烟道蝶阀⼀、背景
数字新时代正在加速全⾯到来,⽹络环境变得更加多元、⼈员变得更复杂、接⼊⽅式多种多样,⽹络边界逐渐模糊甚⾄消失,同时伴随着企业数据的激增。数字化转型促进组织的业务发展的同时,也带来了重⼤的⽹络安全挑战。 nfc天线1.越来越多的外部攻击,包括被利益驱动或国家驱动的难以察觉的⾼级攻击;
2.⼼怀恶意的内⿁、疏忽⼤意的员⼯、失陷账号与失陷主机导致的各种内部威胁;
3.数字化基础设施的脆弱性和风险暴露⾯越来越多,业务需求多变持续加剧的问题; 4.安全团队⼈员不⾜或能⼒有限,深陷不对称的“安全战争”之中。
在数字化带来的巨⼤变化下,传统的安全威胁发现能⼒受到了巨⼤的挑战。传统安全产品、技术、⽅案基本上都是基于已知特征进⾏规则匹配来进⾏分析和检测,基于特征、规则和⼈⼯分析,以“特征”为核⼼的检测分析存在安全可见性盲区,有严重的滞后效应、⽆⼒检测未知攻击、容易被绕过,以及难以适应攻防对抗的⽹络现实和快速变化的企业环境、外部威胁等问题。 安全是⼈和⼈攻防对抗的游戏,⼀切的意图都需要通过⾏为表达,这是安全运营中最重要也最有价值的⼀块拼图,同时也是传统⽅式最⽋缺的。针对传统⽅式的不⾜,安全⾏业逐步加强基于⼤数据驱动,机器学习、概率分析、模式识别等的以“⾏为”为核⼼的检测分析。 ⽤户实体⾏为分析(UEBA)应运⽽⽣。
⼆、UEBA是什么
UEBA全名User and Entity Behavior Analytics ,即为⽤户实体⾏为分析。
Gartner 对 UEBA 的定义是“UEBA 提供画像及基于各种分析⽅法的异常检测,通常是基本分析⽅法(利⽤签名的规则、模式匹配、简单统计、阈值等)和⾼级分析⽅法(监督和⽆监督的机器学习等),⽤打包分析来评估⽤户和其他实体(主机、应⽤程序、⽹络、数据库等),发现与⽤户或实体标准画像或⾏为相异常的活动所相关的潜在事件。这些活动包括受信内部或第三⽅⼈员对系统的异常访问(⽤户异常),或外部攻击者绕过安全控制措施的⼊侵(异常⽤户)
⽤户⾏为分析(UBA)关联了⽤户活动和相关实体(⽤户相关的应⽤和终端等)信息构建⼈物⾓⾊与组,进⼀步定义这些个体与组的合法和正常⾏为,把这些⼈物⾓⾊在体与体、体与个体、个
体与个体(那些远离合法和正常⾏为的体与个体)维度上相互⽐对分析,将异常⽤户(失陷账号)和⽤户异常(⾮法⾏为)检测出来,从⽽达到检测业务欺诈、敏感数据泄露、内部恶意⽤户、有针对性攻击等⾼级威胁的⽬的。
三、UEBA应⽤场景
1 账号安全
内部员⼯特别是⾼权限⽤户,以及服务和共享类帐户是内部和外部攻击者的主要⽬标。通过获取他们的访问权限则能够访问最敏感的交易、数据,甚⾄可以创建其他新特权帐户或滥⽤提权操作。由于公司账号数量庞⼤且难以区分滥⽤和合法使⽤,组织在监控这些帐户时⾯临着巨⼤的挑战。有效监控特权帐户不仅是⼀项重要的合规性要求,⽽且还是⼀项关键的威胁管理功能。和专有的特权账号管理应⽤
生姜去皮机
(PAM,Privileged Account Management),PAM类应⽤提供了特权账号的全⽣命周期管理,⽽对特权账号异常⾏为的监控、检测、分析则是PAM的⼀类⾼级功能。PAM 内置的特权账号异常检测能⼒相对较弱,所以⼀些 PAM 供应商会跟 UEBA 产品集成,将 PAM 检测到的异常事件接⼊ UEBA 产品的⾼级分析引擎中,和其他维度的数据⼀起做更深层次的特权账号异常事件识别。
细分账号安全的场景,⼤致有两类。⼀类是账号本⾝的操作异常,如创建、提权、删除、暂停、撤回存在异常⾏为,静默账号忽然出现活动。另⼀类通过对账号⾏为如登录的时间、地点、频次的异常监控,判断账号是否被盗⽤或被攻陷。
2 内部威胁
相⽐于不受信任的外部⼈员,内部员⼯访问和获取公司重要信息的要轻松很多。⼀⽅⾯公司的⼤部分安全防护、访问控制都是针对外来的攻击者;另⼀⽅⾯内部⼈员对组织的⼈员、规章、制度都有⼀定程度的了解,从⽽可以利⽤这些便利性来躲过安全防护检测。内部威胁者通常分为两类,⼀类是恶意内部⼈员,即合法的⼈员利⽤⾃⼰的权限做⾮法的事情。⽐如,下载⼤量重要的客户数据贩卖获取利益。另⼀类是内部⼈员账号被攻陷后的恶意⾏为。内部威胁检测的场景设计⽐较复杂,⼀般会从4个维度来考虑。
