​​撰稿 | 流蘇

編輯 | 圖圖

隨著大資料、雲端計算、物聯網等技術的興起，“資料”的價值與日俱增，現在已經成為企業重要的資產之一，並且成為企業數字化轉型的重要推動力。

然而，數字化轉型在促進企業向前發展的同時也給資訊保安帶來了了巨大挑戰。企業的敏感的數字資訊逐漸增多，⽽試圖竊取、暴露或操縱這些資訊的網路攻擊也在不斷髮展，資訊的完整性面臨著嚴峻挑戰。即便是像Facebook、Equifax、匯豐銀行、萬豪酒店等大型企業也難免中槍，如何有效地保護企業資料安全成為安全部門需要考慮的問題。

為了有效應對龐大的安全日誌量，不少安全分析平臺都引用了各種大資料框架，但從產品可靠性來看，採用的框架越多反而越容易出問題。

那麼企業又該如何去選擇一個適合自身的平臺呢？從字面上理解，一個好的安全分析平臺必須能夠保護企業資訊系統安全，還要擁有一定的資料分析能力，最後還能成為企業進行安全分析的工作臺。

而在諸多企業資料洩露事件中，不少是特權賬號惹的禍。據火眼的報告顯示，在諸多資訊保安事件中，不論是誤操作還是資料洩露，都涉及到特權賬號。換句話說，一旦特權賬號出現問題，將會給企業造成重大損失。

除了企業資料安全外，個人資訊保護也在不斷加強，導致使用者身份不透明且身份識別越來越難。而企業為了獲取更多的新使用者，大多使用各種各樣的優惠券來吸引使用者。值得思考的是，在營銷活動進行時，無法採取類似實名制的方式對參與方做準確識別，導致黑產有大量套利的可能。

在這樣的背景下，2019年11月22日，安在新媒體攜手順豐科技共同舉辦資料安全專題活動，廣邀企業高管、業內大咖、行業專家參與，共同分享、討論資料安全的那些事。

參會嘉賓合影

參與活動的嘉賓包括騰訊、萬科、安信證券、深圳廣播電影電視集團、金山軟體、一加手機、跨越速運、盒子科技、景鴻移民顧問有限公司、小贏科技、海南高燈科技有限公司、三代人科技、樂信集團等安全專家、安全部門負責人和技術骨幹。

本次活動由安在CEO張耀疆擔任主持人，他對順豐科技大力支援安在系列活動表示非常感謝，順豐科技強大的安全能力值得大家認真學習。

議題分享

賽克藍德安全分析建設平臺的一點思考

面對龐大的裝置安全日誌量，大資料框架必不可少。那麼，在企業中大資料框架用的越多越好嗎？事實上，從產品可靠性來看，採用的框架越多越容易出問題。

舉個例子，比如每個大資料框架的可靠性是0.98，5個框架的組合的可靠性就變成了0.904，還不包括框架的介面對接引起的風險。這說明框架越多可靠性越低，排查解決問題的時效性也會比較差。

對此，賽克藍德提出的安全分析平臺，底層儲存層只用了Elasticsearch，這種設計既能滿足大多數客戶的需求，又能減少框架太多引起的衝突和資源消耗。安全分析平臺致力於幫助企業挖掘和利用資料價值，輕鬆應對業務和安全的挑戰，可滿足包括識別需求、收集資料、分析資料、過程改進等業務需求，主要包括資料的採集、計算、儲存、查詢統計、展示五個部分。

平臺對Elasticsearch的資料查詢統計DSL介面做了封裝，形成SPL介面給使用者使用，可以完成查詢，統計和告警的處理；平臺通過介面的靈活配置，來完成報表和儀表盤的開發；平臺提供日誌採集格式化儲存，同時也支援其他工具匯入es庫來進行分析。

賽克藍德認為，安全分析平臺應該是一個更加開放的平臺，開放性主要體現在以下幾個方面：

1、平臺基於原生ES做了底層儲存，並沒有做任何的限制，這種設計打消使用者的後顧之憂，對客戶來說，後續的平臺不會被一家公司繫結，可以繼續用賽克藍德提供的產品和服務也可以很方便的替換成支援es的其他工具，例如elk組合；或者自己根據ES進行二次開發都可以。

2、平臺可以對現有投資進行保護，客戶中大多數已經購買了splunk，arcsight等產品，隨著使用量的增加，以前的方案只能繼續購買其他產品，但安全分析平臺可以先接收所有日誌，把重要的使用者關注的日誌轉發給已有平臺去分析；這樣就保護了現有投資，發揮各個產品的優勢。

3、平臺在有條件的情況下還可以開放全部或者部分原始碼給客戶來滿足客戶定製產品的需求。

隨後，賽克藍德向嘉賓們具體介紹了資料查詢統計SPL，並著重講了幾個對分析比較有意義的SPL命令，這些命令ES都沒有對應的，而且實現起來還是稍微有些麻煩的。

比如使用者行為分析命令behavior可以分析發生頻次很低的行為，例如異常IP,可以將當天訪問伺服器的主機ip和前三天訪問伺服器ip做對比，如果出現的頻率低於0.2%，就認為是異常ip：|fields eventDate,hostIp,content |behavior eventDate hostIp maxspan=3d brate=0.2，這個和現在大多數公司提出的用機器學習做的ueba類似，只是我們用了統計學原理，更加簡單、方便和高效。

