风险评分(Workspace ONE Intelligence 风险分析)
使用 Workspace ONE Intelligence 可查看收集的数据并利用评分确定风险。Workspace ONE Intelligence 风险分析功能可跟踪用户和设备的操作以及行为,然后计算潜在风险。它通过风险级别和其他元数据展示此潜在风险,以便您可以快速估量 Workspace ONE UEM 部署的漏洞。您还可以从 Workspace ONE Access 查看登录风险评分,这些评分从用户的登录位置获取信息,并可以报告用户是否显示异常、风险行为。
什么是风险评分?
Workspace ONE Intelligence 中的风险评分是一种风险分析功能,用于跟踪用户和设备的操作以及行为。它会将评分显示为级别,以帮助加快信任流程。某些级别意味着您可以信任用户或设备,而其他级别则建议立即采取缓解措施。风险评分从基准或“正常”风险级别开始。当用户或设备的行为偏离正常范围时,评分将使用“高”、“中”和“低”来标识这些偏差。
- 高 - 此评分表示极有可能会给网络资源和内部资源带来威胁和漏洞。此级别表示可信度最低。
- 中 - 此评分表示给网络资源和内部资源带来威胁和漏洞的可能性中。
- 低 - 此评分表示几乎不可能会给网络资源和内部资源带来威胁和漏洞。此级别表示可信度最高。
您可以根据评分和组织的安全策略来采取各种响应措施。例如,对于高风险评分,具有宽容安全策略的组织可能会警告用户。但是,对于中等风险评分,具有限制性安全策略的另一个组织可能会拒绝授予特权。以下列表列出了组织可以使用风险评分来采取行动的其他方式。
- 监控设备或用户。
- 使用通知警告设备或用户。
- 拒绝向设备或用户授予特权。
- 将身份验证方法添加到具有 Workspace ONE Access 集成的用户或设备。
哪些行为会影响风险评分?
风险评分因系统对设备或用户识别的行为而异。这些行为也称为风险指标。正面行为的评分更低,且可信度更高。正面行为的评分更高,且可信度更低。系统可识别并汇总多个风险指标,以计算风险评分偏差。
已识别的行为
| 风险指标 | 说明 | 风险 |
|---|---|---|
| 异常警示活动 | 所生成的安全警示数量、类型或严重性不正常的设备。 | 不正常的威胁警示数量、类型或严重性指示设备可能受到侵害。 |
| 应用收集器 | 安装的应用远超正常数量的人员。 | 任何应用都可能包含已知或未修补的漏洞,这些漏洞可能会成为攻击途径。网络攻击的攻击面随着设备上应用数量的增加而增加。 |
| 强迫性应用下载 | 短期内安装的应用远超正常数量的人员。 | 在其设备上疯狂安装异常应用的用户面临的风险更大,更有可能成为恶意活动的受害者。某些应用会伪装为有用、友好或有趣的应用,而事实上它们想要对用户造成危害。筛选不安全内容(恶意软件)的市场方法因供应商而异。不谨慎的用户可能会被跟踪、遭受黑客攻击或欺诈。 |
| 严重 CVE 过多 | 具有过多未修补严重 CVE(常见漏洞暴露)的设备。 | 设备上存在的严重 CVE 数量越多,设备的攻击面就越大。 |
| 落后更新 | 懒于更新设备操作系统或完全拒绝更新的人员。 | 忽略软件更新可能会使设备易受攻击并增加被破解的风险。 |
| 持久严重 CVE | 在组织中的大多数合格设备都得到修补后,具有一个或多个严重 CVE(常见漏洞披露)的设备仍然未得到修补。 | 设备上存在的严重 CVE 数量越多,设备的攻击面就越大。 |
| 罕见应用收集器 | 安装的罕见应用远超正常数量的人员。 | 与广泛使用的应用不同,罕见应用的来源可疑,更有可能感染恶意软件或安全漏洞。 |
| 有风险的安全设置 | 拥有一台或多台设备并明确停用了安全保护功能或明确声明设备遗失的人员。 | 禁用设备上的安全措施会增加被破解的风险。 |
| 异常应用下载 | 最近安装了异常应用的人员。 | 应用可能会伪装为有用、友好或有趣的应用,而事实上它们想要对用户造成危害。筛选不安全内容(恶意软件)的市场方法因供应商而异。不谨慎的用户可能会被跟踪、遭受黑客攻击或欺诈。 |
风险评分对哪些类型的设备有效?
