欢迎来到安联智库seczk.com--做最好网安新媒体!!
快捷搜索:  热点  资讯  事件  漏洞  技术  攻防  

源代码又泄露!企业内部安全管理,必看UEBA

 

近日,某弹幕网遭遇“源代码外泄”,其后台工程代码被上传至开源项目平台GitHub上,内容疑似包含部分用户名密码。受此事件影响,该弹幕网美股盘前一度跌逾5%。


无独有偶,深圳市人民检察院公开信息,法院于今年4月上旬,对某无人机厂商员工违规操作导致代码和密钥泄露的事件作出了一审判决,该员工被以侵犯商业秘密罪判处有期徒刑六个月,并处罚金20万元。

无论是某弹幕网站还是无人机厂商,代码泄露或多或少都涉及到了用户隐私数据,数据泄露会影响用户对企业的信任度。总的来说,源代码泄露、数据泄露是内部安全管理的一大威胁,已经成为许多企业棘手的安全难题。代码泄露不仅会对企业造成直接经济损失,往往还会带来名誉上的影响,特别是上市公司,损失无法估量。


640.webp (86).jpg

代码泄露示意图


如何有效解决代码泄漏或数据泄露?AiLPHA大数据实验室首席架构师Ben提出,解决代码泄露或者信息泄露最好的方式是加强内部管理。


举例两种核心的方法:一种是“内外网分离”,这是一种防止数据泄露的内部管理的有效之策;第二种,利用前沿技术,比如,用户行为分析(UEBA)。内外网分离安全建设已经相对成熟,这里重点谈UEBA应用。


Gartner对UEBA是这样定义的,UEBA提供画像及基于各种分析方法的异常检测,通常是基本分析方法(利用签名的规则,模式匹配,简单统计等)和高级分析方法(监督和无监督的机器学习等),用打包分析来评估用户和其他实体(主机,应用程序,网络,数据库等), 来发现与用户或实体标准画像或行为相异常的活动所相关的潜在事件。这些活动包括受信内部或第三方人员对系统的异常访问(用户异常),或者外部攻击者绕过防御性安全控制的入侵(异常用户)。 


640.webp (95).jpg

用户画像


异常检测是UEBA应用的关键所在,UEBA解决源代码泄露检测的主要原理如下


1.日常办公环境中,往往存在如研发、行政、销售等不同工种,每一类用户实体日常使用操作往往存在较大的不同。通过对用户日常行为的聚类以及AiLPHA大数据分析平台安全域信息,将不同类别的使用者(User)区分出来。


2.当这些用户实体有非职责内操作时,平台会将该用户标记较高异常评分(Anomaly Score)。例如,行政人员做出研发人员的操作去访问代码;研发人员非正常时间段访问代码;研发人员批量check out 无关代码等。


3.对高异常评分的用户进一步分析,分析是否有对外传送大量数据包,通过上传数据包等行为进行标记。


4.检测数据包的香农熵(信息熵)是否与代码或敏感信息的香农熵相似。


5.将符合以上问题的用户产生相应告警。 


640.webp (96).jpg

UEBA小知识


通过诸如上述的异常检测,来发现内部人员的潜在威胁以及外部攻击,进而实现代码、数据等安全体系建设。

9999.jpg


暂无

您可能还会对下面的文章感兴趣: