摘要:每次公布重大数据泄露事件都有一个共同的特点:直到发现时已为时已晚。2015年2月,美国人事管理办公室(OPM)被黑客渗透并盗走2100万联邦工作人员的背景调查信息,在此事件发生之后仍然活跃了三个多月,相关安全人员才了解到这一点。事实上,这些事件有另一个共同点,就是采取的预防性安全措施不够,不足以阻止这些事件发生。
每次公布重大数据泄露事件都有一个共同的特点:直到发现时已为时已晚。2015年2月,美国人事管理办公室(OPM)被黑客渗透并盗走2100万联邦工作人员的背景调查信息,在此事件发生之后仍然活跃了三个多月,相关安全人员才了解到这一点。事实上,这些事件有另一个共同点,就是采取的预防性安全措施不够,不足以阻止这些事件发生。
预防一直是安全的重要组成部分。防火墙设在敏感的私人网络的边界,并试图阻止每一个恶意文件的攻击。而发生的美国人事管理办公室(OPM)黑客事件和其他无数的攻击事件证明,仅仅设置防火墙是远远不够的。美国人事管理办公室的2100多万条记录被泄露都是在第一时间发现之前。预防是网络安全的重点举措,但需要有更多的措施。当人们进入2016年,面对新的威胁时,检测将成为企业的安全标准中与预防同样重要的一个组成部分。像其他许多企业的其他部分一样,改进网络安全和消除灾害的方法是来自于大数据分析的形式。
预防是不够的
如果网络犯罪已经停止攻击,企业的安全性对于这种问题难以取得进展。很多时候,安全团队和企业在受到攻击后,第三方才会通知他们可能面临的问题。而在数据移动的情况下,或有可疑的远程登录时,很清楚什么是错的。对于它们之间的相互关系,如果没有一个清晰的画面,这可能需要几个星期甚至几个月的问题进行检测,甚至更长的时间。
除此之外,企业的大多数解决方案在预防网络犯罪方面越来越困难。安全威胁每天都在演变进化,黑客在攻击保护网络的软件和解决方案方面保持遥遥领先。哪怕病毒使得代码进行一些小的调整,或员工下载了一个被感染的附件,或发现网络罪犯进入网络之后,安全人员都要花费大量时间试图阻止灾难发生,尤其是没有任何问题的地方。
在监视可疑行为时简化检测
用户行为分析(UBA)解决方案能够监视所有的网络活动,帮助安全团队确定问题所在,因为他们正在研究和分析问题,而不是采用半年的时间学习第三方法规文件和企业所提醒的发生过的问题。通过分析网络上所有用户,UBA工具制定一个明确的标识。每当一个帐户偏离那些既定的规范,将其标记为异常。企业目前采用了安全事故和事件管理(SIEM)系统,可以记录分析行为的数据。而以UBA工具为辅助,安全人员知道要寻找什么,他们可以及时发现问题,并解决这些问题之前,他们不会破坏任何数据。
人们可以网络上学习UBA工具算法。当他们收集和评估的详细信息,他们成为一个全面安全协议的更有效的方法。这是越来越重要,因为攻击者都在不断更新和修改发展过程中,即使在他们已经检测到。设计的解决方案只是一个或几个形式的异常行为,不一定能够跟踪入侵者。通过自动检测和分析,团队能够迅速作出反应,并侧重于主要的问题。他们每天收到的警报都是低效的,而且通常不会停止攻击。当安全小组知道哪些警报是最危险的,这样他们可以将所有的资源投入到解决最棘手的问题上。
企业投资的SIEM解决方案可以帮助IT团队和安全团队的工作更有效。工作UBA进入方程可以让SIEM更有用,利用数据库可以更聪明,并避开敏感的持续攻击。UBA提出的任何和所有可疑的用户深刻的分析,通过网络可以详细了解他们的一举一动,并采取措施,以解决更高的准确性。而这项工作的大部分工作都是手工完成的,浪费时间,并不可避免地导致不准确。
推进安全协议要具有较好的检测能力,有效的解决方案迅速成为企业一个必要的竞争力。更重要的是,当这些问题持续存在时,企业客户就有可能将他们的业务转到别的厂商。
本文转自d1net(转载)