快捷菜单
社交媒体
联系方式
业务咨询

400-816-1670

地址

北京市 海淀区 东北旺西路8号 中关村软件园9号楼2区306A

Email

contact@HanSight.com

Phone

(+86 10) 8282 6616

新闻 / News

瀚思大数据安全“三剑客”之HanSight UBA

  • 关键词:HanSight,瀚思,大数据安全,HanSight UBA by 瀚思HanSight
  • - Jun.16th, 2016
导语:近日我们在北京召开产品战略暨融资发布会,随着发布会的结束,越来越多的企业和媒体开始关注瀚思在本次活动中发布的几款产品。为了让更多的人了解本次瀚思推出的“三剑客”,我们将对这三款产品逐一详解。
【本文系HanSight瀚思原创文章,如需转载,请注明出处!】

在互联网时代、大数据时代,你真的安全么?

非也!

我们的个人隐私、邮件,企业的源代码、核心数据,在当下都已经变得岌岌可危。单纯的防火墙、杀毒软件已经不再有最初的效果,内部威胁在众多攻击类型中高居榜首,我们发现55%的攻击事件都来自于拥有系统访问权的内部人员。

在2014年美国CERT发布的网络安全调查中我们发现所有的数据泄露问题都和内部账户被盗用有关;次年,IBM Security 2015 年网络安全情报索引中再次指出:目前仅占28%的内部攻击却造成了46%的损失,可见危害之大。

如何“师夷之长以制夷”成了当务之急,如何用大数据、机器学习、算法来满足新客户在新的安全体系下,在云、大数据、互联网的环境下安全,是我们要重点探讨的问题。

因此,近日我们在北京召开了产品战略暨融资发布会,随着发布会的结束,越来越多的企业和媒体开始关注瀚思在本次活动中发布的几款产品。为了让更多的人了解我们推出的大数据安全“三剑客”,未来几期的微信中,我们将对这三款产品逐一详解。

HanSight UBA填补国内市场空白

HanSight UBA(瀚思用户行为分析系统)是基于用户异常行为的安全分析引擎,其主要作用为追踪、记录企业内部各种行为模式,然后通过机器学习找出偏离正常的行为。

实际上,瀚思的这种依托算法和机器学习的前瞻性的检测思路已经在近两年中有所体现,也可以从国内外各大公司/机构公开的安全战略上一一得到验证。例如在美国国土安全部主导的国家网络空间安全保护系统中,也就是业界常说的爱因斯坦计划(E3A),已经明确把“基于用户行为的数据分析”列为关键环节。

我们发现国外传统安全厂家纷纷开始把UBA作为产品功能,而新兴的安全公司则开始开发单独的UBA产品线。Splunk更是打破以前做平台集成第三方安全产品的惯例,直接花近2亿美金收购UBA创业公司Caspida,完全集成进产品线,可见其对这个市场的重视。

备受宠溺的UBA缘何如此受到安全厂商的重视?瀚思认为这与威胁情报有着如出一辙的背景。

就整个大环境而言,传统安全思路在快速、海量、攻击层上移的安全新形势下开始持续失效。 早年间炙热的沙箱技术已经被持续证明黑客只需要很小的成本就能绕过。反之,黑客却要付出极高的前期探测或攻击成本,才可能绕过安全大数据分析系统。因为黑客很难知道不同企业内部的安全数据模式(比如普遍员工或者资产行为模式)。虽然利用这个方法解决安全问题的雏形早早存在,但是在几年前一直苦于大数据收集和分析平台的高昂开发维护成本,无法落地。

目前大数据平台业已成熟化,很多问题领域的算法也正在快速标准化,因此企业内部已经可以产生并收集、分析海量安全数据,缺的只剩下安全厂商提供的从安全数据到实际检测防御的产品。

HanSight UBA(瀚思用户行为分析系统)一经推出,不仅解决了用户在这方面的实际需求,也充分填补了国内在这块市场上的空白。

HanSight UBA填补国内市场空白

简单来说,瀚思此款产品的原理为:

在管理相对规范的企业内,用户的行为模式,只要所属部门和角色不变,就不会发生什么变化。而服务器或者其他资源也类似,比如文件服务器不会去主动登录邮件服务器。我们完全可以依赖算法把变化幅度量化,数值过高的定义为异常事件。

