神刀安全网

黑客要小心了!有平台从用户行为异常检测切入,给银行、联通开了“天眼”,伸手就能剁爪

黑客要小心了!有平台从用户行为异常检测切入,给银行、联通开了“天眼”,伸手就能剁爪

2014年成立的瀚思(HanSight)是一家大数据安全分析平台,为企业信息管理提供日志搜索举证,能够侦测到外部黑客攻击和高级的、隐秘的低频次内外部攻击。创立当天就拿到了光速中国创投(LightSpeed)数百万美元的天使投资,近期将拿到A轮融资。

瀚思超过9成员工都是工程师、数据分析师和安全研究员,联合创始人董昕专业技术创业两不误,曾在微软工作5年,后成为云基地旗下超云公司的联合创始人。

董昕告诉创业邦(微信搜索:ichuangyebang),目前的翰思的客户包括招商银行、建设银行、中国联通、大唐电信、公安税务等对IT重度依赖的企业和机构。

从传统被动防御转向主动智能抵御

董昕说,传统以防御为核心的安全策略已经过时,信息安全正在变成一个大数据分析问题。

世界500强的企业,安全设备每天产生的报警就多达30万条,这些报警信息中,哪个是低优先级,哪个是高优先级,仅靠传统的防火墙、杀毒、扫描等方式显然不够,甚至出现错报、误报和漏报。

“此外,外部攻击手段也在提升。”董昕说,“比如一个家庭的安全防护可以靠门和锁,进出凭钥匙,但企业发展成为一个大型超市乃至空间开放的城市时,通过摄像头来监控安全就成为必须。”

瀚思就是要成为企业安全防护中的“摄像头”,建立一个全面、立体、主动的监控体系,而大数据+中控是核心。

用大数据驱动安全

董昕说,假设我们企业所处的信息环境是不安全的,企业就要对所有互联网行为进行检测,如果可以提前预测、计算、检测,就能适时发现异常行为,并通过对所有异常行为进行分析,最终得到响应,将危险扼杀在摇篮中。

瀚思主要从三个方面来实现大数据驱动安全的最终目的:

1.数据采集全面完整

董昕说,要保证分析结果的精准,数据源的采集就必须全面。

瀚思产品监控的是三样数据:日志、网络流量、权量抓包。

数据采集方面,瀚思自带的日志采集器,可以获取企业内部网络与安全设备日志、操作系统日志、应用日志、数据库日志或任何有时间戳的数据源,并以非格式化或半格式化抓取原始数据,保证数据信息的完整性。同时,瀚思也支持对网络流的采集。

权量抓包则以企业所有的对外数据的出口为采集对象,保证采集信息的全面性。

董昕说,这三个量级是分级的,层次递次扩大,瀚思现在主要是采集日志数据,采集数据源会随着企业量级的增加而变动。

2.数据存储量级增加

服务器、网络流量、防火墙等每天产生海量的数据信息,还包括对历史数据的保存。瀚思可以查询过去超过一月的数据信息,管理数百TB的数据量。

以招商银行为例,之前只能溯源追踪过去10个小时的网银数据,通过瀚思则能追踪到过去3个月,同时管理每天10亿条新增数据量级。

3.安全智能分析和多途径可视化呈现

“大数据分析的数据源可能相似,但垂直分析的目标不同,将导致最终数据视角、建模模型的迥异,并最终呈现不一样的结果。”

企业信息安全,在安全事件发生之前,无法提前预知,常规的算法和建模并不适用,因此要靠机器的自主学习,来实现数据的分类。

在将数据行为进行异常类、正常类、少数异常的正常类等分类之后,一旦出现异常数据,企业管理人员就能实时侦别,发出预警,及时做出反映。

创业邦(微信搜索:ichuangyebang)了解到,瀚思产品根据不同的维度,提供可视化的时序分析、关联分析、聚类分析、图分析等,一张图上可视化每类的每天变化情况,用户可精确定位到具体IP、目的端口、时间。

以算法处理后的海量IP的长周期通讯模式图为例,用户从图上可以看出今天的某IP流量变动,然后会知道高出来的究竟是哪些,是否正常,如果不正常的话,可以及时发现开始的时间点,找到源头然后进行处理。

以以上为基础,瀚思的“摄像头”监测从两个方向切入:

第一是异常检测

第二是用户行为分析

举例来说,企业同一个部门的员工,日志记录基本雷同,也就是说,根据大数据采集,在可视图表中的行为表现应该基本保持一致,如果行为不一样,就表明可能存在问题。瀚思产品会对异常进行追踪,包括对历史数据的溯源,数量越大越能更加精确的判定是否是潜在的威胁。

比如常见的“撞库”,当用户密码泄,被盗窃者拿去其他电子金融账户,模拟真实用户登录时,瀚思产品就能在多维度建模后的运维中,发现异常行为。董昕说,很多账户资金被盗事件与“撞库”成功与否有直接关联。

未来的发展将是三位一体

董昕对创业邦(微信搜索:ichuangyebang)说,未来瀚思要三位一体发展。

第一,算法的研究和产品升级,对产品进行“云化”,通过云化来服务中大小型企业,扩展用户。

第二,安全威胁情报库,通过一系列的安全情报报告,适时监控和预测全网的网站域名,将潜在的威胁量化,提供安全预警。

第三,SaaS服务的交付,用户场景最小化,支持标准化硬件。

转载本站任何文章请注明:转载至神刀安全网,谢谢神刀安全网 » 黑客要小心了!有平台从用户行为异常检测切入,给银行、联通开了“天眼”,伸手就能剁爪

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
分享按钮