利用数据分析提高内部威胁防范能力 • 董靖 网康慧眼云首席架构师 思睿嘉得 总裁 那些关于内部威胁的噱头热词 无处不见的高大上新技术 Visualization Big Data Behavioral Analytics 概念离落地成功还很遥远… 思睿嘉得 提高内部威胁防范能力 – 行动计划 • 有的放矢 – 节制采集有效线索 • 循名覈实 – 语义理解预警威胁 • 数往知来 – 参照案例建立模型 • 操奇计赢 – 先进技术自动猎捕 行动要点（一） • 有的放矢 – 节制采集有效线索 • 循名覈实 – 语义理解预警威胁 • 数往知来 – 参照案例建立模型 • 操奇计赢 – 先进技术自动猎捕 如果你听从专家建议…将这些数据全部采集 思睿嘉得 如果你听从专家建议…对海量日志做行为分析 海量终端系统日志 思睿嘉得 相信  海量日志关联分析发现未知威胁 ?  不管什么来源的数据都采集进来自然有价值 …我也不知道这些数据能有什么用  只要数据够大就肯定能关联分析出威胁 …怎么处理数据做关联我也不知道,大家都这么说肯定没错  机器学习和行为分析有很好效果 …我听说公司内有人能跑起来开源算法库 思睿嘉得 用户行为分析需要对数据有效降维 日志条数/终端·天 50,000 • 海量数据存储和计算的成本 • 日志处理和挖掘的难度 • 网络和服务器的负担 • 行为基线难以归纳 100x • 异常侦测模式复杂 使用内容与情境 500 全日志 实现有效降维 敏感数据相关 思睿嘉得 根据内容和情境降维，显著降低数据分析难度 场景：降维后可视化特权用户使用关键数据行为的实例 服务器下载关键数据行为 关键文档传输行为 思睿嘉得 行动要点（二） • 有的放矢 – 节制采集有效线索 • 循名覈实 – 语义理解预警威胁 • 数往知来 – 参照案例建立模型 • 操奇计赢 – 先进技术自动猎捕 内部威胁实践的第一准则 以  用 户 ( 人 ) 为 终 极 分 析 对 象 • 改变以 事件为主的惯常做法 • 预警和检测同样重要 • 员工心理活动成为重要指标 思睿嘉得 在内部邮件中发现员工心理风险 From: Hu, Rui [mailto:Hu_Rui@emc.com] Sent: 2006年4月10日 13:48 To: Loke, Soon Choo Cc: China All (Beijing); China All (Chengdu); China All (Guangzhou); China All (Shanghai); Lai, Sharon Subject: FW: Do not assume or take things for granted Soon Choo, 首先，我做这件事是完全正确的，我锁门是从安全角度上考虑的，北京这里不是没有丢过东西， 如果一旦丢了东西，我无法承担这个责任。 其次，你有钥匙，你自己忘了带，还要说别人不对。造成这件事的主要原因都是你自己，不要把 自己的错误转移到别人的身上。 第三， 你无权干涉和控制我的私人时间，我一天就8小时工作时间，请你记住中午和晚上下班的 时间都是我的私人时间。 第四，从到EMC的第一天到现在为止，我工作尽职尽责，也加过很多次的班，我也没有任何怨 言，但是如果你们要求我加班是为了工作以外的事情，我无法做到。 第五，虽然咱们是上下级的关系，也请你注重一下你说话的语气，这是做人最基本的礼貌问题。 第六，我要在这强调一下，我并没有猜想或者假定什么，因为我没有这个时间也没有这个必要。 _____________________________________________ 愤怒时发泄 情绪的邮件 向外界发送恶意 诋毁公司的内容 恶意中伤或 攻击性用词 From: Loke, Soon Choo 对公司制度和业 Sent: Saturday, April 08, 2006 1:13 AM 务的冷嘲热讽 To: Hu, Rui Cc: Ng, Padel; Ma, Stanley; Zhou, Simon; Lai, Sharon Subject: Do not assume or take things for granted Rebecca, I just told you not to assume or take things for granted on Tuesday and you locked me out of my office this evening when all my things are all still in the office 讨论不恰当 because you assume I have my office key on my person. 的私人事务 With immediate effect, you do not leave the office until you have checked with all the managers you support - this is for the lunch hour as well as at end of day, OK? 思睿嘉得 在员工社交媒体中检测负面言论 不满当前状况想离开 被猎头说服计划跳槽 埋怨体制 负面情绪 思睿嘉得 认为领导对自己有恶意 大规模实时文本分类是识别风险的基础技术 内容识别技术发展 人工智能 正则表达式组合 • 自然语言处理 关键字/指纹 • 先进数据挖掘（聚类、 分类等） • 通配符 • 简单逻辑描述 • 入门级 • 机器学习（无监督、有 监督） • 简单关联、序列等 支持特征数 • < 5 • < 20 • > 300 • 或与关系 • 布尔运算 • 语义相似度 思睿嘉得 引入内部非传统IT数据源需要评估其有效性 通讯 人力 • Email • 电话记录 • 辞职/开除 • KPI考核差 • 聊天 • 卷宗传递 • 未升职/降职 • 病假/事假 交易记录 • 异常交易 • 异常对手 • 账户异动 • 一般风险 ‐ 保密考虑不能获取所有数据 ， 即使有权限采集仍需先脱敏 ‐ 最佳实践：只获取表示风险的 指标，否则不采集 安防日志 • 门禁刷卡 ‐ • 需要数据接触界面拥有行为分 析和机器学习能力 进出记录 思睿嘉得 行动要点（三） • 有的放矢 – 节制采集有效线索 • 循名覈实 – 语义理解预警威胁 • 数往知来 – 参照案例建立模型 • 操奇计赢 – 先进技术自动猎捕 内部威胁分类，是数据分析的基础 难以检测发现 恶意窃取数据 主 蓄意破坏 观 恶 暴力威胁 机会窃取数据 更改产品 财务诈骗 意 程 意外数据泄露 度 分类是侦测和应对 不可或缺的基础 误用数据 造成危害程度 思睿嘉得 可被数据检测 行为时序画像是机器学习建模基础 开始 误用数据 意外数据泄露 KPI考核差 聊天抱怨 降职 猎头接触 更改产品 未升职 结束 经常请假 蓄意破坏 交易欺诈 迟到早退 体检发现病患 恶意窃取数据 找到工作 领导批评 邮件泄愤 同事投诉 机会窃取数据 发愤怒微博 思睿嘉得 人工选取特征可提高机器学习准确度和性能 高效特征实例 直接 • 发送敏感数据至私人邮箱、大量打印关键文档 行为 • 下载超量敏感数据、频繁换用他人账号登录业务系统 时序 • 生活事件+同事投诉+泄愤邮件、奖金发放+组织变更+猎头接触 情境 • 角色（供应商、外包商、合同工）、竞争强度、薪酬水平 思睿嘉得 行动要点（四） • 有的放矢 – 节制采集有效线索 • 循名覈实 – 语义理解预警威胁 • 数往知来 – 参照案例建立模型 • 操奇计赢 – 先进技术自动猎捕