本文講的是使用者與實體行為分析的能與不能,使用者與實體行為分析(ueba)已經在過去的幾年得到了迅速的發展。最開始它只是使用者行為分析,關注與捕捉內部惡意威脅。之後,從業者和**商們意識到使用者互動只是情況的一部分,伺服器和終端的行為對乙個更完整的視角來說也是非常重要的。這在分析物聯網和工業控制系統環境時尤為正確。
今天ueba已經不再僅僅是乙個單點解決方案,它已經被視為從內部威脅,到安全資訊事件管理工具,再到網路風險分析和終端保護的重要因素。
通過把ueba技術同其他資料資源和分析方法結合起來,機構越來越方便在更大的尺度上解決網路風險挑戰。比如,他們使用ueba分析異常使用者和機器行為的重疊作為攻擊指標,以識別有問題的賬戶;或者用ueba確定基於**商的內部威脅,並且這方面資訊和其他的風險智慧型結合起來,以獲得乙個360度的第三方風險視角。這一視角可以被安全和**商風險管理參與方用來減少侵入公司網路和資訊的外部威脅。
伴隨2023年5月生效的《通用資料保護規則》(gdpr),保護雇員、顧客和股東的私人資料的關注點也會更新。ueba將被用於檢測處理不當的敏感資料,這些沒有被妥善處理的資料會導致公司在合規性方面違反通用資料保護條例。這包括了解人們在訪問什麼、異常訪問、異常資料分類水平處理、異常解密和異常電子郵件和雲上傳的行為模式。
ueba最有力而又往往被忽視的應用之一,是確定和緩衝粗心使用者和有問題的業務流程。
大多數公司的典型安全工具,其事件資料來自於非惡意使用者,這些使用者要麼是粗心大意,要麼是由於缺乏乙個即遵守安全策略又方便工作的方法。
儘管這些使用者和業務流程造成很大的風險,並給安全運營中心(soc)產生了大量的噪音,但在應對更緊急的惡意威脅時,它們還是經常被「擱置」起來。在如今繁忙的安全環境中,擱置也就意味著「近十年不理會」。
使用ueba來確定和分析正常的使用者和雇員組的重複性非惡意行為模式,是矯正他們的行為,減少風險和降低噪音的第一步。
即使確定正常或不正常的行為模式是ueba的一項基本能力,它仍然成為整個網路風險分析難題的關鍵拼圖。
當然,ueba不是「銀彈」。管理和減少網路風險需要對資產、損失影響、基於主機的威脅比如惡意軟體和勒索軟體、漏洞,以及濫用特權而帶來的風險,有著全面的理解。但ueba仍不失是首席資訊保安官工具箱中必不可少的組成部分。
使用者搜尋行為與關鍵詞分析 四
系列文章三說了,人人都是神算師。但是有人開始感嘆,那些招數似乎對雜貨店比如沃爾瑪更適用 什麼時間火什麼,就主推什麼。而現實總是讓人不如意,大多時候我們都是開專賣店的,比如有人開了firefox專賣店,有人開了picasa和劉亦菲美女專賣店。所以,我在這裡,需要介紹另一種關鍵詞策略 不變而應萬變。由於...
使用者搜尋行為與關鍵詞分析 一
繼上次在點石發布關於站點和頁面收錄系列文章後,我決定將此前寫過的關於使用者搜尋行為和關鍵詞分析的一些文章也發布出來。以下是系列文章第一篇,主要簡單地介紹為什麼要研究使用者搜尋行為,以及目前公認的使用者搜尋行為的三大變化趨勢。使用者的搜尋行為對於關鍵詞分析的意義 在seo中,使用者的搜尋行為分析非常重...
根據nagios的日誌分析使用者的行為
公司的監控系統使用的nagios,而外網訪問nagios使用的網域名稱形式。內網使用nginx進行反向 到nagios所在的伺服器。nginx的反向 與網域名稱配置如下 root lzmail vhosts more test.ilanni.com.conf server proxy set hea...