UEBA如何在企业有效地应用与落地

UEBA: User and Entity Behavior Analytics
作为一种高级网络安全威胁检测手段,用户实体行为分析(UEBA)这个网络安全市场的新成员,这两年一直备受关注。我们来看一下市场分析定位,就能感受到用户实体行为分析(UEBA)的发展速度了。

  • 2014年,Gartner发布了用户行为分析(UBA)市场界定;
  • 2015年,Gartner将用户行为分析(UBA)更名为用户实体行为分析(UEBA);
  • 2016年,用户实体行为分析(UEBA)入选Gartner十大信息安全技术;
  • 2017年,用户实体行为分析(UEBA)厂商强势进入2017年度的Gartner SIEM魔力象限;
  • 2018年,用户实体行为分析(UEBA)入选Gartner为安全团队建议的十大新项目。

能够高准确率命中异常事件,使真正的安全威胁浮出水面,这正是用户实体行为分析(UEBA)备受关注的主要原因。但是,用户实体行为分析(UEBA)技术复杂,实施部署难度大、成本高,企业应用失败的案例也比比皆是。为此,笔者将自己对用户实体行为分析(UEBA)的理解,以及在实施落地过程中的关键事项进行一下总结,希望能够给大家一些可供参考的信息。

一、揭开用户实体行为分析(UEBA)的神秘面纱

用户行为分析(UBA)最早用在网站访问和精准营销方面,通过对相关数据进行统计、分析,实现用户标签画像,预测用户消费习惯,最终对用户感兴趣商品进行推送,达到精准营销的目的。很快,用户行为分析(UBA)就被移植到网络安全领域。
2014年,Gartner发布了用户行为分析(UBA)市场界定,用户行为分析(UBA)技术目标市场聚焦在安全(窃取数据)和诈骗(利用窃取来的信息)上,帮助企业检测内部威胁、有针对性的攻击和金融诈骗。
为使这部分市场快速发展和成熟,Gartner认为有必要把这部分从诈骗检测技术中剥离出来。于是在2015年正式将用户行为分析(UBA)更名为用户实体行为分析(UEBA)。至于加入了实体行为分析,Gartner的解释是实体行为从某种程度上关联了用户行为,关注实体行为分析可以更准确地识别威胁。
准确地说,用户行为分析(UBA)关联了用户活动和相关实体(用户相关的应用和终端等)信息构建人物角色与群组,进一步定义这些个体与群组的合法和正常行为,把这些人物角色在群体与群体、群体与个体、个体与个体(那些远离合法和正常行为的群体与个体)维度上相互比对分析,将异常用户(失陷账号)和用户异常(非法行为)检测出来,从而达到检测业务欺诈、敏感数据泄露、内部恶意用户、有针对性攻击等高级威胁的目的。

二、用户实体行为分析(UEBA)能解决哪些安全问题

长期以来,传统安全技术都是依赖于规则进行检测,检测引擎里内置了很多已知规则、专家经验和人为设定的阈值,这种技术通常会导致误报率很高、准确率很低的问题,甚至对于一些新型的未知威胁行为根本检测不出来。
用户实体行为分析(UEBA)则是从另外一个视角去发现问题,从单维度检测到多维度分析,从单点检测到长周期分析,从基于规则分析到关联分析、行为建模、异常分析来发现更多更准确的安全威胁。
总结下来,用户实体行为分析(UEBA)能够弥补传统检测技术、单点安全分析的不足,通过用户实体行为异常分析来检测各种业务与安全风险,具体的应用场景及检测的风险类别详细说明如下:

1.金融反欺诈

金融诈骗一般每一个流程环节都由不同的团伙完成,撞库、养号属于金融诈骗前端环节,利用规则分析、关联分析、机器学习算法等手段,对金融用户及相关实体实时进行异常分析,可以有效检测撞库、养号等金融诈骗行为的发生。

