深信服AC-1000-B1030全網行為管理

內部安全事件頻發

特斯拉

2019年6月，指控了一名前員工Martin Tripp，稱其編寫了侵入特斯拉制造操作系統的軟件，并將幾個GB的特斯拉數據傳輸給外部實體。除此之外，特斯拉還聲稱Tripp編寫了計算機代碼，定期將特斯拉的數據輸出給公司以外的人。

烏克蘭某核電站

烏克蘭南部的核電站出現嚴重安全事故，數名雇員將核電廠內部網絡連上了公共網絡，以供其挖掘加密貨幣。此次事故被列為泄露事故。

溫州多家醫院

溫州一團伙利用醫院的自助服務電腦，悄悄拔下網線，然后使用自己的電腦，連入醫院的內網，竊取省內多家醫院“統方”，短短四年便獲利700多萬元。

大量的安全事件來自于內部違規行為

對于內部人員風險的擔憂

90%的組織覺得自己很容易受到內部攻擊。主要的風險因素包括擁有過多訪問權限的用戶(37%)、能夠訪問敏感數據的設備越來越多(36%)，以及日益復雜的信息技術(35%)。

大多數組織遭受過內網攻擊

53%的受訪者證實，他們的組織在過去12個月內遭到內部攻擊(通常少于5次)。27%的組織表示，內部攻擊變得更加頻繁。

組織需要加強內網安全監測與防護

組織正將注意力轉移到內部威脅的檢測上(64%)，其次是以分析和事后取證(49%)。用戶行為監控的使用正在加速;94%的署了一些監視用戶的方法，93%的組織監視對敏感數據的訪問。

內網威脅防護投入增加

絕大多數(86%)的組織已經或正在建立內部威脅系統及項目。36%的組織有一個正式的內網威脅防御體系來應對內部攻擊，另外30%組織單位有計劃加強對于內網威脅防護投入。

信息安全的木桶效應：內部威脅VS外部攻擊

內部人員風險

內部人員帶來的威脅，隱蔽強，危害大

重視度低，缺乏控制手段

外部網絡攻擊

由外部發起，攻擊類型、手段多種多樣

高度重視，防護手段完善

內部違規行為缺乏有效管控成為企業業務安全的短板

IT架構和安全態勢的改變

多云環境和接入設備多樣化，網絡邊界模糊，內部威脅挑戰呈指數級提升

企業面臨的內部風險及挑戰

看不清是誰，抓不住異常行為，不了解風險在哪，最終給組織帶來各類威脅

難以識別內部人員身份

缺乏安全的網絡接入控制，非法人員和不安全終端可輕易接入組織內網

隨身Wi-Fi、代理訪問等網絡共享行為，將內網暴露，更容易被非法用戶入侵

無法看清異常行為風險

缺乏針對內部的用戶行為分析手段，無法及時發現各種風險，如工作效率低下、越權訪問、數據竊取、外發等

難以管控各種網絡行為

互聯網應用不斷發展，加密應用、SAAS業務、移動APP等技術增加管控難度

內網被視為安全域，缺少針對內網行為的權限管控和行為檢測手段

缺少全局行為管理和運營

人員網絡行為是完整連續過程，包含互聯網行為、內網行為、終端行為，割裂的行為管控，無法看到全局的行為風險

如何構建全網行為管理

產品定位

從入網、內部操作到出網整個流程，從用戶、終端、行為、數據UEBD四個維度構建完整的全網行為管控思路。

針對不同用戶、不同終端對象及環境做分級分權的訪問權限

全網行為管理的工作流程

全網行為管理平臺技術架構

四大核心能力

準入準出統一認證

全網行為權限管控

以身份為中心的權限劃分，實現全網行為的可視可控

全網行為審計可視

全網行為風險分析

全網行為風險可視化呈現