2018年提高了两倍。天空卫士具有自主知识产权的新一代数据安全保护技术ITPInsider Threat Protection)应运而生。

数据安全项目是一个周期较长的过程,通常都是由一系列较为宽松的策略开始,逐步优化,满足各企业数据核心资产个性化的要求。如何能够减少误判但又不漏掉任何一次数据泄露事件一直都是一个亟待解决的问题。天空卫士ITP技术运用人工智能持续观察识别人在计算机环境中的行为,将传统的基于内容的数据防泄漏技术升级到基于行为的数据防泄漏技术。根据变化的内部用户风险值,动态调整相应的数据安全策略,一旦发现用户行为超出可信区间,即可触发报警或实施阻断等措施,大大降低了数据安全事件的误报率。目前,ITP内部威胁防护体系相关技术已广泛应用于运营商、航空、银行、物流等行业领域。

Gartner在“3 Ways to Stop Insider Threats”一文中提出了以下三种方式:

1.提高对员工监控和监督能力的投资

天空卫士UCS技术在对用户进行全方位数据安全保护的同时也能收集到用户各个维度的行为:

增强型Web安全网关(ASWG):全方位监控用户Web行为

增强型Email安全网关(ASEG):全方位监控用户邮件行为

数据安全终端(UCSC):全方位监控用户终端行为

移动接入网关(MAG):全方位监控移动终端行为

数据安全监测服务器(UCWI):全方位监控内部应用行为

全流量网络抓取(NCP):全流量监控用户所有网络行为

深度内容检测:监控用户基于数据的行为

 

以上全方位的用户行为日志会汇总ITP体系的大脑ITM(内部威胁管理服务器),运行机器学习及先进的统计学算法模块对内网每个用户进行风险评分,并将计算出的风险评分反馈给以上各网关设备,实现针对高风险用户的动态策略调整,达到以人为核心的数据安全保护。

2、天空卫士ITM系统通过对用户多维度行为分析,利用先进的统计学算法以及机器学习算法从以下几个方面对用户进行风险评分。

网络异常检测模块:利用先进的统计学算法对每个用户建立流量模型,多维度统计用户历史流量基线及群组用户基线,实时检测用户偏离基线的行为,并通过数据泄露的特征模型检测用户流量趋势,调整异常检测算法,精准计算出用户通过各个通道数据泄露的风险值

终端异常检测模块:实现上百种潜在异常风险行为检测点并通过关联分析和异常检测算法将异常风险行为映射到潜在的安全异常模型,降低单点异常造成的误报

专家系统:将安全专家多年的安全经验与机器学习算法结合起来,预置专家模型,将用户行为与数据安全风险模型以及木马风险模型关联起来,判断用户与安全风险模型场景的匹配度,精准刻画内部用户行为特征

3、回溯内部风险事件

天空卫士ITM系统利用深度学习技术,对已经发生的内部风险事件进行建模,实时学习风险行为特征,并在全网中检测与其行为相似的个体。此模型克服了基于规则的风险行为检测只能应对已知风险的局限,通过用户环境数据实时学习,可应对未知风险,同时也可检测出后期进行变种的攻击行为以及被感染还未触发数据窃取行为或攻击行为的个体。

ITP内部威胁防护体系相关技术已广泛应用于运营商、航空、银行、物流等领域企业,帮助企业检测内部风险,并对风险进行实时响应。以下是在天空卫士ITP体系在某运营商专业公司的案例分析。

Web上传异常检测

用户网络中部署ASWG产品获取用户上网行为并将用户访问日志发送到ITM服务器,经过对个人用户进行流量建模,ITM检测到某用户超出个人及群体基线的情况,ITM系统提升此用户风险等级,并将其风险等级下发给ASWG设备。


经过进一步分析,发现用户向百度网盘传送大量数据,并命中DLP策略。为了防止误判,此DLP策略设置的默认动作为审计。ASWG接收到此用户增加的风险值后,在没有人工干预的情况下自动地对其操作实施了阻断动作,在不影响绝大部分正常员工对百度网盘的访问的情况下有效降低了企业核心数据外泄带来的损失。

 

员工离职泄密风险

部署在用户网络里的ASWG检测到某用户频繁访问招聘网站的行为,通过深度内容检测发现用户有外发简历的行为,并且此用户在非工作时间外发数据量严重偏离了其个人历史基线以及群组历史基线,因此判定此用户有离职泄密风险,提高了其风险等级。后经查证,此用户在有了离职意愿后把一些自认为“属于自己”的企业活动策划方案同步到个人网盘。

 

感染木马风险

用户在网络镜像口部署了天空卫士全流量分析设备NCP,实时对网络中所有数据包进行监控和统计,并将统计结果发送给ITMITM发现用户网络中存在机器扫描445端口的行为,同时这台机器也在访问挖矿网站,这些特征使得用户网络中某一台主机匹配了专家系统中的挖矿木马模型。后经查证此机器感染WannaMine 4.0病毒。通过机器学习算法,管理员还发现了用户网络中存在访问DGA域名等其他安全的问题。

 

 

通过上述例子,我们可以看出天空卫士ITP体系能够从多维度的用户行为中挖掘出潜在的内部风险,并且动态的调整数据安全策略,对风险实时响应,在不降低用户数据安全保护等级的前提下大大减低误报率。基于行为的分析能动态区分用户的风险等级,结合基于深度内容解析的DLP技术,将用户核心资产的泄露事件扼杀在萌芽阶段。

作者简介

 

杜航,北京天空卫士网络安全技术有限公司合伙人、研发总监,北京邮电大学计算机应用技术硕士学位,曾任Websense研发经理,在网络安全研发领域拥有超过10年的经验,现主要研究内部威胁分析和云安全。