UEBA如何在企业有效地应用与落地

作为一种高级网络安全威胁检测手段,用户实体行为分析(UEBA)这个网络安全市场的新成员,这两年一直备受关注。

能够高准确率命中异常事件,使真正的安全威胁浮出水面,这正是用户实体行为分析(UEBA)备受关注的主要原因。但是,用户实体行为分析(UEBA)技术复杂,实施部署难度大、成本高,企业应用失败的案例也比比皆是。

为此,笔者将自己对用户实体行为分析(UEBA)的理解,以及在实施落地过程中的关键事项进行一下总结,希望能够给大家一些可供参考的信息。

揭开UEBA的神秘面纱

用户行为分析(UBA)最早用在网站访问和精准营销方面,通过对相关数据进行统计、分析,实现用户标签画像,预测用户消费习惯,最终对用户感兴趣商品进行推送,达到精准营销的目的。很快,用户行为分析(UBA)就被移植到网络安全领域。

2014年,Gartner发布了用户行为分析(UBA)市场界定,用户行为分析(UBA)技术目标市场聚焦在安全(窃取数据)诈骗(利用窃取来的信息)上,帮助企业检测内部威胁、有针对性的攻击和金融诈骗。
为使这部分市场快速发展和成熟,Gartner认为有必要把这部分从诈骗检测技术中剥离出来。于是在2015年正式将用户行为分析(UBA)更名为用户实体行为分析(UEBA)。至于加入了实体行为分析,Gartner的解释是实体行为从某种程度上关联了用户行为,关注实体行为分析可以更准确地识别威胁。
准确地说,用户行为分析(UBA)关联了用户活动和相关实体(用户相关的应用和终端等)信息构建人物角色与群组,进一步定义这些个体与群组的合法和正常行为,把这些人物角色在群体与群体、群体与个体、个体与个体(那些远离合法和正常行为的群体与个体)维度上相互比对分析,将异常用户(失陷账号)用户异常(非法行为)检测出来,从而达到检测业务欺诈、敏感数据泄露、内部恶意用户、有针对性攻击等高级威胁的目的。

UEBA能解决哪些安全问题

长期以来,传统安全技术都是依赖于规则进行检测,检测引擎里内置了很多已知规则、专家经验和人为设定的阈值,这种技术通常会导致误报率很高准确率很低的问题,甚至对于一些新型的未知威胁行为根本检测不出来。

用户实体行为分析(UEBA)则是从另外一个视角去发现问题,从单维度检测到多维度分析,从单点检测到长周期分析,从基于规则分析到关联分析、行为建模、异常分析来发现更多更准确的安全威胁。

总结下来,用户实体行为分析(UEBA)能够弥补传统检测技术、单点安全分析的不足,通过用户实体行为异常分析来检测各种业务与安全风险,具体的应用场景及检测的风险类别详细说明如下:

▼▼场景1:金融反欺诈

金融诈骗一般每一个流程环节都由不同的团伙完成,撞库、养号属于金融诈骗前端环节,利用规则分析、关联分析、机器学习算法等手段,对金融用户及相关实体实时进行异常分析,可以有效检测撞库、养号等金融诈骗行为的发生。

▼▼场景2:数据泄露检测

在企业敏感数据泄露事件中,绝大多数都是通过内部合法用户进行泄露的,对内部用户访问数据的数量、关系、序列进行多维度计算,形成用户行为正常行为基线,并检测出偏离正常基线的异常行为。

▼▼场景3:账号失陷检测

获取内部合法账户的权限,是大多数黑客攻击的目的,同时也是进一步渗透的主要手段,通过对内部账号的登陆地点、登陆时间、登陆次数、登陆设备、操作习惯等维度进行建模,对内部账号及相关实体进行实时分析,可以检测出哪些账号已经被攻破,哪些账号正面临着攻击。

▼▼场景4:绕过控制行为检测

很多恶意人员对于安全规则、内控措施非常了解,他们很清楚什么操作做到什么程度会触发报警。因此,恶意人员会降低非法操作行为的次数和规模,避免被传统安全系统检测到。利用用户实体行为分析(UEBA)长周期分析用户行为特征,将行为特征进行横向与纵向对比,检测长期低频有规律地重复性非法行为。

▼▼场景5:在海量噪声中进行精准检测

很多传统设备虽然能够检测出用户行为异常,但由于存在着大量的误报和无效告警,使精准有效的检测结果淹没在了海量的噪声中,利用用户实体行为分析(UEBA)以分组聚合统计的方式,过滤安全告警相关的原始信息,有效降低安全事件分析工作量,提高传统设备告警的针对性和准确率。

以上是用户实体行为分析(UEBA)常见的应用场景,随着各行业安全需求的不断变化,以及在各行业应用的不断深入与积累,相信用户实体行为分析(UEBA)解决问题的类型会越来越多,应用范围也会越来越广。

UEBA应用落地的关键事项

有很多人把用户实体行为分析(UEBA)想像成像防火墙、入侵检测一样的产品,简单部署实施接入网络就可以发挥作用,一旦短时间内没有出现效果原有的期望就大打折扣,甚至悲观失望。这是目前非常普遍的态度,其实这是因为对用户实体行为分析(UEBA)部署应用关键点还不够了解所造成的。

用户实体行为分析(UEBA)属于数据驱动的高级安全分析技术,在企业具体的应用落地过程中,更多的更像一个解决方案具体应用而非一款单一的具体产品。因此,在实施部署过程中,如果一些关键环节处理不好,应用落地效果就很差,甚至会导致项目失败。那在用户实体行为分析(UEBA)应用落地过程中,有哪些关键事项需要注意的呢?笔者根据自己的理解与认识,简单的做一个梳理。

▼▼关键事项1:评估当前安全建设成熟度

上文中提到了用户实体行为分析(UEBA)属于高级安全分析技术的一种,所以它是建立在基础安全控制的基础上的。如果各个单点安全建设还没有到位,基础安全控制还处在一穷二白的水平,那么实施用户实体行为分析(UEBA)的效果可能就会大打折扣。

这就好比一个小孩走路还不稳当的时候,去给他建立一套提高跨栏水平的锻炼机制是没有太大意义的。因此,用户实体行为分析(UEBA)的成功应用的一个前提,是基础性安全建设已经比较成熟,最好是SIEM或SOC平台已经建设完成,然后在集中力量解决某一个特定的安全风险场景。

▼▼关键事项2:定义需要解决的风险场景

因为是网络安全领域的新兴技术,很多人认为用户实体行为分析(UEBA)可以无所不能地解决所有问题。其实并不是这样的,用户实体行为分析(UEBA)的定位和特长,是解决某个非常特定风险场景的手段。它不能解决一个非常大面的问题,比如分析一下三万个用户的行为习惯,这个需求就太泛泛了,没有形成特定的风险场景,不适合用用户实体行为分析(UEBA)来解决。

因此,准备实施用户实体行为分析(UEBA)前,首先应该考虑好到底来解决什么特定风险场景,比如是解决电子银行撞库风险检测、还是解决利用合法账户盗取保单信息?定义特定风险场景是实施用户实体行为分析(UEBA)的前提,也只有将解决的风险场景定义清楚了,才能有针对性的开展后续的各项工作。

▼▼关键事项3:采集高质量多种类的数据

如果说特定风险场景是前提,那么,广泛的数据采集就是用户实体行为分析(UEBA)应用落地的基础。如果输入的数据量比较少或者数据质量不高,用户实体行为分析(UEBA)最终分析出来的结果肯定是价值不高的,就算系统平台、模型算法再好,如果输入的是一堆垃圾数据,最终得出来的肯定还是一堆垃圾,这个道理很简单。

那么是不是数据越多越好呢?也不是,如果和需要要分析的风险场景无关,数据再多也只能是一种负担。所以数据采集的前提,就是要和需要分析的特定场景相匹配,也就是说想要分析这个特定场景需要什么数据,而不是有一堆数据看看能分析出什么结果。

