为什么说对用户行为进行监控有助于降低安全风险

　　在上一篇日志文章《彻底淘汰密码：身份行为与身份认证之对比》中，我得出了公司安全团队应当将工作重点放在用户级别（也就是网络、系统以及应用层）监控上的结论。实际上，越来越多的安全人员都开始意识到，问题的关键已经不再是如何实现百分之百的全面预防。这就意味着在早期监控以及异常行为快速处理等方面，所有需求都应当是具有平等地位的（如果不是更重要的话）。

　　用户活动监控究竟意味着什么？按照Ｓｅｃｕｒｏｓｉｓ（著名信息安全研究与咨询公司）的首席技术官兼分析师艾德里安·莱恩的观点，它就意味着“实现对用户行动的有效捕捉——这里面就包括了所使用的应用程序、服务、网络以及信息环境中的数据”。优秀的安全程序必须能够做到迅速查找出所有对于系统的误用，提供足够信息来阻止攻击发生，并可以对出现的问题进行及时有效的处理。而出色的用户监控措施将可以减轻系统对于密码过度依赖所导致的额外风险。

　　在最近发布的一份题目为《监控与掌握用户活动》的白皮书（我强烈推荐大家进行阅读）中，莱恩对比较常见的两种用户监控模式进行了详细介绍。其中的一种模式采用的是对用户使用信息资源的具体活动情况进行监控。另一种使用的则是对用户使用行为历史进行比较。

　　在部署全面监控项目时，公司究竟应该怎么做？在这过程中，将会涉及到哪些相关技术？需要制定什么方面的策略？由于自己并不了解该领域的专业知识，所以，我决定向艾德里安·莱恩寻求帮助。针对监控与用户活动等领域的情况，我提出了几个比较专业的问题。 

向安全研究员艾德里安·莱恩提出的问题

　　沃格尔：公司安全团队是否已经意识到监控与掌握用户活动情况的重要性所在？现实中，我们经常会遇到利用“工作量过大以及人员不足”等借口来逃避监控任务的情况。为了消除这种心态，公司应当采取哪些措施？

　　莱恩：现实情况确实就是这样——对于监控的认识与使用都呈现出逐步增长的趋势。由于人们已经明白阻止一切属于不可能完成的任务，所以，它就成为了安全计划获得成功的关键所在。你所说的问题是由于假定监控工具会全时段进行管理并且用户幻想可以一劳永逸，但这些想法都是错误的；真正的答案在于两者之间的某个位置。

　　沃格尔：对于安全团队来说，在部署用户监控措施的时间，经常会遇到的误解以及问题都会有哪些？

　　莱恩：没有对整体活动情况进行足够的监控、仅仅关注于网络上的问题、将获取有用数据理解成为获取“容易获得的”数据、策略调整以及管理等都属于经常会出问题的地方。

　　沃格尔：对于企业级客户来说，现在可供选择的技术与产品都有哪些？这类产品是否已经成熟？

　　莱恩：安全信息与事件管理系统（ＳＩＥＭ）、　数据泄露防护系统（ＤＬＰ）、数据库活动监控（ＤＡＭ）系统／ＤＳＰ、网络网关／统一威胁管理技术（ＵＴＭ）产品、网络应用防火墙（ＷＡＦ）以及比较小型的入侵监控系统（ＩＤＳ）都属于可行的选择。

　　沃格尔：与其它类型的监控（网络、系统以及应用程序）相比，用户监控采用的模式有什么不同？在这里，对于全面监控模式的需求是不是很重要？

　　莱恩：它可以融入这三者之中，不过具体到每种的方式上是存在差别的。毕竟，堆栈越多获得的信息就越多，但这同时也会让工作变得更加困难。就这一问题，我刚写过一篇报告。类似迈克·罗思曼与我撰写的《堆栈监控》，主要内容就是如何对系统与应用层进行监控，以及怎样将数据导入进（传统网络关注的）安全信息和事件管理（ＳＩＥＭ）工具中。

　　为了获得供应商对于监控以及用户活动（大家不要起哄）的看法，我决定对银尾系统负责市场营销的副总裁尼克·爱德华兹进行专访。该公司的主要业务方向就是下一代用户行为监控技术，宣传的口号为“利用网络过程信息获取革命性安全效果。”

针对供应商：银尾系统的尼克·爱德华兹的问题

　　沃格尔：从总体角度来看，银尾的解决方案（例如，配置文件分析器）是如何工作的？

　　爱德华兹：银尾系统提供的技术可以做到对网站上的用户活动情况进行分析——它不仅能够涵盖网站用户整体的情况，而且还可以细化到个别用户的具体活动上。常规模式可以让公司实现对每名用户在网站上的所有活动进行全面监控，这让银尾系统能够在可疑活动发生的时间就马上识别出来并及时予以阻止。在最新发布的解决方案中，公司还增加了基于异常网络行为识别技术的配置文件分析仪，从而可以依靠用户过去的使用记录作为模型基线，来确定出当前活动情况属于正常还是可疑的情况。这种方法将网站整体历史与具体用户的使用活动结合了起来，所建立的基线可以让系统对于在线威胁的确认准确度变得更高，响应速度变得更快。

