网络安全先进技术与应用发展系列报告 用户实体行为分析技术(UEBA)
来源:中国信息通信研究院安全研究所、杭州安恒信息技术股份有限公司”
1.当今不同组织面临的严峻网络安全挑战来自四个方面:
- 越来越多的外部攻击,包括被利益驱动或国家驱动的难以察 觉的高级攻击;
- 心怀恶意的内鬼、疏忽大意的员工、失陷账号与失陷主机导 致的各种内部威胁;
- 数字化基础设施的脆弱性和风险暴露面越来越多,业务需求 多变持续加剧的问题;
- 安全团队人员不足或能力有限,深陷不对称的“安全战争” 之中。
传统安全产品、技术、方案,基于单次单点的有限 信息,运用签名、规则进行非黑即白式的防护控制,可能导致大量 的噪声和误报。虽然已经有告警聚合等基础聚合技术等,尝试修复 上述问题,但是仍未产生较好效果。传统方式仍无法自动适应攻击 者的逃逸绕过,策略升级也经常需要长达数月时间,存在严重的滞 后效应,对未知攻击甚至完全无法察觉。可见,传统安全倚重旧范 式,基于特征、规则和人工分析,存在安全可见性盲区,有严重的 滞后效应、无力检测未知攻击、容易被绕过,以及难以适应攻防对 抗的网络现实和快速变化的企业环境、外部威胁等问题。
如图 2 所示,通过对困境的持续探索,安全行业逐渐转向基于大数据驱动、安全分析和机器学习的安全新范式,以期弥补传统安全短板。同时,网络安全也已经开始从单纯强调边界防护到纵深安全检测响应的艰巨转变。攻击者的不对称性优势,一直是安全团队面临的最大问题。只要能充分利用行为分析这块拼图,以及充分利用网络纵深路径上的各种数据,安全团队可能逆转这种不对称的情况,从海量的安全数据中识别和发现攻击和恶意行为 。
2.用户实体行为分析特点
(1)行为分析导向
身份权限可能被窃取,但是行为模式难以模仿。内部威胁、外部攻击难以在基于行为的分析中完全隐藏、绕过或逃逸,行为异常成为首要的威胁信号。采集充分的数据和适当的分析,可发现横向移动、数据传输、持续回连等异常行为。
(2)聚焦用户与实体
一切的威胁都来源于人,一切的攻击最终都会必然落在帐号、机器、数据资产和应用程序等实体上。通过持续跟踪用户和实体的行为,持续进行风险评估,可以使安全团队最全面地了解内部威胁风险,将日志、告警、事件、异常与用户和实体关联,构建完整的时间线。通过聚焦用户与实体,安全团队可以摆脱告警疲惫,聚焦到业务最关注的风险、有的放矢,提升安全运营绩效,同时通过聚焦到以账号、资产和关键数据为中心,可以大幅降低误报告警数量。
(3)全时空分析
行为分析不再是孤立的针对每个独立事件,而是采用全时空分析方法,连接起过去(历史基线)、现在(正在发生的事件)、未来(预测的趋势),也连接起个体、群组、部门、相似职能的行为模式。通过结合丰富的上下文,安全团队可以从多源异构数据中以多视角、多维度对用户和实体的行为进行全方位分析,发现异常。
(4)机器学习驱动
行为分析大量的采用统计分析、时序分析等基本数据分析技术,以及非监督学习、有监督学习、深度学习等高级分析技术。通过机器学习技术,可以从行为数据中捕捉人类无法感知、无法认知的细微之处,找到潜藏在表象之下异常之处。同时机器学习驱动的行为分析,避免了人工设置阈值的困难和无效。
(5)异常检测
行为分析的目的,是发现异常,从正常用户中发现异常的恶意用户,从用户的正常行为中发现异常的恶意行为。
总结新范式破局的五个方面,就是在全时空的上下文中聚焦用户和实体,利用机器学习驱动方法对行为进行分析,从而发现异常。
3.UEBA的定义与演进
