APT Malware 外洩 網路攻擊 漏洞與弱點

  • IBM QRadar 使用者行為分析(UBA)

    運用機器學器(Machine Learning) 找出可疑的人員與帳號,防止「營業秘密」外洩

    基於不少重大外洩事件起源於內部員工,QRadar利用機器學習(Machine Learning)技術分析使用者與帳號行為,檢視企業內員工,甚至供應鏈中的外包合作廠商使用者行為模式,依據異常行為判斷內部機密資料是否已被竊取,以向管理人員發出警告,進而預防損失擴大。

     

    UBA Extension



    目前針對企業的攻擊行為有高達60%與內部威脅有關,當中又有約四分之一肇因於內部用戶的帳密遭釣魚網站或惡意程式竊取,透過行為模式分析,則可提供 異常使用行為示警,例如某員工首次或在過去未曾嘗試登入的位置登入一個儲存高價值資訊的內部系統,便會向管理人員發出警示通知,提醒加強注意。

    UBA Integration

     

    監視高風險活動,發現並管控內部威脅

    IBM QRadar User Behavior Analytics (UBA)用於全面深入地瞭解用戶異常行為和內部威脅,幫助企業輕鬆洞悉內部犯罪。該應用包含以用戶為中心的儀表板,按名稱顯示高風險使用者及其異常活動,以及與 QRadar相關的事件。只需按一下滑鼠即可將嫌疑人添加至觀察列表,或允許添加基於文本的注釋以說明觀察結果,還可以深入挖掘底層的日誌和網路行為資料。

    IBM QRadar User Behavior Analytics (UBA)幫助企業輕鬆全面瞭解可能是內部威脅的個人用戶和異常行為,在與SIEM相同的管理介面上,添加了一個以用戶為中心的視圖,應用元件包括受監控使用者的數量、高風險用戶、風險類別、安全事件和攻擊行為、系統狀態以及使用者觀察清單,並依據不同行為進行風險權重加權。

    IBM QRadar UBA 該系統包含三大部分,分別是協助分析並為員工行為風險評分的風險分析概覽、優先排序行為分析儀表板,以及強化既有QRadar安全資料等。

    IBM QRadar User Behavior Analytics (UBA) 使用者風險儀表板

    IBM QRadar UBA 能快速偵測各種異常行為

    UBA 1

    Machine Learning 找出偏離之行為

    UBA MachineLearning

     

    為何需要使用 IBM QRadar User Behavior Analytics

    內部威脅占到企業所遭受安全攻擊的大約 60%,其中許多情況是由於內部員工、合同工或合作夥伴成為網路釣魚攻擊或其他攻擊的受害者,而使營業祕密外洩案逐年增加。

    例如,當用戶使用特權帳戶在新位置第一次登入到高價值的伺服器時,這種新的用戶行為分析應用會向分析人員發出警報。由於 UBA應用解決方案建立了正常用戶行為的基線,因此所有明顯偏離該基線的異常模式都無所遁形。

    內部威脅占到企業所遭受安全攻擊的大約 60%

    IBM QRadar User Behavior Analytics有哪些優點?

    擴展了 IBM QRadar Security Intelligence Platform的功能

    • 包含全新的整合儀表板
    • 結合了用戶行為分析功能
    • 幫助安全分析人員洞悉個人用戶和異常行為

    應對內部威脅

    • 防止惡意的內部人員和網路罪犯
    • 及早發現營業機密資料的非法存取
    • 以用戶為重點,檢查異常行為、威脅以及資料洩露情況
    • 全面深入地瞭解高風險用戶及其行為

    提高安全分析人員的工作效率

    • 計算風險分數,對高風險使用者進行排名
    • 使用 QRadar收集的資料,應用現成可用的新行為規則和分析
    • 顯示安全攻擊所涉及的日誌與流資料
    • 檢測異常行為,建立用戶觀察列表
    • 在新的 QRadar選項卡和儀表板中按使用者顯示結果
    • 事件響應解決方案整合,更快地形成閉環
    • 佈署後幾乎立即可以產生結果
  • 美國全國餐館協會透過QRadar提升安全性服務

