测评:抵御企业内部安全威胁的流行新兴工具


Fortscale公司能够帮助企业组织保护传统的企业网络,而Avanan公司的产品则能够在云中提供服务,PFU Systems, Inc.公司则侧重于专注对移动设备的安全保护。

在1979年上映的电影《惊呼狂叫(When a Stranger Calls)》中,警察告诉年轻的保姆说,她所接到的叫她当心孩子安全的变态狂人的骚扰电话是从房子里打的,无疑进一步增添了恐惧。对于观影者们而言,这是相当恐怖的,因为变态狂人已经入侵到了房子里面,甚至可以随意发泄破坏任何他想要破坏的东西,被锁的大门或其他外围防御措施对入侵者而言都形同虚设,入侵者可以畅通无阻。而到了现如今的2016年,我们可以理所当然地认为企业网络安全正经历着类似的威胁:来自企业内部的安全威胁。

庆幸的是,整个行业正如雨后春笋般涌现出各种不同的产品和服务,以帮助企业组织抵御来自内部的安全威胁。在本文中,我们专门测试了来自Fortscale、Avanan和PFU Systems公司的产品,其中每款产品都侧重于问题的不同方面。

· Fortscale公司在保护传统网络方面做了大量相当了不起的工作。当深度探测并挖掘到安全威胁时,其机器学习功能、及对于访问权限和身份验证日志的重点关注使得他们的产品具有了极高的准确率,但他们又仅仅只是为用户提供所收集、整理的信息,而让用户拥有最终的任何实际的决定权。

· Avanan公司的产品拥有一个非常好的前端界面,并能够完全在云中工作。其甚至可以与已经经由该公司优化过的大多数其他安全工具结合,以在云环境内工作。一般而言,鉴于数据本身的不可控和广泛分布的自然特性,使得较之传统的网络,基于云的内部威胁可能更难检测到。但Avanan公司的产品则能够提供唯一的保护,使得用户免受来自受信任的内部人士的威胁。

· PFU Systems, Inc.公司是富士通公司旗下子公司,该公司主要是通过他们的iNetSec system产品为移动设备提供抵御来自内部的安全威胁服务。其可以帮助企业用户部署一项BYOD计划,而无需考虑与移动设备相关的额外的内部安全风险问题,如特定的智能手机落入坏人之手的情况。

在我们为期几周的测试过程中,所有这三款产品的性能表现都相当良好。在这期间,某些网络结构是由供应商所提供的,而另一些则是由我们自己的内部测试平台提供。(读者朋友们可以在此参见这三款产品的屏幕截图。)

Fortscale:通过机器学习来抵御内部威胁

相比于我们在过去几年已经研究过的其他企业的安全工具而言,该款Fortscale产品可以说是接近完成,并准备好开箱即用了。其作为一款单一的服务器被安装在一个网络上,然后连接到已被使用的任何安全信息和事件管理(SIEM)系统。无需由管理员来配置任何规则或进行任何编程,因为Fortscale使用机器学习和复杂的算法来找到与内部威胁有关的异常或危险的行为。而且因为其集中在对于访问和身份验证日志的关注,对于大多数网络保持至少一个月的数据,其能够在第一天就开始找出安全威胁,但随着时间的推移,其能够更准确。

Fortscale也很经济,对于一家有20000个工位的中型企业,每年每位用户的定价约为10美元。而对于较大规模的许可证购买用户和一次性购买多年许可证的用户而言,还可以享受折扣优惠。虽然这款Fortscale产品的处理并生成警报的过程是相当复杂的,在某种意义上,其可以归结为能够像一个人工一样处理信息。如果一名早晨在加利福尼亚州工作的用户突然在中午时间从乌克兰的IP地址登录到了一款受保护的系统,那么一个人工就可以很容易地将其识别为安全攻击,但计算机却对此存在一定的困难,特别是如果该实例不太明显的话。

我们发现,从某种意义上说,Fortscale有些类似于IBM的沃森,能够实现连接,并向人类用户提升问题,以便对问题进行有针对性的调解。其中的秘密就在于Fortscale集中于非常具体的信息,而其安全威胁模式已经被编程设定,并且能够根据其所保护的特定的环境进行学习。具体来说,其着眼于OS认证,VPN访问,文件访问,来自现有的安全产品的日志的数据,大多数攻击者试图访问的一个网络的最重要和最危险的部分。

