从Gartner报告看瀚思的全场景安全分析
作者:星期五, 十二月 21, 20180

近日,大数据安全公司瀚思科技发布了与Gartner合作撰写的 News Letter :《安全分析赋能数字化转型》(以下简称报告)。报告认为,数字化转型已成为企业高层的主要工作,除了人才需求以外,网络安全是转型进程中最主要的阻碍。而随着数字化进程的普及与深入,安全分析将在信息安全工作中占据越来越重要的地位,用户需要一个综合性的安全分析解决方案,以加强各种安全工具和方法的有效性。

安全成DX阻碍

大数据分析已经成为安全的核心支撑

日益增长的对威胁检测和威胁可见性的需求,是安全分析的核心驱动力。更好的关联分析能力,降低噪音数据,减少告警,自动化处理大量的普通事件等,从而把高级专业人员的精力集中在最严重的威胁上,这些都是安全分析能够和应该带来的价值。

报告指出,应用场景、数据源、分析方法和分析工具,是大数据安全分析体系的关键支撑。主流的分析工具包括,SIEM、NTA和UEBA。

HanSight统一安全分析平台

瀚思于2014年国内首推大数据安全分析平台,从最早的基于SIEM产品的统计分析,演进到现在的结合了威胁情报、大数据分析的SIEM、NTA和UEBA模块的统一安全分析平台,覆盖了网络、终端、用户(账号)、数据和业务安全等应用场景。

  • 下一代SIEM平台

通过大数据架构、多种分析方法、精简的安全事件管理流程,帮助安全团队精确检测企业网安全威胁并进行优先级排序,指导安全团队迅速响应,加速威胁处置的进程,降低事件影响。

  • UBA高级分析模块

通过机器学习和行为分析技术分析,关联用户、实体、应用和数据间的互动,检测内部威胁、数据渗漏、欺诈等复杂应用场景。预设的事件时间轴可标记异常行为事件、展示全局细节,实现快速的威胁调查。

  • NTA网络流量分析和调查取证模块

监控所有端口并解析50多种应用协议,实现对网络行为的全面可视化。该平台由深度学习引擎驱动,能够识别恶意的网络流量,检测高级威胁。取证组件则能抓取HTTP 会话和原始的PCAP(过程特性分析软件包)。

典型案例

案例1: 检测勒索病毒WannaCry

1)通过HQL/PowerBI发现WannaCry的线索,搜索相关网络安全、终端安全、网络流量和漏洞事件,从而创建线索框架,鉴别WannaCry攻击,并反映到仪表盘持续监控。

2)通过仪表盘和报表验证WannaCry状态,识别出异常互联网流量、未清除感染、未打补丁系统等情况,实时创建关联规则,以便在监控列表中的异常指标达到阈值时发出告警。

3)事件认知引擎以时间轴形式在同一窗口聚合并展示所有的相关活动告警,事前和事后信息、调查信息以及相关场景,并作出动态风险评估。

小结:从线索发现并监控,到状态验证和创建规则,最后调查问题进行处置。

案例2:内部威胁防护

基于机器学习的高级分析方法能够分析海量的用户、系统、应用、安全事件甚至物理访问活动的数据,从而够识别出与数据渗漏、欺诈或IT破坏活动相关的行为。除了实时检测以外,瀚思还提供持续监控、打分、报表等高级调查功能,从而实现全面、端到端的内部威胁管理流程。

以某券商一周的安全数据为例:原始事件3.2亿,原始告警422万,值得关注的威胁3700,成功的攻击41。其中一个成功的攻击是内部威胁。某内部员工异常登录,拷贝机密文件,上传文件到网盘。

小结:多阶段机器学习。先对原始数据使用无监督学习,对数据聚类。然后再与业务人员沟通,进行有监督机器学习,形成算法模型。最后,依据模型发现异常行为。

HanSight USAP应用场景

报告全文下载:

https://www.hansight.com/report/unified-security-analytics-platform-to-combat-advanced-threats

相关阅读

聚焦用户行为分析的落地 瀚思B+轮融资获顶级资本青睐

 

分享:
0

相关文章

写一条评论

 

 

0条评论