一家将EBA成功应用于专网安全的公司
作者:星期二, 二月 6, 20180

“专网”作为一个即传统又有着独特需求的安全业务领域,近年来发展迅速。

2016年10月,一家专注于专网安全产品研发和技术创新的公司,天懋信息,挂牌新三板。其业务方向为基于机器学习和大数据技术,对专网实体的网络行为进行安全分析,快速、精准地识别并定位威胁,以帮助客户提升信息和网络安全风险防范能力。为了了解专网安全问题的现状和发展,近期安全牛采访了天懋信息副总经理、技术中心总经理邹凯。

邹凯

一、国内专网安全问题现状

安全牛:你们强调的“专网”是如何定义的?

邹凯:我认为专网这个概念可以这样描述:专网是政府部门、企事业单位等实现内部组织管理、指挥调度、资源共享、协同办公、生产经营、数据传输信息化、网络化的专用网络平台。为了确保安全,通常与互联网物理隔离。比如:政府的政务办公网、公安的公安信息网、电网公司的电力调度网、金融行业的金融网等等。

安全牛:那与平常所说的内网有什么区别?

邹凯:通常说内网是为了跟外网(互联网)区分开,多指与第三方网络物理隔离的办公网络,一般为局域网(LAN),而专网的范围不仅包括办公网(内网),还包括数据网、工控网、物联网等。

安全牛:目前国内专网安全的处于何种情况?客户的需求是怎样的?

邹凯:普遍来说,企业对专网安全的人力、物力、财力等资源投入都十分不足,有些单位甚至都没有网络安全和信息安全专岗,大部分单位对安全防线的持续升级和维护上都明显力不从心,越到下级单位越是如此。

客户的关注点分为内和外两个方面。内主要体现在内部违规操作、安全隐患、病毒传播等;外主要体现在黑客入侵和数据窃取等。另外就像我刚才提到,目前客户对于专网安全投入比较少,所以他们要求部署产品后,无需追加额外投资,不增加管理和运维工作量,不需要实际触摸到设备(即不装agent等工具),不需要进行网络和应用改造等。

二、基于EBA的专网安全监测

安全牛:面对专网的当前现状,安全公司怎样才能较好的满足客户的需求?

邹凯:我们基于EBA(实体行为分析)来解决问题。而且只提实体行为分析,不提用户行为分析(UBA)或用户和实体行为分析(UEBA)。其原因在于,目前专网领域的一些基础设施,如:在线资产管控、设备入网控制、身份管理和集中认证、访问通道管理等等还没完成建设或还不完善,强行从IP地址角度将用户和实体两者关联起来做行为分析对客户来说投入产出比不高,不仅实现起来很复杂,而且因准确率不高、难查证、易抵赖等原因无法取得理想的效果,还会为安全管理和运维工作带来很大的工作量。

我们将UEBA这一理念结合中国专网安全情况和需求进行了调整,提出基于EBA对专网安全进行监测和管理这一思路。从专网发现在线设备和识别设备是什么开始,监测设备及设备部署的应用有无安全隐患,使用设备的人用这些设备在干什么,使用者访问专网有无异常、是正常访问还是入侵又或是病毒传播/APT攻击,访问者是否存在违规行为,专网有没有敏感数据被非法利用等等客户关注的安全问题,实现通过监测实体在专网内的行为可以分析出操控这个实体的用户的目的,从而识别异常行为及潜在威胁,对于客户来说更易用、更实用、更好用。

三、EBA在专网安全中的应用

安全牛:能谈EBA专网安全中的具体落地吗?

邹凯:我们将EBA应用于专网安全的思路,从数据获取方面用的是非侵入式获取方式,只要网络可达,我们就能采集到数据;数据分析用的是我们自己研发的网络数据智能分析引擎–TINDAE,它内置了300多个专网场景的分析模型,由它对用户行进目标性结果输出。

简单点来说,既能对全网实体进行分析,又不用在被分析实体或其访问的设备和应用上部署客户端软件,同时快速定位安全威胁,即时告警,并提供完整的数据取证,这十分契合目前专网客户的需求。

我们以数据智能分析引擎为核心,根据不同行业专网特点延伸出满足行业需求的产品,包括面向办公信息网络的专网安全雷达,针对公安信息网的网络违规行为监测分析系统、异常连接监测系统,以及针对视频网络的视频专网安全雷达产品等。

安全牛:您提及到产品在公安专网领域应用广泛,能具体介绍一下么?

邹凯:公安系统省市两级上百个单位部署了网络数据智能分析引擎(TINDAE)系列产品,我们主要帮助公安客户解决六个问题:

  • 一是有多少的问题,通过网络遥感技术识别在线节点的资产类型及其承载的应用和服务,帮助他们清查全网在线资产并及时发现不受控的资产;
  • 二是资产安全问题,如设备替换、恶意操控或下线、IP冒用等;
  • 三是有没有内部违规,例如违规访问信息系统和外联互联网、架设网中网等边界安全问题;
  • 四是分析网内攻击行为,如分析异常视频控制信令、APT攻击、僵木蠕传播、跨区域入侵等的行为特征;
  • 五是发现存在的安全隐患,如开放DHCP服务、使用弱口令、品牌类型、系统版本、应用/服务、开放端口(删掉)、FTP匿名登录等;
  • 六是定位难、取证难、易抵赖的问题,为公安客户快速、准确、有效的查处安全事件提供有力的数据取证。

安全牛评

一直以来,国内的网络安全公司就面临着如何将安全技术在客户侧更好的落地,如何为不同的行业领域、不同的业务场景提供行之有效的解决方案的挑战。应对挑战,首当其冲的是对客户业务的理解,而不是照搬和鼓吹国外先进技术。天懋信息提出的EBA,不失为结合业务特点将安全技术为用户更好的提供服务的成功探索。

分享:

相关文章

写一条评论

 

 

0条评论