5G、物联网、云计算等新兴技术的快速发展，让终端用户可以通过互联网、App等更多渠道来访问企业数据。从本地到云端，从私有云到混合云，企业面临着业务复杂化、攻击常态化等问题。

因此，如何通过建立动态、智能的风险防御体系来保证业务的稳定运营已经成为组织面临的重要挑战。等保2.0提出在确保无弱口令和空口令的前提下，所有重要设备都需采用双因子认证方式登录，尤其针对核心业务应用系统，不能只采用基本的用户名/口令。通常的做法是使用令牌、智能卡、生物指纹、虹膜识别、人脸识别等高阶认证技术，并采用两种及以上身份鉴别方式提高可信度，但这一要求会降低用户操作的便捷性。

对大部分企业而言，运营效率和用户体验都很重要。因此，企业需要一种先进技术，能对不同安全级别要求的应用，提供一种对用户无感的行为风险感知方法，并通过与其他安全处置系统（如防火墙、反病毒、态势感知等）进行自动化的联动风险处置，比如发现风险时再自动化切换为双因素认证，最终实现安全与高效兼得。

基于规则的行为分析技术可便捷地与身份鉴别技术进行联动，但是该方法还需要来自数据层面的分析佐证，通过分析结果，实现对异常、恶意攻击行为的风险预警和处置。故为解决上述问题，帮助用户提供更多关于风险检测产品的参考，发布本期牛品推荐——深圳竹云科技股份有限公司：风险引擎产品。

标签

行为可视化、行为风险检测、动态访问控制

用户痛点

01 无法实现安全风控和用户体验的平衡

在传统身份验证中，用户输入的凭证正确后即可登录系统，但无法识别凭证是否是被本人使用。目前常见的增强认证手段为多因子认证，但该方案的缺点也较明显，需要用户通过多种方式登录验证，会导致用户体验下降，增加组织的运营成本。

02 无法事前识别风险行为

现有的认证方式无法识别是否有攻击者尝试登录他人账号、账号借用、幽灵账号活动等危险行为，需建立模型对异常行为特征进行分析。

03 日志记录分散，难以提取关键数据

很多企业对于用户行为、管理操作、防护日志的记录较为传统，仅以简单的查询为主，审计数据较为分散，安全审计人员很难提取关键数据。

04 集成局限性导致无法掌控全局信息

因部分应用架构、接口等问题，无法统一接入平台，导致企业无法统一管控所有应用的访问安全。

解决方案

针对用户痛点，竹云推出了风险引擎产品。风险引擎作为组织信息安全体系的策略大脑，能实时分析异常行为，并对此类行为进行预警，实现事前风险识别，并通过智能调度新的认证方式增强用户可信度、降低用户权限或者外发通知进行主动防御。

一、竹云风险引擎的联动模式：

风险引擎汇聚从IAM平台及相关平台获取用户行为数据、攻击威胁数据、威胁情报数据和控制台中的管理数据，进行用户行为特征分析和用户行为可视化，以不同形式的报告呈现给不同角色的用户查看，包括通过数字大屏展示数字化成果、将实时的风险数据汇总给安全团队用于监控和报告等。

对于终端用户，会收到风险引擎发送的实时异常行为通知，并要求其进行二次认证。当风险发生时，认证系统会发起基于风险的动态认证调度。

二、竹云风险引擎的核心能力：

实时、多维度的风险检测能力

从风险检测能力的角度看，风险引擎会提供几个维度的检测：

终端/网络风险：

在IAM和零信任的信任评估体系中，终端和网络作为很重要的评估因素，对用户身份账号以及用户访问的应用系统均会产生威胁。将风险引擎与第三方终端(如EDR)、网络(如APT、态势感知)安全产品配合使用，实时接收平台推送的终端和访问IP安全状态。当用户在一个非受控、有风险的终端或网络访问应用系统时，通过设备和访问IP安全状态作为判断因素，对不同敏感级别的应用，要求用户进行二次认证，或回收用户对高敏感应用的访问权限，以保障访问的安全性，预防横向渗透；

行为风险：

借鉴UEBA技术，通过专家规则及机器学习算法，对用户的行为特征进行建模，结合本人、群体的行为习惯相似度来综合判断用户的访问行为是否有攻击倾向等风险；

策略风险：

对于一些敏感资源和操作，访问者的行为习惯、设备、网络范围相对是比较固定的，比如一家企业的工作时间是朝九晚六，那么，就可将访问策略设定为针对某部门的用户，只允许在朝九晚六的时间段访问，超出范围都需要进行二次验证等。02

视图、多视角的数据表达能力

针对不同人群，风险引擎提供不同的报表展示形式，让不同层级用户能及时查看所关注的信息，提升管理层决策效率。

用户反馈

以IAM平台为核心，把好网络访问入口关，对信息系统、服务器、计算机终端的管理员账号、个人账号进行专项整改，保障信息系统运行安全，确保经营业务稳健运行。通过风险引擎，强化主动防御关，推进监测预警、应急处置等各项工作，化被动为主动防御，切实提升集团网络安全运营水平。

–来自某大型央企集团

通过基于风险的短信动态二次认证，有效地帮助集团解决了二次认证推广难的问题，并将二次认证作为企业常态化的防护手段，而不仅是在重保时使用。同时通过风险引擎的统一审计，以及多维度的可视化视图，让企业对信息资产的安全及IAM的整个运行情况一目了然，为企业的信息安全建设提供了数据指引。

–来自某大型医药集团

在建立用户画像进行用户异常认证行为检测的任务中，遇到最大挑战在于如何通过系统，自动标注及更新用户的行为特征，以确保用户的行为特征一直是有效、可信的同时，减少人工干预，提高标注效率。针对该挑战，风险引擎结合与IAM深度融合的优势，基于实时风险的二次认证作为自动标记的验证机制，以及行为特征生命周期自动管理策略及机制，实现了在较短时间窗口内对用户特征进行快速学习和应用的能力。

–来自某航空企业

安全牛评

风险是动态的，相应的防御也需要“动起来”。传统的身份安全相关产品多以黑白名单、访问控制列表等静态措施为基础，这种强控制降低了管理当中的灵活性。安全产品应尽量平衡用户体验和安全性。

竹云风险引擎产品，以动态、策略的方式完成对身份行为的审计，通过用户行为画像判断访问者是否为风险个体，让系统的开放性增加。该产品还可以与IAM、零信任等体系化产品进一步融合，为用户提供整体的方案。