新加坡2020年5月9日 /美通社/ -- CenturyLink, Inc. (NYSE: CTL)在亞太區推出了管理安全行為分析(MSBA)服(fu)務(wu)包(bao)。該(gai)單一平臺服(fu)務(wu)包(bao)使各機構(gou)能夠監(jian)測(ce)和發現關(guan)鍵資產的(de)內部威脅。該(gai)服(fu)務(wu)包(bao)使用行(xing)為分析算法來查找惡意用戶活動(dong)(dong)，并(bing)自(zi)動(dong)(dong)審(shen)查特權帳戶活動(dong)(dong)。此外，該(gai)服(fu)務(wu)包(bao)還檢測(ce)構(gou)成風(feng)險(xian)的(de)事件、已知的(de)攻擊者行(xing)為、異常網絡活動(dong)(dong)和帳戶行(xing)為偏(pian)差。

The typical architecture of a customer’s enterprise network, servers and where CenturyLink Service and SOC teams fit into the model, illustrating how we monitor the customer’s environment and respond to cyber threats.

波耐蒙研(yan)(yan)究所(suo)(Ponemon Institute)發布的(de)名為《2020 Cost of Insider Threats: Global》（2020年內(nei)部(bu)威脅(xie)成(cheng)本：全球）的(de)最新報告顯(xian)(xian)示，與2018年相比，全球平均內(nei)部(bu)威脅(xie)成(cheng)本增加了31%，增至(zhi)1145萬美元，事(shi)件發生頻率則提高了47%。該研(yan)(yan)究還(huan)凸(tu)顯(xian)(xian)出，過失員工或承包商(shang)（結(jie)果顯(xian)(xian)示62%的(de)內(nei)部(bu)威脅(xie)由他們造成(cheng)）帶來的(de)財務負擔最高，平均每年為458萬美元。

IDC亞太(tai)區服務與安全副研究總監Cathy Huang表示：“如今，企業面(mian)臨著(zhu)新的(de)嚴峻(jun)的(de)現(xian)實，即網絡(luo)威脅不(bu)再(zai)只是(shi)勒索軟(ruan)(ruan)件(jian)、惡意(yi)軟(ruan)(ruan)件(jian)和(he)周邊數據外(wai)泄(xie)。現(xian)在(zai)各機構忽略企業內部(bu)的(de)潛在(zai)威脅，在(zai)企業內部(bu)，敏感(gan)數據丟失和(he)外(wai)泄(xie)風(feng)險很高 -- 他(ta)(ta)們的(de)員工(gong)。這些內部(bu)行(xing)為(wei)可(ke)以被歸類(lei)為(wei)無意(yi)的(de)或惡意(yi)的(de)，但它(ta)們同(tong)樣對公司的(de)整體網絡(luo)防(fang)御(yu)效能有(you)影(ying)響，并可(ke)能損害(hai)客(ke)戶(hu)賦予他(ta)(ta)們的(de)聲譽和(he)信任。”

CenturyLink亞太(tai)區產品管(guan)理(li)（安(an)全）總監Cheah Wai Kit表示：“隨著越(yue)(yue)來(lai)越(yue)(yue)多的(de)(de)(de)數字型(xing)企業(ye)將重要(yao)(yao)的(de)(de)(de)基礎設施轉移到網(wang)上(shang)，他(ta)們要(yao)(yao)有(you)積極的(de)(de)(de)網(wang)絡安(an)全戰略(lve)來(lai)監測和保護自己的(de)(de)(de)資產變得非常重要(yao)(yao)。機構(gou)內的(de)(de)(de)網(wang)絡威脅可能會被忽視幾個(ge)月甚至幾年。CenturyLink管(guan)理(li)安(an)全行為(wei)分(fen)析服務提(ti)供CenturyLink安(an)全運營(ying)中心監測和管(guan)理(li)的(de)(de)(de)獨特技術的(de)(de)(de)綜合方法。這(zhe)項解決方案為(wei)商業(ye)領(ling)袖(xiu)提(ti)供更高的(de)(de)(de)潛(qian)在威脅可見性，這(zhe)些威脅可能隱藏(zang)在他(ta)們的(de)(de)(de)網(wang)絡、IT基礎設施、應用程序和數據庫(ku)中。”

