伴随着信息化的不断发展,现今社会正逐渐步入大数据时代,各大企业对信息技术的依赖程度也越来越高,各类信息安全问题接踵而至。早在几年前,全球最大的社交编程及代码托管网站 GitHub 就曾因数据外泄事件,导致大量企业的机密信息被泄露,带来了严重的损失。
对于金融行业来说,信息安全更是关乎企业的生存与经营的成败,两年前,引起无数人关注的“ 257 万条银行个人信息泄露”事件,正是由于工作人员利用非工作时间监管漏洞,使用非法软件在银行内网大肆窃取公民个人银行征信报告多达 120 余万份,导致了极其严重的社会影响。当前,越来越多的金融企业都已将信息安全视同资金安全,看作是金融机构的生命,对于信息安全事件绝对秉承着零容忍的态度。
对此,业内不断通过技术手段进行层层安全防护,以保证用户信息安全。但随着科技水平的不断革新,新的安全威胁纷纷涌现,针对金融用户信息安全的犯罪案件呈逐年上升趋势,来自企业外部和内部的信息安全风险不断增加,为金融行业带来了新的挑战。
一、用户信息安全威胁现状
随着移动办公的普及,工作人员使用智能移动终端查看、下载企业客户信息数据,以及把个人设备接入到企业终端办公已成为日常工作常态。但也正是由于此类操作的日益增多,使得金融企业用户信息安全和数据安全面临的威胁与日俱增。通常,当前金融企业面临的典型用户信息安全威胁如下:
- 员工使用个人电脑和企业工作站之间进行文件传输,导致涉密信息被趁机带走。
- 员工为了方便个人使用,把企业信息上传到网盘、云端或者托管平台,直接导致企业信息数据被爆光。
因此,借助一定的制度审核和管控工具,对移动设备的使用以及在终端查看文件的行为进行规范和审计,已经成为当下金融企业规避信息安全上述人为风险与系统风险的一种趋势。
二、信息安全风险分析
我们知道,金融企业的安全行为日志一般会存储于多个安全设备,数据分散且设备日志格式迥异,安全部门往往需要面对海量日志数据,这为日常运维管理分析工作带来诸多不便。当前,企业安全部门需从多个维度对用户信息进行安全保障,其中,最常见的场景即为识别各种违规操作。
❀ 内部员工账号异地登录行为(包括区域、他人终端等)。
❀ 内部员工账号敏感时段操作行为(包括日常非工作时间、周末假期时间等)。
对于此类违规操作行为,原始的处理方法如下:
企业安全部门在排查上述安全事件时,需分别登录到不同的安全设备,查看成千上万行访问日志,再与其他准入设备反复确认相关业务人员信息。
此种处理方法存在诸多弊端:
❀ 面对海量且存储分散的日志数据,采用人工定位异常的方式,耗时非常严重,效率低下。
❀ 此方法多用于客户信息泄露事件被动发现,不能及时止损。
针对原始处理方法的弊端,金融企业安全部门迫切希望通过更加智能的日志分析方案,解决上述日志存储分散、日志格式迥异、事件监控工作被动和定位根因困难且效率低下等问题。
三、日志易解决方案
当今,越来越多的企业采用 UEBA(User Entity Behavior Analytics,用户端点行为审计)识别信息安全威胁,保障企业客户信息与资料的安全。而UEBA的工作原理为:使用先进的机器学习算法为用户或系统定期执行的某些活动建立一个基准,进而识别和警报表明偏离这个基准的行为异常情况。
日志易作为业内成熟的日志分析产品,依托对用户端点行为的审计,使用机器学习和专有算法检测异常行为,并将该行为与企业其他员工及整个所属部门的行为进行比较,确定是否存在任何相关的违规操作,并识别违规的企业用户信息具有的价值。由此,针对金融企业安全部门的需求提出以下方案:
1、解决集中存储问题
金融企业大多安全日志和应用日志分散在各个安全设备和服务器上,杂乱无章,无法集中管理。可通过日志易日志集中管理平台收集汇聚 A、B、C 等日志,实现统一集中检索。
❀ 检索某网络安全设备 A 日志,检索框输入 appname:A 即可。
❀ 检索某网络安全设备 B 日志,检索框输入 appname:B 即可。
❀ 检索某业务应用 C 日志,检索框输入 appname:C 即可。
通过日志管理平台统一收集、管理日志后,安全部门工作人员不再需要登录每台设备服务器,只需直接在日志平台检索查看所有网络设备接入的日志即可,效率大大提升。
2、解决格式迥异问题
针对集中管理的海量日志,日志易会进一步通过平台进行规则化处理,形成格式规范、可视化的日志数据。
员工基础信息表
日志易将准入设备日志进行规则化处理,提取员工办公终端设备的 IP 地址(包括手机、电脑、平板终端等设备)、MAC 地址以及员工账号、部门、角色,生成员工基础表 A,如下图所示。
单一日志来源信息不全会导致统计的员工基础信息表不完整,可通过日志易对身份统一认证管理平台日志的分析,提取账号、姓名、电话、邮箱、业务系统等信息,形成员工基础表 B,如下图所示。
员工基础总表
通过员工基础信息表 A 和员工基础信息表 B 的账号关联,使用 SPL 语句生成员工基础总表,涵盖员工账号、姓名、邮箱、设备 MAC 地址、设备 IP 地址、部门、角色、业务系统。员工基础总表 C,如下图所示。
X X 业务信息表
日志易通过采集 XX 系统日志和数据库日志,提取相应业务人员的操作行为,包括导出、更新、删除等操作类型,生成业务系统信息表 D ,如下图所示。
3、解决违规行为识别问题
金融企业的日常运营工作,要从业务中下载客户敏感隐私文件的操作行为,既有正常下载,也有违规下载,但这些是无法通过单一日志区别开的。因此,日志易需要将业务信息表和员工基础总表进行串联分析,使用 SPL 语句分析安全部门比较关注的问题。
识别异常账号下载行为
首先,通过日志易将解析出的业务信息表 D 与员工基础总表 C 中的设备 IP 字段的一致性进行关联分析;其次,将员工基础总表 C 中的姓名字段与业务人员进行比对,如果出现不一致的情况,则视为异常账号下载行为。
识别他人终端非法登陆行为
首先,通过日志易将解析出的业务信息表 D 与员工基础总表 C 中的设备IP 字段的一致性进行关联分析;其次,将员工基础总表 C 中的账号字段与业务人员账号(业务人员账号被重命名为违规账号)进行比对,如果出现不一致的情况,则视为他人终端非法登录行为。
识别敏感时段登陆行为
日志易通过业务系统中日志记录的登录时间,将上午 8 点以前,晚上 6 点后,以及周末和节假日定义为非工作时间段。对时间字段进行格式化判断,如果在定义以外的时间出现登录行为,则视为敏感时段违规登录行为。
通常情况下,企业安全部门会希望通过员工行为的一些蛛丝马迹,预测这些违规行为可能对公司造成的严重影响,从而对这类安全事件进行提前预防或抑制,进一步避免客户信息泄露事件对公司造成的直接或间接损失。
此外,日志易不仅可以根据金融行业内部机构的需求,提供保证企业用户信息安全的解决方案,还能对相关核心日志进行深度挖掘与分析,完成日志结构化解析,将运营数据转化为可视化指标,满足运维部门、业务部门和安全部门更多的经营决策需求。
400-085-0159 contact@yottabyte.cn 北京市朝阳区望京阜通西大街 望京SOHO T1-B座-2601
