久久一级毛片高清在线观看_亚洲欧美偷拍综合图区_日本久久久久久中文字幕_国产精品人人爽人人爽AV_国产亚洲日韩一区二区三区

俗話說，明槍易躲，暗“賊”難防;外神好躲，內(nèi)鬼難防?？催^《無間道》或者玩過《三國殺》的應(yīng)該都清楚，他們時(shí)刻以非內(nèi)鬼身份去思考和與別人溝通，到關(guān)鍵時(shí)刻爆發(fā)，給予致命一擊。

網(wǎng)絡(luò)安全領(lǐng)域也是如此，一條黑色產(chǎn)業(yè)鏈正在無形的吞噬著這個(gè)時(shí)代，個(gè)人信息泄漏已經(jīng)在生活中埋下了一顆定時(shí)炸彈，并且“內(nèi)鬼”已經(jīng)讓這顆炸彈開始倒計(jì)時(shí)。

據(jù)公安部網(wǎng)站消息，自今年4月公安部部署全國公安機(jī)關(guān)開展打擊整治網(wǎng)絡(luò)侵犯公民個(gè)人信息犯罪專項(xiàng)行動(dòng)以來，截至目前，全國公安機(jī)關(guān)網(wǎng)絡(luò)安全保衛(wèi)部門累計(jì)查破刑事案件1200余起，抓獲犯罪嫌疑人3300余人，其中抓獲銀行、教育、電信、快遞、證券、電商網(wǎng)站等行業(yè)內(nèi)部人員270余人，網(wǎng)絡(luò)黑客90余人，繳獲信息290余億條，清理違法有害信息42萬余條，關(guān)停網(wǎng)站、欄目近900個(gè)，專項(xiàng)行動(dòng)取得明顯成效。

由此數(shù)據(jù)我們發(fā)現(xiàn)，信息泄露主要有兩個(gè)渠道：內(nèi)鬼加黑客，從這組數(shù)據(jù)看比例是270：90=3：1，也就是說信息泄露的75%為內(nèi)鬼所為。

“內(nèi)鬼”不除 個(gè)人信息安全難以保障

對數(shù)據(jù)比較敏感的同學(xué)不難發(fā)現(xiàn)，行業(yè)內(nèi)部人員監(jiān)守自盜的數(shù)字則要比黑客高出3倍，當(dāng)然我們也不排除黑客躲藏技術(shù)或許更高一籌的情況，不過可以確認(rèn)的是，“內(nèi)鬼”已經(jīng)成為現(xiàn)階段信息泄漏的主要途徑之一。“內(nèi)鬼”不除，個(gè)人信息安全就難以得到保障。

“內(nèi)鬼”因何如此猖獗?一方面是由于企業(yè)內(nèi)網(wǎng)的薄弱，我們發(fā)現(xiàn)很多企業(yè)內(nèi)網(wǎng)除了統(tǒng)一的整體安全保護(hù)體系例如防火墻、IDS、防病毒、數(shù)據(jù)庫審計(jì)、口令密碼等之外，基本沒有專門的技術(shù)智能化保護(hù)措施，針對這些核心資源進(jìn)行有效保護(hù);另一方面，即使企業(yè)會根據(jù)業(yè)務(wù)需求制定內(nèi)部安全策略，以權(quán)限的形式指派承擔(dān)相關(guān)職責(zé)的人員，但這并不能有效防范擁有合法權(quán)限的內(nèi)部用戶的異常行為，即合法用戶的異常行為。

因此基于內(nèi)部用戶的行為分析，能夠發(fā)現(xiàn)內(nèi)部人員的操作是否會對系統(tǒng)安全產(chǎn)生威脅，是解決內(nèi)部威脅預(yù)警、檢測并保證系統(tǒng)安全的重要技術(shù)手段。

基于內(nèi)部用戶的行為分析區(qū)別于基于特征的分析，后者雖然是一種立桿見影的手段，對于傳統(tǒng)的安全風(fēng)險(xiǎn)很有效，但時(shí)效性欠缺，并需要強(qiáng)大的相應(yīng)隊(duì)伍。而基于用戶行為的分析，是一種較為復(fù)雜的方式，通過數(shù)據(jù)統(tǒng)計(jì)的方式來尋找異常，但缺點(diǎn)是準(zhǔn)確度不確定，收集的數(shù)據(jù)越完善，準(zhǔn)確度越高。

如何做到準(zhǔn)確無誤的找到并抓獲這個(gè)“內(nèi)鬼”?就需要知道他訪問的目的地、所用端口、什么協(xié)議以及訪問了什么端口、IP等內(nèi)容，好在很多網(wǎng)絡(luò)安全設(shè)備廠商用標(biāo)準(zhǔn)數(shù)據(jù)交換方式很好的解決了這個(gè)問題。