許(xu)多公(gong)司都對(dui)自(zi)己的(de)網絡進(jin)行檢測控制(zhi)，或(huo)在(zai)外部(bu)人員（非(fei)員工(gong)）試圖訪(fang)問(wen)他們的(de)公(gong)司數據時可以(yi)進(jin)行控制(zhi)，而且他們可以(yi)通過物理(li)安(an)全控制(zhi)來減輕威脅(xie)。然(ran)而，更難(nan)察覺的(de)威脅(xie)，以(yi)及可能帶來最大(da)危害的(de)卻是內(nei)部(bu)人員 -- 擁有合法訪(fang)問(wen)權利(li)的(de)員工(gong)。內(nei)部(bu)人員可能僅僅為了個人利(li)益而竊取，也可能是“間諜(die)”，竊取公(gong)司信息或(huo)產(chan)品給另一家(jia)(jia)公(gong)司、機構或(huo)國家(jia)(jia)。

憑借管理安全行(xing)為分析服務，各(ge)機構可以：

• 通過監測帳戶行為偏差情況，發現和阻止內部網絡安全違規行為，重點關注構成風險的安全相關事件。
• 監測證件竊取、被劫持帳戶、惡意帳戶活動和登錄異常跡象。
• 自動審查特權帳戶活動，以發現操作系統、應用程序和數據庫級別的未經授權的交易和惡意活動。
• 檢測后門、內網漫游、惡意軟件流量和數據滲漏跡象的惡意服務器網絡流量。
• 盡早發現威脅，以盡量縮短入侵時間。

管(guan)理(li)安(an)全行為分析服務包提供：

• 情報分析：自動化威脅檢測算法審查用戶和網絡活動，根據用戶角色描述、基于威脅情報的已知攻擊者行為以及MITRE ATT&CK等行業框架確定潛在的攻陷指標(IOC)風險。
• 嵌入式檢測：輕量級傳感器/傳感器機制在承載關鍵資產、數據和應用的服務器上運行。
• 特權帳戶監測：監測與安全相關的特權操作，以處理異常和不尋常操作，如濫用數據訪問、未經授權的交易和過多的特權。
• 行為基準線：收集有關個人用戶角色的洞察，以建立正常行為模式，識別異常，并提供內部威脅指標快速檢測。
• 實時發現：通過整合到CenturyLink安全運營中心(SOC)進行分類和升級，提供全天候監測。
• 平臺不受限制：支持多個操作系統。

CenturyLink網絡(luo)安全專家還(huan)將為(wei)用戶提(ti)供(gong)咨詢(xun)服務(wu)，作為(wei)管理安全行為(wei)分(fen)(fen)析服務(wu)包的一(yi)部分(fen)(fen)。他們致力于提(ti)供(gong)咨詢(xun)和提(ti)出建(jian)議(yi)，幫助各機構(gou)改善(shan)安全狀況。

Huang表示：“網(wang)絡安全(quan)(quan)日益提(ti)(ti)高的(de)重(zhong)要性(xing)和(he)影響力不再僅(jin)(jin)僅(jin)(jin)是技術或合規問題，還是亞(ya)(ya)太(tai)區機(ji)構正(zheng)在(zai)密切關注的(de)業務(wu)和(he)戰略問題。亞(ya)(ya)太(tai)區各(ge)機(ji)構正(zheng)面臨著越來(lai)(lai)越大的(de)監管(guan)壓(ya)力，并將安全(quan)(quan)投資(zi)作為(wei)(wei)其數字轉型計(ji)劃的(de)一部分(fen)，它(ta)們(men)正(zheng)在(zai)尋(xun)找(zhao)服務(wu)提(ti)(ti)供商來(lai)(lai)為(wei)(wei)其業務(wu)目標提(ti)(ti)供支持(chi)。管(guan)理安全(quan)(quan)服務(wu)提(ti)(ti)供商(MSSP)為(wei)(wei)生態系統(tong)(tong)帶來(lai)(lai)了明(ming)顯(xian)的(de)價值。為(wei)(wei)了制(zhi)定(ding)高效(xiao)的(de)網(wang)絡風險戰略，管(guan)理安全(quan)(quan)服務(wu)提(ti)(ti)供商必須根據業務(wu)目標來(lai)(lai)調整網(wang)絡防御控制(zhi)策略。這需要有深厚的(de)行(xing)業專長和(he)能力來(lai)(lai)開(kai)發(fa)不僅(jin)(jin)僅(jin)(jin)提(ti)(ti)供傳統(tong)(tong)基礎設(she)施層(ceng)監測的(de)行(xing)業特定(ding)威脅模型。”