2.数据泄露检测

在企业敏感数据泄露事件中,绝大多数都是通过内部合法用户进行泄露的,对内部用户访问数据的数量、关系、序列进行多维度计算,形成用户行为正常行为基线,并检测出偏离正常基线的异常行为。

3.账号失陷检测

获取内部合法账户的权限,是大多数黑客攻击的目的,同时也是进一步渗透的主要手段,通过对内部账号的登陆地点、登陆时间、登陆次数、登陆设备、操作习惯等维度进行建模,对内部账号及相关实体进行实时分析,可以检测出哪些账号已经被攻破,哪些账号正面临着攻击。

4.绕过控制行为检测

很多恶意人员对于安全规则、内控措施非常了解,他们很清楚什么操作做到什么程度会触发报警。因此,恶意人员会降低非法操作行为的次数和规模,避免被传统安全系统检测到。利用用户实体行为分析(UEBA)长周期分析用户行为特征,将行为特征进行横向与纵向对比,检测长期低频有规律地重复性非法行为。

5.在海量噪声中进行精准检测

很多传统设备虽然能够检测出用户行为异常,但由于存在着大量的误报和无效告警,使精准有效的检测结果淹没在了海量的噪声中,利用用户实体行为分析(UEBA)以分组聚合统计的方式,过滤安全告警相关的原始信息,有效降低安全事件分析工作量,提高传统设备告警的针对性和准确率。

以上是用户实体行为分析(UEBA)常见的应用场景,随着各行业安全需求的不断变化,以及在各行业应用的不断深入与积累,相信用户实体行为分析(UEBA)解决问题的类型会越来越多,应用范围也会越来越广。

三、用户实体行为分析(UEBA)应用落地的关键事项

有很多人把用户实体行为分析(UEBA)想像成像防火墙、入侵检测一样的产品,简单部署实施接入网络就可以发挥作用,一旦短时间内没有出现效果原有的期望就大打折扣,甚至悲观失望。这是目前非常普遍的态度,其实这是因为对用户实体行为分析(UEBA)部署应用关键点还不够了解所造成的。

用户实体行为分析(UEBA)属于数据驱动的高级安全分析技术,在企业具体的应用落地过程中,更多的更像一个解决方案具体应用而非一款单一的具体产品。因此,在实施部署过程中,如果一些关键环节处理不好,应用落地效果就很差,甚至会导致项目失败。那在用户实体行为分析(UEBA)应用落地过程中,有哪些关键事项需要注意的呢?笔者根据自己的理解与认识,简单的做一个梳理。

1.定义需要解决的风险场景

上文中提到了用户实体行为分析(UEBA)属于高级安全分析技术的一种,所以它是建立在基础安全控制的基础上的。如果各个单点安全建设还没有到位,基础安全控制还处在一穷二白的水平,那么实施用户实体行为分析(UEBA)的效果可能就会大打折扣。这就好比一个小孩走路还不稳当的时候,去给他建立一套提高跨栏水平的锻炼机制是没有太大意义的。因此,用户实体行为分析(UEBA)的成功应用的一个前提,是基础性安全建设已经比较成熟,最好是SIEM或SOC平台已经建设完成,然后在集中力量解决某一个特定的安全风险场景。

因为是网络安全领域的新兴技术,很多人认为用户实体行为分析(UEBA)可以无所不能地解决所有问题。其实并不是这样的,用户实体行为分析(UEBA)的定位和特长,是解决某个非常特定风险场景的手段。它不能解决一个非常大面的问题,比如分析一下三万个用户的行为习惯,这个需求就太泛泛了,没有形成特定的风险场景,不适合用用户实体行为分析(UEBA)来解决。因此,准备实施用户实体行为分析(UEBA)前,首先应该考虑好到底来解决什么特定风险场景,比如是解决电子银行撞库风险检测、还是解决利用合法账户盗取保单信息?定义特定风险场景是实施用户实体行为分析(UEBA)的前提,也只有将解决的风险场景定义清楚了,才能有针对性的开展后续的各项工作。