风险评分适用于 Android、iOS、macOS 和 Windows 平台。它还适用于分类为公司专用、公司共享、员工拥有 (BYOD) 和未定义的设备。
支持的风险指标(按平台)
| 设备平台 | 异常警示活动 | 应用收集器(未受管和公共应用) | 强迫性应用下载(未受管和公共应用) | 严重 CVE 过多 | 落后更新 | 持久严重 CVE | 罕见应用收集器(未受管和公共应用) | 有风险的设置 | 异常应用下载(未受管和公共应用) |
|---|---|---|---|---|---|---|---|---|---|
| 移动(iOS 和 Android) | ✕ | ✓ | ✓ | ✕ | ✓ | ✕ | ✓ | ✓ | ✓ |
| 桌面(Windows 和 macOS) | ✓ | ✕ 该功能不会收集应用数据。 |
✕ 该功能不会收集应用数据。 |
✓(仅限 Windows) | ✓ | ✓(仅限 Windows) | ✕ 该功能不会收集应用数据。 |
✓ | ✕ 该功能不会收集应用数据。 |
支持的风险指标(按设备所有权类型)
| 设备所有权类型 | 异常警示活动 | 应用收集器(未受管和公共应用) | 强迫性应用下载(未受管和公共应用) | 严重 CVE 过多 | 落后更新 | 持久严重 CVE | 罕见应用收集器(未受管和公共应用) | 有风险的设置 | 异常应用下载(未受管和公共应用) |
|---|---|---|---|---|---|---|---|---|---|
| 公司专用、公司共享、未定义 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| 员工拥有 (BYOD) | ✓ | ✕ 虽然默认 Workspace ONE UEM 隐私设置禁止在 BYOD 设备上收集应用数据,但管理员可以更改隐私设置,以便 Workspace ONE Intelligence 可以收集应用数据。在 Workspace ONE UEM 中更改隐私配置之前,请查阅贵组织的隐私策略。 |
✕ 虽然默认 Workspace ONE UEM 隐私设置禁止在 BYOD 设备上收集应用数据,但管理员可以更改隐私设置,以便 Workspace ONE Intelligence 可以收集应用数据。在 Workspace ONE UEM 中更改隐私配置之前,请查阅贵组织的隐私策略。 |
✓ | ✓ | ✓ | ✕ 虽然默认 Workspace ONE UEM 隐私设置禁止在 BYOD 设备上收集应用数据,但管理员可以更改隐私设置,以便 Workspace ONE Intelligence 可以收集应用数据。在 Workspace ONE UEM 中更改隐私配置之前,请查阅贵组织的隐私策略。 |
✓ | ✕ 虽然默认 Workspace ONE UEM 隐私设置禁止在 BYOD 设备上收集应用数据,但管理员可以更改隐私设置,以便 Workspace ONE Intelligence 可以收集应用数据。在 Workspace ONE UEM 中更改隐私配置之前,请查阅贵组织的隐私策略。 |
需要满足哪些要求才能查看风险评分?
要使用风险分析,请集成以下系统并遵循列出的限制。
- 注册 Workspace ONE UEM。
- 要在 Workspace ONE Intelligence 中显示风险评分,由 Workspace ONE UEM 管理的每个设备在 Workspace ONE UEM console 中必须具有唯一的帐户。请勿使用分配给多台设备的通用帐户。
- 在同一平台上部署 100 台或更多设备,以使评分系统产生结果。风险指标会将设备指标与整个组织内的整个设备群进行比较。为了提供有统计意义的评分,系统所需的数据集必须涵盖同一平台上的至少 100 台设备。
- 用户最多可以使用同一个帐户注册六台设备。系统会将拥有超过六台设备的用户视为共享设备环境的一部分。系统很难在共享环境中准确地衡量用户和设备的风险。
- (可选)注册 Workspace ONE Access,以便在 Workspace ONE Access 中为访问策略配置用户风险评分。
- 要使用异常警示活动风险指标,需要满足列出的要求。
- 使用 Carbon Black Endpoint Standard 作为云原生端点保护平台 (EPP)。
- 使用 Trust Network API 将 Carbon Black 数据引入到 Workspace ONE Intelligence。
在控制台中可以从何处找到风险评分?
