解决方案简介:处理内部威胁
检测和响应恶意的内部威胁
内部威胁最易发生,最难阻止。在所有威胁中,检测和管理内部威胁最具挑战性。 |
主要作用
• 为什么内部人员可以给几乎所 有企业带来重大风险
• 根据用户内容确定具有恶意的 内部人员,并及早发出警告
• 借助端到端管理,高效响应内部威胁 |
内部攻击的特点
与外部人员相比,内部人员有着得天独厚的优势,即访 问特权和大家的信任。内部人员利用这些优势,能绕过 企业的防护措施,接触到具有重要用途的资产,并可在 部署有监控设备的情况下执行恶意操作,所以现在市场 上迫切需要一种强大的事件检测解决方案。有一些员工 会随着时间的推移,成为恶意攻击者;有一些员工可能 本来就是其他组织安插进行间谍活动的恶意攻击者;还 有些员工无意中执行了一些破坏操作,将企业置于危险 境地。
内部人员的动机虽然有多种,但和权限有限的外部攻击 者相比,内部攻击者优势明显,更易进行恶意破坏。技 术高超的黑客很容易输出敏感数据信息、将文件复制到 MP3 播放器或将机密信息发给竞争对手。因此,任何 人都有可能成为恶意的内部攻击者,如心怀不满的系统 管理员可能破坏企业的关键系统,人力资源的实习生可 能将员工薪金信息出卖给猎头。内部人员可直接对企业 造成破坏,带来巨大损失,例如收入减少、客户流失、 失去股东的信任、声誉损毁、监管部门的罚款和法律费 用的增加等。面对如此巨大的威胁,企业需要一种自动 的解决方案来帮助检测和分析内部恶意攻击活动。
“借助 ArcSight,我们可轻松检测并阻止员 工从我们的财务系统中窃取客户记录机密 信息。”Global Bank
检测和分析内部威胁
检测内部攻击活动需先从收集大量的日志和事件开 始。防火墙、路由器和入侵检测系统虽然很重要,但 还不足以保护您的企业免受攻击。企业需要更为深邃 的眼光,应将具有重要用途的资产纳入监控范围,例 如电子邮件应用程序、数据库、操作系统、大型机、 访问控制解决方案、物理安全系统、身份和内容管理 产品等等。许多企业处理内部威胁都是从识别重要应 用程序、信息和设备开始的。一旦确定了上述重要目 标,并从这些源收集事件后,就可借助自动内部攻击 检测技术来处理这些事件了。
这些技术包括:
• 关联分析:标识已知类型的可疑行为和恶意行为
• 异常检测:识别背离常规和基准的行为
• 模式发现:发现貌似无关但具有可疑活动模式的事件
|
 |
ArcSight 内部威胁解决方案将 ArcSight ESM 系统转换为一个集早期预警和快速响应 于一身的内部威胁防御系统。
如果怀疑某一用户为内部攻击者,则可借助分析工 具进行确认。这些工具或使用实时数据,或使用取 证数据,对检测阶段的输出进行解读。处理重要事 件时,视觉分析、情景仪表板、调查渠道和其他集 成工具将帮助您确认内部攻击者。
用于防御外部攻击的传统安全架构不能对内部攻击 进行有效的识别。因此,企业需要部署灵活的威胁 级别提升系统,如果发现可疑行为的单个操作,例 如在下班时间访问数据中心或上载加密文件,则将 该用户的威胁级别提升。如果可疑行为继续,则该 用户的威胁级别将会不断被提升,直至触发响应。 事实上,业界调查显示,根据早期可疑行为的一些特 征, 40% 的内部威胁攻击可以在发生前被检测出来。
如果通过调查能确定用户有恶意行为,或分析人员 发现恶意行为,例如通过电子邮件向企业的竞争对 手发送客户记录或金融记录,则 ArcSight 将会采 取一系列的响应策略。
响应和管理内部威胁