以NetFlow標(biāo)準(zhǔn)為例，由于一個(gè)IP數(shù)據(jù)包的Flow至少定義了幾個(gè)關(guān)鍵元素：源IP地址、目的IP地址、源端口號、目的端口號、第三層協(xié)議的類型等，NetFlow可以利用分析IP數(shù)據(jù)包的幾種屬性，快速區(qū)分網(wǎng)絡(luò)中傳送的各種類型的業(yè)務(wù)數(shù)據(jù)流。

而瀚思則可以通過大數(shù)據(jù)安全平臺的采集器將日志和NetFlow統(tǒng)一收集，從而進(jìn)行關(guān)聯(lián)分析。

做好關(guān)聯(lián)分析 最終揪出“內(nèi)鬼”

但是，在做好關(guān)聯(lián)分析前還要弄清楚一件事情：日志、網(wǎng)絡(luò)流量、權(quán)量抓包的數(shù)據(jù)分析并不是新的課題，但為什么現(xiàn)在不奏效了?

這是由于在大數(shù)據(jù)時(shí)代，企業(yè)的這些數(shù)據(jù)量要以億為單位，而“內(nèi)鬼”的異常行為所產(chǎn)生的日志，只有幾條，在大數(shù)據(jù)技術(shù)和機(jī)器學(xué)習(xí)技術(shù)的能力不完善的情況下，要做到在這些數(shù)據(jù)中查找出幾條的異常數(shù)據(jù)，說成大海撈針也只是有過之而不及。

HanSight瀚思不擔(dān)心這個(gè)問題，相反，對于我們來說，數(shù)據(jù)量越大，數(shù)據(jù)源越多，對于分析的結(jié)果越精準(zhǔn)。

正如上文提到的，有了日志和數(shù)據(jù)流，HanSight UBA就可以如魚得水，其基于實(shí)際安全場景的多維度異常檢測功能，通過獨(dú)特的“儀表盤”功能將機(jī)器學(xué)習(xí)和算法產(chǎn)生的各種數(shù)值結(jié)果翻譯成用戶能夠理解的安全場景。

實(shí)測表明，在普通的服務(wù)器上，HanSight UBA利用GPU優(yōu)化的高速算法，一分鐘內(nèi)就能完成大部分企業(yè)業(yè)務(wù)場景下的行為數(shù)據(jù)分析，得益于HanSight瀚思特殊數(shù)據(jù)庫和算法，這要比用Spark實(shí)現(xiàn)快三四十倍。

HanSight UBA 產(chǎn)品界面

瀚思希望利用機(jī)器學(xué)習(xí)讓讓潛在的威脅浮出水面，更讓威脅發(fā)現(xiàn)速度和準(zhǔn)確率方面遠(yuǎn)快于傳統(tǒng)的網(wǎng)絡(luò)威脅發(fā)現(xiàn)解決方案。

落實(shí)到具體的分析規(guī)則，客戶可以與HanSight瀚思共同定制。就內(nèi)部威脅而言，分析被審計(jì)用戶當(dāng)前審計(jì)周期的行為和行為的相似性，同時(shí)針對具有異常行為的用戶通過敏感活動(dòng)屏蔽方法分析具體的異?；顒?dòng)，并通過更新敏感活動(dòng)權(quán)重以建立一個(gè)動(dòng)態(tài)更新的異常行為檢測模型。最終從不同維度，按系統(tǒng)預(yù)設(shè)的不同模塊生成分析結(jié)果，以圖表來展現(xiàn)局內(nèi)整體的安全態(tài)勢。

其實(shí)針對企業(yè)中的“內(nèi)鬼”，堡壘機(jī)技術(shù)是一個(gè)很好課題，它綜合了運(yùn)維管理和安全的融合，切斷了終端計(jì)算機(jī)對網(wǎng)絡(luò)和服務(wù)器資源的直接訪問，繼而采用協(xié)議代理的方式，接管了終端計(jì)算機(jī)對網(wǎng)絡(luò)和服務(wù)器的訪問。如果“內(nèi)鬼”想繞過堡壘機(jī)也并無可能，但這一些都不會逃過大數(shù)據(jù)安全分析平臺的眼睛，通過收集的服務(wù)器日志進(jìn)行關(guān)聯(lián)分析，就該可以發(fā)現(xiàn)該用戶是否通過堡壘機(jī)登陸。

特洛伊木馬攻破固若金湯的特洛伊的道理，我們耳熟能詳，最堅(jiān)固的堡壘，往往都是從內(nèi)部攻破的，信息安全也同樣如此。

多年前，在攻防之間總有著“道高一尺魔高一丈”的說法，因?yàn)槲覀儼l(fā)現(xiàn)攻擊者總是在暗，防守者卻在明，演變到今天，已經(jīng)不再是明暗，信息安全領(lǐng)域開始上演“無間道”大戲，而大數(shù)據(jù)安全分析平臺不僅可以讓黑客的攻擊暴露在運(yùn)維人員的眼前，也必然可以讓內(nèi)鬼的每一次行動(dòng)在該平臺下無所遁形。