从该Fortscale产品的界面,一名用户永远不会知道在后台正在进行着这么多的处理。被提交到人工以进行考虑决断的事件需要由Fortscale产品所考察的几个因素的支持。没有任何一个单一的事件足以促发一个警报,这一事实使得能够将误报降至最低。

其另一个实用的功能,同时也显示了这款Fortscale产品是真正专为人类用户而设计的功能是:对于某些特定用户可以在登录初始页面进行额外审查。这类用户被称为“Followed Users”,这些用户被添加到仪表板的最右边的列,并被要求填写完整的信息,包括他们的照片,头衔和网络群组,如果这方面的信息是可用的话,都要逐一填写完整。

并没有设置标准以添加某些用户到Followed Users池的必要。这完全取决于系统管理员。也许在现实世界的调查员或审计员因某种原因怀疑某员工在网络之外的活动,或者Fortscale管理员看到一个帐户出现了低级别的异常,并希望对该用户进行标记,以防万一。这甚至可能是网络上的某个VIP,而该VIP的活动需要不惜一切代价的进行保护,或是没有获得安全检查的临时承包商。原因真的并不重要。用户可被添加到Followed Users组或随时根据需要从中删除。

在Followed Users群组中点击一名用户,将显示出Fortscale随着时间的推移而收集的关于该用户的所有的信息,包括任何是否曾经发展成一个实际的警报的信息。这与从用户池中选择任何一名用户没有任何不同。其只是要求对这些用户进行额外的审查和确保更方便的访问。

除了Followed Users区域,Fortscale产品的主界面看起来很像一款典型的安全仪表板。前10个开放的警报用红色,黄色和绿色的颜色代码突出显示。也有关于由不同群组正在生成的警报的数量和修复率的信息,管理员在此处关闭一个警报,并解决问题。所有这些信息可以被收集,并投入到一个独特的、图形化的报告中,以显示整体性安全视图,细化到一个警报中所包含的各种因素,以及监督管理者或审计员的信息。这些报告呈现给企业CXO级别的老板们看,相当好,而且是相当容易理解的。

而当您深入到警报时,这款Fortscale产品界面确实非常棒的地方就体现出来了。在为管理员显示警告背后的背景故事方面,该程序作了非常出色的工作。即使是一个低级别或初级的分析师也可以通过警告背后的故事方面来充分理解该警报。其是由引起警报的指标进行分解。在一个案例中,有七个指标引发产生了内部威胁警报,包括一个数据使用异常因素、每天使用了大量的设备、地理位置异常,大量的来源国异常和源设备问题。在这种情况下,很容易推测:有问题的员工很可能不是一个真正的内部威胁,而是有人获得了他们被泄露的身份凭据。

但Fortscale还能够检测出那些不太明显的事件,然后将这些相关情况展示给管理者,来帮助他们更好的理解发生了什么情况。在另一个例子中,一个用户在受保护的系统进行了大量的监听,而所有的监听在技术上都是受到了网络管理政策授权的,那么这些监听就不会触发警报。但Fortscale则能够借助大量的目标设备异常和一些故障代码,通过链接活动时间异常捕获他们。而通过查看Fortscale所展示的发出警报背后的背景故事,人们就可以很好的了解到:一名管理员在一个区域的责任便是登录系统数小时,但他们并不负责维护。

偶尔,他们也会被一个有坏的或无效密码的系统拒绝,生成错误代码异常。但是,因为他们会在这一点上停止,不会产生一个正常的SIEM警报。而Fortscale则能够将其添加到他们正在干什么的图片,否则这类信息可能会被丢失在看似无关的巨大的网络数据流中。

