助力等保2.0 —— 合众LAS的“应变之道”

1、等保2.0时代背景

随着网络安全等级保护制度2.0国家标准(简称“等保2.0”)的正式发布,等级保护进入2.0时代,而《网络安全法》已将等级保护制度上升为法律,并在法律层面确立了其网络安全领域的地位,规定了网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务。

等保2.0在1.0的基础上,对分类结构、安全控制点、要求项、覆盖范围和防护理念等方面都进行了升级,由1.0被动防御的保障体系变成了事前预防、事中响应、事后审计的动态保障体系,更加注重全方位主动防御、动态防护、安全检测、应急响应和全面审计。

审计作为等级保护制度落地的关键环节,其应用需求更为迫切、目标更加明确。

2、等保2.0时代安全审计解读

1

等保2.0还在“等级保护安全框架和关键技术使用要求”中指明“应在较高级别等级保护对象的安全建设和安全整改中注重使用一些关键技术”

2

3、等保2.0时代”LAS系统“帮你找到“应变之道”

等保2.0时代,整个信息安全行业需求将迎来新的变革,更偏重于事后审计、回溯、分析的安全审计又该如何找到”应变之道“?。

合众安全审计日志分析系统(以下简称“LAS系统”)作为合众数据推出的专业安全审计产品,基于大数据技术建设安全审计系统技术架构和大量项目实践,以UEBA技术分析挖掘与“正常”模式存在偏差的异常行为,来检测具有威胁的用户和实体,着重建设安全审计系统对单位网络信息系统异常行为和安全违规事件的发现能力,能够保帮助不同行业用户在充分满足国家法律法规和标准体系的前提下,构建主动安全审计体系,为用户带来“安全、高效”的价值。

LAS立足于UEBA技术,在满足等保2.0的安全审计需求下,着重建设用户的行为分析,对数据进行跟踪分析与场景还原,发现数据泄漏、账号滥用等异常用户行为和安全违规事件。根据用户常规的行为模式,可以有以下几个针对性的行为分析。

用户行为分析一:利用离群分析,挖掘行为异常个体

合众LAS系统无需对用户应用系统业务进行任何直接操作,以通用性方式进行数据分析。平台系统根据用户需求,自动选取一定时间段内的日志数据,对人员的作息时间、工作地点、行为特性(操作频度及工作热区时间段)、个人特征(年龄及所属机构)等多个维度进行离群分析,从而分析出离群用户或账号(即离群距离较远的人员),结合业务特性可判定该用户或账号是否存在异常,为行为分析的深度钻取打下基础,如下图所示: 

4

图1:数据驱动离群分析结果展示

用户行为分析二:构建行为基线,披露个体疑问行为

合众LAS系统可根据用户的业务需求,结合用户或账号构建行为基线。譬如,系统可以规定哪些账号在什么时间内可以访问业务系统;账号的访问权限有哪些;哪些行为是已经超出自身权限进行访问;这个账户在多个地点或者终端之间频繁进行登陆及操作等等。通过对行为基线的构建,结合业务特性,从而可以判定个体疑问行为。

示例图: 

5

图2:日访问突变分析结果展示

图中可以看出,其日访问量突变趋势在某一个时间点发生明显的变化,高出日均值数倍之多。

用户行为行为三:利用关系图谱,溯源可疑关联人员

根据合众LAS系统提供的关系图谱功能,可对可疑人员、账号、用户进行关联分析,从多个维度(机构、应用、内容等)分析与其存在关联的人员。关系图谱可自定义维度且支持下钻(可对关联人员进行二次分析直至无关联人员)。 

6

图3:利用LAS提供的关系图谱功能,还发现关联人员

合众数据认为,等保的核心价值在于“持续保护”,让用户切实感受到等级保护带来的价值。目前,合众安全审计日志分析系统已在多个项目中落地使用。原先用户对内部人员安全威胁无法实时监控,而安全审计日志分析系统解决方案,不但满足了等保2.0中相关的合规要求,用户还可通过从“被动防御+应急响应”向“主动防御+持续响应”的切换,集“智能、防御、检测、响应”于一体的安全闭环,实现安全威胁快速检测与有效防御。


Select Your Color

RTL/LTR Option