通过日志发现基于用户的威胁

Splunk 用户大会上的一个共同主题是用户本身就是最大的威胁。即使在一个非常规范的公司里面，没有人有工作之外的额外权限，特定的人员也还是能够窃取到大量的数据，或者造成影响范围很广的问题。 Fortscale 试图通过公司内部已经收集到的数据来解决这个问题。

基于各种原因，一般的企业级应用都会产生大量的日志数据。通常情况下，这些数据没有任何用处，除非你愿意手工对其进行搜索，而这项任务直至问题发现很久之后也不算真正完成了。

Splunk 解决方案的第一步是有效地利用这些日志数据。通过导入原始日志并对其编制索引，用户能很快的查询到他们的系统内究竟发生了什么，但这仅仅是第一步，用户仍然需要知道去查询什么。

回到 Fortscale，下一步就是分析。使用机器学习技术，Fortscale 检查历史累计的数据并且基于此寻找出典型和异常的用户模式。它的算法被设计成积极地寻找出看上去有风险的行为，这样操作人员就能够有一个检查的初始点。

再下一步就是程序分析了。只要建立了用户模式，这个工具就会主动监控用户行为了，将其与历史数据，或者实时数据，或者同事的用户行为进行比较。我以前工作过的金融公司中曾发生过如下的真实案例：

一个交易商离开公司自己去创业。在金融行业里面，几乎没有比客户更加重要的资源了。这些客户资源能够为他的新公司打开局面，但是与此同时原公司也会因为损失客户而使收入大大减少。于是就有传言说他把原公司的客户名单带走了。

管理层一得知这个消息 ，马上就让 IT 人员从历史日志中进行查询，来确认谣言是不是真的。我们的日志是完整的，那个交易商曾经的每一个动作都被详细地记录在一系列巨大的日志文件中。然而，这项查询的过程还是要耗费掉两周的时间，因为我们不仅仅需要知道那个交易商曾经做了什么，还需要知道他以前是否有可疑的行径。

如果 Fortscale 能做到像他们所说的那样，那么他们的工具将能够以那个交易商的行为作为基线来跟其他交易商进行对比，从而大大降低搜索花费的时间。它甚至能够在一开始的时候就侦测到涉嫌窃取数据的行为，从而避免可能需要的昂贵诉讼费用。

查看英文原文: Using Logs to Detect User-Based Threats

感谢夏雪对本文的审校。

给InfoQ 中文站投稿或者参与内容翻译工作，请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博（ @InfoQ ）或者腾讯微博（ @InfoQ ）关注我们，并与我们的编辑和其他读者朋友交流。