深信服全網(wǎng)行為管理 AC 介紹

00引言當(dāng)前網(wǎng)絡(luò)安全形勢(shì)下，內(nèi)部威脅日益突出，尤其近年來(lái)物聯(lián)網(wǎng)、大數(shù)據(jù)、HTTPS等新技術(shù)的普及使網(wǎng)絡(luò)風(fēng)險(xiǎn)更加復(fù)雜，企業(yè)內(nèi)部網(wǎng)絡(luò)行為安全管控需求明顯加強(qiáng)，而傳統(tǒng)解決方案存在弊端，不足以完善應(yīng)對(duì)新挑戰(zhàn)。深信服推出新一代行為管理產(chǎn)品“全網(wǎng)行為管理AC”，以創(chuàng)新技術(shù)幫助用戶(hù)實(shí)現(xiàn)“全網(wǎng)行為可視可控，內(nèi)部風(fēng)險(xiǎn)智能感知”，交付一體化內(nèi)部行為安全管控方案，幫助滿(mǎn)足用戶(hù)需求。01全網(wǎng)行為管理AC產(chǎn)品理念1.1需求背景：網(wǎng)絡(luò)內(nèi)部威脅日益突出隨著互聯(lián)網(wǎng)產(chǎn)業(yè)的快速發(fā)展，其相關(guān)產(chǎn)品越來(lái)越豐富，不僅線上產(chǎn)業(yè)鏈發(fā)達(dá)，許多傳統(tǒng)行業(yè)生產(chǎn)線也逐漸實(shí)現(xiàn)聯(lián)網(wǎng)升級(jí)管理，這種“互聯(lián)網(wǎng)+”式的變革被稱(chēng)為第四次工業(yè)革命。第四次工業(yè)革命基于一個(gè)跨地域的、開(kāi)放的、自由的信息網(wǎng)絡(luò)，涉及到社會(huì)各個(gè)領(lǐng)域，并帶來(lái)一種開(kāi)放性、兼容性、高效性與跨地域性的信息傳播方式，它使人們的生活正在發(fā)生翻天覆地的變化，但同時(shí)，隨著網(wǎng)絡(luò)的快速發(fā)展以及各項(xiàng)Internet技術(shù)的廣泛應(yīng)用，也使網(wǎng)絡(luò)安全危機(jī)空前高漲，并逐漸呈現(xiàn)出兩大趨勢(shì)。首先，網(wǎng)絡(luò)攻擊形式由原來(lái)的針對(duì)TCP/IP協(xié)議本身弱點(diǎn)的攻擊轉(zhuǎn)變針對(duì)企業(yè)特定系統(tǒng)和應(yīng)用漏洞的攻擊與入侵，例如GitHub遭遇大規(guī)模MemcachedDDoS攻擊、WannaCry病毒在企業(yè)網(wǎng)絡(luò)的肆虐等事件。其次，根據(jù)近年國(guó)內(nèi)外的研究報(bào)道，越來(lái)越多的網(wǎng)絡(luò)安全損失是由于企業(yè)內(nèi)部的一些原因而導(dǎo)致的。其中，內(nèi)部威脅攻擊者一般是企業(yè)的員工（在職或離職）、承包商以及商業(yè)伙伴等?；仡?018年以來(lái)受到廣泛關(guān)注的企業(yè)內(nèi)部威脅案例，無(wú)論是Tesla前員工外發(fā)機(jī)密的特斯拉數(shù)據(jù)事件、旁遮普國(guó)家銀行（PNB）的副總繞開(kāi)內(nèi)部系統(tǒng)交易事件，還是國(guó)內(nèi)的華住酒店數(shù)據(jù)泄密事件，都充分說(shuō)明了這一發(fā)展趨勢(shì)。在這兩種趨勢(shì)迅速發(fā)展的前提下，組織內(nèi)部員工的網(wǎng)絡(luò)行為往往成為企業(yè)或組織網(wǎng)絡(luò)安全問(wèn)題的“罪魁禍?zhǔn)住薄＿@些行為包括：終端聯(lián)網(wǎng)、共享網(wǎng)絡(luò)、網(wǎng)頁(yè)瀏覽、業(yè)務(wù)訪問(wèn)、BT下載、IM實(shí)時(shí)通信、網(wǎng)盤(pán)使用等，不當(dāng)?shù)馁Y源利用及不安全的員工上網(wǎng)行為帶來(lái)了間諜軟件、惡意程序和計(jì)算機(jī)病毒，造成內(nèi)網(wǎng)病毒泛濫、網(wǎng)絡(luò)資源浪費(fèi)、機(jī)密信息泄漏等一系列安全問(wèn)題。