隨著越來越多新類型的攻擊涌現(xiàn)，企業(yè)面臨的威脅日益增加，而網(wǎng)絡(luò)安全事件在數(shù)量和復(fù)雜程度方面也在成比例增加。

根據(jù)Ponemon研究所《2016年數(shù)據(jù)泄露成本研究》顯示，在2016年所有數(shù)據(jù)泄露事故中，48%是由惡意內(nèi)部人員(員工、承包商或其他第三方)造成。

傳統(tǒng)安全系統(tǒng)通常是通過單個(gè)時(shí)間點(diǎn)在所選位置搜索已知簽名或者漏洞利用來尋找攻擊者，而隨著攻擊者在不斷滲透和逃避企業(yè)防御，現(xiàn)在的數(shù)字企業(yè)需要的是通過行為分析實(shí)現(xiàn)快速檢測(cè)和響應(yīng)。

現(xiàn)在每個(gè)企業(yè)每天都會(huì)生成海量日志數(shù)據(jù)，涉及用戶行為、服務(wù)器活動(dòng)、應(yīng)用和網(wǎng)絡(luò)設(shè)備等。然而，企業(yè)卻無法從這些日志數(shù)據(jù)中獲得洞察力，安全團(tuán)隊(duì)面臨著從日志中挖掘有效數(shù)據(jù)的難題，以致他們無法更好地保護(hù)和管理數(shù)字企業(yè)的運(yùn)營。

用戶行為分析是安全技術(shù)的創(chuàng)新，它可幫助企業(yè)將安全和風(fēng)險(xiǎn)管理提升到新的水平。該技術(shù)讓企業(yè)可更容易地了解用戶以及資產(chǎn)行為模式，以發(fā)現(xiàn)惡意內(nèi)部人員或外部威脅，而不會(huì)中斷業(yè)務(wù)。

[[189944]]

為了在企業(yè)中引入和部署新技術(shù)，你必須了解其架構(gòu)，以及該技術(shù)在某些條件下在特定環(huán)境中如何運(yùn)作。用戶行為分析平臺(tái)由以下三個(gè)主要組件構(gòu)成：

• 數(shù)據(jù)整合：這是構(gòu)建用戶行為分析的基本要求。企業(yè)應(yīng)該能夠整合所需日志來源，包括來自安全信息和事件管理系統(tǒng)的結(jié)構(gòu)化或非結(jié)構(gòu)化信息示例日志、VPN網(wǎng)關(guān)、網(wǎng)絡(luò)流數(shù)據(jù)和應(yīng)用日志，以及來自CSV文件和syslogs的攝取日志。

• 數(shù)據(jù)分析：數(shù)據(jù)分析的主要目的是豐富和分析數(shù)據(jù)，利用分析算法來學(xué)習(xí)環(huán)境(例如服務(wù)器與用戶活動(dòng)，或者正常用戶與特權(quán)用戶)，并從中挖掘有效數(shù)據(jù)。此外，該組件旨在能夠分析用戶和系統(tǒng)行為，并區(qū)分正常和惡意活動(dòng)。

• 數(shù)據(jù)呈現(xiàn)&可視化：這是指以對(duì)企業(yè)和安全團(tuán)隊(duì)有用的方式呈現(xiàn)數(shù)據(jù)分析結(jié)果，讓用戶交互中的模式和趨勢(shì)顯而易見，并可深入到詳細(xì)的事件。

構(gòu)建用戶行為分析功能

在企業(yè)中構(gòu)建新功能的最佳方法是從小步驟開始，并根據(jù)正在發(fā)生的變化逐步部署更多步驟。這可讓利益相關(guān)者了解用戶行為分析技術(shù)及業(yè)務(wù)案例，以及它可為提升企業(yè)安全帶來的價(jià)值。

此外，用戶行為分析市場(chǎng)包含各種供應(yīng)商產(chǎn)品以及服務(wù)，可幫助查找個(gè)人，無論他們是惡意或無意的內(nèi)部人員或外部威脅。供應(yīng)商還可幫助檢測(cè)不同類型的攻擊實(shí)體(例如用戶、系統(tǒng)或IP地址)，并將其進(jìn)行區(qū)分。

對(duì)于用戶行為分析部署，企業(yè)應(yīng)該考慮幾個(gè)階段：

第一階段：企業(yè)應(yīng)識(shí)別和研究市面上可行的產(chǎn)品和服務(wù)，以及如何將用戶行為分析技術(shù)整合到現(xiàn)有安全產(chǎn)品類別。

他們應(yīng)該了解頂級(jí)供應(yīng)商是哪家;他們提供什么技術(shù)、功能或服務(wù);并根據(jù)各種問卷完成供應(yīng)商評(píng)估。這些問題應(yīng)該側(cè)重于許可模式、云計(jì)算與內(nèi)部部署模型對(duì)比、硬件設(shè)備與虛擬設(shè)備部署對(duì)比、可用的預(yù)配置報(bào)告與自定義功能以及其他因素。

在這個(gè)階段，企業(yè)會(huì)了解技術(shù)及其功能，以及供應(yīng)商的產(chǎn)品如何在企業(yè)中運(yùn)用以滿足企業(yè)獨(dú)特的安全要求，并與供應(yīng)商的產(chǎn)品路線圖保持一致。

在第一階段獲得較高水平的了解后，則可進(jìn)入第二階段，這個(gè)階段需要深入分析前5或6名的供應(yīng)商產(chǎn)品。