風險分析的智慧大腦
-
主動識別風險能力弱
企業通常只能在安全事件發生后進行事后處理,而已發生的安全事件可能已經給企業帶來難以挽回的損失,缺少風險提前發現和預警的能力。
-
缺少事中控制手段
當安全事件發生時,難以定位事件發生的位置和發起人,同時缺乏相應的控制手段立即中止事件。
-
事后追溯和分析困難
對于已經發生的安全事件,特別是涉及范圍較廣時,難以串聯各方數據形成有效的追蹤鏈條,追溯難度大、效率低,難以快速響應和補救。
簡介
INTRODUCTION風險引擎是“融合認證服務”的增強組件,作為融合認證服務的“大腦”來分析風險,通過設計風險阻斷機制,實時告知組織訪問控制存在的潛在風險,實現事前智能風險防范。基于事先預設好的風險管理規則,可實時計算任意訪問的風險評分,對用戶訪問元數據(時間、地點、習慣、賬號、關系、行為、權限等)進行控制。
應用這種基于上下文級別的行為風險管理,收集用戶日常登錄系統的操作行為和使用習慣,持續深度學習其行為特征,并基于該計算模型主動收集用戶行為相關數據進行建模。通過對組織用戶訪問元數據的收集、清洗,對用戶的訪問行為進行實時、全面評估,當系統檢測到反欺詐風險時,主動阻斷風險以保證用戶訪問的安全性。
產品特性
FEATURES-
大數據平臺
風險引擎建立在大數據平臺的基礎上,采用了Hadoop、Spark、Streaming、ELK、ETL等技術,能夠持續匯聚IAM體系和企業資源各個節點的海量數據,支撐風險模型的建立和持續優化。
-
靈活的數據收集
對實時數據和非實時數據提供多種靈活的采集手段,提供數據收集適配功能,通過配置靈活的采集不同數據源的不同數據;提供數據收集監控功能,監控數據收集情況。
-
智能風險分析模型
利用人工智能領域的相關技術對采集的各類數據進行深度挖掘,從多個維度建立對應的風險模型,在數據積累的過程中不斷對模型進行訓練,確保風險識別更科學、更準確。
-
動態訪問控制
結合BAM實現用戶訪問行為的動態風險檢測,對存在風險的訪問行為實施動態調整安全策略,如調度二次認證、阻斷等,對正常的訪問行為提供安全快捷通道,實現安全性與便捷性的平衡。
-
可擴展的風險策略庫
平臺風險策略庫除了內置通用支持靈活擴展的能力,能為企業的特定業務和場景定制符合需要的風險模型、風險規則和風險處理策略。
-
風險服務輸出
平臺通過標準接口或SDK的方式對外輸出風險檢測相關服務,通過賦能,將風險檢測能力延展至各類應用、終端和設備的使用場景中,較低成本提升企業信息化資產整體的安全性。
應用場景
SCENARIOS-
01
風險監控大盤
提供各類風險信息的數字大盤,多維度展現平臺風險監控信息。
-
02
風險檢測場景
平臺支持對B/S應用、C/S應用、移動應用、PC桌面、設備等各類信息化資源的登錄、認證、業務操作等場景進行風險檢測。
-
03
預置風險模型
平臺預置了常見的風險模型及相關風險規則,如異地登錄、非信任設備、非常用IP、非習慣行為等風險,能夠滿足通常訪問場景下的風險檢測需求。
-
04
風險分析維度
平臺從多個維度進行相關數據的采集以確保風險分析的可靠性和準確性,綜合設備、地點、時間、資源、認證、行為、環境、權限等方面進行全盤風險分析。
-
05
UEBA視圖
提供UEBA分析視圖,從訪問分布、地點分布、設備分布、風險分布、認證偏好、失敗原因、登錄排行、活躍用戶等多個方面提供統計分析,輔助企業了解用戶行為、平臺承載量和風險趨勢以進行決策。
-
06
風險審計
提供可視化風險審計信息查詢,便于管理人員對風險事件進行詳細追蹤,從風險事件發生的時間和地點、風險賬號詳細信息、風險處理過程、風險確認和消除情況等方面實現風險閉環審查。
產品架構
ARCHITECTURE平臺基于深度學習技術,對訪問控制進行風險計算,對用戶訪問元數據(時間、位置、習慣、賬號、關系、行為、權限等)進行控制,并基于該計算模型主動收集用戶行為相關數據進行建模。在數據統一查詢、展示方面,風險引擎同時提供了基于一些開源技術實現了數據的可視化、數據的統一查詢能力。
產品優勢
advantage-
風險數據收集
基于Elastic Stack體系中Beat + Logstash + Elastic Search對竹云產品的日志數據進行采集、存儲,目前內置對竹云統一認證平臺+融合認證產品的日志進行收集。同時它自身也具備按需求收集業務系統日志的能力。
-
風險判斷服務
為具體場景提供不同的風險分析服務,結合“融合認證服務”能為融合認證服務的多因素認證能力變得智能化,如果獨立使用也可為應用提供風險的識別,并提供異常行為處理的判斷依據。
-
風險規則管理
提供靈活的定制化風險規則模塊的能力,并可以通過可視化的方式對風險規則模塊、風險規則相應的風險策略進行相應的配置。讓一個風險規則可以服務于多種場景,并且每種場景可以使用不同的風險策略。
-
渠道管理
用于建立應用、應用中的業務點與風險規則的關系,并以場景為服務單位對外提供風險判斷服務 ,可以對渠道、場景做新增、刪除、啟用、禁用、修改、查詢、關聯風險、風險關聯展示等操作。
