Avanan：穿透云

　　在云中保护数据，特别是应对来自内部的威胁是非常困难的，因为数据往往被安置在不同的地方，而且通常并不由拥有这些数据的企业组织所直接控制。尽管云服务供应商们将有助于保护企业用户的数据抵御来自外部的安全威胁，但如果一个授权用户突然开始在异地发送机密文件，他们一般不会做任何事情。事实上，他们甚至可能会开放更多的带宽，使这个过程变得更顺利。

　　Avanan公司成立于2014年，主要工作重点放在云安全领域。该系统还能够完全在云中运行，因此其安装程序无需任何物理组件。其适用于所有大型的云服务提供商，包括亚马逊，谷歌和微软。 Avanan的产品也非常经济，其基础平台的起始售价为每月每位用户5美元，而针对大型部署的售价可能更低。对于我们的测试云，整个安装过程只用了几分钟。

　　由于大多数云供应商均提供了对于无限的存储容量的功能访问权限，许多企业组织会将涉及到用户的不同操作行为的数据和应用程序保存在云中长达一年或更长的时间。Avanan可以挖掘数据，甚至能够识别几个月前就已经发生的可疑的内部安全威胁活动，或将新的案例与可以追溯到几个月或几年前的潜在的模式连接起来。

　　就其本身而言，Avanan是一款用于防止内部威胁的强大的工具。然而，该产品的另一大优点是，其提供了一键点击就能够安装许多流行的安全程序，甚至包括那些以前没有在云中使用被优化的安全程序。 Avanan并不收取用户在云中安装这些应用程序的费用。

　　用户只需要支付任何其他供应商所要收取的费用，而他们现有的许可甚至可能已经涵盖了云部署。在我们的测试过程中，我们在我们的测试云中安装了Check Point、Palo Alto和赛门铁克软件。在所有的测试情况下，我们均获得了完整的云功能。每款程序还能够直接报告给Avanan的主界面，以添加额外的指标纳入内部安全威胁调查或提供一般的云安全更新，如存在内部的恶意软件文件。

　　除了Avanan，可以运行多少附加程序并没有上限。例如，企业用户可以运行多款防病毒程序而不相互干扰，并且其支持超过40种选择。还支持向FireEye这样的沙盒，以及象Splunk和ArcSight这样的SIEM方案。

　　一旦安装完毕，Avanan将为在云中发生的一切受保护的数据提供完全的可见性。有可用于确保基本或常识类型的用户规则的一个自动化策略引擎。从那里，管理员可以为不同的文件夹和数据如何使用、访问和共享设置独特的规则。因为这些都是文件级的规则，它们适用于用户和已安装的所有程序。

　　在我们的测试网络中，当一名有着高凭证的用户安装了需要访问受保护区域内的数据的程序时，其会被叫停，即使用户有适当的凭据来安装该问题程序。这将防止用户意外地安装某些东西，即使是一款想要访问受保护数据的常用的程序。

　　当某用户违反了政策规定时，在Avanan中可以定义几个动作。简单地通知用户可能的安全漏洞，以自定义的消息解释为什么一个动作会被拒绝。通过这种方式，用户可以为他们在云中的不当或不良行为受到教育，此后不太可能成为意外的内部威胁。

　　而如果用户操作行为的危险严重性进一步加剧，那么就会收到拒绝的警告提醒，但他们也有解释自己行为的机会。也许他们有一个有效的商业理由需要将机密数据发送给自己的某个同事。然后，管理员可以考虑他们的理由，然后做出进一步的允许或拒绝可疑操作的行为。在这两种情况下，都将产生一个审核跟踪以用来为调查用户在未来的任何进程或程序。最后，当管理策略被破坏时，其相关操作过程可以完全被拒绝，而安全团队是否通知用户皆可。Avanan的主要控制台基本上就像一款SIEM本身，虽然其将来自任何其他SIEM和运行在云中的安全程序的数据都进行了整合。其还有一个强大的影子IT功能，这显示了哪些应用程序已经被安装在云中，谁在使用这些应用程序以及正在做什么操作的相关信息。整个应用程序可以被拒绝，并从云计算中移除，无论其用户数量是多少，进而防止任何程序成为内部威胁本身，或者成为被禁止传输的文件或共享数据的工具。

　　Avanan并不像Fortscale在传统网络中的表现那样，完全呈现个别内部威胁活动的图像，但可疑的活动仍然可以通过借助最少的培训而检测到。在我们的demo演示中，一个用户试图访问他们有权限访问的文件夹，但随后试图执行被管理政策禁止的功能，即试图将文件移动到一个不太安全的区域。在这种情况下，用户很可能真正的内部威胁。

　　在另一个例子中，一名用户再次访问合法的文件夹，但却是从来自世界各地的多个位置进行访问的，而这些地理位置都将在Avanan内的图形地图上显示。在这种情况下它很可能用户凭据被黑受损的情况。在这两种情况下，Avanan都将采取相应措施，以防止内部威胁。

　　鉴于当前的企业组织这么多的数据被迁移到云中，有一款像Avanan这样的程序是相当必要的。能够保护您企业的数据和文件免遭内部威胁，但仅仅通过一键点击就能在云中部署大量安全程序的价值不能被过分夸大。能够充分了解在云中发生的所有用户、程序和访问行为真的揭开了云计算的神秘面纱，让管理员们能够像一款传统的网络一样实施管理和保护，使得基于云的数据真正能够免于受到外部和内部的威胁。

　　iNetSec智能搜索工具：无代理的移动设备扫描

　　当用户被允许使用平板电脑，智能手机和其他移动设备访问企业网络时，这些移动设备无疑为企业网络的安全性又新增了一些问题。这些移动设备增加了更多的潜在责任，因为他们本质上是通常要离开办公室和管理人员的控制之下的网络客户。除了带来了正常的内部威胁问题，移动性也增加了可靠的设备装置可能会丢失或被盗的可能性，进而为进入受保护的网络潜在的打开了一个窗口。

