网络安全行为分析工具进入企业
作者: 日期:2016年12月09日 阅:4,077

行为分析工具是如今网络安全界最时髦的词之一,据安全分析专家称,至少有35家供应商在此领域争夺客户。

human_analytics-100584052-primary-idge

行为分析在网络安全领域是指通过软件工具探测网络中的数据传输模式是否偏离了基准。工作原理是分析工具探测到异常情况并对IT管理员告警,从而停止异常行为或者网络攻击。

企业通过行为分析发现那些逃过技术防范例如防火墙、反侵入系统与杀毒软件的入侵行为。这些传统工具利用指纹或签名分辨攻击的优先级,然而行为分析工具根据是否偏离正常行为的基准来实现对异常情况的告警。国家安全机关就是利用行为分析去发现其私有云系统威胁的使用者之一。

行为分析工具市场在2015年达到高点,但 451 Research 的分析师 Eric Ogren 在报告中认为,它仍然十分“不成熟”。往往很难去证明行为分析概念对巩固安全的有效性,他同时提到,应该更多关注能够证明分析工具价值的案例。

当一些人对于行为分析的价值持怀疑态度时,一家面向大中小学及其他企业提供数字认证管理服务的公司Parchment从中窥见此种工具的价值。Parchment公司在8月通过供应商Darktrace部署了非常规行为分析工具“企业免疫系统”。“这个工具基于机器学习检测其网络内部出现的威胁,”Parchment的工程副总Bob Langan表示。

“我们希望能提高保护范围并补充防火墙的功能,”Langan解释为什么选择Darktrace的行为分析工具,在一个访谈中,他提到其他安全保护措施的问题是很难对最新的病毒与攻击保持与时俱进。

Darktrace工具中有一个可视化控制台,它可以由网络工程师获取个人电脑和移动设备的底层数据,实时查看数据包的流入流出。Langan说,“没有其他工具可以做到这些,尤其是在探测新情况和适应性方面。”

Langan还提到,“我能够重现一个安全事件,将它具体化,看到冲突事件的关键点并且从根源一步步修正,所以这真的很有帮助且节省时间。”

看上去似乎Darktrace工具会增加IT人员的工作量,实际上他们需要维护的安全日志数量反而减少了。

“IT同事几乎不用再去查看那些事件,只需要通过底层数据看看到底发生了什么,而不用再忍受那些繁杂的日志,”Langan说。“传统方法和工具,我认为无法与Darktrace目前提供的服务相提并论。它能每天实时更新,我再也不用担心在睡觉的时候被不明来源的攻击打扰了。它不仅仅掌握和了解我们公司的威胁,而且还能从世界范围学习。”

Parchment是一家私人企业,Langan未提供他们支付给Darktrace软硬件费用的具体数字。

Darktrace告知他们的大部分客户是按月支付工具与内含软件、硬件和威胁分析专家提供的威胁智能报告这些的费用。Darktrace方面未提供具体报价,但表示价格是由联网设备数量、流量与网络结构决定的。

451 Research的分析师Ogren表示,Darktrace的企业免疫系统是由不同的用户、设备和网络活动所组成的300个测量版本来探测攻击。它用了精确的数学模型对网络进行分组视图分析,帮助企业从可疑行为中辨别出那些可接受的新业务实践。Darktrace同时还提供了工业版产品。

Ogren告诉我们在行为分析领域的35+公司中,最大的有RSA、LogRhythm、Rapid7和Splunk。Niara和Vectra Networks则专注于网络流量数据与新行为模型的开发。

另外,Gartner最近评选出IBM、Hewlett Packard和Intel Security为信息安全及事件管理领域的领头羊,紧随其后的是Splunk和LogRhythm.

 

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章