Gartner 对 UEBA 的定义是“UEBA 提供画像及基于各种分析方法的异常检测,通常是基本分析方法(利用签名的规则、模式匹配、简单统计、阈值等)和高级分析方法(监督和无监督的机器学习等),用打包分析来评估用户和其他实体(主机、应用程序、网络、数据库等),发现与用户或实体标准画像或行为相异常的活动所相关的潜在事件。这些活动包括受信内部或第三方人员对系统的异常访问(用户异常),或外部攻击者绕过安全控制措施的入侵(异常用户)”。
Gartner 认为 UEBA 是可以改变游戏规则的一种预测性工具,其特点是将注意力集中在最高风险的领域,从而让安全团队可以主动管理网络信息安全。UEBA 可以识别历来无法基于日志或网络的解决方案识别的异常,是对安全信息与事件管理(SIEM)的有效补充。虽然经过多年的验证,SIEM 已成为行业中一种有价值的必要技术,但是 SIEM 尚未具备帐户级可见性,因此安全团队无法根据需要快速检测、响应和控制15。
作为现代化 SIEM 演进的方向,如图 3 所示,SIEM、UEBA、安全编排自动化响应(SOAR)将会走向融合。
如图 4 展示 UEBA 的发展历程。由于身份和访问管理(IAM)无法提供全面的数据分析等原因,UEBA 的前身用户行为分析(UBA)应运而生。随后,来自于用户侧强劲的需求不断推动 UEBA 市场持续快速增长,复合年增长率达到了 48%。
4.UEBA的价值
(1)发现未知
UEBA 可以帮助安全团队发现网络中隐藏的、或未知威胁,包括外部攻击和内部威胁;可以自适应动态的环境变化和业务变化;通过异常评分的定量分析,分析全部事件,无需硬编码的阈值,即使表面看起来细微的、慢速的、潜伏的行为,也可能被检测出来。
(2)增强安全可见
UEBA 可以监控所有账号,无论是特权管理员、内部员工、供应商员工、合作伙伴等;利用行为路径分析,贯穿从边界到核心资产的全流程,扩展了对关键数据等资产的保护;对用户离线、机器移动到公司网络外等情况,均增强了保护;准确检测横向移动行为,无论来自内部还是外部,都可能可以在敏感数据泄露之前发现端倪,从而阻止损害发生;可以降低威胁检测和数据保护计划的总体成本和复杂性,同时显著降低风险以及对组织产生的实际威胁。
(3)提升能效
UEBA 无需设定阈值,让安全团队更有效率。引入全时空上下文,结合历史基线和群组对比,将告警呈现在完整的全时空上下文中,无需安全团队浪费时间手动关联,降低验证、调查、响应的时间;当攻击发生时,分析引擎可以连接起事件、实体、异常等,安全人员可以看清全貌,快速进行验证和事故响应;促使安全团队聚焦在真实风险和确切威胁,提升威胁检测的效率。
(4)降低成本
UEBA 通过聚合异常,相比 SIEM、DLP 等工具,大量降低总体告警量和误报告警量,从而降低安全运营工作负载,提升投资回报率(ROI);通过缩短检测时间、增加准确性,降低安全管理成本和复杂性,降低安全运营成本;无监督、半监督机器学习让安全分析可以自动化构建行为基线,无需复杂的阈值设置、规则策略定制,缓解人员短缺问题;通过追踪溯源及取证,简化事故调查和根因分析,缩短调查时间,降低每事故耗费的调查工时,以及外部咨询开销;
总之,UEBA 的价值主要体现在发现未知、增强安全可见、提升能效、降低成本
5.架构与技术
UEBA 是一个完整的系统,涉及到算法、工程等检测部分,以及用户实体风险评分排序、调查等用户交互、反馈。从架构上来看,UEBA 系统包含三个层次,分别是数据中心层、算法分析层、场景应用层。其中,算法分析层一般运行在实时流处理、近线增量处理、离线批量处理的大数据计算平台之上。典型的完整 UEBA 架构如图 5所示。
该平台运行着传统的规则引擎、关联引擎,同时也支持人工智能引擎,如基线及群组分析、异常检测、集成学习风险评分、安全知识图谱、强化学习等 UEBA 核心技术。
1065
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