　　沃格尔：针对（恶意内部人士、凶险的外部骗子以及普通错误），方案中都提供了哪些保护措施？什么类型的公司可以从选择银尾解决方案中受益？

　　爱德华兹：我们公司的产品适用于所有类型网站，不论是互联网服务类站点，还是内部专用站点（公司自己使用）都不例外。它可以提供针对基于网络威胁的全面保护。我们最常监控的攻击类型包括但不限于：帐户安全／盗用企图、欺诈、典型的ＤＤＯＳ攻击、密码猜测、站点抓取、数据渗透、浏览器中间者、中间人、超文本参数注入、洗钱、利用被盗帐户购买商品等等。

　　对于金融机构、电子商务公司、政府机构、世界各地的游戏运营商以及其它类型的公司来说，银尾系统的技术可以用来防范所有这些类型的攻击。

　　沃格尔：银尾解决方案不负责的领域有哪些？

　　爱德华兹：我们并不负责端点安全，也不会取代里面的安全措施。公司需要采取分层的安全策略，而终端安全就应该属于起点，用户行为监控以及分析则属于确保网络导航层安全的专门工具。

　　沃格尔：在部署银尾系统的时间，公司具体应当怎么做？为了满足相应的需求，规划／架构方面需要进行什么样的调整？

　　爱德华兹：由于银尾系统可以采用软件即服务或者内部安装的方式来投入使用，这让它部署起来非常灵活，能够满足公司提出的众多要求。它既不需要进行二次开发，也不需要对现有架构下的ＨＴＭＬ代码或应用程序进行调整。我们要做的就是将其插入到统计处理及分析端口之中，然后就可以通过点击来从网站上获得反馈信息。通常情况下，整个安装过程需要耗费四个小时；接下来，客户可能还需要几个小时来进行评估，具体时间的长短取决于环境的复杂程度。

　　沃格尔：与其它用户行为监控系统相比，银尾系统都有哪些特色？

　　爱德华兹：不同于其它类型的欺诈行为预防与安全技术，银尾系统可以对采用ＨＴＴＰ协议的网站进行整体监控，并可以对用户行为的完整网络过程进行全面分析。我们可以针对网站整体以及具体用户的常规状态自动创建模型，并在网络进程偏离统计学“正常”（用户在网站交互上花费的时间出现异常）时立即通知安全团队。由于可以通过网络应用程序来对如此大量的数据进行分析并提供了很多具体功能，我们就可以填补数据丢失防护、入侵防御、网络应用程序安全以及交易欺诈监控中无法覆盖的空白地带。

　　在银尾系统的帮下，欺诈预防与安全团队可以迅速确认出刚出现的威胁：以天或星期来看的话，确认以及解决的威胁平均数量将会出现显著下降的趋势。而且，没有其它公司可以做到这一点。其它安全系统都属于事务性的。它们针对的对象是单项交易——通常情况下就是汇款或者在线购物——利用与之相关的参数来以确定交易是否属于欺诈。举例来说，它们会对交易使用的网络ＩＰ地址的实际位置进行审核，以确认是否与账户地址上的地理位置相符。它们也可能会对购买地址进行分析，以防止它与之前的送货地址存在差别。但这些事物性的监控技术已经使用过很多年了，犯罪分子早就明白应当如何避开相关监控。正因为这样，犯罪分子才得以继续逍遥法外。因此，解决方案仅仅使用事务性参数是远远不够的，必须选择网络过程分析模式，才能达到有效防范的目标。

　　沃格尔：对于公司安全团队来说，是不是应该将工作重点放在对用户进行更有效的监控而不是预防性技术上？

　　爱德华兹：在实时行为监控中，预防性技术也是同等重要的。对于公司来说，正确的做法应该采用多层防御模式；毕竟，在现实中，我们就经常会遇到监控与预防分离的情况。当然，欺诈预防与信息安全团队还需要对方案框架进行全面规划，不能将目标仅仅限制在事后处理措施上。从攻击、破坏、欺诈以及黑客攻击等相关领域的最新发展趋势来看，仅仅依靠预防性技术是存在很大缺陷的。然而，行为监控之类的技术目前并没有被大多数公司所采用。它部署简单，准确性与可视性很高，在性价比方面超越了其它任何网络安全项目。

　　我：行为监控技术什么时间才能成熟并投入市场中？在未来几年里，公司安全团队是否需要将更多精力投入到对这一领域的关注中？

　　爱德华兹：该市场依然处于非常初级的阶段；业界刚刚开始认识到行为监控确实可以为安全带来好处。我们的共同创始人就正在试图利用技术来解决来自互联网上最有针对性的网站易趣与贝宝上出现的第一手问题。在很多情况下，我们都会让技术走得很远。对于我们来说，这属于非常激动人心的时刻。我们公司的技术部署的越多，坏人们能够进行犯罪的机会就越少，互联网最终就可以恢复到完美的状态。

　　在这里，我向艾德里安·莱恩以及尼克·爱德华兹表示衷心的感谢。他们深入浅出的回答让广大读者对于这些问题有了最基本的认识。看起来，全面监控模式应该成为安全计划的基础确实属于相当明显的趋势。

　　在监控与用户活动领域，大家会推荐来自其它企业的产品（除了银尾系统）么？