而傳統(tǒng)的防火墻或后來(lái)的統(tǒng)一威脅管理設(shè)備，在面對(duì)這些復(fù)合型的網(wǎng)絡(luò)安全威脅時(shí)，由于處理能力的分散及網(wǎng)關(guān)防御的固有弊端，已經(jīng)不能滿(mǎn)足客戶(hù)的安全需求。如何構(gòu)建一個(gè)全面的安全解決方案以保證通訊內(nèi)容的安全和使用行為的合法性，正在迅速成為網(wǎng)絡(luò)安全應(yīng)用和研究領(lǐng)域中一個(gè)倍受關(guān)注的議題。1.2產(chǎn)品理念：新一代行為管理產(chǎn)品2006年，深信服科技首先在國(guó)內(nèi)推出了網(wǎng)絡(luò)行為審計(jì)和管控系統(tǒng)，率先提出“上網(wǎng)行為管理AC”概念。上網(wǎng)行為管理產(chǎn)品注重組織對(duì)內(nèi)部人員所有互聯(lián)網(wǎng)訪問(wèn)行為的管控，包括上網(wǎng)權(quán)限、帶寬資源、應(yīng)用行為、訪問(wèn)內(nèi)容等多個(gè)因素，幫助客戶(hù)實(shí)現(xiàn)“上網(wǎng)行為可視可控”。上網(wǎng)行為管理AC推出后，迅速獲得了市場(chǎng)的認(rèn)可，十余年來(lái)已服務(wù)超過(guò)50000

家客戶(hù)，連續(xù)十一年蟬聯(lián)市場(chǎng)第一（根據(jù)IDC咨詢(xún)數(shù)據(jù)），并在2011—2019連續(xù)9年作為國(guó)內(nèi)唯一產(chǎn)品入圍國(guó)際GarterSWG魔力象限。近年來(lái)網(wǎng)絡(luò)技術(shù)迭代加速，用戶(hù)上網(wǎng)環(huán)境日新月異：互聯(lián)網(wǎng)HTTPS流量占比超過(guò)一半，且SaaS云應(yīng)用普及，上網(wǎng)管控難度提升；移動(dòng)辦公和物聯(lián)網(wǎng)興起，導(dǎo)致接入網(wǎng)絡(luò)的人員和終端更不可控；業(yè)務(wù)信息化加深，數(shù)據(jù)外發(fā)路徑增多，企業(yè)的防泄密需求愈發(fā)強(qiáng)烈。為應(yīng)對(duì)網(wǎng)絡(luò)安全新形勢(shì)，深信服在上網(wǎng)行為管理的技術(shù)積累上推出“全網(wǎng)行為管理AC”，產(chǎn)品能力延伸到更多應(yīng)用場(chǎng)景，為客戶(hù)更全面地解決網(wǎng)絡(luò)內(nèi)部行為安全管控問(wèn)題。全網(wǎng)行為管理AC支持企業(yè)或組織針對(duì)用戶(hù)使用網(wǎng)絡(luò)的所有核心因素實(shí)施管控，包括終端、應(yīng)用、數(shù)據(jù)和流量，進(jìn)行統(tǒng)一的策略化監(jiān)測(cè)和管理，且支持將行為數(shù)據(jù)匯總至深信服內(nèi)部威脅管理平臺(tái)ITM進(jìn)行智能化分析，一體化方案實(shí)現(xiàn)“全網(wǎng)行為可視可控，內(nèi)部威脅智能感知”。02全網(wǎng)行為管理AC應(yīng)用價(jià)值前述網(wǎng)絡(luò)新形勢(shì)下企業(yè)和組織客戶(hù)的網(wǎng)絡(luò)內(nèi)部行為安全問(wèn)題，根據(jù)風(fēng)險(xiǎn)發(fā)生的場(chǎng)景可歸類(lèi)為終端非法接入風(fēng)險(xiǎn)、上網(wǎng)違規(guī)訪問(wèn)風(fēng)險(xiǎn)、數(shù)據(jù)外發(fā)泄密風(fēng)險(xiǎn)。