forcepoint 700x150

SureView Insider Threat

用户行为分析:完全自动监控,防止内部威胁演变成大灾难

一直以来,当提到“内部威胁”这个词时,人们脑海中就会出现这样的画面:不怀好意的员工潜入黑暗的办公室,从中盗取公司的机密信息,以达到牟利或令公司蒙受无法弥补的损失的目的。事实上,这种恶意员工只是极少数,以上所说的那种情况可谓十年一遇甚至更少。真正的内部威胁是由于员工疏忽而造成的,这种威胁又称为“偶发威胁”。疏忽的员工会做出非常可疑的无知行为,进而引致安全风险。网络犯罪分子通过社交媒体和诈骗邮件接触这些员工,误导他们做出一些看似合法的行为, 而这样做实际上会让网络犯罪分子有机可乘,攻破公司网络的防御系统。

特点和优点 

  • 自 2001 年以来,一直是深受政府机构和财富 100 强企业信任的产品 
  • 行为分析可发现危险的用户,并深入地监控这些用户的行为(包括他们以往的行为) 
  • 全情景视频回放可快速辨别恶意行为和非恶意行为 
  • 通过以业务为中心的可定制策略保护个人隐私 
  • 从多个来源收集数据(其中包括 TRITON® AP-DATA) 
  • 防御无意的内部威胁和恶意 威胁 
  • 集成的企业级系统,无需购买并维护大量独立的软件应用程序
  • 独一无二的指纹识别解决方案 
  • 有口皆碑且稳定的轻负载代理 
  • 全新打造的内部威胁解决方案

无意的内部员工:真正的内部威胁 

员工做出疏忽行为的主要原因是缺乏安全意识。美国计算机行业协会 (CompTIA) 的一项调查显示,有 45% 的员工在工作中未接受过网络安全培训1。将近三分之二的员工经常用工作设备来从事个人活动(例如, 网上购物,处理网上银行业务和浏览社交媒体)。几乎所有员工都会将自己的设备连接到公共 Wi-Fi 网络,其中有 70% 的人会在连接了公共 Wi-Fi 网络的情况下调用与公司相关的数据。在 U 盘的使用方面,情况可能更吓人(见图 1)。

无意的内部威胁
  • 有 60% 的员工主要用可能存在安全风险的 U 盘在设备之间传输文件。
  • 有 35% 的员工曾经借过别人的 U 盘来传输文件。
  • 超过 20% 的员工会拿走别人在公共场所遗落的 U 盘。
  • 有高达 84% 的员工会将捡到的 U 盘插入到自己的其中一台工作设备上。

图 1. 资料来源:“Cyber Secure: The State of Employee Cybersecurity 2015,” CompTIA

1 https://www.comptia.org/resources/cyber-secure-a-look-at-employee-cybersecurity-habits-in-the-workplace

显然,虽然传统安全工具对于保障系统安全仍起着重要作用,但已不足以作为唯一的防护措施。企业需要采用相关技术应对人员疏忽,实现全天候监控用户的行为,无论用户何时何地连接到网络。然后,企业必须确定每种风险的优先级,并采取补救/缓解措施。

SUREVIEW INSIDER THREAT: 及早发现威胁,避免威胁演变成大灾难

SureView Insider Threat 通过为每个用户制定“正常”行为标准来识别危险行为。如此一来,企业可以发现偏离“正常”行为标准的情况,例如, 数据访问、工作时间、电子邮件活动等发生变化。这些异常情况是风险指标,预示着可能发生数据泄露事件。通过深入了解用户的行为,便可识别出危险的用户。 

SureView Insider Threat 可与 TRITON AP-DATA 以及多个企业数据源集成和关联,因此可帮助整个企业监控用户如何处理数据,从而检测出通常被忽视的无意内部威胁和恶意活动。将企业级数据源和行为分析结合起来,便可对用户活动进行深入调查。通过调查可发现, 有些活动单独看起来是正当的,但在特定情境下却可能导致代价高昂的数据泄露。 

SureView Insider Threat 于 2001 年作为内部威胁解决方案面世。不同于某些技术,该解决方案并不是其他产品的翻新改造, 而是完全的创新产品。SureView Insider Threat 的开发团队是一群专注于信息防护事业的领域专家。无论威胁事件是无意的还是有意的,亦或是介于这两者之间,SureView Insider Threat 都能够帮助企业全面了解情况并迅速识别出危险的内部用户,而所有这一切都会在保护员工隐私的前提下进行。

产品功能

  • 指挥中心:通过指挥中心,分析人员可以对其企业的风险水平一目了然:指挥中心会显示企业在 30 天里的整体风险趋势, 并将每日的危险用户汇总起来(图 2)。
  • 视频回放:视频回放可提供完整的近实时情景,以及有关用户工作站的大概情况。安全分析人员可以创建案例,无需技术管理人员或安全人员的协助便可轻松地共享数据和进行回放。
  • 识别威胁:SureView Insider Threat 预先配置了由 Forcepoint™ 的专家选出的策略;这些专家自 2001 年开始一直在为财富 100 强企业和众多政府机构实施内部威胁防御程序。这些策略自部署之日起即可保护企业免受内部威胁。
  • 保护公民自由:使用 The Policy Workbench(又称为“策略向导”)即可轻松地自定义和创建 SureView Insider Threat 的策略;用户可以通过这些策略指定需要收集哪些信息以及不需要收集哪些信息,以保护公民自由和个人隐私。
  • 独一无二的指纹识别功能: SureView Insider Threat 对于 企业的重要知识产权或敏感文档库具有强大的指纹识别功能。大多数技术只会对这些文档进行哈希算法处理,再将存储的哈希值与从企业网络传出的文件作比较。这个过程漏洞百出。只要有一个字改变甚至多了一个句号,更改的文档的哈希值就会有很大变化。因此,典型的检测方法需要复制整个文档来进行检测; 而 SureView Insider Threat 则能够检测出加了指纹的文档中任何一部分的细微变化。SureView Insider Threat 是一款基于使用点的发现工具,能够检测出企业的台式电脑/笔记本电脑中存在的有意或无意内部威胁。如此一来,相关人员就可以检测出员工有损企业安全的行为,并阻止敏感文档外泄,使这些文档无需加密或删除。
  • 低负载:分布式架构可减轻监控整个企业所需的处理负载。

图 2. 指挥中心 - 显示企业在 30 天里的风险趋势

Forcepoint SureView Insider Threat 可持续自动提供有关意外 活动或恶意活动的信息,从而使这些活动无所遁形。它能够有效地整合从其他系统和数据源发来的安全警报并确定这些警报的优先级, 从而提供丰富的历史记录情境和视频回放。SureView Insider Threat 相当于一个“预警系统”,能够从所有端点收集用户数据并确定危险行为。它会将活动记录下来供您回顾,使您获得关键的情景和证据以便及早阻止威胁,防止威胁演变成大灾难。

SUREVIEW INSIDER THREAT 可解决的主要问题

图 3. SureView Insider Threat 可解决的主要问题