　　PFU Systems是富士通公司旗下子公司，该公司旨在通过他们的iNetSec system产品来为客户管理由移动应用程序所带来的日渐增加的潜在内部威胁。该系统产品所做的一切工作的重点便是集中于移动设备应用程序的管理。所以，一家企业客户是否需要这样的一款程序将取决于他们自身的业务开展对于移动应用程序或BYOD部署的依赖。

　　iNetSec智能搜索系统的部署为一个网络设备，通常位于一个网络的局域网段和移动用户使用的VLAN段之间。一个单一的iNetSec设备最多可以支持16个VLAN。该iNetSec智能搜索设备起始售价为8410美元，包括管理软件、一年的售后支持和一台设备配备1000并行设备的容量。

　　一旦部署完成之后，该款iNetSec智能搜索设备将负责发现、分类和管理所有的移动设备，以执行网络访问策略。除了实施设备管理，其还将图形化和可视化的所有应用程序的流量，以防止带宽滥用和阻止高风险的应用程序运行。

　　虽然iNetSec主要关注于内部威胁方面，但其也可以扫描内部网络流量以检测基于行为相关的高级持续性威胁(APT)的存在。其能够做到这一切，而无需在任何移动设备上安装代理，因此，参与BYOD计划的用户将不必在自己的个人设备上安装多余的或不需要的软件。

　　第一步，一旦我们iNetSec测试平台正式上线，便会开始扫描连接到网络的每款移动设备。该iNetSec设备实际上是能够找到任何设备的MAC地址，包括路由器和VoIP电话，并在主控制台正确识别它们。这样做是为了监视通过网络网关的通信流量以及任何可能是一个活跃的APT的指示的横向移动。

　　将移动设备放到一边，管理员可以允许每一个进程连接到网络，并设置所需的环境和批准条件，或者他们可以拒绝所有的进程。这也可以通过政策而非查看每一台设备来实现，而如果在网络上有成千上万台设备的话，这会更好。在我们的小测试平台，我们只是简单的看了每一进程，其非常快。

　　规则可以基于某些方面的安全性来建立，诸如移动设备多久需要连接到网络一次，以保持其凭证的有效。所以，您可以据此来进行iNetSec的设置。例如，如果一款移动设备不能每隔七天登录一次，就可以考虑其是否丢失或者被盗。这将有助于防止出现一种内部威胁的可能性，而这种情况对于非移动系统通常不容易发生，即授权的设备落入非授权用户手中。设备试图在超出了规定时间之后连接到企业网络，可以被强制按照不同的程序才能重新获得完整的网络访问权限，甚至也许需要来自安全管理人员的直接审批。

　　一旦每款设备被批准或拒绝访问企业网络，并制定了一套相应的管理策略来管理那些想要连接到企业网络的任何新设备，iNetSec将开始监视这些设备和用户都在做什么。主仪表盘会显示每款连接的设备及其当前的活动。例如，您甚至可以看到，哪些用户正在观看YouTube视频或纯粹只是玩玩手机以消磨时间。这是很重要的，因为正在被用户所使用的每款应用程序被分配了一定水平的风险，即使其并没有主动实施任何不良操作。在我们的测试网络中，一款文件共享应用程序一上线就获得了非常高水平的关注度。即使是像Adobe SendNow这样的一些看似正常的程序，鉴于其存在被滥用的潜力，也是高危因素。

　　管理员可以选择允许或禁止任何应用程序在企业网络上的使用。虽然这不会将其从移动设备上删除，而iNetSec也对于移动设备没有直接的控制，但其可以防止它们被用来传送文件或与受保护的网络交互。在管理员认为是极端的情况下，某些程序或恶意软件的存在可能引发设备访问网络的权限被立即拒绝。

　　具有讽刺意味的是，iNetSec采用地址解析协议欺骗(ARP Spoofing) 使得在紧急情况下，能够立即拒绝一款移动设备对于企业网络的访问，并且如果需要的话，也可以让他们稍后加入企业网络。ARP欺骗是攻击者有时所使用的一种技术，所以看到其被巧妙的使用，是相当有趣的。

　　除了监测应用程序，iNetSec还在网络中着眼于监测移动用户的流量模式。所以，如果有人使用自己的手机来移动文件或访问禁止区域，iNetSec可能会标记该行为。但是，如果没有涉及到真正的恶意软件或可疑应用程序的情况下，用户做这样也许是被允许的，也不会被iNetSec标记。

　　在现如今这个时代，很少有企业组织机构能够负担得起完全防止其用户采用自己的移动设备工作的成本了，甚至连最保守的企业都接受了某种形式的BYOD计划。但不可否认，移动设备的增加无疑为企业网络带来了对于安全问题和潜在的来自那些授权设备对于内部网络的威胁。这款iNetSec设备可以修补诸多安全漏洞，赋予企业网络管理员关于哪些用户和设备正在做着什么操作的清晰的视图，并且能够针对他们所察觉到的任何内部威胁立即作出反应。

　　本文作者约翰·布里登是一位拥有超过20年的业界相关经验、并屡获殊荣的评论家和演说家。目前，他是Tech Writers Bureau的CEO，该公司拥有一批有影响力的记者和作家写手，这些撰稿者均供职于政府机构和其他各行各业。各位读者可以通过jbreeden@techwritersbureau.com联系到他。

　　责任编辑：DJ编辑