所有的安全事件均需要进行端到端的管理,但内部威 胁具有特殊性,与内部人员息息相关。所以内部威胁 管理是一个极为敏感的话题,需要健全管理制度, 直接将内部威胁管理的相关策略和程序纳入到解决 方案中去。从案例管理、事件评注、威胁升级到报 告、审计、访问相关内部人员的信息,技术解决方 案必须满足企业处理程序的要求。这将确保无论涉及 到哪个内部人员,处理方式都是一致且高效的。这一 过程需要管理人员的支持,以及主要股东、人力资源、 法律部门、IT 和管理等各方面的参与。
虽然安全小组可以识别出内部威胁,但企业需要去执行相 应的管理措施。事实上,内部威胁管理的一个关键问题就 是隐私权问题,因此在处理内部威胁时,应采取间接的 方式来调查相关人员。在实际操作中,只有经过授权的 系统用户,例如 IT 安全管理人员或人力资源管理人员, 才能知道可疑内部人员的身份。
应依据内部威胁的不同性质,迅速采取相应的处理措施。 公司策略不同,响应方式也就不同,例如自动响应或人为 干涉。无论是哪些事件触发了响应,均可采取以下技术 措施进行处理:将恶意用户移至隔离网络,禁止他们访问 敏感资产,完全切断他们与网络的连接,禁用这些用户的 帐户,甚至阻止他们接近受控制的区域。
“因为内部人员带来的威胁,我们对风险的认识发生 了改变。ArcSight 提升了我们安全系统的检测和响应 能力,使我们能够抵御内部威胁,可确保内部攻击能 得到可靠一致的处理。” —— Regional Utility Company
ArcSight 解决方案
ArcSight 有诸多产品可以抵御内部威胁。我们有专门的 研发队伍,致力于开发应对内部威胁的解决方案。 ArcSight™ Insider Threat Package 就是其中之一,这 款产品可以作为 ArcSight™ ESM 的附加模块使用。
通过 ArcSight Insider Threat Package,可以对 ArcSight ESM 进行扩展,以满足企业的特定需求。 此解决方案包中包含的一些预定义的内部威胁内容例,能够:
• 识别可疑用户活动模式和异常
• 直观地跟踪用户活动并创建业务级的用户活动 报告
• 自动提升可疑和恶意个人的威胁级别
• 依据企业具体的管理策略进行响应
根据对可疑行为的早期预警,我们可以提前检测 到以下可以的内部威胁活动:
- 很少使用或已被终止的帐户活动
- 打印文件量过多,打印次数过多,打印关键字
- 向可疑目标发送信息
- 未经授权访问外围设备
- 绕过安全控制措施
- 企图篡改或删除系统日志
- 安装恶意软件
 ArcSight Insider Threat Package 提供集成的 案例管理功能,其中包括特定案例的协作处理、 事件评注、实时仪表板和报告等。借助这些功能, 您可以高效地对限制用户可访问的信息。
ArcSight Insider Threat Package 中还包含有 一个集成知识库,可以存储联系信息、策略、处 理程序以及其他对内部人员进行调查时非常有 用的信息。而且,从检测到响应的整个过程以及 事件的整体管理也在被审计范围之中。审计信息 可以报告形式提供,摘要列出调查时间表。
ArcSight Insider Threat Package 含有规则、报告、 仪表板等一系列工具,可帮助您迅速识别内部威胁。
关于 ArcSight
ArcSight 作为企业安全管理领域的领导者,为您提供 诸多解决方案,这些方案可作为任务控制中心,以实现 实时威胁管理、生成合规性报告和自动化网络响应。通 过全面收集、分析以及管理安全数据,ArcSight 解决 方案可对有关安全、内部威胁和合规性的信息进行集中 式管理,并降低信息风险。ArcSight 客户群包括全球 领先的企业以及政府机构和 MSSP 等。 |
| |