全網(wǎng)行為管理AC產(chǎn)品功能設(shè)計(jì)緊扣用戶(hù)需求，以“終端準(zhǔn)入管控”“上網(wǎng)管控”“數(shù)據(jù)泄密管控”三大模塊針對(duì)性滿(mǎn)足客戶(hù)需求。2.1終端準(zhǔn)入管控，建立終端入網(wǎng)規(guī)范企業(yè)網(wǎng)絡(luò)入網(wǎng)側(cè)風(fēng)險(xiǎn)，包括非法身份接入內(nèi)網(wǎng)竊取信息、不安全終端入網(wǎng)導(dǎo)致病毒橫向傳播、員工擅自使用U盤(pán)轉(zhuǎn)移數(shù)據(jù)、非法外聯(lián)造成內(nèi)網(wǎng)暴露等。深信服全網(wǎng)行為管理AC進(jìn)行可靠的終端準(zhǔn)入管控。從終端入網(wǎng)開(kāi)始，AC高精準(zhǔn)度識(shí)別終端類(lèi)型，對(duì)接入終端（包括PC和攝像頭、PDA等物聯(lián)網(wǎng)終端）進(jìn)行資產(chǎn)梳理和分類(lèi)管理。終端連接網(wǎng)絡(luò)時(shí)，提供802.1x、Portal等多種身份認(rèn)證方式，適配員工和訪客接入等多種場(chǎng)景。同時(shí)進(jìn)行終端安全基線檢查，包括有無(wú)更新操作系統(tǒng)補(bǔ)丁、有無(wú)安裝殺毒軟件等合規(guī)項(xiàng)。在終端入網(wǎng)后，AC進(jìn)行終端行為權(quán)限控制，包括外設(shè)/U盤(pán)管控、防非法外聯(lián)等。全網(wǎng)行為管理AC終端準(zhǔn)入管控幫助客戶(hù)建立終端入網(wǎng)安全規(guī)范，降低安全隱患和數(shù)據(jù)泄露風(fēng)險(xiǎn)。2.2上網(wǎng)管控，保障上網(wǎng)規(guī)范和上網(wǎng)體驗(yàn)企業(yè)的辦公上網(wǎng)場(chǎng)景下，存在以下典型風(fēng)險(xiǎn)：無(wú)關(guān)應(yīng)用占用大量帶寬影響訪問(wèn)體驗(yàn)差、員工上班刷抖音/微博導(dǎo)致上網(wǎng)效率低、員工下載惡意文件導(dǎo)致主機(jī)中毒、員工上網(wǎng)發(fā)布非法言論帶來(lái)法律風(fēng)險(xiǎn)。深信服全網(wǎng)行為管理AC基于海量級(jí)URL庫(kù)和應(yīng)用規(guī)則庫(kù)，實(shí)現(xiàn)應(yīng)用細(xì)分動(dòng)作控制，精準(zhǔn)匹配企業(yè)上網(wǎng)管控規(guī)范；在上網(wǎng)體驗(yàn)方面，支持動(dòng)態(tài)流控技術(shù)，保障帶寬分配合理，使專(zhuān)線價(jià)值充分發(fā)揮；在上網(wǎng)安全維度，AC可智能識(shí)別封堵翻墻和遠(yuǎn)程軟件，支持上網(wǎng)文件殺毒、惡意鏈接過(guò)濾、僵尸主機(jī)檢測(cè)；并以專(zhuān)利SSL審計(jì)技術(shù)加持，做到全面無(wú)疏漏的合規(guī)審計(jì)。全網(wǎng)行為管理AC上網(wǎng)管控幫助客戶(hù)保障上網(wǎng)規(guī)范和上網(wǎng)體驗(yàn)，避免違法違規(guī)，減少上網(wǎng)抱怨。2.3數(shù)據(jù)泄密管控，建立數(shù)據(jù)外發(fā)規(guī)范企業(yè)網(wǎng)絡(luò)中的核心業(yè)務(wù)數(shù)據(jù)存在兩大類(lèi)泄漏路徑：網(wǎng)絡(luò)外發(fā)泄密，包括郵件/

