搜索
网康慧眼云首席架构师用户行为分析(UBA)与内部威胁陈天航内部威胁VS外部威胁85%75%53%来源:2014SpectorSoft来源:2013USCERT来源:2015FortScale企业认为未对外报告数据泄露内部威胁类型•意外数据泄露•内部金融欺诈•间谍活动•伺机偷窃数据•蓄意破坏•产品/业务篡改•不合规行为,误用滥用UBA的定义和发展阶段预测能力时间调查能力工具化的UBA用户接口的UBA成熟模型的UBA结构数据结构和非结构数据ETL的处理过程数据泄露UBA内部威胁目标攻击金融欺诈来源:2015Gartner•发现“坏人”VS上报“坏事件”•高质量异常行为VS大量告警•较少人员和时间投入VS过多的人员和时间投入•Context技术VSContent技术UBAVSSOC/SIEM&DLPUBA-内部威胁-逻辑框架图数据集成DataIntegration数据丰富DataEnrich用户上下文UserContext关联分组CorrelationGrouping行为分析BehaviorAnalysis风险引擎RiskEngine异常检测AbnormalDetection日志告警内容数据身份数据UBA-内部威胁-数据集成•获取多类型数据•从结构化数据到非结构化数据•获取元数据UBA-内部威胁-Context上下文•用户上下文•终端上下文•文件上下文•应用上下文•其他实体上下文UBA-内部威胁-异常行为UBA-内部威胁-数据分析手段规则过滤RuleFiltering统计模型StatisticalModule机器学习MachineLearning简单易用用户接口数据选择不知好坏知道不知道数据现象UBA-内部威胁-机器学习样例P1:初始化重要文件P2:基于人工反馈和机器学习来调优P3:实时预测其他文件的重要性程度利用机器学习生成文件风险典型的文件Context感知技术UBA-内部威胁-呈现不可忽略•风险引擎的设计•产品的交互设计•强大的用户接口数据分析技术理念的分水岭ContextAwareness(上下文感知)ContentAwareness(内容感知)•DPI、IDS、DLP•已知的特征(Signature)•快照性记录(Snapshot)•UBA、NBA、TI•共性与关联(Correlations)•持续性学习(Learning)谢谢