多层单一平台服务包为数字型企业提供监测、分析和保护数据的关键能力

5月9日,Centurylink,Inc.(NYSE: CTL)在亚太区推出了管理安全行为分析(MSBA)服务包。该单一平台服务包使各机构能够监测和发现关键资产的内部威胁。该服务包使用行为分析算法来查找恶意用户活动，并自动审查特权帐户活动。此外，该服务包还检测构成风险的事件、已知的攻击者行为、异常网络活动和帐户行为偏差。　　

Thetypicalarchitectureofacustomer’senterprisenetwork,serversand whereCenturylinkServiceandSOCteamsfitintothemodel,illustratinghowwe monitorthecustomer’senvironmentandrespondtocyberthreats.

波耐蒙研究所(PonemonInstitute)发布的名为《2020CostofInsiderThreats: Global》(2020年内部威胁成本：全球)的最新报告显示，与2018年相比，全球平均内部威胁成本增加了31%，增至1145万美元，事件发生频率则提高了47%。该研究还凸显出，过失员工或承包商(结果显示62%的内部威胁由他们造成)带来的财务负担最高，平均每年为458万美元。

IDC亚太区服务与安全副研究总监Cathy Huang表示：“如今，企业面临着新的严峻的现实，即网络威胁不再只是勒索软件、恶意软件和周边数据外泄。现在各机构忽略企业内部的潜在威胁，在企业内部，敏感数据丢失和外泄风险很高 --他们的员工。这些内部行为可以被归类为无意的或恶意的，但它们同样对公司的整体网络防御效能有影响，并可能损害客户赋予他们的声誉和信任。”

Centurylink亚太区产品管理(安全)总监CheahWai Kit表示：“随着越来越多的数字型企业将重要的基础设施转移到网上，他们要有积极的网络安全战略来监测和保护自己的资产变得非常重要。机构内的网络威胁可能会被忽视几个月甚至几年。Centurylink管理安全行为分析服务提供Centurylink安全运营中心监测和管理的独特技术的综合方法。这项解决方案为商业领袖提供更高的潜在威胁可见性，这些威胁可能隐藏在他们的网络、IT基础设施、应用程序和数据库中。”

许多公司都对自己的网络进行检测控制，或在外部人员(非员工)试图访问他们的公司数据时可以进行控制，而且他们可以通过物理安全控制来减轻威胁。然而，更难察觉的威胁，以及可能带来最大危害的却是内部人员 --拥有合法访问权利的员工。内部人员可能仅仅为了个人利益而窃取，也可能是“间谍”，窃取公司信息或产品给另一家公司、机构或国家。

凭借管理安全行为分析服务，各机构可以：

通过监测帐户行为偏差情况，发现和阻止内部网络安全违规行为，重点关注构成风险的安全相关事件。

监测证件窃取、被劫持帐户、恶意帐户活动和登录异常迹象。

自动审查特权帐户活动，以发现操作系统、应用程序和数据库级别的未经授权的交易和恶意活动。

检测后门、内网漫游、恶意软件流量和数据渗漏迹象的恶意服务器网络流量。

尽早发现威胁，以尽量缩短入侵时间。

管理安全行为分析服务包提供：

情报分析：自动化威胁检测算法审查用户和网络活动，根据用户角色描述、基于威胁情报的已知攻击者行为以及MITRE ATT&CK等行业框架确定潜在的攻陷指标(IOC)风险。

嵌入式检测：轻量级传感器/传感器机制在承载关键资产、数据和应用的服务器上运行。

特权帐户监测：监测与安全相关的特权操作，以处理异常和不寻常操作，如滥用数据访问、未经授权的交易和过多的特权。

行为基准线：收集有关个人用户角色的洞察，以建立正常行为模式，识别异常，并提供内部威胁指标快速检测。

实时发现：通过整合到Centurylink安全运营中心(SOC)进行分类和升级，提供全天候监测。

平台不受限制：支持多个操作系统。

Centurylink网络安全专家还将为用户提供咨询服务，作为管理安全行为分析服务包的一部分。他们致力于提供咨询和提出建议，帮助各机构改善安全状况。

Huang表示：“网络安全日益提高的重要性和影响力不再仅仅是技术或合规问题，还是亚太区机构正在密切关注的业务和战略问题。亚太区各机构正面临着越来越大的监管压力，并将安全投资作为其数字转型计划的一部分，它们正在寻找服务提供商来为其业务目标提供支持。管理安全服务提供商(MSSP)为生态系统带来了明显的价值。为了制定高效的网络风险战略，管理安全服务提供商必须根据业务目标来调整网络防御控制策略。这需要有深厚的行业专长和能力来开发不仅仅提供传统基础设施层监测的行业特定威胁模型。”

Cheah总结道：“我们为客户带来了平和的心态，并证明了我们作为值得信赖的管理安全服务提供商让客户看到更多，停止更多的承诺。”除了管理安全行为分析之外，Centurylink安全运营中心还负责提供我们的检测和缓解服务组合，包括分析和利用Centurylink旗下威胁研究子公司Black LotusLabs提供的威胁情报数据。BlackLotusLabs每天对1900亿网络流量(NetFlow)活动和超过360万次安全事件进行分析。

aboutCenturylink

Centurylink(NYSE: CTL)是一家领先的科技企业，为世界各地的客户提供混合网络、云连接和安全解决方案。通过其广阔的全球光纤网络，Centurylink提供安全可靠的服务，以满足企业和消费者不断增长的数字需求。Centurylink致力成为通向网络化世界的可靠桥梁，全力打造增强客户体验的一流技术。详情请访问：。

附录

客户场景

用例1：2019年12月30日--Centurylink安全运营中心检测到客户IT环境中特权用户帐户(PUA)活动的可疑安全异常。

第一次可疑活动发生在特权用户帐户登录客户其中一个企业资源计划(ERP)服务器时。可以看到，他最后一次登录这个服务器是在69天前。分析显示，他通过域控制器登录的次数比平时高83倍。

他访问了以前从未登录过的多个服务器。该特权用户帐户使用19个不同的源IP地址访问网络。

虽然有不寻常的登录活动，但Centurylink安全运营中心分析师进行深入调查后发现，没有任何数据渗漏，也没有其他可疑恶意活动迹象。Centurylink询问了客户，了解到该特权用户帐户打开了临时的紧急维护窗口。

用例2：2019年8月中旬-- 有可疑的DNS请求通过客户的域控制器发送时，Centurylink安全运营中心检测到了可能存在的安全事件。这与域生成算法(DGA)模式类似。域生成算法模式存在于各种恶意软件，生成大量的域名，可用作与C2(命令与控制)主机的聚合点。

这一发现后，Centurylink安全运营中心分析师立即开始了寻找威胁的行动。进一步的调查发现，终端设备生成DNS流量模式的IP通过客户的BYOD(携带自己的设备)访客网络连接。调查还发现DNS目标主机被归类为恶意主机或可疑主机。有时，DNS隧道可以用来伪装C2通信。

Centurylink询问了客户，确定终端设备是否是他们的一项公司资产，还是属于访客。