BT

如何利用碎片时间提升技术认知与能力? 点击获取答案

通过日志发现基于用户的威胁

| 作者 Jonathan Allen 关注 549 他的粉丝 ,译者 张孝军 关注 0 他的粉丝 发布于 2014年10月17日. 估计阅读时间: 3 分钟 | 如何结合区块链技术,帮助企业降本增效?让我们深度了解几个成功的案例。

Splunk用户大会上的一个共同主题是用户本身就是最大的威胁。即使在一个非常规范的公司里面,没有人有工作之外的额外权限,特定的人员也还是能够窃取到大量的数据,或者造成影响范围很广的问题。Fortscale试图通过公司内部已经收集到的数据来解决这个问题。

基于各种原因,一般的企业级应用都会产生大量的日志数据。通常情况下,这些数据没有任何用处,除非你愿意手工对其进行搜索,而这项任务直至问题发现很久之后也不算真正完成了。

Splunk解决方案的第一步是有效地利用这些日志数据。通过导入原始日志并对其编制索引,用户能很快的查询到他们的系统内究竟发生了什么,但这仅仅是第一步,用户仍然需要知道去查询什么。

回到Fortscale,下一步就是分析。使用机器学习技术,Fortscale检查历史累计的数据并且基于此寻找出典型和异常的用户模式。它的算法被设计成积极地寻找出看上去有风险的行为,这样操作人员就能够有一个检查的初始点。

再下一步就是程序分析了。只要建立了用户模式,这个工具就会主动监控用户行为了,将其与历史数据,或者实时数据,或者同事的用户行为进行比较。我以前工作过的金融公司中曾发生过如下的真实案例:

一个交易商离开公司自己去创业。在金融行业里面,几乎没有比客户更加重要的资源了。这些客户资源能够为他的新公司打开局面,但是与此同时原公司也会因为损失客户而使收入大大减少。于是就有传言说他把原公司的客户名单带走了。

管理层一得知这个消息 ,马上就让IT人员从历史日志中进行查询,来确认谣言是不是真的。我们的日志是完整的,那个交易商曾经的每一个动作都被详细地记录在一系列巨大的日志文件中。然而,这项查询的过程还是要耗费掉两周的时间,因为我们不仅仅需要知道那个交易商曾经做了什么,还需要知道他以前是否有可疑的行径。

如果Fortscale能做到像他们所说的那样,那么他们的工具将能够以那个交易商的行为作为基线来跟其他交易商进行对比,从而大大降低搜索花费的时间。它甚至能够在一开始的时候就侦测到涉嫌窃取数据的行为,从而避免可能需要的昂贵诉讼费用。

查看英文原文: Using Logs to Detect User-Based Threats


感谢夏雪对本文的审校。

给InfoQ中文站投稿或者参与内容翻译工作,请邮件至editors@cn.infoq.com。也欢迎大家通过新浪微博(@InfoQ)或者腾讯微博(@InfoQ)关注我们,并与我们的编辑和其他读者朋友交流。

评价本文

专业度
风格

您好,朋友!

您需要 注册一个InfoQ账号 或者 才能进行评论。在您完成注册后还需要进行一些设置。

获得来自InfoQ的更多体验。

告诉我们您的想法

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我
社区评论

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

讨论

登陆InfoQ,与你最关心的话题互动。


找回密码....

Follow

关注你最喜爱的话题和作者

快速浏览网站内你所感兴趣话题的精选内容。

Like

内容自由定制

选择想要阅读的主题和喜爱的作者定制自己的新闻源。

Notifications

获取更新

设置通知机制以获取内容更新对您而言是否重要

BT