深信服AC-1000-B3300全网行为管理

内部安全事件频发

特斯拉

2019年6月，指控了一名前员工Martin Tripp，称其编写了侵入特斯拉制造操作系统的软件，并将几个GB的特斯拉数据传输给外部实体。除此之外，特斯拉还声称Tripp编写了计算机代码，定期将特斯拉的数据输出给公司以外的人。

乌克兰某核电站

乌克兰南部的核电站出现严重安全事故，数名雇员将核电厂内部网络连上了公共网络，以供其挖掘加密货币。此次事故被列为泄露事故。

温州多家医院

温州一团伙利用医院的自助服务电脑，悄悄拔下网线，然后使用自己的电脑，连入医院的内网，窃取省内多家医院“统方”，短短四年便获利700多万元。

大量的安全事件来自于内部违规行为

对于内部人员风险的担忧

90%的组织觉得自己很容易受到内部攻击。主要的风险因素包括拥有过多访问权限的用户(37%)、能够访问敏感数据的设备越来越多(36%)，以及日益复杂的信息技术(35%)。

大多数组织遭受过内网攻击

53%的受访者证实，他们的组织在过去12个月内遭到内部攻击(通常少于5次)。27%的组织表示，内部攻击变得更加频繁。

组织需要加强内网安全监测与防护

组织正将注意力转移到内部威胁的检测上(64%)，其次是以分析和事后取证(49%)。用户行为监控的使用正在加速;94%的署了一些监视用户的方法，93%的组织监视对敏感数据的访问。

内网威胁防护投入增加

绝大多数(86%)的组织已经或正在建立内部威胁系统及项目。36%的组织有一个正式的内网威胁防御体系来应对内部攻击，另外30%组织单位有计划加强对于内网威胁防护投入。

信息安全的木桶效应：内部威胁VS外部攻击

内部人员风险

内部人员带来的威胁，隐蔽强，危害大

重视度低，缺乏控制手段

外部网络攻击

由外部发起，攻击类型、手段多种多样

高度重视，防护手段完善

内部违规行为缺乏有效管控成为企业业务安全的短板

IT架构和安全态势的改变

多云环境和接入设备多样化，网络边界模糊，内部威胁挑战呈指数级提升

企业面临的内部风险及挑战

看不清是谁，抓不住异常行为，不了解风险在哪，最终给组织带来各类威胁

难以识别内部人员身份

缺乏安全的网络接入控制，非法人员和不安全终端可轻易接入组织内网

随身Wi-Fi、代理访问等网络共享行为，将内网暴露，更容易被非法用户入侵

无法看清异常行为风险

缺乏针对内部的用户行为分析手段，无法及时发现各种风险，如工作效率低下、越权访问、数据窃取、外发等

难以管控各种网络行为

互联网应用不断发展，加密应用、SAAS业务、移动APP等技术增加管控难度

内网被视为安全域，缺少针对内网行为的权限管控和行为检测手段

缺少全局行为管理和运营

人员网络行为是完整连续过程，包含互联网行为、内网行为、终端行为，割裂的行为管控，无法看到全局的行为风险

如何构建全网行为管理

产品定位

从入网、内部操作到出网整个流程，从用户、终端、行为、数据UEBD四个维度构建完整的全网行为管控思路。

针对不同用户、不同终端对象及环境做分级分权的访问权限

全网行为管理的工作流程

全网行为管理平台技术架构

四大核心能力

准入准出统一认证

全网行为权限管控

以身份为中心的权限划分，实现全网行为的可视可控

全网行为审计可视

全网行为风险分析

全网行为风险可视化呈现