隨著企業(yè)數(shù)字化轉(zhuǎn)型的深入推進(jìn),信息泄漏事件時(shí)有發(fā)生,企業(yè)數(shù)據(jù)資產(chǎn)的保密性、可用性、完整性備受威脅,現(xiàn)已成為各企業(yè)在安全管理中的主要威脅。
明朝萬(wàn)達(dá)數(shù)據(jù)安全專(zhuān)家認(rèn)為,針對(duì)企業(yè)敏感數(shù)據(jù)的網(wǎng)絡(luò)攻擊技術(shù)近年來(lái)不斷升級(jí),按照攻擊來(lái)源可分為外部攻擊行為和內(nèi)部威脅行為兩種。
其中,外部攻擊行為通過(guò)隱藏在合法進(jìn)程中,能夠躲避安全防護(hù)系統(tǒng)的監(jiān)測(cè)和查殺,從而快速入侵目標(biāo)系統(tǒng);內(nèi)部威脅行為則會(huì)偽裝成合法用戶(hù),進(jìn)而突破網(wǎng)絡(luò)邊界、竊取網(wǎng)絡(luò)憑證,引發(fā)內(nèi)部信息安全威脅。
-----
傳統(tǒng)信息安全技術(shù)是基于規(guī)則和專(zhuān)家經(jīng)驗(yàn),通過(guò)人為設(shè)定閾值來(lái)進(jìn)行防護(hù)檢測(cè),面對(duì)合法進(jìn)程中的惡意攻擊存在安全可見(jiàn)性盲區(qū),因無(wú)法檢測(cè)到未知攻擊被逃逸繞過(guò)或造成誤報(bào)。
根據(jù)思科統(tǒng)計(jì)調(diào)查發(fā)現(xiàn):企業(yè)遭受攻擊,超過(guò)70%的攻擊行為難以給出安全警報(bào),給出的安全警報(bào)中真實(shí)攻擊占比不到40%,而其中又只有不到10%能夠被有效處置。
當(dāng)前,企業(yè)面臨嚴(yán)峻的網(wǎng)絡(luò)安全戰(zhàn)挑。
-----
近幾年,在AI技術(shù)的驅(qū)動(dòng)下信息安全問(wèn)題正在轉(zhuǎn)變成大數(shù)據(jù)分析問(wèn)題。如何利用大數(shù)據(jù)和機(jī)器學(xué)習(xí)提高內(nèi)部威脅和外部攻擊的可見(jiàn)性,成為安全從業(yè)者當(dāng)下重要的發(fā)展趨勢(shì),也成為了企業(yè)關(guān)注的重點(diǎn)。
UEBA:用戶(hù)實(shí)體行為分析(user and entity behavior analytics),是新型信息安全技術(shù)的代表,該技術(shù)以用戶(hù)為視角,從傳統(tǒng)規(guī)則分析轉(zhuǎn)變?yōu)殛P(guān)聯(lián)分析、行為建模、異常分析。
基于大數(shù)據(jù)驅(qū)動(dòng)、安全分析和機(jī)器學(xué)習(xí),通過(guò)刻畫(huà)用戶(hù)行為,將內(nèi)部違規(guī)操作、竊取數(shù)據(jù)、非法刪除等異常行為與正常行為進(jìn)行關(guān)聯(lián)分析,通過(guò)行為建模,準(zhǔn)確地描述出行為細(xì)節(jié),從而提高了命中異常事件的準(zhǔn)確率,彌補(bǔ)了傳統(tǒng)安全防控?zé)o法有效監(jiān)測(cè)內(nèi)部威脅的不足。
那么,UEBA技術(shù)是如何發(fā)展成型的?它在數(shù)據(jù)安全領(lǐng)域應(yīng)用實(shí)現(xiàn)了哪些價(jià)值?UEBA尚有哪些不足需要補(bǔ)足,未來(lái)前景如何?今天,就隨著明朝萬(wàn)達(dá)數(shù)據(jù)安全專(zhuān)家來(lái)一一了解吧。
-----
UEBA發(fā)展演進(jìn)
UEBA是由UBA(用戶(hù)行為分析)概念演進(jìn)而來(lái)。
作為現(xiàn)代化SIEM的發(fā)展方向,為應(yīng)對(duì)日益增長(zhǎng)的內(nèi)部人員威脅,2014年 UBA概念首次被提出。
