【用户画像基础的异常检测——对抗Office365中的恶意内部威胁】
在当前的网络安全环境中,内部威胁,尤其是由被妥协或不满的恶意内部人员构成的威胁,仍然是一个主要的安全挑战。这些人员可能利用其权限对组织的数据和系统造成破坏。在Office365这样的企业级云服务中,确保安全性的需求变得至关重要。微软通过用户画像基础的异常检测策略,旨在有效识别并防御这种恶意内部威胁。
**Office365安全要求**
为了保护客户数据,Office365实施了一系列严格的安全措施:
1. **客户锁箱(Customer Lockbox)**:仅限于企业服务访问客户数据,且部署和访问时不能使用公司身份,必须进行双因素认证(2FA)。
2. **OCE(Office 365 Customer Engagement)的权限控制**:满足特定的安全清查期望,实行最小权限访问原则。
3. **容量与控制平面隔离**:确保两者之间的独立性,减少潜在风险。
4. **零权限访问**:不赋予常驻访问权限,降低潜在威胁。
5. **客户锁箱与BYOK(Bring Your Own Key)**:允许客户控制自己的加密密钥,增加数据安全性。
6. **事件跟踪与记录**:基于ETW(Event Tracing for Windows)的详细原始遥测数据,能在一天内新增遥测数据收集。
7. **中央处理与快速警报**:在15分钟内对安全问题发出警报。
8. **模拟攻击验证**:每天至少模拟一次攻击,以验证监控和响应能力。
9. **安全响应工作流触发**:在15分钟内触发,并能在一天内创建新的工作流。
10. **秘密管理**:所有秘密必须存储在安全容器中,一旦暴露立即更换,数据托管者需在主权环境中拥有完全控制权。
11. **日常扫描**:所有生产终端每天进行扫描。
12. **漏洞修补**:中等及以上级别的漏洞应在发现后进行修复或豁免。
13. **定期扫描Web应用**:每月至少扫描一次所有Web应用程序。
14. **集中报告和追踪**:实现对所有操作的统一监控和追踪。
**访问控制**
访问控制是防御内部威胁的关键。通过严格的权限管理和身份验证机制,限制了非授权访问和滥用权限的可能性。双因素认证、最小权限原则以及与控制平面的隔离都是为了防止内部人员滥用权限。
**安全监控**
监控系统需要能够实时或近乎实时地检测异常行为。Office365数据中心的监控系统使用Spark进行近实时的多层处理,能够在15分钟内对报警进行分页处理,包括机器学习(ML)基础的报警。这确保了对威胁的快速响应。
**秘密管理**
有效的秘密管理是防止数据泄露的重要环节。所有敏感信息应存储在安全容器中,一旦暴露就立即更换,同时数据托管者应能全面控制主权环境下的秘密。
**反病毒和补丁管理**
保持系统的更新和打补丁对于抵御恶意软件至关重要。所有中等及以上级别的漏洞都需要及时修补,而所有Web应用则每月进行一次扫描,以发现潜在的安全风险。
**解决方案:用户画像基础的异常检测**
传统的监督机器学习检测方法主要针对已知模式,但对未知威胁的覆盖不足。用户画像基础的检测策略则是针对这一问题的解决方案。在Office365数据中心的场景中,用户等于DevOps角色,可以将这种方法推广到其他实体配置文件。通过分析用户的行为模式,一旦检测到异常活动,系统将自动标记并采取响应措施。
**自动化近实时多层检测和响应**
Vanquish监控管道能够评估数十万台机器和数千名用户,实现近实时的多层处理。分析师工具和仪表板使得结果可以在近实时的情况下交互式查看,以便在接收到警报时迅速采取行动。
用户画像基础的异常检测是应对Office365中恶意内部威胁的有效手段,结合严密的安全策略、严格的访问控制、全面的安全监控和精细的秘密管理,共同构建了一道坚固的防线。