在这个前提下,数据采集的要点是高质量和多种类,用户实体行为分析(UEBA)对于数据的要求甚至超过了SIEM/SOC产品,除了一般的安全数据还包括广泛的IT信息,比如AD数据、IAM数据、业务应用数据等,除此之外还需要包括一些像资产、IP地址、组织架构、工作职责等上下文信息。总之,高质量多种类的数据,是用户实体行为分析(UEBA)成功条件之一。

▼▼关键事项4:专家驱动与机器学习算法

由于用户实体行为分析(UEBA)属于数据驱动的安全分析技术,那么很多人理所当然的认为机器学习算法是最核心的技术,而很多产品厂商也愿意迎合这种口味来进行宣传。

不可否认用户实体行为分析(UEBA)在一定程度都是用了机器学习,但并不等同于用户实体行为分析(UEBA)只用了(或者一定要用)机器学习,也不等同于采集了数据之后直接用机器学习算法分析就能达到想要的落地效果。

实践表明,单纯的数据驱动并不能完成一个用户实体行为分析(UEBA)的完美应用,需要在数据驱动的基础上增加专家驱动形成一个双驱动的混合系统。这样一个混合系统,其异常发现就不是只是依赖于机器学习,而是依靠统计以及特征方法+机器学习算法来实现。

而且,统计以及特征分析方法使用频率更高,将检测出的各个单点异常输入给机器学习来作为分析原料,在这些单点分析的基础上,利用机器学习算法的优势,快速确定不同的统计以及特征异常组合对应的风险水平,如果风险值大于一定范围就作为需要用户关注的事件进行输出。

这种数据驱动+专家驱动的混合系统,在数据和机器学习之间有一个异常发现的过程及中间产物,利用专家领域的知识,简化了机器学习方面的工作,同时提升了系统灵活性,进而可以快速部署、快速完成学习过程。

▼▼关键事项5:与其它系统平台进行集成

目前用户实体行为分析(UEBA)存在两种产品形态,一种是原有SIEM厂商通过改造核心引擎来迎合高级分析、用户实体分析和风险评分;另外一种就是新兴厂商以独立的产品形态出现,单独用户实体行为分析(UEBA)产品就需要扩展平台功能或者与其它平台进行集成。

Gartner认为单独的UEBA产品会越来越少,而会越来越成为一种高级安全分析功能存在于多种产品之中,所以UEBASIEM进行整合是大势所趋。笔者个人认为最好的模式是将UEBA的高级分析能力,整合到SIEM平台中,SIEM把数据送到UEBA,UEBA的告警和附带数据再反馈给SIEM,使SIEM成为真正意义上的下一代SIEM。

总 结

利用数据分析、机器学习等手段,对特定安全风险进行持续监控、分析,识别各种已知和未知的安全威胁和用户行为异常,使企业能够更好地检测和应对不断变化的内外部威胁,这就是用户实体行为分析(UEBA)的使命。

用户实体行为分析(UEBA)在国外已经获得了普遍的认可,Gartner2016年最终用户安全支出调查显示,有53%的用户有意实施UEBA。但在国内,UEBA还算是一个比较新的领域,希望越来越多的企业更了解UEBA,也希望越来越多的企业通过实施UEBA切实地提升高级安全分析能力。

笔者写这篇文章,也算是为UEBA在国内的普及与发展,做一点小小的贡献。

扩展  ·  本文相关链接

·安全运营的定义与核心目标

·SOAR还面临着一条很难跨越的鸿沟

·透过等保2.0,解读当前网络安全新趋势

· OODA循环在网络安全运营平台建设中的应用

·基于主动防御能力,建设安全运营体系的一点思考

(0)

相关推荐

  • 诸葛DIA模型- 赋能精细化运营 深入业务场景的数据分析平台(insight)

    在这个信息交换频率无限发达的时代,当工作.生活.娱乐.学习方式全都可以由数字分析得出,企业只有学会透过这些数据真正了解用户,抓住用户心理,才能根据用户不同的消费习惯.消费能力等,主动出击,提供精准的个 ...