1. 建⽴⽤户⾏为风险画像 - 将所有⾝份、活动和访问特征,与基线、同组以及其他已知威胁指标进⾏⽐较,确定真正的风险区域。
2. ⾼权限账号监控 – ⾃动识别⾼权限账号,例如管理员、服务和共享帐户,然后监控他们与攻击相关的异常⾏为,确定⾼风险异常⾏为
是否源于⾼权限⽤户被成功攻击。
3. 关键应⽤监控 – 为所有关键应⽤程序和系统构建访问风险评估,以识别与其敏感数据和交易相关的所有⾼风险⽤户、访问和活动。
4. 内部欺诈侦测 – 利⽤同组⼈员的异常⾏为,⽐较分析侦测潜在的内部欺诈⾏为。
3 数据渗漏
⼀般⽽⾔,各类攻击的主要意图是窃取组织中最重要的数据资产。组织⼀般会部署监控数据流向的 DLP 产品,数据库安全或者应⽤访问类产品以保护公司的核⼼数据资产。这类数据防护类产品往往误报很多,每天产⽣的海量报警让安全团队难以真正聚焦重点。UEBA 可以对应⽤访问以及 DLP ⽇志做更深层次的多维分析,从⽽定位出真正的⾼风险数据泄漏风险。具体的场景设计可以从以下维度考虑。
应⽤系统访问监控/风险分析 – 对存储敏感数据的应⽤系统、⽂件服务器等的访问进⾏⾏为监控,通过与⽤户过去⾏为或其同组⾏为异常⾏相⽐较,⾃动识别并持续监控与此数据相关的⾼风险访问和活动。
DLP 事件评估 – 将 DLP 事件做多维度关联分析,⽐如说发⽣ DLP 事件的⼈,他的风险等级、是否有离职倾向、敏感数据下载/外发/打印的数量、频次、数据外流的⽬的地是否为竞争对⼿等等,从⽽进
⼀步定位⾼风险。⾼风险⼈的 DLP 事件优先处置,并且通过多维度分析往往也能进⼀步定位这些数据泄漏企图背后的动机。
4 失陷主机
除了⼈员⾏为异常以外,重要的 IT 资产⽐如说各种应⽤服务器、重要的终端等⾏为异常检测对很多组织也是⾄关重要。例如,⼀个重要的应⽤服务器执⾏了⼀个⾮业务的应⽤或进程,打开了⼀个新的端⼝,外连了从未外连的地址/端⼝,忽然有长链接的 SSH 会话,系统⽬录下忽然出现新的可疑⽂件等等。这些异常⾏为往往是服务器被攻击的征兆,需要进⼀步分析与取证。
⽤ UEBA 技术定位失陷主机通常的思路是,基于相应设备和主机执⾏的⾼风险异常事件和活动,建⽴异常时间线,然后关联各种实体参数,包括:端点安全警报、漏洞扫描结果(常见漏洞评分系统[CVSS])、⽤户或帐户的风险级别、访问的⽬标、请求的有效负载的数据包级别等等,从多维度检测任何异常活动或事件以确定风险评分。
四、UEBA主要实现技术
UEBA 是⼀个完整的系统,涉及到算法、⼯程等检测部分,以及⽤户实体风险评分排序、调查等⽤户交互、反馈。从架构上来看,UEBA 系统⼀般包含三个层次,分别是数据中⼼层、算法分析层、场景
应⽤层。其中,算法分析层⼀般⼤数据计算平台之上运⾏实时分析、统计分析、关联分析、机器学习等分析引擎。
机器学习引擎实现,如基线及组分析、异常检测、集成学习风险评分、安全知识图谱、强化学习等UEBA 核⼼技术。
基线及组分析
历史基线,是⾏为分析的重要部分,通过构建组分析,可以跨越单个⽤户、实体的局限,看到更⼤的事实;通过对⽐组,易于异常检测;通过概率评估可以降低误报,提升信噪⽐;组合基线分析、组分析,可以构成全时空的上下⽂环境。
异常检测
异常检测关注发现统计指标异常、时序异常、序列异常、模式异常等异常信号,采⽤的技术包括孤⽴森林、K 均值聚类、时序分析、异常检测、变点检测等传统机器学习算法。现代的异常检测也利⽤深度学习技术,包括基于变分⾃编码器(VAE)的深度表征重建异常检测、基于循环神经⽹络(RNN)和长短时记忆⽹络(LSTM)的序列深度⽹络异常检测、图神经⽹络(GNN)的模式异常检测等。针