在第二个例子中,一个真正的内部威胁也会被捕获,即使其遵循了大部分的网络管理规则。Fortscale不对有关用户作任何的判断,因而其自身也不需要采取任何措施,仅仅只是呈现警报背后的背景故事给相关的安全管理人员。也许只是一名用户正在帮助另外一个部门的一个朋友;又或者他们只是纯粹的好奇;或者他们实际上真的是一个间谍或心怀不满的员工。这都需要交由人工做出最终的决定并采取适当的措施,但Fortscale可以突出显示他们的这些活动,否则这类活动很可能就会避开检测了。

最后一个例子,Fortscale能够标记那些采用了一个低技术含量的方法的内部活动,在这种情况下,是通过检查打印日志来完成的。该方案能够识别异常,例如:某个用户第一次对Oracle数据库进行了“所有记录”的调用,然后打印了超过350页。对比他们以前的打印机使用情况,他们在过去的两个月里只发送了几个页面的打印需求到打印机,然后突然发送了一份超过300页的打印需求。

除了就相关的可疑活动和当前全貌的相关事件向管理员发出报警之外,Fortscale不会采取任何实际措施。再次强调,这可能是与工作相关的,但这也可能是一名雇员正准备离开公司,而使用了非常低技术的方式想窃取企业专有信息和数据的一种情况。但即使是低技术含量的方法,也很难逃出具有高度警惕性和洞察力的Fortscale的“法眼”。

Avanan:穿透云

在云中保护数据,特别是应对来自内部的威胁是非常困难的,因为数据往往被安置在不同的地方,而且通常并不由拥有这些数据的企业组织所直接控制。尽管云服务供应商们将有助于保护企业用户的数据抵御来自外部的安全威胁,但如果一个授权用户突然开始在异地发送机密文件,他们一般不会做任何事情。事实上,他们甚至可能会开放更多的带宽,使这个过程变得更顺利。

Avanan公司成立于2014年,主要工作重点放在云安全领域。该系统还能够完全在云中运行,因此其安装程序无需任何物理组件。其适用于所有大型的云服务提供商,包括亚马逊,谷歌和微软。 Avanan的产品也非常经济,其基础平台的起始售价为每月每位用户5美元,而针对大型部署的售价可能更低。对于我们的测试云,整个安装过程只用了几分钟。

由于大多数云供应商均提供了对于无限的存储容量的功能访问权限,许多企业组织会将涉及到用户的不同操作行为的数据和应用程序保存在云中长达一年或更长的时间。Avanan可以挖掘数据,甚至能够识别几个月前就已经发生的可疑的内部安全威胁活动,或将新的案例与可以追溯到几个月或几年前的潜在的模式连接起来。

就其本身而言,Avanan是一款用于防止内部威胁的强大的工具。然而,该产品的另一大优点是,其提供了一键点击就能够安装许多流行的安全程序,甚至包括那些以前没有在云中使用被优化的安全程序。 Avanan并不收取用户在云中安装这些应用程序的费用。

用户只需要支付任何其他供应商所要收取的费用,而他们现有的许可甚至可能已经涵盖了云部署。在我们的测试过程中,我们在我们的测试云中安装了Check Point、Palo Alto和赛门铁克软件。在所有的测试情况下,我们均获得了完整的云功能。每款程序还能够直接报告给Avanan的主界面,以添加额外的指标纳入内部安全威胁调查或提供一般的云安全更新,如存在内部的恶意软件文件。

除了Avanan,可以运行多少附加程序并没有上限。例如,企业用户可以运行多款防病毒程序而不相互干扰,并且其支持超过40种选择。还支持向FireEye这样的沙盒,以及象Splunk和ArcSight这样的SIEM方案。

一旦安装完毕,Avanan将为在云中发生的一切受保护的数据提供完全的可见性。有可用于确保基本或常识类型的用户规则的一个自动化策略引擎。从那里,管理员可以为不同的文件夹和数据如何使用、访问和共享设置独特的规则。因为这些都是文件级的规则,它们适用于用户和已安装的所有程序。

在我们的测试网络中,当一名有着高凭证的用户安装了需要访问受保护区域内的数据的程序时,其会被叫停,即使用户有适当的凭据来安装该问题程序。这将防止用户意外地安装某些东西,即使是一款想要访问受保护数据的常用的程序。

