安全成DX阻碍
大数据分析已经成为安全的核心支撑
报告指出,应用场景、数据源、分析方法和分析工具,是大数据安全分析体系的关键支撑。主流的分析工具包括,SIEM、NTA和UEBA。
HanSight统一安全分析平台
- 下一代SIEM平台
通过大数据架构、多种分析方法、精简的安全事件管理流程,帮助安全团队精确检测企业网安全威胁并进行优先级排序,指导安全团队迅速响应,加速威胁处置的进程,降低事件影响。
- UBA高级分析模块
通过机器学习和行为分析技术分析,关联用户、实体、应用和数据间的互动,检测内部威胁、数据渗漏、欺诈等复杂应用场景。预设的事件时间轴可标记异常行为事件、展示全局细节,实现快速的威胁调查。
- NTA网络流量分析和调查取证模块
监控所有端口并解析50多种应用协议,实现对网络行为的全面可视化。该平台由深度学习引擎驱动,能够识别恶意的网络流量,检测高级威胁。取证组件则能抓取HTTP 会话和原始的PCAP(过程特性分析软件包)。
典型案例
1)通过HQL/PowerBI发现WannaCry的线索,搜索相关网络安全、终端安全、网络流量和漏洞事件,从而创建线索框架,鉴别WannaCry攻击,并反映到仪表盘持续监控。
2)通过仪表盘和报表验证WannaCry状态,识别出异常互联网流量、未清除感染、未打补丁系统等情况,实时创建关联规则,以便在监控列表中的异常指标达到阈值时发出告警。
3)事件认知引擎以时间轴形式在同一窗口聚合并展示所有的相关活动告警,事前和事后信息、调查信息以及相关场景,并作出动态风险评估。
小结:从线索发现并监控,到状态验证和创建规则,最后调查问题进行处置。
案例2:内部威胁防护
基于机器学习的高级分析方法能够分析海量的用户、系统、应用、安全事件甚至物理访问活动的数据,从而够识别出与数据渗漏、欺诈或IT破坏活动相关的行为。除了实时检测以外,瀚思还提供持续监控、打分、报表等高级调查功能,从而实现全面、端到端的内部威胁管理流程。
以某券商一周的安全数据为例:原始事件3.2亿,原始告警422万,值得关注的威胁3700,成功的攻击41。其中一个成功的攻击是内部威胁。某内部员工异常登录,拷贝机密文件,上传文件到网盘。
小结:多阶段机器学习。先对原始数据使用无监督学习,对数据聚类。然后再与业务人员沟通,进行有监督机器学习,形成算法模型。最后,依据模型发现异常行为。
HanSight USAP应用场景
报告全文下载:
https://www.hansight.com/report/unified-security-analytics-platform-to-combat-advanced-threats
相关阅读