安全集中监控与审计系统：多角度关联分析全面增强企业内部安全防护力 – 作者:Wondersoft

伴随全球数字化浪潮蓬勃发展，社会各行业所产生和使用的数据资源不断增长，其价值日益凸显。企业在面临日益严峻的外部网络攻击威胁的同时，也面临着因“内鬼”窃取、内部员工疏忽、账号和主机失陷等各种内部威胁导致的数据泄漏。

有调查报告显示，全球有70%的数据泄漏是由于拥有数据访问权限的内部人员窃取、滥用造成的。因此，是否能够有效应对及解决内部威胁已成为当下企业在构建数据安全防御体系过程中必须考量的重要标准。

传统的安全产品由于缺乏对用户异常行为的关联分析，从而无法快速准确地识别定位风险以及追踪溯源，已逐渐不能满足当前企业的安全需求。

新一代安全产品基于大数据安全分析和机器学习技术，通过刻画用户行为，可对内部违规操作、窃取数据、非法删除等异常行为进行多角度关联分析，发现隐藏的未知风险并可能够追踪溯源，从而实现对企业内部人员异常行为的探索发现，并精准定位风险人员。

应用场景一：网络流量异常 

某企业内部网络出现了网络卡顿的情况，系统检查网络上传与下载流量发现网络带宽占满。

通过系统日志对个人用户进行流量建模，发现某员工外发的非公司邮箱个数、邮件数量、接收账户以及通过外设拷贝文件的次数偏离基线，定位其可能存在安全风险。

应用场景二：上网行为异常 

某企业系统检测到企业员工一段时间的上网流量超过了其历史流量范围值，且流量峰值偏离基线；同时检测到该员工多次访问企业禁止浏览的非法网站，非法网站浏览次数偏离基线。

应用场景三：登录行为异常 

某企业系统检测到系统用户曾多次在非工作时间使用非本人（绑定）设备持续性登录系统失败，相关登录行为偏离了正常基线，可能存在安全风险。

明朝万达Chinasec（安元）安全集中监控与审计系统

作为中国新一代信息安全企业的代表厂商，明朝万达坚持技术创新的同时注重与客户业务的深度融合。其自主研发的Chinasec（安元）安全集中监控与审计系统基于对内部威胁场景的分析和审计，基于对业务异常原因定位、应用的数据统计分析，以及对所发生安全事件进行及时地响应控制，从行为、事件、告警、异常中提取用户与实体、实体及实体间的关系，将用户和实体间的多层关系清晰呈现，挖掘出更加隐蔽的联系，从而实现追踪溯源、应急响应和处置，帮助企业构建内部数据安全防护体系。

系统内设多种规则策略，可预置300多种关联分析模型，适应于多种内部威胁检测场景。部署实施后，通过采集系统日志等数据，进行用户行为关联分析，全面感知用户行为与接入设备运行情况，对未知危险行为进行预判及追踪溯源，发现安全危险并及时告警处置，实现安全监测和日志集中审计，全面保障企业数据资产安全。

来源：freebuf.com 2021-06-04 10:29:01 by: Wondersoft