Forcepoint - Indicators of Behavior (IoBs) – With 2020 Vision

随着今年动态用户保护的推出，Forcepoint 实现了我们公司的使命，即了解世界的网络行为以阻止坏事并释放好人。这个新产品的关键是引入了我们所说的行为指标 (IoB)，这是一种安全方法，可以提醒组织并帮助他们了解表明潜在违规行为的行为，以减轻损失带来的风险。

什么是 IoB？

IoB 是网络行为，被监控以了解组织内的风险。每当创建、保存、更改、邮寄、共享、上传、下载或删除文档时，这些操作都会被分析为一系列以确定上下文和意图。对系统进行修改的操作是 IoB，例如创建或修改计划任务、安装新应用程序或服务或创建新用户帐户。电子邮件活动（例如发送到个人域、发送附件或使用自动电子邮件转发）会生成 IoB。云管理和使用操作是 IoB，包括创建新的计算实例、访问存储的信息、运行查询和导出结果。协作工具和网站活动都是 IoB，例如消息传递、发送附件、

行为指标与妥协指标有何不同？

查看行为指标很重要，因为作为一个行业，我们专注于检测数据盗窃、破坏、间谍活动、恶意或被入侵的内部人员等行为，为了实现这些目标，行业显然需要推动超越活动监控，真正理解将数据盗窃等场景分解为各种用例（例如数据收集），然后将用例分解为 IoB 的各个方面。 有关更多详细 信息，请参阅 Nicolas Fischbach关于该主题的帖子。

如何使用 IoB 来了解风险？

通过检查用户帐户和设备的活动并了解这些 IoB 如何组合在一起。有时，它正在构建一个拼图游戏，其中这些行为指标落到适当的位置以显示完整的画面。有时会有一系列 IoB 指示不良行为。通常，随着时间的推移查看用户帐户和设备的行为，并根据 IoB 发现变化。我们可以观察和收集数百种行为指标。一旦我们收集了 IoB，我们就可以将它们放在一起，以阐明可能从这些行为中体现出来的特定行为、角色和业务成果。我们还可以使用行为指标来预测如果组织更改安全流程（例如，禁用外部存储设备的 USB）会发生什么。
下图显示了不同操作如何随着时间的推移影响用户的风险评分：

IoB 的一些真实示例是什么？

用户为 Slack 频道创建了一个电子邮件转发地址。这是行为指标。用户从公司网络更改为电话热点并再次返回。这是行为指标。用户将代码上传到 Git 存储库。这是行为指标。用户将千兆字节的信息下载到可移动存储设备。这是行为指标。用户向外部域发送了带有名为“resume”附件的电子邮件。这是行为指标。
用户在他们的笔记本电脑上安装了个人云应用程序。这是行为指标。用户将文件上传到未知域。这是行为指标。用户拒绝访问内部协作网站。这是行为指标。

IoB 的“那又怎样”是什么？

前进的道路将是通过根据风险级别和用户情况的上下文采取行动来保护组织的资产。我们可以警告用户并允许他们停止或继续，我们可以采取措施保护数据、阻止活动甚至禁用对用户帐户和设备的访问。这将使组织知道他们的数据受到保护，不会泄露、渗漏或被盗。
也许更重要的是，利用 IoB 制定行为检测将大大减少组织需要追踪的噪音和误报数量。我们非常了解分析师的“警报疲劳”，并相信有更好的方法来收集和呈现最相关的信息给最终用户。
通过了解网络行为和用户的历史，我们可以继续允许行为发生，尤其是在我们有上下文信息的情况下。如果我正在参加会议，而会议组织者想要我的演示文稿的副本，我可以将其保存到 USB 并交给他们。这可能是 IoB 和风险的商业价值更重要的方面；我们可以让业务“越界”运行，因为我们对用户和情况有了更广泛的了解。
总而言之，IoB 提供了提供适应性信任和“阻止坏事，释放好人”的最佳机会。