網(wǎng)盤(pán)/

云筆記等多種網(wǎng)絡(luò)外發(fā)泄密；終端外發(fā)泄密，包括U盤(pán)拷貝、離網(wǎng)終端外發(fā)導(dǎo)致數(shù)據(jù)泄密。而傳統(tǒng)的數(shù)據(jù)安全管理方案，缺少數(shù)據(jù)流轉(zhuǎn)的可視化監(jiān)測(cè)機(jī)制，管理員不清楚“有哪些數(shù)據(jù)被外發(fā)”和“外發(fā)數(shù)據(jù)中是否包含敏感內(nèi)容”，導(dǎo)致管理難以有效開(kāi)展。深信服全網(wǎng)AC提供完善且輕量的數(shù)據(jù)泄密管控方案，首先對(duì)指定的高風(fēng)險(xiǎn)等數(shù)據(jù)外發(fā)路徑（包括應(yīng)用外發(fā)、WEB外發(fā)、終端外傳等）進(jìn)行控制，從根源上切斷高危類(lèi)型的泄密行為；進(jìn)一步全面監(jiān)測(cè)和記錄業(yè)務(wù)側(cè)的操作行為，并基于UEBA建模分析、識(shí)別和預(yù)警共享業(yè)務(wù)系統(tǒng)賬號(hào)、異常下載核心數(shù)據(jù)等行為；在終端側(cè)和上網(wǎng)側(cè)同樣進(jìn)行全面審計(jì)，通過(guò)多種內(nèi)置規(guī)則識(shí)別風(fēng)險(xiǎn)外發(fā)行為；并通過(guò)文件相似度搜索、OCR圖像搜索等多種便捷的泄密查詢(xún)追溯方式幫助企業(yè)及時(shí)響應(yīng)疑似泄密事件。全網(wǎng)行為管理AC數(shù)據(jù)泄密管控幫助用戶(hù)建立數(shù)據(jù)外發(fā)規(guī)范，分析風(fēng)險(xiǎn)，防止敏感數(shù)據(jù)泄露。0３全網(wǎng)行為管理ＡＣ核心優(yōu)勢(shì)深信服全網(wǎng)行為管理提出了新一代的行為安全管控框架，以人為中心，圍繞用戶(hù)入網(wǎng)、訪問(wèn)業(yè)務(wù)、上網(wǎng)、外發(fā)數(shù)據(jù)的全過(guò)程，實(shí)現(xiàn)全網(wǎng)行為的識(shí)別、審計(jì)、分析和管控。產(chǎn)品研發(fā)團(tuán)隊(duì)累計(jì)獲得多項(xiàng)知識(shí)產(chǎn)權(quán)（已申請(qǐng)超120

項(xiàng)，已授權(quán)超69項(xiàng)），多項(xiàng)創(chuàng)新技術(shù)應(yīng)用于產(chǎn)品核心功能，保障在各種實(shí)際環(huán)境下能充分發(fā)揮功能價(jià)值，有效規(guī)避網(wǎng)絡(luò)內(nèi)部行為安全風(fēng)險(xiǎn)。3.1強(qiáng)大的行為識(shí)別全網(wǎng)行為管理AC具有強(qiáng)大的終端、應(yīng)用、數(shù)據(jù)、流量識(shí)別能力，使產(chǎn)品適配場(chǎng)景廣泛，管控策略準(zhǔn)確有效。終端識(shí)別支持主動(dòng)嗅探和被動(dòng)識(shí)別雙重機(jī)制，根據(jù)終端指紋識(shí)別終端特征，可根據(jù)流量特征對(duì)終端進(jìn)行持續(xù)安全基線監(jiān)測(cè)；應(yīng)用識(shí)別基于海量URL和應(yīng)用規(guī)則庫(kù)實(shí)現(xiàn)，運(yùn)用應(yīng)用關(guān)聯(lián)連接識(shí)別、弱特征跟蹤識(shí)別等關(guān)鍵技術(shù)，保障識(shí)別精準(zhǔn)性。數(shù)據(jù)識(shí)別由自研FtID文件類(lèi)型識(shí)別引擎、文件內(nèi)容提取引擎、基于Docker+

