kelalaka
2018-11-07 17:27:42 UTC
在一次研討會中,蜂箱:用於檢測企業網絡中可疑活動的大規模日誌分析的作者之一表示,該系統可以防止像Snowden這樣的行為。
從他們的文章結論中得出結論;
Beehive改進了基於簽名的方法來檢測安全事件。相反,它會根據行為分析在主機中標記可疑的安全事件。在我們的評估中,Beehive檢測到了惡意軟件感染和違反策略的行為,而現有的,最新的安全工具和個人並未註意到這些行為。
Beehive或類似系統能否阻止Snowden類型行動嗎?
簡單答案:不,當然可以。斯諾登(Snowden)是具有特權訪問權限並有權批量下載內容的人(他是系統管理員)。
但是在訓練案例中,他們根據自己的行為為每個人建模。因此,在培訓之後,大量下載將是一種行為更改,將產生警報信號。
@kelalaka在培訓期間是否進行了大規模下載。
除非大規模下載是1)不常見和2),否則無法僅限制下載。
為什麼“大量下載”甚至被認為是可疑的。我的第一個想法是,在日常使用過程中會有不斷的“大量”下載。什麼是批量下載?1 MB?500 MB?5 GB?500 GB?...
@Croll如果您的組織有100萬個文件,那麼任何人可能都不需要訪問那麼多文件即可完成工作(大多數文件與他們的工作無關)。如果有人在一兩天內開始嘗試下載全部一百萬,那是可疑的。在那一百萬人中,即使很小的比例也可能是可疑的。一百萬個文件中的1%是10,000個文件。在您的組織中有多少人需要在48小時內訪問10,000個文件才能完成工作?很少(如果有)。
在我作為程序員的工作中,我有一點“獎勵”,因為我在這里工作的三年中接觸了我們代碼的0.0001%,這比很多員工多。
@forest但是數據最終存儲在不安全的驅動器上。是否有可能看到批量下載的位置(或批量複製粘貼)。
@AnthonyGrist-我定期處理大量文件-例如如今,一個批處理的價格約為79,000。是的,我必須在系統zip存檔附近移動它們,等等。
@forest我看不到你的意思。因為他是系統管理員,所以對機密文件的任何訪問都應該觸發警報!他的工作不是閱讀文檔,而是使系統正常運行。當然,只有當他們必須將數據存儲轉移到不同的系統時,這種行為才會合法發生的唯一情況是,在這種情況下,系統會通知SOC,並且可以消除在這些操作期間觸發的巨大危險信號。
這個問題的標題和正文之間存在衝突。標題說:“蜂巢可以檢測到像斯諾登這樣的演員嗎?”最後的問題是“蜂巢或類似系統能否阻止斯諾登式動作?”這是兩個不同的問題,因為檢測到某事物意味著已發生,而阻止某事物意味著其從未發生過。