牛品推薦第四十一期

竹雲科技：風險引擎產品

5G、物聯網、雲計算等新興技術的快速發展，讓終端用戶可以通過互聯網、App等更多渠道來訪問企業數據。從本地到雲端，從私有雲到混合雲，企業面臨著業務復雜化、攻擊常態化等問題。

因此，如何通過建立動態、智能的風險防禦體系來保證業務的穩定運營已經成為組織面臨的重要挑戰。等保2.0提出在確保無弱口令和空口令的前提下，所有重要設備都需采用雙因子認證方式登錄，尤其針對核心業務應用系統，不能隻采用基本的用戶名/口令。通常的做法是使用令牌、智能卡、生物指紋、虹膜識別、人臉識別等高階認證技術，並采用兩種及以上身份鑒別方式提高可信度，但這一要求會降低用戶操作的便捷性。

對大部分企業而言，運營效率和用戶體驗都很重要。因此，企業需要一種先進技術，能對不同安全級別要求的應用，提供一種對用戶無感的行為風險感知方法，並通過與其他安全處置系統（如防火墻、反病毒、態勢感知等）進行自動化的聯動風險處置，比如發現風險時再自動化切換為雙因素認證，最終實現安全與高效兼得。

基於規則的行為分析技術可便捷地與身份鑒別技術進行聯動，但是該方法還需要來自數據層面的分析佐證，通過分析結果，實現對異常、惡意攻擊行為的風險預警和處置。故為解決上述問題，幫助用戶提供更多關於風險檢測產品的參考，發佈本期牛品推薦——深圳竹雲科技股份有限公司：風險引擎產品。

標簽

行為可視化、行為風險檢測、動態訪問控制

用戶痛點

01

無法實現安全風控和用戶體驗的平衡

在傳統身份驗證中，用戶輸入的憑證正確後即可登錄系統，但無法識別憑證是否是被本人使用。目前常見的增強認證手段為多因子認證，但該方案的缺點也較明顯，需要用戶通過多種方式登錄驗證，會導致用戶體驗下降，增加組織的運營成本。

02

無法事前識別風險行為

現有的認證方式無法識別是否有攻擊者嘗試登錄他人賬號、賬號借用、幽靈賬號活動等危險行為，需建立模型對異常行為特征進行分析。

03

日志記錄分散，難以提取關鍵數據

很多企業對於用戶行為、管理操作、防護日志的記錄較為傳統，僅以簡單的查詢為主，審計數據較為分散，安全審計人員很難提取關鍵數據。

04

集成局限性導致無法掌控全局信息

因部分應用架構、接口等問題，無法統一接入平臺，導致企業無法統一管控所有應用的訪問安全。

解決方案

針對用戶痛點，竹雲推出瞭風險引擎產品。風險引擎作為組織信息安全體系的策略大腦，能實時分析異常行為，並對此類行為進行預警，實現事前風險識別，並通過智能調度新的認證方式增強用戶可信度、降低用戶權限或者外發通知進行主動防禦。

一、竹雲風險引擎的聯動模式：

風險引擎匯聚從IAM平臺及相關平臺獲取用戶行為數據、攻擊威脅數據、威脅情報數據和控制臺中的管理數據，進行用戶行為特征分析和用戶行為可視化，以不同形式的報告呈現給不同角色的用戶查看，包括通過數字大屏展示數字化成果、將實時的風險數據匯總給安全團隊用於監控和報告等。

對於終端用戶，會收到風險引擎發送的實時異常行為通知，並要求其進行二次認證。當風險發生時，認證系統會發起基於風險的動態認證調度。

二、竹雲風險引擎的核心能力：

01

實時、多維度的風險檢測能力

從風險檢測能力的角度看，風險引擎會提供幾個維度的檢測：

終端/網絡風險：

在IAM和零信任的信任評估體系中，終端和網絡作為很重要的評估因素，對用戶身份賬號以及用戶訪問的應用系統均會產生威脅。將風險引擎與第三方終端(如EDR)、網絡(如APT、態勢感知)安全產品配合使用，實時接收平臺推送的終端和訪問IP安全狀態。當用戶在一個非受控、有風險的終端或網絡訪問應用系統時，通過設備和訪問IP安全狀態作為判斷因素，對不同敏感級別的應用，要求用戶進行二次認證，或回收用戶對高敏感應用的訪問權限，以保障訪問的安全性，預防橫向滲透；

行為風險：

借鑒UEBA技術，通過專傢規則及機器學習算法，對用戶的行為特征進行建模，結合本人、群體的行為習慣相似度來綜合判斷用戶的訪問行為是否有攻擊傾向等風險；

策略風險：

對於一些敏感資源和操作，訪問者的行為習慣、設備、網絡范圍相對是比較固定的，比如一傢企業的工作時間是朝九晚六，那麼，就可將訪問策略設定為針對某部門的用戶，隻允許在朝九晚六的時間段訪問，超出范圍都需要進行二次驗證等。

02

視圖、多視角的數據表達能力

針對不同人群，風險引擎提供不同的報表展示形式，讓不同層級用戶能及時查看所關註的信息，提升管理層決策效率。

用戶反饋

以IAM平臺為核心，把好網絡訪問入口關，對信息系統、服務器、計算機終端的管理員賬號、個人賬號進行專項整改，保障信息系統運行安全，確保經營業務穩健運行。通過風險引擎，強化主動防禦關，推進監測預警、應急處置等各項工作，化被動為主動防禦，切實提升集團網絡安全運營水平。

–來自某大型央企集團

通過基於風險的短信動態二次認證，有效地幫助集團解決瞭二次認證推廣難的問題，並將二次認證作為企業常態化的防護手段，而不僅是在重保時使用。同時通過風險引擎的統一審計，以及多維度的可視化視圖，讓企業對信息資產的安全及IAM的整個運行情況一目瞭然，為企業的信息安全建設提供瞭數據指引。

–來自某大型醫藥集團

在建立用戶畫像進行用戶異常認證行為檢測的任務中，遇到最大挑戰在於如何通過系統，自動標註及更新用戶的行為特征，以確保用戶的行為特征一直是有效、可信的同時，減少人工幹預，提高標註效率。針對該挑戰，風險引擎結合與IAM深度融合的優勢，基於實時風險的二次認證作為自動標記的驗證機制，以及行為特征生命周期自動管理策略及機制，實現瞭在較短時間窗口內對用戶特征進行快速學習和應用的能力。

–來自某航空企業

安全牛評

風險是動態的，相應的防禦也需要“動起來”。傳統的身份安全相關產品多以黑白名單、訪問控制列表等靜態措施為基礎，這種強控制降低瞭管理當中的靈活性。安全產品應盡量平衡用戶體驗和安全性。

竹雲風險引擎產品，以動態、策略的方式完成對身份行為的審計，通過用戶行為畫像判斷訪問者是否為風險個體，讓系統的開放性增加。該產品還可以與IAM、零信任等體系化產品進一步融合，為用戶提供整體的方案。