用户行为分析如何破解保单信息泄露检测与防护难题

2018年07月11日 作者: 瀚思科技

造成保险公司保单信息泄露事件原因通常有两种,一种是内部业务人员账号密码被黑客破解,导致大量保单信息被批量下载盗取;另外一种是员工监守自盗、前员工利用内控漏洞窃取保单信息。

无论哪种情况,其根本原因都是利用内部合法用户,来进行非法的操作(窃取保单信息)。所以,只有通过实时用户行为分析,检测合法用户的异常操作,才能从根本上防止保单信息泄露。前不久,瀚思科技通过大数据安全分析平台、用户行为分析(UBA)系统来帮助某保险客户有效检测并防护保单泄露事件

事件背景

保险信息恶意查询攻击,传统安全设备检测失效

2018年1月23日,某保险客户保单信息系统由于并发会话数过高导致反应缓慢,保单查询功能无法及时有效的响应,严重影响了业务员工作的效率。

通过分析业务系统访问日志,发现遭受了针对保单信息的自动化恶意查询,挤占了大量系统资源,导致正常的请求无法响应,期间传统安全设备与检测手段无法有效检测。

事件原因与结论

大数据分析平台发现传统安全设备检测不到的恶意攻击

该恶意查询行为是通过合法授权账号进行的自动化保单查询,可能是外部攻击者盗用合法账号进行恶意批量窃取保单信息,或者内部员工利用授权账号恶意进行保单批量抓取。恶意查询开始主要采用集中高频访问,传统安全设备可以发现异常。保单信息恶意查询被发现后,开始使用分散低频方式绕过传统安全设备检测,现有安全设备无法感知。

使用分散低频方式恶意查询导致保单信息泄露事件,传统安全设备基于规则的单维度检测方式难以发现,需要运用基于大数据分析平台,从多个维度对系统访问日志进行用户行为建模分析,准确检测出恶意查询行为。

解决方案与关键技术

建立事前防御、事中检测、事后联动阻断响应机制

通过大数据安全分析技术,能够实时准确地发现并定位发起自动化保单恶意查询的外部源IP,通过与安全设备联动自动隔离阻断有威胁的恶意查询IP地址,实现了事前防御、事中检测、事后联动阻断响应机制,进一步提高网络安全防卫能力,避免数字资产损失。

以查询使用的源IP、会话ID、保单号、用户ID为中心,从时间、关系、数量、访问频度等多个维度,构建保单查询多维度行为基线,利用机器学习算法和预定义规则找出严重偏离基线的异常行为;通过机器学习算法对大量的历史日志和安全信息的关联,对用户查询保单信息行为进行一个长周期的分析,建立正常用户保单查询行为基线或画像,找出异常保单查询行为。

应用效果与价值

大数据安全分析平台溯源发现异常并联动阻断

部署大数据安全分析平台、用户行为分析(UBA)系统后,对保单系统被攻击期间的2周应用访问日志进行分析,发现恶意查询涉及的保单个数约为70万个,最高峰值每小时查询了12万次,共有4个账号被用来进行恶意查询,发现6个IP地址存在恶意访问行为,大数据安全分析平台第一时间将检测发现的6个恶意IP进行了联动阻断。瀚思科技安全分析人员通过大数据安全分析平台进一步的溯源发现4个异常账户在2个月前已经被黑客破解利用,属于外部攻击者盗用合法账号恶意批量窃取保单信息事件。

动态闭环主动防御,从根源杜绝保单信息泄露

大数据安全分析平台、用户行为分析(UBA)系统部署上线后,在2个月的试运行期间共发现并处理多IP交替登录、休眠账号重新登录、离职人员账号异常、登录成功次数偏离个人基线等50多起用户异常事件。有效应对了日益严重的保单信息泄露风险,为客户提供从事前风险预警到事中实时分析检测再到事后分析处置的全面主动防御。规避由于保单泄露事件带来的监管处罚、经济利益损失与声誉影响。