对标记数据缺乏的现状,某些UEBA 系统能够采⽤主动学习技术(Active Learning)、⾃学习(Self Learning),充分发掘标记数据和⽆标记数据的价值。梁延淼
集成学习风险评分
把安全运维从事件管理转换到⽤户、实体风险,极⼤的降低⼯作量、提升效率。其中,实现转换的关键在于使⽤集成学习进⾏风险评分。风险评分需要综合各种告警、异常,以及进⾏组对⽐分析和历史趋势。同时,风险评分技术中⽤户间风险的传导同样重要,需要⼀套类似⾕歌搜索使⽤的⽹页排名PageRank 算法的迭代评估机制。风险评分的好坏,将直接影响到UEBA 实施的成效,进⽽直接影响到安全运营的效率。
安全知识图谱
知识图谱已经成为⼈⼯智能领域的热点⽅向,在⽹络安全中同样也有巨⼤的应⽤潜⼒。部分UEBA 系统已经⽀持⼀定的安全知识图谱能⼒,可以将从事件、告警、异常、访问中抽取出的实体及实体间关系,构建成⼀张⽹络图谱。任何⼀个事件、告警、异常,都可以集成到⽹络图谱中,直观、明晰的呈现多层关系,可以让分析抵达更远的边界,触达更隐蔽的联系,揭露出最细微的线索。结合攻击链和知识图谱的关系回放,还能够让安全分析师近似真实的复现攻击全过程,了解攻击的路径与脆弱点,评估潜在的受影响资产,从⽽更好的进⾏应急响应与处置。
强化学习
不同客户的环境数据源的多元性及差异性,以及⽤户对异常风险的定义各有不同, UEBA 需要具有⼀定的⾃适应性,输出更精准的异常风险。强化学习能够根据排查结果⾃适应地调整正负权重反馈给系统,进⽽得到更符合客户期望的风险评分。UEBA 给出异常信号后,结合安全管理⼈员的排查结果,获取反馈奖赏或惩罚,通过学习进⾏正负权重调整,从⽽让整体效果持续优化改进。电梯箱
五、UEBA⾏业发展趋势
Gartner《Market Guide for User and Entity Behavior Analytics》报告中指出:
终端⽤户在UEBA独⽴解决⽅案上的⽀出将呈复合式增长年增长率为48%,从2015年的5,000万美元增长到2020年的3.52亿美元。UEBA解决⽅案供应商在2017年和2018年继续减少,主要是由于收购活动。Gartner预计该领域将继续整合,同时在其服务于相邻细分市场的产品中使⽤UEBA技术的⼚商数量也在⼤幅增加。
到2021年,⽤户和实体⾏为分析(UEBA)市场将不再是⼀个独⽴的市场。
⼀些UEBA供应商现在将其市场战略路线聚焦于将其核⼼UEBA技术嵌⼊其他供应商的更传统的安全解决⽅案中。到2022年,UEBA的核⼼技术将嵌⼊80%的威胁检测和事件⾼级解决⽅案中(如SIEM)。
Gartner认为这⼀趋势将持续到2022年,届时UEBA将成为被更⼴泛的安全分析技术所取代。
IndustryARC《UEBA Market - Forecast(2020 - 2025)》报告:
到2025年,⽤户和实体⾏为分析市场预计将达到49亿美元,从2020年到2025年,复合年增长率为41.5%。
UEBA是⼀种⽤于检测内部风险,财务欺诈和针对性攻击的机制。该⽅法⽤于分析⼈类⾏为模式,然后使⽤统计分析和算法来识别差异。UEBA是⼀种机器学习模型,可以通过检测保护异常来帮助阻⽌⽹络攻击者。UEBA使⽤⾼级分析,汇总⽇志和报告数据,并分析数据包,流,⽂件和其他类型的信息以及其他类型的威胁数据,以评估某些形式的活动和动作是否可能构成⽹络攻击。
UEBA的优势包括–内部威胁识别,防⽌数据泄露,识别和防⽌欺诈,可操作的风险信息以及IP数据的安全性。
UEBA逐渐成为对全⾯⽹络威胁和欺诈的最有希望的回应。软件提供商更专注于确保可靠的算法和集成分析,以及开发应⽤程序系统。
综合上述报告可以看出:
UEBA市场价值正在飞速上升,UEBA技术研究前景⼴阔。开关信号
UEBA发展⽅向不再是⼀个独⽴个体,⽽是倾向于将UEBA技术嵌⼊到其他⾼级安全解决⽅案中。
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议