安全分析平臺另一個優勢是靈活方便，使用者可自定義產品頁面和功能，例如自定義搜尋、自定義報表、自定義大屏、自定義告警等都是極為實用的功能。

安全分析平臺還是一個開放、靈活的平臺，既可以通過支援es的其他工具對資料進行查詢分析，又可以對外開放介面對接日誌資料，甚至還可以作為中轉把重要資料轉發給企業已有的平臺。

除此之外，安全分析平臺還有個極具競爭力的優點，那就是價效比非常高，既能降低企業投入預算，還能滿足企業安全需求。

瀚思科技 黃亮全場景智慧安全，護航數字化轉型

調查資料顯示，51%以上的企業在過去12個月發生過資料洩漏；平均每個資料洩漏事件造成的損失高達3.62M美元，企業不得不認真應對資料安全威脅。

Gartner 認為資訊保安已經成為智慧大資料分析的問題，人工智慧機器學習方法已逐漸成為主要的安全分析手段，用技術的方法來解決面對海量的資料的安全。

對此，瀚思科技提出全場景大資料安全平臺，可幫助客戶實現安全態勢感知，抵禦外部攻擊、內部威脅和業務風險。

瀚思通過大資料智慧安全分析實現各個分離的安全系統資料的統一管理、統一運營。深度檢測安全威脅，智慧分析輔助安全決策，感知整體安全態勢，提高安全運營效率。將安全戰略由被動防禦轉向主動智慧，全面保障客戶網路安全、內部安全和業務安全。

隨後，黃亮向嘉賓們介紹了瀚思科技HanSight Enterprise-新一代大資料安全分析平臺、HanSight UBA-瀚思使用者行為分析系統、HanSight NTA-瀚思網路流量分析系統、HanSight TIP-瀚思威脅情報平臺等，並結合了實際客戶案例進行講解。

黃亮表示，瀚思產品的技術和特色是可以幫助使用者掌控全域性安全態勢、持續提升防禦能力、提高安全運營效率。大資料安全分析框架由應⽤場景、資料來源、工具和分析方法四⼤要素組成。此框架在業界⼴受認可，也是⼤多主流安全分析⼚商使用的架構。

CyberArk 路軍龍全面保障特權賬號，為企業數字化轉型保駕護航

隨著企業數字化轉型的加速，安全風險也在不斷增加，已經成為阻礙企業發展的重要因素之一。特權賬號作為企業資訊保安中極為重要的一環，一旦出現問題，將會嚴重威脅企業核心資料安全，造成無可挽回的嚴重損失。

對此，CyberArk提出特權賬號安全方案，基於行為分析技術實時檢測特權賬號的非法使用，可主動保護您的特權賬號。目前，CyberArk特權賬號安全方案已經為全球5000家企業客戶提供服務，並多次入選Gartner魔力象限。

面對日益嚴重的特權賬號威脅，CyberArk特權賬號安全方案的應對之道主要有以下五個方面：

1.發現並保護所有特權賬號，包括應用程式內嵌特權賬號，保證每個特權賬號的密碼唯一性，消除不可逆轉的網路接管攻擊。

2.每次使用後主動更改特權賬號密碼，阻斷各種內網漫遊技術。

3.建立單一、安全可控的通道進入關鍵系統，提升使用者操作效率。

4.持續監控特權賬戶的使用，並檢測內網漫遊以及特權賬號的異常和非法行為。

5.控制應用程式和實現最小許可權，鎖定終端中的特權使用者。

既可滿足所有基礎設施安全憑據管理需求，又可滿足運維人員的安全需求。路軍龍表示，CyberArk特權賬號安全方案不僅能提升運維效率，還能降低審計成本，滿足合規要求，降低企業安全風險。

順豐科技 葉東哲快遞場景下的優惠券防刷方案探索

一直以來，優惠券作為一種對快遞客戶拉新和存量啟用的有效方式一直被廣泛使用。然而，在營銷活動進行時，由於無法採取類似實名制的方式對參與方做準確識別，導致黑產有大量套利的可能。順豐基於長期優惠活動的開展經驗，總結出自己的一套優惠券防刷方案。

順豐活動防刷方案由活動策略評估、資料防禦和演算法防禦組成，其中在活動最開始策劃時參 與，提出存在的風險點，在領取優惠時提供黑白庫識別使用者，在使用優惠階段通過機器學習 模型判斷使用者是否為黑產，防刷方案覆蓋整個優惠券策劃-領券-使用過程，最大限度降低優惠券風險。

最後，葉東哲還向嘉賓們分享了防刷方案行程中遇到的難點和心得，有以下幾個方面：

1.在資料防禦部分如何尋找選擇可已積累用來防禦黑產的資料維度。

2.市面上裝置指紋技術的難點和效果評估思路。

3.對業務安全中常用的專家規則和機器學習方法做比較，並在演算法防禦部分詳細介紹了機器學習模型落地時遇到的難點和解決方法。​​​​