Cheah總結道：“我們為客戶帶來了平和的心態，并證明了我們作為值得信賴的管理安全服務提供商讓客戶看到更多，停止更多的(de)(de)承諾。”除了(le)管理安(an)全(quan)行(xing)為分(fen)析(xi)之外，CenturyLink安(an)全(quan)運營中心還負責提供我們的(de)(de)檢測和(he)緩解服務組合，包括分(fen)析(xi)和(he)利用CenturyLink旗下威(wei)脅研究子公(gong)司(si)Black Lotus Labs提供的(de)(de)威(wei)脅情報數(shu)據(ju)。Black Lotus Labs每(mei)天對1900億網絡(luo)流量(NetFlow)活動和(he)超過360萬次(ci)安(an)全(quan)事件進行(xing)分(fen)析(xi)。

其他資源：

• 如欲了解CenturyLink管理安全行為分析服務的詳細信息，請訪問：//www.centurylink.com.sg/security/managed-security-behavioral-analytics.html。
• 如欲獲取免費的安全咨詢服務，請訪問：//www.centurylink.com.sg/resources/offer/free-it-security-consultation.html

About CenturyLink
CenturyLink (NYSE: CTL)是一家領先的科技企業，為世界各地的客戶提供混合網絡、云連接和安全解決方案。通過其廣闊的全球光纖網絡，CenturyLink提供安全可靠的服務，以滿足企業和消費者不斷增長的數字需求。CenturyLink致力成為通向網絡化世界的可靠橋梁，全力打造增強客戶體驗的一流技術。詳情請訪問：//news.centurylink.com/。

附錄

客戶場景

用例1：2019年12月30日 -- CenturyLink安全運營中(zhong)心(xin)檢(jian)測到客戶IT環境中(zhong)特權用戶帳戶(PUA)活動的可疑安全異常。

第一(yi)次可疑活動發生在特(te)權用戶帳戶登錄客戶其中一(yi)個企業(ye)資(zi)源(yuan)計劃(ERP)服(fu)務器時。可以看到，他(ta)最(zui)后一(yi)次登錄這個服(fu)務器是(shi)在69天前(qian)。分析顯示(shi)，他(ta)通過域控(kong)制器登錄的次數比平時高83倍。

他訪問(wen)了以前(qian)從未登(deng)錄過(guo)的多(duo)個服(fu)務器。該(gai)特(te)權用戶帳戶使用19個不同的源IP地址訪問(wen)網絡。

雖然有不(bu)尋(xun)常的登錄(lu)活動(dong)，但CenturyLink安全運營中(zhong)心(xin)分析師進行深入調查后發現，沒有任何數據滲漏，也沒有其(qi)他可疑惡意活動(dong)跡(ji)象。CenturyLink詢問了(le)客戶，了(le)解到(dao)該特權用戶帳戶打開了(le)臨時(shi)的緊急維護窗口。

用例2：2019年8月中旬 -- 有可(ke)(ke)疑的DNS請求通過客戶的域控制器發(fa)送時(shi)，CenturyLink安全(quan)運營中心檢測到了可(ke)(ke)能(neng)存(cun)在的安全(quan)事(shi)件(jian)。這與域生成(cheng)(cheng)算法(DGA)模式類(lei)似。域生成(cheng)(cheng)算法模式存(cun)在于各(ge)種惡意軟(ruan)件(jian)，生成(cheng)(cheng)大量的域名，可(ke)(ke)用作與C2（命令(ling)與控制）主機的聚合點。

這(zhe)一發(fa)(fa)現(xian)(xian)后，CenturyLink安全運營中心分析師(shi)立即(ji)開始了(le)尋找威脅的(de)行動。進(jin)一步的(de)調(diao)查(cha)發(fa)(fa)現(xian)(xian)，終(zhong)端設備生成DNS流量模式的(de)IP通(tong)過客戶的(de)BYOD（攜帶自己的(de)設備）訪客網絡連(lian)接(jie)。調(diao)查(cha)還(huan)發(fa)(fa)現(xian)(xian)DNS目標主機被歸(gui)類為惡意主機或可疑(yi)主機。有時，DNS隧道可以(yi)用來偽裝C2通(tong)信。

CenturyLink詢問(wen)了客戶(hu)，確定終端設備是(shi)否是(shi)他們的一項公司資(zi)產，還是(shi)屬于訪(fang)客。