深度學(xué)習(xí)的OCR圖像識(shí)別引擎強(qiáng)強(qiáng)聯(lián)動(dòng)，實(shí)現(xiàn)對(duì)文本、文件、圖像數(shù)據(jù)的高性能識(shí)別。在流量識(shí)別方面，應(yīng)用了基于十余項(xiàng)專(zhuān)利創(chuàng)新推出的“客戶(hù)端代理SSL解密”技術(shù)，可實(shí)現(xiàn)無(wú)感知、高性能、高可用的SSL加密流量識(shí)別。3.2全面的行為審計(jì)全網(wǎng)行為管理AC具有全方位的全局審計(jì)能力，保障全網(wǎng)行為完整可視。通過(guò)網(wǎng)關(guān)與客戶(hù)端聯(lián)動(dòng)實(shí)現(xiàn)上網(wǎng)審計(jì)、業(yè)務(wù)審計(jì)、終端審計(jì)，其中上網(wǎng)側(cè)支持網(wǎng)頁(yè)、郵件等應(yīng)用審計(jì)，日志內(nèi)容直觀顯示；業(yè)務(wù)側(cè)自動(dòng)識(shí)別業(yè)務(wù)資產(chǎn)及關(guān)鍵動(dòng)作，支持HTTP/HTTPS、FTP、SMB等多種主流協(xié)議，記錄訪問(wèn)/

響應(yīng)詳情，支持服務(wù)器訪問(wèn)狀態(tài)可視；終端側(cè)支持外設(shè)操作、U盤(pán)拷貝文件、加密客戶(hù)端應(yīng)用等使用行為的審計(jì)，在離線狀態(tài)下也可持續(xù)審計(jì)。3.3

智能的行為分析全網(wǎng)行為管理AC對(duì)審計(jì)數(shù)據(jù)進(jìn)行智能化分析，從而有效發(fā)現(xiàn)行為安全風(fēng)險(xiǎn)。產(chǎn)品聯(lián)動(dòng)內(nèi)部威脅管理分析系統(tǒng)，基于UEBA基線建模、人物關(guān)系圖譜、語(yǔ)義識(shí)別、知識(shí)圖譜等技術(shù)，有效針對(duì)水滴泄密、離職風(fēng)險(xiǎn)、異常時(shí)間下載與外發(fā)、郵箱異常外發(fā)加密文件等十余種異常行為實(shí)現(xiàn)提前發(fā)現(xiàn)和預(yù)警。且數(shù)據(jù)采集過(guò)程和風(fēng)險(xiǎn)分析結(jié)果可視化呈現(xiàn)，幫助用戶(hù)直觀了解風(fēng)險(xiǎn)狀況。3.4閉環(huán)的行為管控針對(duì)已發(fā)現(xiàn)的行為安全風(fēng)險(xiǎn)，全網(wǎng)行為管理可聯(lián)動(dòng)多產(chǎn)品進(jìn)行及時(shí)響應(yīng)和閉環(huán)處置。入網(wǎng)前支持，全網(wǎng)行為管理支持聯(lián)動(dòng)第三方加強(qiáng)安全檢查，如入網(wǎng)掃描漏洞、病毒查殺等，對(duì)不合規(guī)終端支持實(shí)現(xiàn)統(tǒng)一修復(fù)；入網(wǎng)后，全網(wǎng)行為管理通過(guò)深信服或者第三方產(chǎn)品進(jìn)行用戶(hù)風(fēng)險(xiǎn)持續(xù)評(píng)估；當(dāng)發(fā)現(xiàn)風(fēng)險(xiǎn)時(shí)支持與其他多類(lèi)型安全產(chǎn)品協(xié)同處置，同時(shí)其他安全產(chǎn)品可以通過(guò)全網(wǎng)行為管理對(duì)風(fēng)險(xiǎn)用戶(hù)強(qiáng)制下線與隔離或限制訪問(wèn)資源。0４結(jié)語(yǔ)傳統(tǒng)的企業(yè)內(nèi)部行為安全方案，如需實(shí)現(xiàn)全流程行為安全管控，通常由多種產(chǎn)