    原文:  National Restaurant Association Serves Up Security

     

    高級持續性威脅繼續肆虐整個全球網絡,使全國餐館協會正在下沉的牙齒到新的技術,以保證安全。

    作為世界上最大規模的宣傳組食品服務行業,國家餐飲協會的高調所說的那樣在危險中為網絡攻擊。隨著對未來的眼睛,非營利性的,它支持近50萬餐飲業,是採用頂級技術的發展和安全地為會員服務。

    在全國餐館協會是食品安全的教育,透過其ServSafe食品安全培訓項目的領先提供商,為餐飲服務行業。該方案最近在網上消失了,透過其食品保護管理認證考試認證的400多萬食品服務專業人員。該協會的電子學習平台上的活動已經增長了9%的年增長率。20141萬名學生使用的在線系統

    CIO埃德·貝克決定是時候把它安到一個新的水平,他贏得了協會的高層管理人員直接支持。

    我們做的一切技術包裹我們的業務圍繞更好地服務於我們的客戶,貝克說,並指出,該組織的掌握(但不存儲)信用卡號碼,個人身份資訊及保​​密會員資料。我們如何保證客戶的一致流向我們的網站透過確保人,他們的安全感與我們互動合作的企業。我們總是會竭盡所能,給他們心靈的和平。

    該協會長期以來為滿足網絡安全的行業標準,但貝克成為由主要零售商近期的襲擊感到震驚。他決定日益進取的威脅環境需要,基於標準與技術研究所的國家設定的框架,他的組織主動升級為​​一個安全解決方案。

    最終,我們一直在尋找一種方式來更好地抵禦高級持續性威脅 [APT]保衛​​克說。除了病毒和惡意軟件,這些事情可以妥協,取下來的網絡。

    貝克和他的IT團隊決定做一個頂級的企業級解決方案,它包括三項FireEyeNX4000安全設備和IBM QRadar安全和資訊事件管理(SIEM系統顯著的投資。

    4000000

    由食品保護管理認證考試認證的食品服務的專業人員數量

    資料來源:國家餐館協會

    設置一個基金會

    當貝克把IT團隊在全國餐館協會的掌舵人在2012年,升級安全榮登他待辦事項列表還沒等他往前走,雖然,他需要加強該組織的底層IT基礎設施。

    全國餐館協會的第一步是建立一個新的託管設施,以加強其災難恢復能力。然後,他們升級在芝加哥和華盛頓特區協會的網絡,添加Cisco UCS刀片服務器,Check Point的防火牆,Cisco Catalyst交換機,靈活的存儲和額外的頻寬,以更好地服務於越來越多的在線客戶。

    2014年初,貝克和他的團隊開始研究了加強的安全解決方案的選擇。他們的要求是具體的:不僅在工具需要檢測,定位,管理和保護的APT,但他們也必須是與VMware兼容,方便使用。

    貝克選擇了他認為是一個強大的解決方案: FireEye的和IBM QRadar FireEye的網絡檢測系統是一個改變遊戲規則的網絡安全性,因為它可以防止,檢測和響應網絡化,零日漏洞的企圖。它還抵禦網絡偷渡式下載和先進的惡意軟件的攻擊。

    這些類型的攻擊可以輕鬆繞過默默常規防禦,這只能由他們的簽名檢測威脅。相比之下,FireEye的依賴於定期更新的虛擬數據分析來識別和阻止新類型的惡意威脅 -第一次檢測到任何異常的代碼或過程。

    “FireEye的是盡可能接近你可以得到消除,你完全的保護,從惡意軟件的角度來看都懷疑,因為它超出了防火牆和所有的傳統防禦大多數人通常有”CDW安全專家查德·莫里斯說。這真是當今的行業標準。

    QRadar SIEM系統補充FireEye的提供貝克和他的團隊提供即時可視性,從服務器,防火牆和其他組件的日誌數據,包括報警功能。 “QRadar允許,如果FireEye的發現問題,我們迅速做出反應,而且還有助於我們改進我們的轉移和調整的表現能力,貝克說,並指出他選擇從QRadar幾大主導產品,因為它的界面效果很好在VMware環境中。