当某用户违反了政策规定时,在Avanan中可以定义几个动作。简单地通知用户可能的安全漏洞,以自定义的消息解释为什么一个动作会被拒绝。通过这种方式,用户可以为他们在云中的不当或不良行为受到教育,此后不太可能成为意外的内部威胁。

而如果用户操作行为的危险严重性进一步加剧,那么就会收到拒绝的警告提醒,但他们也有解释自己行为的机会。也许他们有一个有效的商业理由需要将机密数据发送给自己的某个同事。然后,管理员可以考虑他们的理由,然后做出进一步的允许或拒绝可疑操作的行为。在这两种情况下,都将产生一个审核跟踪以用来为调查用户在未来的任何进程或程序。最后,当管理策略被破坏时,其相关操作过程可以完全被拒绝,而安全团队是否通知用户皆可。Avanan的主要控制台基本上就像一款SIEM本身,虽然其将来自任何其他SIEM和运行在云中的安全程序的数据都进行了整合。其还有一个强大的影子IT功能,这显示了哪些应用程序已经被安装在云中,谁在使用这些应用程序以及正在做什么操作的相关信息。整个应用程序可以被拒绝,并从云计算中移除,无论其用户数量是多少,进而防止任何程序成为内部威胁本身,或者成为被禁止传输的文件或共享数据的工具。

Avanan并不像Fortscale在传统网络中的表现那样,完全呈现个别内部威胁活动的图像,但可疑的活动仍然可以通过借助最少的培训而检测到。在我们的demo演示中,一个用户试图访问他们有权限访问的文件夹,但随后试图执行被管理政策禁止的功能,即试图将文件移动到一个不太安全的区域。在这种情况下,用户很可能真正的内部威胁。

在另一个例子中,一名用户再次访问合法的文件夹,但却是从来自世界各地的多个位置进行访问的,而这些地理位置都将在Avanan内的图形地图上显示。在这种情况下它很可能用户凭据被黑受损的情况。在这两种情况下,Avanan都将采取相应措施,以防止内部威胁。

鉴于当前的企业组织这么多的数据被迁移到云中,有一款像Avanan这样的程序是相当必要的。能够保护您企业的数据和文件免遭内部威胁,但仅仅通过一键点击就能在云中部署大量安全程序的价值不能被过分夸大。能够充分了解在云中发生的所有用户、程序和访问行为真的揭开了云计算的神秘面纱,让管理员们能够像一款传统的网络一样实施管理和保护,使得基于云的数据真正能够免于受到外部和内部的威胁。

iNetSec智能搜索工具:无代理的移动设备扫描

当用户被允许使用平板电脑,智能手机和其他移动设备访问企业网络时,这些移动设备无疑为企业网络的安全性又新增了一些问题。这些移动设备增加了更多的潜在责任,因为他们本质上是通常要离开办公室和管理人员的控制之下的网络客户。除了带来了正常的内部威胁问题,移动性也增加了可靠的设备装置可能会丢失或被盗的可能性,进而为进入受保护的网络潜在的打开了一个窗口。

PFU Systems是富士通公司旗下子公司,该公司旨在通过他们的iNetSec system产品来为客户管理由移动应用程序所带来的日渐增加的潜在内部威胁。该系统产品所做的一切工作的重点便是集中于移动设备应用程序的管理。所以,一家企业客户是否需要这样的一款程序将取决于他们自身的业务开展对于移动应用程序或BYOD部署的依赖。

iNetSec智能搜索系统的部署为一个网络设备,通常位于一个网络的局域网段和移动用户使用的VLAN段之间。一个单一的iNetSec设备最多可以支持16个VLAN。该iNetSec智能搜索设备起始售价为8410美元,包括管理软件、一年的售后支持和一台设备配备1000并行设备的容量。

一旦部署完成之后,该款iNetSec智能搜索设备将负责发现、分类和管理所有的移动设备,以执行网络访问策略。除了实施设备管理,其还将图形化和可视化的所有应用程序的流量,以防止带宽滥用和阻止高风险的应用程序运行。

虽然iNetSec主要关注于内部威胁方面,但其也可以扫描内部网络流量以检测基于行为相关的高级持续性威胁(APT)的存在。其能够做到这一切,而无需在任何移动设备上安装代理,因此,参与BYOD计划的用户将不必在自己的个人设备上安装多余的或不需要的软件。