  • Dairy Study日记研究法,用研中精准收集用户行为的好方法

    Online Class是UXD基于日常教学中遇到的问题,进行总结整理而来的线上知识小版块.这个板块的内容大多源于UXD日常教学材料,又根据同学们的日常提问进行提炼.我们希望可以通过这个板块的开设,帮 ...

  • 联通正规官方业务数据用户画像分析介绍

    用户bai分析,是个比较大的知识范围,概况来说是基于用户数据,对用户行为开展的分析工作,目的是了解用户意图,从而更加懂用户需求,为用户带来更好的交互体验.一般企业里面的产品团队.运营团队.市场团队都会 ...

  • 落地项目库精选 | 某上市企业高性能高分子项目正在选址落地

    项目名称 某上市企业高性能高分子项目 项目简介:公司主要生产PP.ABS.PC及阻燃料.耐侯料.增强增韧料.塑料合金料和环保耐用料等,在家用电器.汽车.IT电子.LED灯.电动工具.电线电缆.道路材料 ...

  • 【企业教练-人力资源】企业文化到底应该如何落地?

    众多企业都相信文化是企业的灵魂,企业文化为企业的可持续发展提供着源源不断的动力.然而,企业文化实施的效果并不理想,很多企业仍然将企业文化建设停留在理念和纸面上,对于如何实现文化落地仍不得其门. 有人说 ...

  • 打破物业行业盈利黑洞:物业企业多种经营开发及落地策略

    随着资本市场对中国物业行业的青睐,仅去年,我国便有9家物业公司上市,足可以看出国内物业在资本市场上的受欢迎程度. 换一句话说:"物业公司不是走在被其他物业公司吞并的路上,就是走在吞并别的公司 ...

  • 企业执行力 & 流程战略落地

    当前,无论是企业管理方面的大师,还是奋战在商场第一线的CEO们,均热衷于讨论企业执行力的问题.其根本原因是无论一个企业面对的商业环境多么好,其战略多么正确,只要企业的执行力不到位,则其绩效是不可能太令 ...

  • 企业文化“深植”比“落地”更重要

    有用是管理和咨询工作的出发点和归宿点,也是认识和诠释企业文化的起点和终点 作为企业文化管理业界的一份子,我们应该经常躬身自问一个非常简单又是非常困难的问题:我们的企业文化除了拥有了美丽的语言和精致的载 ...

  • 数字孪生全栈开发框架智慧中台 赋能企业智慧应用项目快速落地

    近年来企业数字转型越来越受到大家的关注,为此一部分企业纷纷向数据中台方向发展,都在努力打造一款解决数字孪生的智慧中台方案.尤其在当今在互联网时代,面向业务的快速响应和规模化创新水平,构建新业态发展和低 ...

  • 企业文化要如何实施落地发展

    好的企业文化不仅可以树立良好的企业形象.吸引人才,还能够增强员工凝聚力,让员工和企业互相成就.行政作为企业文化的重要落地执行方之一,让抽象的企业文化渗透到员工的工作生活中去,是行政日常运营服务的重要原 ...

  • 企业的无票支出怎么用自然人代开解决

    企业的无票支出怎么用自然人代开解决 企业一般正常经营的时候,不能避免的会有一些无票支出,而咱们都知道,无票支出在财务上来说不能算是支出,也就是说这也会算到企业的利润中,同样需要缴纳企业所得税.例如说某 ...

  • 解决企业成本欠缺和增值税的方法在这里

    解决企业成本欠缺和增值税的方法在这里 企业一般都会在发展壮大后开始进行税务筹划,一个企业发展后自然会有税务方面的压力,为了缓解这样的压力,有的大企业会与当地进行谈判,纳税之后当地能够奖励一部分给企业作 ...