    獲得商業利益

    莫里斯特點的新的安全解決方案,為forward thinkingfull-bore

    這兩種產品 (FireeyeQRADAR)一起為他們提供了一個更為有效的威脅管理能力,因為他們所看到的一切所有不同的出口,從環境的各個方面,他解釋說。每一個放大了其他的值

    降低風險

    去年夏天,美國國家餐館協會安裝了FireEyeNX4400設備在每個辦公室,並在主機託管場所,或者貝克所描述的那樣,每個點的周長。

    FireEye的設備幾乎即插即用,但QRadar系統涉及一個陡峭的學習曲線,主要是因為有這麼多的數據,現在正在收集,貝克說。

    很顯然,在整個行業中廣為人知的IT安全問題是非常關注的我們,馬文厄比,全國餐館協會首席行政和財務官。我們的會員和客戶希望他們的資訊與誠信度最高的管理。我很高興地加強在這一領域我們的能力。

    由於投入到位,新的解決方案,在全國餐館協會一直享有顯著減少的風險,同時獲得了普遍的安全威脅今天怎麼有一個了解。

    你可以不打你不知道的東西,隱藏的威脅是,在我看來,每個人的單一最大威脅貝克說。但是從我們安裝了這個解決方案的那一刻,就開始凸顯不僅僅是我們需要應對的威脅 -這也幫助我們積極尋求走出去,去的潛在威脅後

    該解決方案還可以幫助IT團隊培訓員工和客戶約在固有聯機工作的風險。貝克舉了一個例子:員工看到,並決定點擊廣告許諾一杯免費咖啡;該廣告可能是一個網絡釣魚,但也可能包含APT

    他們點擊它的那一刻,系統會自動提醒我們,隔離他們的系統,貝克說。現在,我們可以進去和他們交談:你看,如果在有FireEye的沒有抓到這就是可能發生所以希望,他們將學會從和修改他們的行為,在未來

    令人欣慰的成員

    該協會決定投資一個頂級的安全解決方案已經在提供回報。增強的安全性解決方案,也可作為在市場上區別。雖然全國餐館協會是一個高調的非營利性組織,它仍然競爭與其他協會和食品安全認證的公司,為客戶。

    安全正在迅速成為一個首要標準為每一位主要服務及零售業務採用聯想的服務,貝克說。

    越來越多,如果你的合作夥伴和客戶想了解你的總的安全級別,如果你是不是他們認為你是應該的,他們不希望自己的系統上的員工,貝克說。他們不只是在尋找一種產品,給他們最好的價值,而且風險最小

    憑藉其新的安全的地方,現在的解決方案,在全國餐館協會可以減輕其客戶可能有任何顧慮。我們可以說一個非常大的客戶,我們不僅是PCI安全,但我們超越了,在地方放一個頂級的安全解決方案和流程,'再談談我們做什麼,我們如何做到這一點,貝克說。這有助於他們看到我們把表從安全角度看的價值。

    如何準備才能成功

    投資頂級安全設備和日誌管理軟件是一個偉大的第一步,但還不夠,全國餐館協會首席資訊官埃德·貝克說。

    企業還必須很好地管理風險和安全漏洞的事件迅速作出反應。

    美國國家餐館協會採取了以下措施,進一步保障其IT環境:

    優先級的安全性:很多人認為安全是網絡的一個方面,但不是貝克。越多我已經參與了投入組成部件,以提高我們的安全性,更多的我見過,它需要獨立的,它需要被看作是一個自我持續的整體環境,而不是附加,他說。

    建立一個新的位置是:為了確保安全性保持其獨特的地位,貝克創造了一個新的職位-資訊安全和風險總監-即直接向首席資訊官,其唯一的責任是保障,​​克說。

    準備問題:諮詢了機構的法律顧問,IT團隊建立安全審查過程的所有系統和部件,並設計和發布了詳細的事故應急預案。當事情出錯,你需要有一個過程到位,使人們可以參與,而不是浪費寶貴的時間搞清楚什麼做的,貝克說。