Workspace ONE Intelligence 在不同的仪表板中报告风险评分和其他风险数据。
- 用户风险数据位于工作区 > 工作区安全 > 用户风险仪表板上。
- 设备风险数据位于工作区 > 工作区安全 > 安全风险仪表板上。
风险评分包含可在自定义仪表板中使用的模块。使用类别 Workspace ONE UEM > 设备风险评分或用户风险评分可访问相应的模块。
风险评分有什么作用?
使用 Workspace ONE Intelligence 中的工作流执行操作。
- 您可以通过从用户风险仪表板或安全风险仪表板中选择自动化权限来缓解和执行操作。创建工作流,然后从各种 Workspace ONE UEM 操作中进行选择。
- 您可以使用 Workspace ONE UEM 类别设备风险评分或用户风险评分来创建自定义工作流。
- 您可以使用预配置的工作流模板。
- 检测到有风险的设备 - 此模板需要 Slack 连接。
- MTD 应用部署优先级
- 更新落后设备 - 此模板仅适用于 iOS。
- 使用 Workspace ONE Access 中的访问策略管理对资源的访问权限。
- 在 Workspace ONE Access 管理器控制台中向 Workspace ONE Intelligence 注册 Workspace ONE Access 环境,以访问风险评分。
- Workspace ONE Access 中的访问策略可使用 If-Then 构造为用户创建和强制执行身份验证协议。您可以在 If 部分中指定用户风险评分,指示 Then 区域中允许的身份验证方法。如果用户的风险级别为高、中或低,则用户可以使用组织的安全策略批准的指定方法对资源进行身份验证。
- 根据用户风险级别,系统可以对高风险用户强制执行限制性访问策略,以便为内部资源提供更高的安全性。相反,系统可以对低风险用户或中风险用户强制执行宽容访问策略。
哪些系统为风险评分提供数据?
Workspace ONE UEM 与 Workspace ONE Intelligence 集成来进行风险评分,以获取在 Workspace ONE 部署中管理的设备的数据。它使用存储在 Workspace ONE UEM 中的用户注册帐户来识别用户在受管设备上的活动。
评分的计算频率有多高?
风险评分每日运行,并提供可行的衡量指标,以确定并可能隔离具有较差安全行为的用户以及给组织带来风险的用户。
风险评分与消费者信用评分类似。信用评分系统不会检查用户的信用卡帐户来查看今天的余额。风险评分以异步方式运行,不一定知道设备的当前状态。它每天运行一次,并分析截至评分过程运行时报告的有关该设备的数据。评分模型使用历史数据(例如,过去 14 天)来确定用户行为的风险。
什么是登录风险评分?
Workspace ONE Intelligence 登录风险评分是 Workspace ONE Intelligence 中风险分析功能一部分,但当前要求与其他风险评分不一样。系统会从 Workspace ONE Access 数据(在访问策略中开箱即用)创建并显示这些评分。这些评分从用户的登录位置获取信息,可以报告用户是否显示异常、风险行为。该模型会学习用户的登录模式。如果行为发生长期变化,如一名员工搬到另一座城市,该模型会自行调整,将从新城市登录视为新的正常事件。
什么是登录风险评分?
Intelligence 会为每个登录请求分配风险评分低、中或高,与其他风险评分一样。此评分由机器学习模型驱动,这些模型会考虑帐户历史登录请求和用户位置,以确定登录尝试是恶意还是安全。此评分会实时更新,这意味着您始终拥有每个用户的最新登录数据。对于登录活动的第一个月,每个用户都有一个宽限期,让他们有时间建立正常的登录模式。在系统建立登录模式期间,会在宽限期内返回低登录风险评分。
在哪里可以使用登录风险评分?
如果集成了两个系统,请使用 Workspace ONE Access、访问策略以及 Workspace ONE Intelligence 中的登录风险评分。它们可用于工作流、仪表板和小组件。