因为我们说:所有安全事件必然是从异常事件开始。

流程上,以用户异常为例:HanSight UBA 先周期性从瀚思大数据存储模块中抽出感兴趣的数据,比如用户登录日志、用户对内外网资源访问日志等等,外加企业内部人力资源数据(包括用户名、用户所属部门、角色)。人力资源是以部门为单位做比较。比如某天张三突然晚上登录,如果同部门其他用户也在先后时间登录,那这个很可能只是部门加班,而不是个体异常事件。

而在具体算法上是先对数据做转换,字段抽取后,以固定窗口聚合(比如每5秒内访问多少文件),结果作为多个算法的输入的特征。长周期,比如30天内的所有用户所有特征依次送入多种无监督算法。这些算法作为一个委员会,先各自对行为打个异常分数,然后表决意见统一后,取出一个最终分。

每一个算法都要对行为做十字型比较,横向乃是用户今天行为和过去30天他/她的行为比较,纵向是用户和同部门其他用户在同一天的行为比较。所以分值是这两个维度分析的最终结果。

虽然举例的统计是每天为单位,靠每次前推一分钟的滑动窗口,检测时延也可以到分钟级。

我们的做法

瀚思作为国内第一家做出UBA产品线的安全公司,凭借其创新技术比肩国外的顶级UBA产品,在如下环节中做出了特别优化:

1. 除之前谈到的多维度异常检测,我们把异常的数值结果翻译成用户能理解的安全场景。比如,我们不止告诉用户张三突然连续两天深夜登陆,访问了公司客户名单,把名单拷贝到U盘上 这样三个维度上的异常,而是把这三件事串在一起,告诉用户这是一个内部人信息泄露。

2. 专门设计分析结果可视化界面,一般仪表板上让用户完成多维度的趋势变化和用户/资产与基线的比对。

3. 原生集成威胁情报。

4. 利用SSE或者GPU优化的高速算法,大部分企业的行为数据分析普通服务器一分钟内完成,分析结果秒级呈现。

有了HanSight UBA,企业可以做什么?

传统基于规则的安全产品(比如防火墙、IPS等),往往对长周期的、复杂的威胁无能为力,尤其是和内部用户/账号相关的内部威胁。当有了HanSight UBA以后企业可以:

侦测和响应来自内部的安全威胁,覆盖多达37种安全场景,包括:内部人员不满破坏系统、欲离职人员窃取数据、利用他人身份访问数据、扫描内部网络、加密途径传输数据、超量云服务使用、多人合作数据窃取、被盗取的BYOD、勒索软件、Bot肉鸡、APT……

综合检测率大于87.4%(基于瀚思700余个数据场景测试得出)

为什么我们可以做到?

是的,看到这里你一定想问,为什么一家初创公司可以做到这样世界领先的技术,并在国内率先推出这样一款极具前瞻性的产品?这必然和我们的团队密不可分。

瀚思的主创团队来自趋势科技、微软、甲骨文等全球知名厂商, 而HanSight瀚思首席科学家万晓川先生则是核心安全分算法、APT沙箱、异常检测(Anomaly Detection)和用户行为分析(User Behavior Analysis)的世界级专家,坐拥6项安全行业美国专利的他目前整体负责瀚思的技术研发工作。

在加盟瀚思之前,万先生于2004 加入全球最知名的安全公司-趋势科技(Trendmicro),持续专注基于机器学习的前瞻性安全产品研发工作,包括病毒样本自动分类、基于指令翻译的超小型沙箱、网络流扫描设备,同时还设计了趋势科技的整个病毒分析后台架构。

2006年万晓川先生在全球范围内首度将机器学习应用于病毒自动分析系统,在0.1%误报率时可以侦测71%的未知病毒,这项技术保证了趋势科技的杀毒能力持续排名世界前三。2007年万先生再次成功将机器学习应用在垃圾邮件识别,并取得96%以上的全球第一识别率,战胜了思科花8.3亿美元收购的IronPort。

自2010年起,万晓川先生以高级架构师和项目总监身份主导设计并开发了网页安全模拟分析引擎和APT防御产品线的沙箱,并在2014年全球权威的NSS lab评测中击败了主要竞争对手FireEye,获得APT检测率世界第一。

想听万老师对安全行业的解读么?想更多的了解瀚思产品么?

6月24-25日,北京珠三角JW万豪酒店,万晓川先生会在《云安全与大数据》专场与您一起分享“大数据安全分析SaaS化的挑战与机遇”。在这一话题里,您将听到比小编更为专业的对UBA的解读,以及瀚思安全SaaS化的理念。