Fortscale公司能够帮助企业组织保护传统的企业网络，而Avanan公司的产品则能够在云中提供服务，PFU Systems, Inc.公司则侧重于专注对移动设备的安全保护。

　　在1979年上映的电影《惊呼狂叫(When a Stranger Calls)》中，警察告诉年轻的保姆说，她所接到的叫她当心孩子安全的变态狂人的骚扰电话是从房子里打的，无疑进一步增添了恐惧。对于观影者们而言，这是相当恐怖的，因为变态狂人已经入侵到了房子里面，甚至可以随意发泄破坏任何他想要破坏的东西，被锁的大门或其他外围防御措施对入侵者而言都形同虚设，入侵者可以畅通无阻。而到了现如今的2016年，我们可以理所当然地认为企业网络安全正经历着类似的威胁：来自企业内部的安全威胁。

　　庆幸的是，整个行业正如雨后春笋般涌现出各种不同的产品和服务，以帮助企业组织抵御来自内部的安全威胁。在本文中，我们专门测试了来自Fortscale、Avanan和PFU Systems公司的产品，其中每款产品都侧重于问题的不同方面。

　　• Fortscale公司在保护传统网络方面做了大量相当了不起的工作。当深度探测并挖掘到安全威胁时，其机器学习功能、及对于访问权限和身份验证日志的重点关注使得他们的产品具有了极高的准确率，但他们又仅仅只是为用户提供所收集、整理的信息，而让用户拥有最终的任何实际的决定权。

　　• Avanan公司的产品拥有一个非常好的前端界面，并能够完全在云中工作。其甚至可以与已经经由该公司优化过的大多数其他安全工具结合，以在云环境内工作。一般而言，鉴于数据本身的不可控和广泛分布的自然特性，使得较之传统的网络，基于云的内部威胁可能更难检测到。但Avanan公司的产品则能够提供唯一的保护，使得用户免受来自受信任的内部人士的威胁。

　　• PFU Systems, Inc.公司是富士通公司旗下子公司，该公司主要是通过他们的iNetSec system产品为移动设备提供抵御来自内部的安全威胁服务。其可以帮助企业用户部署一项BYOD计划，而无需考虑与移动设备相关的额外的内部安全风险问题，如特定的智能手机落入坏人之手的情况。

　　在我们为期几周的测试过程中，所有这三款产品的性能表现都相当良好。在这期间，某些网络结构是由供应商所提供的，而另一些则是由我们自己的内部测试平台提供。(读者朋友们可以在此参见这三款产品的屏幕截图。)

　　Fortscale：通过机器学习来抵御内部威胁

　　相比于我们在过去几年已经研究过的其他企业的安全工具而言，该款Fortscale产品可以说是接近完成，并准备好开箱即用了。其作为一款单一的服务器被安装在一个网络上，然后连接到已被使用的任何安全信息和事件管理(SIEM)系统。无需由管理员来配置任何规则或进行任何编程，因为Fortscale使用机器学习和复杂的算法来找到与内部威胁有关的异常或危险的行为。而且因为其集中在对于访问和身份验证日志的关注，对于大多数网络保持至少一个月的数据，其能够在第一天就开始找出安全威胁，但随着时间的推移，其能够更准确。

　　Fortscale也很经济，对于一家有20000个工位的中型企业，每年每位用户的定价约为10美元。而对于较大规模的许可证购买用户和一次性购买多年许可证的用户而言，还可以享受折扣优惠。虽然这款Fortscale产品的处理并生成警报的过程是相当复杂的，在某种意义上，其可以归结为能够像一个人工一样处理信息。如果一名早晨在加利福尼亚州工作的用户突然在中午时间从乌克兰的IP地址登录到了一款受保护的系统，那么一个人工就可以很容易地将其识别为安全攻击，但计算机却对此存在一定的困难，特别是如果该实例不太明显的话。

　　我们发现，从某种意义上说，Fortscale有些类似于IBM的沃森，能够实现连接，并向人类用户提升问题，以便对问题进行有针对性的调解。其中的秘密就在于Fortscale集中于非常具体的信息，而其安全威胁模式已经被编程设定，并且能够根据其所保护的特定的环境进行学习。具体来说，其着眼于OS认证，VPN访问，文件访问，来自现有的安全产品的日志的数据，大多数攻击者试图访问的一个网络的最重要和最危险的部分。

　　从该Fortscale产品的界面，一名用户永远不会知道在后台正在进行着这么多的处理。被提交到人工以进行考虑决断的事件需要由Fortscale产品所考察的几个因素的支持。没有任何一个单一的事件足以促发一个警报，这一事实使得能够将误报降至最低。

