本篇为数据安全-安全技术下篇,简单介绍了UEBA、安全审计、API风险管理等方面,本系列后续将详细对各种数据安全产品化好的开源项目继续深挖解析,争取让观众老爷们看完之后,会有所收获
数据安全技术前两篇:
UEBA
基本分析方法(利用签名的规则、模式匹配、简单统计、阈值等)和高级分析方法(监督和无监督的机器学习等),用打包分析来评估用户和其他实体(主机、应用程序、网络、数据库等),发现与用户(或实体)的标准画像(或行为)相异的活动。这些活动包括受信内部或第三方人员对系统的异常访问(用户异常),以及外部攻击者绕过安全控制措施的入侵(异常用户);用于发现内鬼,监控抓获内部数据泄漏者
核心三模块:数据中心,场景分析(算法分析)层和场景应用层
1数据中心:实现分析相关数据的集中采集、标准化、存储、全文检索、统一分析、数据共享及安全数据治理,具备数据自动识别、智能解析、用户和实体行为捕获,以及威胁情报关联碰撞和管理等数据治理能力
1场景分析层:UEBA分析引擎和内置分析场景,辅助客户根据实际网络环境想定的异常场景进行建模分析,提供基于实体内容的上下文关联、基于用户行为的时空关联分析能力
1场景应用层:为客户提供用户总体风险分析、账户风险评分、单用户行为画像、用户群体画像、异常行为溯源,以及用户行为异常场景建模等功能,具备特征权重调整、风险自动衰减,以及自动化学习运维人员反馈等智能机制,同时提供原始日志、标准化日志及用户异常行为的快速检索与即席查询功能
UEBA功能架构图
UEBA部署架构
UEBA效果 内部人员行为画像
数据审计
基于对数据库传输协议深度解析的基础上进行风险识别和告警通知的系统,对主流数据库系统的访问行为进行实时审计,让数据库的访问行为变得可见、可查、可溯源、可监控告警;其区别于UEBA的点在于不仅仅是可以抓内鬼、也可以快速止血服务造成的数据泄漏
数据审计系统产品功能框架
1流量输入层:确保各种数据库流量接入,并筛选掉不可用流量
1协议解析层:解析各种数据库流量的协议,变成统一标准化的有效输入信息,提取数据库名称、SQL语句、客户端信息等等
1规则引擎:可使用基于有限状态机(Deterministic Finite Automaton,简称DFA)的AC算法进行匹配,实现多条安全规则只需进行一次匹配,实现了高效的规则匹配
1数据入库:审计日志标准化存储到日志
1数据输出模块:提供了Web端查询功能,并且还可以将这些日志信息通过syslog、Kafka的方式将日志发送到第三方的平台
1系统管理:包含用户权限管理、规则模块、状态监控等等
API风险
API风险监测系统架构图
核心模块:数据采集、数据加工、数据分析、数据开放、数据存储
1数据采集:采集请求流量、代码仓库、网关配置、API管理平台、访问日志等结合白盒代码审计、流量分析、基础配置获取API接口信息
1数据加工:将API接口信息进行归一化处理,例如/api/v1/user/1 归一化后为/api/v1/user/{param},
1数据分析:通过基础API接口,关联waf、风控、soc、威胁感知等产品聚合信息,建立全面安全感知及解决能力
1数据开放:通过UI及OpenAPI将信息赋能于各业务线,由业务线安全同学负责精细化运营
1数据存储:将基础资产、风险告警等信息进行统一化存储
API风险管理系统绝对会是一个比较好的产品,能够更细粒度把控安全,从细粒度到广粒度来衡量资产的安全覆盖率、攻击面等,能够有效解决传统web安全以及数据安全
原文始发于微信公众号(暴暴的皮卡丘):数据安全(5)- 安全技术原理下篇
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论