第一步,一旦我们iNetSec测试平台正式上线,便会开始扫描连接到网络的每款移动设备。该iNetSec设备实际上是能够找到任何设备的MAC地址,包括路由器和VoIP电话,并在主控制台正确识别它们。这样做是为了监视通过网络网关的通信流量以及任何可能是一个活跃的APT的指示的横向移动。

将移动设备放到一边,管理员可以允许每一个进程连接到网络,并设置所需的环境和批准条件,或者他们可以拒绝所有的进程。这也可以通过政策而非查看每一台设备来实现,而如果在网络上有成千上万台设备的话,这会更好。在我们的小测试平台,我们只是简单的看了每一进程,其非常快。

规则可以基于某些方面的安全性来建立,诸如移动设备多久需要连接到网络一次,以保持其凭证的有效。所以,您可以据此来进行iNetSec的设置。例如,如果一款移动设备不能每隔七天登录一次,就可以考虑其是否丢失或者被盗。这将有助于防止出现一种内部威胁的可能性,而这种情况对于非移动系统通常不容易发生,即授权的设备落入非授权用户手中。设备试图在超出了规定时间之后连接到企业网络,可以被强制按照不同的程序才能重新获得完整的网络访问权限,甚至也许需要来自安全管理人员的直接审批。

一旦每款设备被批准或拒绝访问企业网络,并制定了一套相应的管理策略来管理那些想要连接到企业网络的任何新设备,iNetSec将开始监视这些设备和用户都在做什么。主仪表盘会显示每款连接的设备及其当前的活动。例如,您甚至可以看到,哪些用户正在观看YouTube视频或纯粹只是玩玩手机以消磨时间。这是很重要的,因为正在被用户所使用的每款应用程序被分配了一定水平的风险,即使其并没有主动实施任何不良操作。在我们的测试网络中,一款文件共享应用程序一上线就获得了非常高水平的关注度。即使是像Adobe SendNow这样的一些看似正常的程序,鉴于其存在被滥用的潜力,也是高危因素。

管理员可以选择允许或禁止任何应用程序在企业网络上的使用。虽然这不会将其从移动设备上删除,而iNetSec也对于移动设备没有直接的控制,但其可以防止它们被用来传送文件或与受保护的网络交互。在管理员认为是极端的情况下,某些程序或恶意软件的存在可能引发设备访问网络的权限被立即拒绝。

具有讽刺意味的是,iNetSec采用地址解析协议欺骗(ARP Spoofing) 使得在紧急情况下,能够立即拒绝一款移动设备对于企业网络的访问,并且如果需要的话,也可以让他们稍后加入企业网络。ARP欺骗是攻击者有时所使用的一种技术,所以看到其被巧妙的使用,是相当有趣的。

除了监测应用程序,iNetSec还在网络中着眼于监测移动用户的流量模式。所以,如果有人使用自己的手机来移动文件或访问禁止区域,iNetSec可能会标记该行为。但是,如果没有涉及到真正的恶意软件或可疑应用程序的情况下,用户做这样也许是被允许的,也不会被iNetSec标记。

在现如今这个时代,很少有企业组织机构能够负担得起完全防止其用户采用自己的移动设备工作的成本了,甚至连最保守的企业都接受了某种形式的BYOD计划。但不可否认,移动设备的增加无疑为企业网络带来了对于安全问题和潜在的来自那些授权设备对于内部网络的威胁。这款iNetSec设备可以修补诸多安全漏洞,赋予企业网络管理员关于哪些用户和设备正在做着什么操作的清晰的视图,并且能够针对他们所察觉到的任何内部威胁立即作出反应。

本文作者约翰·布里登是一位拥有超过20年的业界相关经验、并屡获殊荣的评论家和演说家。目前,他是Tech Writers Bureau的CEO,该公司拥有一批有影响力的记者和作家写手,这些撰稿者均供职于政府机构和其他各行各业。各位读者可以通过jbreeden@techwritersbureau.com联系到他。

发表评论