ArcSight Intelligence 讓您的安全團隊能夠先發制人難以捉摸的攻擊。借助行為分析中的上下文相關見解,分析師可以快速關注在對抗內部威脅和高級持續威脅 (APT) 等複雜威脅時真正重要的內容。
瞭解更多資訊數據創建在過去十年中呈爆炸式增長,預計將繼續呈指數級增長,如下圖所示。該圖表預測,到 2025 年,全球數據領域將存在約 160 ZB 的數據。ZB 很難可視化,因為它太大了。但是,如果我們用一公里表示每個位元組,則 1 ZB 將等於 3,333,333,333,333 次往返太陽。據估計,只有 15% 的創建資料將被存儲,但這仍然是大量的數據。
儲存行為數據存在一些重大挑戰:
行為數據主要是通過人們與軟體或伺服器的交互來捕獲的。交互的一個範例是將數據上傳到網站或在網站上選擇產品。這些事件存儲在本地裝置上的資料庫中,或者更常見的是存儲在公司擁有的伺服器上,以及日期和時間戳,以便於訪問。
整個行業都是圍繞著收集數據並利用這些數據而建立的。以下是一些您可能不熟悉的資料收集範例:
從歷史上看,網路安全僅使用規則驅動的框架來檢測潛在的網路威脅。例如,如果在半夜下載了大量數據。此操作可能會觸發規則衝突,從而向安全團隊發出警報。如今,這種基於規則的方法仍然是分層分析安全方法的重要組成部分;但是,聰明的駭客可以避免觸發這些系統中設置的許多規則,並且很難找到以惡意方式行事的員工(也稱為內部威脅)。行為分析通過使用複雜的機器學習演算法來分析整個企業的使用者和實體數據,並識別可能表明存在安全漏洞的意外行為,從而實現以人為本的防禦。
在網路安全中,行為分析通常被稱為使用者和實體行為分析或 UEBA。UEBA 越來越受歡迎,因為它可以篩選組織的大部分數據,為安全分析師開發高品質的潛在客戶進行評估,從而節省大量時間和金錢。UEBA還可以減少安全分析師的數量,從而減輕公司參與競爭激烈的安全人才爭奪戰的壓力。
行為分析在安全領域的最大應用之一是檢測內部威脅。內部威脅是來自組織員工的攻擊,其動機是金錢利益或對公司的報復。由於員工已經可以訪問他們在工作中使用的敏感資訊,因此不需要駭客攻擊即可從公司竊取該資訊。因此,通常不會觸發安全規則。但是,行為分析可用於識別安全團隊並提醒員工表現出的異常行為。
行為分析在安全領域的另一個常見應用是檢測高級持續性威脅 (APT)。當駭客長時間訪問組織的伺服器時,就會發生APT。使用傳統方法特別難以檢測這些攻擊,因為APT被有意識地設計為避免觸發通用規則,以確保其訪問的持久性。然而,行為分析能夠檢測 APT,因為它們的演算法監控 APT 會表現出的異常活動。
UEBA軟體的最後一個非常常見的應用是檢測零日攻擊。零日攻擊是以前未使用過的新攻擊,因此不會編寫任何規則來檢測它們。由於行為分析使用以前的行為數據來評估不正常的情況,因此通常可以檢測到這些新的攻擊,因為它們通常使用新的可執行檔和方法,這些可執行檔和方法非常規,以破壞公司的安全性。
物聯網或物聯網是指連接到互聯網和/或其他設備以創建連接設備網路的週邊設備網路。物聯網在過去十年中經歷了顯著增長,這在許多行業中都可以看到,包括製造業、供應鏈和消費品。其中許多物聯網設備收集行為數據,並使用該數據執行分析,以獲得見解或適當的操作。
這種增長的一個更明顯的消費產品例子是智慧手錶的激增。就在幾年前,智慧手錶還非常罕見,只有面向未來的技術愛好者購買這些設備,但隨著越來越多的公司涉足這個行業,智慧手錶和其他物聯網設備已經變得更加主流。如今,物聯網設備非常普遍,即使是休閒視頻遊戲主播也會佩戴心率監測器,顯示給觀眾看。收集行為資料的面向消費者的IoT應用程式的範例包括:
企業也在考慮將物聯網與行為分析結合使用,以增強其當前的能力。企業尋求物聯網來改善其運營的主要原因是由於降低成本、更準確的交付估算和卓越的產品護理的承諾。與消費者領域相比,專門收集行為數據的設備較少,但有幾個是:
