用户行为分析(UBA),最开始是用于电商领域,做搜索推荐和精准营销。通过分析用户的点击、收藏、购买等行为,实现用户标签画像,预测用户的消费习惯,推送用户感兴趣的商品,达到精准营销的目的。
很快,用户行为分析(UBA)被应用到信息安全领域。一般传统的安全技术都是通过检测引擎依赖于已知的规则进行检测,这种方式的误报率高,准确率低,且无法发现新的未知威胁行为。而用户行为分析是从另外一个角度去发现问题,从多维度、长周期去做分析,关联分析、行为建模、异常分析来发现更多更准确的安全威胁。
2014年,Gartner发布了用户行为分析(UBA)市场界定,用户行为分析(UBA)技术目标市场聚焦在安全(窃取数据)和诈骗(利用窃取来的信息)上,帮助企业检测内部威胁、有针对性的***和金融诈骗。并于2015年正式将用户行为分析(UBA)更名为用户实体行为分析(UEBA)。以用户为中心来分析用户行为,同时也能分析其他实体(诸如端点、网络和应用等)的行为。将用户与实体分析关联起来使得分析结果更加准确,威胁检测更加有效。2016年,用户实体行为分析(UEBA)入选Gartner十大信息安全技术;并于2018年入选Gartner为安全团队建议的十大新项目。
UEBA在信息安全领域的主要使用场景:
数据泄露
我们正从IT时代进入DT时代,在DT时代,企业数据成为新时期的石油和黄金,但数据泄露的问题却越来越严重。数据泄露首先会给企业的品牌和声誉带来严重的损失,同时会造成一些客户损失、业务中断、财产损失、赔偿罚款等。而且永远不知道是否还会有其他风险和漏洞。IBM Security 2020年数据泄露报告中指出数据泄露的平均总成本在386万美元。
恶意***是数据泄露的主要原因,且内部员工恶意***窃取敏感数据是典型的数据泄露场景。由于内部员工具备企业数据资产合法的访问权限,且通常了解企业敏感数据的存放位置,因此通过传统的安全审计手段无法有效检测该类行为。
UEBA 可以结合数据防泄露(DLP)系统,使其具有敏感文件检测的功能。通过对数据文件行为的分析,结合其他数据传输活动和网络活动,数据泄露检测可以用于捕获内部人员和外部***组织的行为。同时根据数据传输的方法及途径,选取敏感数据访问相关的特征,构建企业员工和系统正常的活动基线和用户画像,判断是否存在内部员工窃取敏感数据行为,并提前告警去发现这类行为。
内部威胁
最近几年内部威胁的安全事件也层出不穷,超过一半的安全***都是由内部员工造成的(不论是恶意的或粗心的)。内部威胁的主要动机同样也是经济或商业利益。当威胁来自组织内部、来自可信和授权用户时,很难确定用户只是在执行他们的正常工作功能,还是实际执行恶意或疏忽的一些事情。
UEBA技术利用机器学习算法自学习和插件式扩展学习的能力,使用非监督、半监督和监督式学习等方式不断优化各类模型,同时可利用深度学习等高级技术以检测内部威胁。
分析引擎可为企业内部每个身份(用户和实体)构建动态基线,通过基线偏差分析,以实现对内部异常行为的检测和预测。可以辅助识别内部人员的恶意行为,如暴力破解、可疑的密码重置、账户共享以及异常设备或异地登录等。
加粗样式账号失陷
账号盗用一直是困扰企业的痛点问题,且涉及到最终用户的利益和体验,特权账号更是***瞄准的***目标。***者一旦***进企业内部且获取失陷账号后,会在企业内部网络中横向移动发动***且难被发现。
UEBA技术通过对正常行为和人员进行抽象归纳,利用大数据技术生成行为画像。在此基础上,对比账户的活动是否存在异常行为,如异常的登陆时间、地点、设备,访问历史未访问过的信息系统或数据资产的操作习惯,频繁登录和退出等,并对比分析账户的活动是否偏离个人行为画像和部门行为画像,综合判断账户风险情况,帮助安全团队及时发现账号失陷。
主机失陷
主机失陷是典型的企业内部威胁之一,***者通过***内部服务器,形成“肉机”后对企业网络系统进行横向***。
针对此类场景,UEBA可构建设备的行为画像,根据企业内网主机或服务器的活动规律,账户登录、流量大小、文件传输,主动外联等构建动态行为基线。利用基线,从而发现异常情况检测失陷主机,并结合资产信息,定位到具体的时间段和主机信息,辅助企业及时发现失陷主机并溯源处理。
UEBA的应用场景非常丰富,侧重点更多地集中在内部安全领域。除上面列举的场景之外,还有比如像接入和认证、账号和权限异常、绕过控制行为检测、提供事件调查等等。随着各行业安全需求的不断变化,以及在各行业应用的不断深入与积累,UEBA解决问题的类型会越来越多,应用范围也会越来越广。
关于全息网御:全息网御科技融合NG-DLP、UEBA、NG-SIEM、CASB四项先进技术,结合机器学习(人工智能),发现并实时重构网络中不可见的”用户-设备-数据”互动关系,推出以用户行为为核心的信息安全风险感知平台,为企业的信息安全管理提供无感知、无死角的智能追溯系统,高效精准的审计过去、监控现在、防患未来,极大提高IT安全运维和安全人员响应事故、抓取证据链、追责去责无责、恢复IT系统的能力和效率。