此列是在每周通讯可称之为最佳实践。请点击此处订阅。
安全系统中最薄弱的环节之一是最终用户凭证。它们经常被合法所有者滥用,并被恶意的行为人窃取。2014年威瑞森数据泄露调查报告显示,88%的内部入侵涉及滥用特权,82%的安全攻击涉及窃取用户证书。
外部攻击者可能使用一组偷来的凭证对网络进行初始渗透,在网络内部进行横向移动以获得对敏感数据或信息的访问,或者泄露数据以完成入侵。这种类型的活动很难检测到,因为凭证本身是合法的——它们只是被错误地使用了。
显然,因为凭据拿演员过去那些防御的推敲传统的边界安全不能赶上这种类型的活动。唯一有效的解决方案来检测内部攻击 - 男主角是否是像一个雇员或承包商或使用偷来的凭据别人一个真实内幕 - 是用户行为分析(UBA)。(Gartner的使用术语“用户和实体行为的分析”,以指示该行为可以属于一个设备以及用于人。)
UBA正变得越来越复杂,利用机器学习和大数据分析来精确识别网络上真正的恶意活动。此类解决方案的挑战是优化安全分析人员的时间使用,避免误报,并在活动被认为是恶意的时候为他们提供完整的上下文。
Fortscale已调升其在UBA空间游戏新版本,重点尤其是两个方面:减少误报,并提供对异常和指标深入的洞察力,以便安全分析师拥有一切在一个地方进行调查。
Fortscale的UBA解决方案分为四个阶段。第一个阶段涉及接收用户访问数据。Fortscale不需要在端点或其他专有数据收集器上部署代理,而是从跟踪用户访问的现有日志中摄取数据。数据可能来自SIEM或其他类似的系统。Fortscale专注于分析用户访问——何时、何地以及用户在一段时间内的访问方式——这些信息通常已经被收集并存储在日志中。所有的数据都直接进入预先配置的Hadoop数据库。Fortscale还从目录服务中获取上下文数据,以便了解用户是谁以及他们合法拥有哪些访问权限。
下一步是把所有这些用户/实体获取信息,并为每个用户创建一个基线资料。此配置文件看起来从多个维度,比如什么设备的人通常用来访问网络,什么是人的典型的工作时间都和他在那里使用VPN用户登录到网络。基线构建了历史数据,以便系统可以看到被认为是在一段持续时间正常行为。
第三阶段使用数据分析来检测异常行为。Fortscale通过几种方式做到这一点。一种方法是将用户当前的行为与其历史基线行为进行比较。例如,也许他第一次在凌晨2点从一个遥远的地方登录。这可能意味着此人正在旅行,睡不着觉,也可能意味着他的证件被偷了,有恶意的参与者正在使用这些证件。
Fortscale也是用户的活动,比较那些他的同龄人,而不是组织结构图上一定的同龄人,但人谁执行相同种类的职责和工作的活动。比方说,用户是印度代码开发者。Fortscale将他的访问活动,比较其他开发商在印度,也许对那些在其他地方也是如此。如果系统检测到该特定用户访问特定的服务器,并没有其他的开发人员可以访问相同的服务器,可以认为它是反常的。
Fortscale表示,该公司已经在分析能力上投入了大量精力,以确保系统能够识别哪些是恶意行为,哪些只是员工的不寻常行为,目的是清除误报。
所有这些比较的结果是一个风险评分对每个事件并为每个用户。这些成绩表明,可能需要进一步调查中最可疑的活动。而且该软件的最新版本已经开始Fortscale智能预警,它包起来通过优先级方式的仪表板中的异常事件成威胁的指标和警报,然后呈现出来。当安全分析师看起来在一个特定的警报,他的背景下,洞察力和对于为什么这种反常现象值得研究的结论。
例如,安全分析师可以深入警报,查看该警报中有多少指示器。这些指示器可以来自不同的数据源和不同的类型。一个动作就可以触发一个指示器。因为用户的基本行为是已知的,所以如果用户访问了一个他通常不访问的服务器,那么这个行为就是异常的,并且成为一个指示器。另一个指标可能显示用户在某一段时间内正在针对大量设备进行访问。另一个指示符可能是标记,它表明该用户是一个高特权帐户。机器学习决定了这些指标一起值得进一步研究。
对于每项指标Fortscale拉在一起,该系统还提供了事件的原始数据以及正常行为。一个有趣的例子是在目标设备警报。Fortscale指出一个特定的服务器是该用户的异常目标设备。系统显示,分析师图形什么正常的目标设备是该用户。因为他要去到不同的设备,他通常不会访问,系统将触发一个指标。Fortscale可以通过显示所有用户通常访问特定设备提供这一观点不同的角度,这有助于分析师了解该设备的作用和目的,并把它的来龙去脉与已经访问它的用户。
用户行为很难预测。这就是为什么在寻找可疑活动时确定的规则不工作。UBA是可用的工具来检测恶意内部人员活动的最佳类型的今天。