2.采集高质量多种类的数据

如果说特定风险场景是前提,那么,广泛的数据采集就是用户实体行为分析(UEBA)应用落地的基础。如果输入的数据量比较少或者数据质量不高,用户实体行为分析(UEBA)最终分析出来的结果肯定是价值不高的,就算系统平台、模型算法再好,如果输入的是一堆垃圾数据,最终得出来的肯定还是一堆垃圾,这个道理很简单。

那么是不是数据越多越好呢?也不是,如果和需要要分析的风险场景无关,数据再多也只能是一种负担。所以数据采集的前提,就是要和需要分析的特定场景相匹配,也就是说想要分析这个特定场景需要什么数据,而不是有一堆数据看看能分析出什么结果。在这个前提下,数据采集的要点是高质量和多种类,用户实体行为分析(UEBA)对于数据的要求甚至超过了SIEM/SOC产品,除了一般的安全数据还包括广泛的IT信息,比如AD数据、IAM数据、业务应用数据等,除此之外还需要包括一些像资产、IP地址、组织架构、工作职责等上下文信息。总之,高质量多种类的数据,是用户实体行为分析(UEBA)成功条件之一。

3.专家驱动与机器学习算法

由于用户实体行为分析(UEBA)属于数据驱动的安全分析技术,那么很多人理所当然的认为机器学习算法是最核心的技术,而很多产品厂商也愿意迎合这种口味来进行宣传。不可否认用户实体行为分析(UEBA)在一定程度都是用了机器学习,但并不等同于用户实体行为分析(UEBA)只用了(或者一定要用)机器学习,也不等同于采集了数据之后直接用机器学习算法分析就能达到想要的落地效果。
实践表明,单纯的数据驱动并不能完成一个用户实体行为分析(UEBA)的完美应用,需要在数据驱动的基础上增加专家驱动形成一个双驱动的混合系统。这样一个混合系统,其异常发现就不是只是依赖于机器学习,而是依靠统计以及特征方法+机器学习算法来实现。而且,统计以及特征分析方法使用频率更高,将检测出的各个单点异常输入给机器学习来作为分析原料,在这些单点分析的基础上,利用机器学习算法的优势,快速确定不同的统计以及特征异常组合对应的风险水平,如果风险值大于一定范围就作为需要用户关注的事件进行输出。
这种数据驱动+专家驱动的混合系统,在数据和机器学习之间有一个异常发现的过程及中间产物,利用专家领域的知识,简化了机器学习方面的工作,同时提升了系统灵活性,进而可以快速部署、快速完成学习过程。

4.与其它系统平台进行集成

目前用户实体行为分析(UEBA)存在两种产品形态,一种是原有SIEM厂商通过改造核心引擎来迎合高级分析、用户实体分析和风险评分;另外一种就是新兴厂商以独立的产品形态出现,单独用户实体行为分析(UEBA)产品就需要扩展平台功能或者与其它平台进行集成。

Gartner认为单独的UEBA产品会越来越少,而会越来越成为一种高级安全分析功能存在于多种产品之中,所以UEBA与SIEM进行整合是大势所趋。笔者个人认为最好的模式是将UEBA的高级分析能力,整合到SIEM平台中,SIEM把数据送到UEBA,UEBA的告警和附带数据再反馈给SIEM,使SIEM成为真正意义上的下一代SIEM。

四、总结

利用数据分析、机器学习等手段,对特定安全风险进行持续监控、分析,识别各种已知和未知的安全威胁和用户行为异常,使企业能够更好地检测和应对不断变化的内外部威胁,这就是用户实体行为分析(UEBA)的使命。
用户实体行为分析(UEBA)在国外已经获得了普遍的认可,Gartner2016年最终用户安全支出调查显示,有53%的用户有意实施UEBA。但在国内,UEBA还算是一个比较新的领域,希望越来越多的企业更了解UEBA,也希望越来越多的企业通过实施UEBA切实地提升高级安全分析能力。笔者写这篇文章,也算是为UEBA在国内的普及与发展,做一点小小的贡献。