用户实体行为分析
用户实体行为分析(User and Entity Behavior Analytics, UEBA)技术通过对用户实体持续画像和建模, 可从海量收集的安全数据中及时发现和识别出攻击以及异常的行为 [22]。
UEBA包括一些基本的分析方法(阈值分析、序列分析),同时也包括一些高级分析方法(关联分析, 机器学习):
🅙 阈值分析: 主要是基于统计方法做异常检测。对一段时间内的数据进行统计,然后和阈值比较,
如果超出阈值范围,则判定为异常。比如统计正常的历史流入流出流量的统计值作为阈值,进 行异常行为判定。
🅙 序列分析: 时间序列分析(Time series analysis)是一种动态数据处理的统计方法。该方法基
于随机过程理论和数理统计学方法,研究随机数据序列所遵从的统计规律,以用于解决实际问题。 比如在数据库服务器下载场景中,通过时间序列分析检测与识别异常下载行为模式。
🅙 关联分析: 用于发现隐藏在大型数据集中的有意义的联系。可以基于算法做关联分析,挖出数
据之间的关联规则,另外,还可以借助图数据库等工具,挖掘数据之间的关联。
🅙 机器学习: 通过对大量历史数据持续进化不断学习,能够检测和识别异常或恶意行为,特
别是对数据安全未知威胁的检测具有优势。UEBA可应用逻辑回归、SVM、K-Means 聚类、 DBSCAN密度聚类、随机森林等算法。
UEBA应用在数据安全领域,典型应用场景是数据库泄露的异常检测。以敏感数据为中心,通过采 集用户实体对数据操作相关维度信息,通过数据分析与学习过程,建立多维度实体的行为基线,利用机 器学习算法和预定义规则找出严重偏离基线的异常行为,及时发现内部用户、合作伙伴窃取数据等违 规行为。在该场景中,通常采用 5W1H 模型进行 UEBA分析与建模:Who(何人),When(何时), Where(何地),What(何事),Why(原因),How(行为方式)。通过 6 个维度实体行为的分析, 可及时发现数据泄露与异常操作行为。
根据 Gartner 报告,UEBA 在中大型企业应在一些安全场景实现落地与应用,该技术已逐步趋向成熟。 图 4-3 是绿盟科技将 UEBA应用在敏感数据防护场景,通过学习用户的正常行为,及时发现系统内的异 常行为,对偏离正常行为的动作进行及时告警,可以有效分析出安全问题的源头,降低数据泄露与异常 行为的风险。图 4-4 具体给出了绿盟科技 UEBA应用在检测数据外泄的案例:在检测过程中,UEBA首先检测到账号异常行为,在某一时刻账号在不常用 IP 集中登入,触发了 UEBA账号异常类型告警;接 着 UEBA检测该账号访问了不常访问的路径,触发了账号异常类型告警;最后,UEBA检测到实时传输 的数据量超过历史基线的 5 倍以上,触发了数据传输异常类型告警。至此,基于 UEBA的敏感数据防护 系统的账号失窃导致数据外泄的 playbook 被触发,系统判定为高危事故,主动向绿盟态势感知平台发 出封堵消息,一键封堵子系统作出封堵动作,及时止损,避免了事态的进一步恶化。
图 4-3 绿盟科技基于 UEBA的敏感数据防护系统方案
图 4-4 绿盟科技 UEBA应用案例:发现数据外泄行为
小结
随着企业业务发展和扩大,数据库、大数据平台以及流动过程的数据越来越庞大,业务复杂多变, 其面临的数据安全问题和威胁越来越突出和严,不仅有来自外界的攻击,也有内部管理或错误配置等 引发的数据窃取或敏感信息泄露。企业内部数据安全治理不仅是满足合规性的需要,同时也是内部自身 安全的需求。敏感数据的安全性是企业数据安全防护的重中之重,其第一步需要更好地识别和发现敏感 数据,对于普通的结构化数据,传统的正则和关键词等方法可以应对,然而对于尤其是非结构化或半结 构化数据,比如文档、网页、XML文本等,需要应用敏感数据智能技术,通过机器学习,自然语言处 理进行赋能,以高识别的准确率;数据脱敏作为一种成熟的技术广泛应用在企业的敏感数据的处理环 节,然而数据脱敏并没有完全彻底消除隐私风险,脱敏完成后仍需对脱敏数据集的残余风险进行评估与 检测,以实现风险感知与控制。敏感数据的流动与操作行为需要监控与审计,UEBA作为数据驱动的智 能技术,可智能发现用户数据操作行为异常与攻击事件。通过这一系列创新技术,实现企业内部更好的 数据安全治理与防护。
前沿技术赋能企业间数据共享与计算
前沿技术赋能企业间数据共享与计算
本章将聚焦在企业间数据共享与计算场景,首先分析其四个典型的子场景合规性要求与安全挑战, 后续将从应对的四种前沿技术,包括数据匿名、同态加密、安全多方计算、联邦学习,进行技术原理、 行业应用、以及未来发展的介绍与探讨。
1100
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