隨著物聯網設備數量的持續增長,行為分析在為消費者和企業提供價值方面將變得越來越重要。
今天生成和存儲的數據量遠遠超過任何其他一代,以至於「大數據」一詞被創造出來。大數據是指數據科學家或統計學家使用使用大量數據的方法。通常,假設數據品質相同,數據越多,分析的有效性就越高。許多更強大的演算法(如神經網路)在少量數據下無效,但在大量數據下變得更加有效。
一些行業比其他行業更接受大數據的概念,一個很好的例子是網站廣告。例如,在 A/B 測試等網路廣告測試中,可以快速收集和分析數據,從而為比較廣告生成有效性指標。由於生成的數據量、數據付費牆或數據監管使得收集和使用實體數據變得困難,許多行業都在努力採用大數據方法。
行為分析非常適合大數據類別,因為行為數據會產生大量數據,通常可以收集數據,並且通常可以為每個用戶進行跟蹤。當您導航到網站並看到有關使用cookie追蹤您的體驗的警告時,它們通常會跟蹤您在網站上的行為,以優化網站設計。如前所述,最豐富的行為數據來源之一是物聯網,以至於整個公司都只專注於從生成的物聯網數據中運行行為分析。
機器學習是一類演算法,它使用輸入資料(有時是預期數據輸出)來微調模型參數以提高準確性。機器學習對於分析和分類大量數據特別有用,因為演算法可以處理的量比人類大得多。行為分析通常使用機器學習來獲取見解或自動做出決策。
行為分析和機器學習用例的一些範例包括:
亞馬遜成為市場上佔主導地位的電子商務平臺的原因之一是因為它將注意力集中在分析消費者的瀏覽習慣和消費者的購買習慣上,這兩者都被歸類為行為分析。
通過評估消費者的購買習慣,公司可以確定產品促銷和捆綁的最佳機會。由行為分析確定的捆綁包的一個很好的例子是在亞馬遜產品頁面上的初始產品詳細資訊下方。通常,捆綁包包括其他人使用同一產品購買的其他一些物品。購買捆綁包可享受所有產品的輕微折扣。
購買習慣數據還支援使用無監督機器學習方法(如聚類)進行客戶細分。客戶細分有助於公司瞭解人群的一般購買習慣,以更好地確定迎合廣泛人群的方法。
在國際上,欺詐每年給全球經濟造成數萬億美元的損失。不出所料,金融公司投入了大量資金來捕捉從異常消費者行為中發現的欺詐活動,以降低欺詐造成的成本,併為客戶提供更安全的體驗。
欺詐易是通過使用行為機器學習演算法來建立正常行為來捕獲的,這樣當發生異常交易時,就可以將其標記為可能的欺詐行為。通常,當可能發生欺詐活動時,金融公司會聯繫客戶,以驗證交易是否確實存在欺詐行為。
一個可能表明欺詐的異常行為的例子是,如果消費者在洛杉磯購買咖啡,然後在 20 分鐘後在倫敦購買甜甜圈。不可能走那麼快才能進行兩次購買。另一個例子是,如果消費者在他們從未去過的地方進行了他們以前從未做過的昂貴購買。例如,如果消費者在加拿大居住時,使用其財務憑證在巴西購買 50 張床墊。
隨著機器學習演算法的改進,以及數據在數據孤立的行業中變得更加社會化,行為分析將繼續變得更加有用。隨著行為分析機會的增加,企業以合規和尊重的方式使用數據的責任也越來越大。
隨著當今企業面臨的網路威脅不斷增加,必須採取更多的預防措施來保護有價值的資料並阻止駭客進入內部網路。我們一流的 UEBA SecOps 軟體, ArcSight Intelligence ,使用行為分析來檢測可能表明惡意行為的異常情況。它在檢測內部威脅、零時差攻擊甚至激進的紅隊攻擊方面擁有良好的記錄。踏出保護組織安全的第一步。立即安排OpenText™ Arcsight™ Intelligence for CrowdStrike 示範!
精準防守,信心十足
主動檢測內部風險、新型攻擊和高級持續性威脅
透過富有洞察力、可操作的安全見解加速威脅偵測
Interset 利用機器智慧增強人類智慧,增強網路彈性