　　其另一个实用的功能，同时也显示了这款Fortscale产品是真正专为人类用户而设计的功能是：对于某些特定用户可以在登录初始页面进行额外审查。这类用户被称为“Followed Users”，这些用户被添加到仪表板的最右边的列，并被要求填写完整的信息，包括他们的照片，头衔和网络群组，如果这方面的信息是可用的话，都要逐一填写完整。

　　并没有设置标准以添加某些用户到Followed Users池的必要。这完全取决于系统管理员。也许在现实世界的调查员或审计员因某种原因怀疑某员工在网络之外的活动，或者Fortscale管理员看到一个帐户出现了低级别的异常，并希望对该用户进行标记，以防万一。这甚至可能是网络上的某个VIP，而该VIP的活动需要不惜一切代价的进行保护，或是没有获得安全检查的临时承包商。原因真的并不重要。用户可被添加到Followed Users组或随时根据需要从中删除。

　　在Followed Users群组中点击一名用户，将显示出Fortscale随着时间的推移而收集的关于该用户的所有的信息，包括任何是否曾经发展成一个实际的警报的信息。这与从用户池中选择任何一名用户没有任何不同。其只是要求对这些用户进行额外的审查和确保更方便的访问。

　　除了Followed Users区域，Fortscale产品的主界面看起来很像一款典型的安全仪表板。前10个开放的警报用红色，黄色和绿色的颜色代码突出显示。也有关于由不同群组正在生成的警报的数量和修复率的信息，管理员在此处关闭一个警报，并解决问题。所有这些信息可以被收集，并投入到一个独特的、图形化的报告中，以显示整体性安全视图，细化到一个警报中所包含的各种因素，以及监督管理者或审计员的信息。这些报告呈现给企业CXO级别的老板们看，相当好，而且是相当容易理解的。

　　而当您深入到警报时，这款Fortscale产品界面确实非常棒的地方就体现出来了。在为管理员显示警告背后的背景故事方面，该程序作了非常出色的工作。即使是一个低级别或初级的分析师也可以通过警告背后的故事方面来充分理解该警报。其是由引起警报的指标进行分解。在一个案例中，有七个指标引发产生了内部威胁警报，包括一个数据使用异常因素、每天使用了大量的设备、地理位置异常，大量的来源国异常和源设备问题。在这种情况下，很容易推测：有问题的员工很可能不是一个真正的内部威胁，而是有人获得了他们被泄露的身份凭据。

　　但Fortscale还能够检测出那些不太明显的事件，然后将这些相关情况展示给管理者，来帮助他们更好的理解发生了什么情况。在另一个例子中，一个用户在受保护的系统进行了大量的监听，而所有的监听在技术上都是受到了网络管理政策授权的，那么这些监听就不会触发警报。但Fortscale则能够借助大量的目标设备异常和一些故障代码，通过链接活动时间异常捕获他们。而通过查看Fortscale所展示的发出警报背后的背景故事，人们就可以很好的了解到：一名管理员在一个区域的责任便是登录系统数小时，但他们并不负责维护。

　　偶尔，他们也会被一个有坏的或无效密码的系统拒绝，生成错误代码异常。但是，因为他们会在这一点上停止，不会产生一个正常的SIEM警报。而Fortscale则能够将其添加到他们正在干什么的图片，否则这类信息可能会被丢失在看似无关的巨大的网络数据流中。

　　在第二个例子中，一个真正的内部威胁也会被捕获，即使其遵循了大部分的网络管理规则。Fortscale不对有关用户作任何的判断，因而其自身也不需要采取任何措施，仅仅只是呈现警报背后的背景故事给相关的安全管理人员。也许只是一名用户正在帮助另外一个部门的一个朋友;又或者他们只是纯粹的好奇;或者他们实际上真的是一个间谍或心怀不满的员工。这都需要交由人工做出最终的决定并采取适当的措施，但Fortscale可以突出显示他们的这些活动，否则这类活动很可能就会避开检测了。

　　最后一个例子，Fortscale能够标记那些采用了一个低技术含量的方法的内部活动，在这种情况下，是通过检查打印日志来完成的。该方案能够识别异常，例如：某个用户第一次对Oracle数据库进行了“所有记录”的调用，然后打印了超过350页。对比他们以前的打印机使用情况，他们在过去的两个月里只发送了几个页面的打印需求到打印机，然后突然发送了一份超过300页的打印需求。

　　除了就相关的可疑活动和当前全貌的相关事件向管理员发出报警之外，Fortscale不会采取任何实际措施。再次强调，这可能是与工作相关的，但这也可能是一名雇员正准备离开公司，而使用了非常低技术的方式想窃取企业专有信息和数据的一种情况。但即使是低技术含量的方法，也很难逃出具有高度警惕性和洞察力的Fortscale的“法眼”。