之后隨著設(shè)備資產(chǎn)的不斷增長(zhǎng),實(shí)體(Entity)概念逐漸被引入,通過(guò)監(jiān)控用戶(hù)和機(jī)器的行為活動(dòng),不僅可以發(fā)現(xiàn)內(nèi)部失陷主機(jī),還能對(duì)外部網(wǎng)絡(luò)攻擊以及滲透成功后的內(nèi)部橫向移動(dòng)有更強(qiáng)的洞察力。
UBA演進(jìn)成為UEBA,其核心要素是數(shù)據(jù)分析、應(yīng)用場(chǎng)景和分析方法。
△ UEBA核心要素
? 數(shù)據(jù)分析包括用戶(hù)行為日志、網(wǎng)絡(luò)監(jiān)控流量、企業(yè)的基礎(chǔ)信息等,數(shù)據(jù)質(zhì)量直接影響分析結(jié)果的準(zhǔn)確性,刻畫(huà)用戶(hù)畫(huà)像需要高質(zhì)量、多維度的數(shù)據(jù),能夠精準(zhǔn)地表征期望場(chǎng)景下的特定行為。
? 應(yīng)用場(chǎng)景主要側(cè)重于企業(yè)內(nèi)部安全領(lǐng)域,如用戶(hù)異常登陸行為、違規(guī)刪除/瀏覽敏感文件、大流量文件傳輸、惡意泄漏數(shù)據(jù)等。
? 分析方法采用機(jī)器學(xué)習(xí)方法建立模型,結(jié)合專(zhuān)家知識(shí),利用無(wú)監(jiān)督和半監(jiān)督學(xué)習(xí)進(jìn)行自我演化,長(zhǎng)時(shí)間、持續(xù)性地對(duì)用戶(hù)行為進(jìn)行跟蹤分析,構(gòu)建用戶(hù)實(shí)體的行為活動(dòng)鏈,從而有效識(shí)別異常行為。
-----
UEBA在敏感數(shù)據(jù)防泄漏中的應(yīng)用
敏感數(shù)據(jù)防泄漏一直是企業(yè)關(guān)注的重點(diǎn),其中內(nèi)部員工竊取敏感數(shù)據(jù)是典型的數(shù)據(jù)泄漏發(fā)生場(chǎng)景。但是由于內(nèi)部員工本身就具備對(duì)企業(yè)數(shù)據(jù)資產(chǎn)的合法訪問(wèn)權(quán)限,因此傳統(tǒng)的規(guī)則監(jiān)測(cè)方法難以有效識(shí)別該類(lèi)行為。
UEBA技術(shù)的應(yīng)用,為企業(yè)敏感數(shù)據(jù)防泄漏提供了最佳的安全視角。
丨整體技術(shù)架構(gòu)
丨具體實(shí)現(xiàn)步驟
1. 特征抽取
UEBA以大數(shù)據(jù)作為驅(qū)動(dòng),基于流量、文件操作、web訪問(wèn)和郵件收發(fā)等多源日志,結(jié)合5W1H模型(何人(Who)、 何事(What)、 何時(shí)(When)、 何地(Where)、何解(Why) 及如何(How))標(biāo)準(zhǔn),從行為日志中抽取特征向量,構(gòu)建正常用戶(hù)、實(shí)體行為基線和用戶(hù)畫(huà)像,并基于機(jī)器學(xué)習(xí)、深度神經(jīng)網(wǎng)絡(luò)等算法實(shí)現(xiàn)異常行為檢測(cè),最后對(duì)異常行為進(jìn)行研判,并對(duì)風(fēng)險(xiǎn)進(jìn)行評(píng)估。2. 構(gòu)建基線
多維安全基線由個(gè)體行為基線、部門(mén)行為基線和場(chǎng)景行為基線等構(gòu)成,其中,個(gè)體基線反應(yīng)用戶(hù)個(gè)體的行為特征,部門(mén)基線反應(yīng)用戶(hù)所屬部門(mén)群體特征,場(chǎng)景基線反應(yīng)用戶(hù)與實(shí)體操作行為特征。基于隨機(jī)森林、SVM等學(xué)習(xí)算法生成敏感數(shù)據(jù)實(shí)時(shí)訪問(wèn)行為的動(dòng)態(tài)基線,并通過(guò)群組基線分析,構(gòu)建全時(shí)空的上下文環(huán)境,避免單一行為的局限性,并采用分布實(shí)時(shí)數(shù)據(jù)計(jì)算,實(shí)時(shí)更新安全基線,實(shí)現(xiàn)完整的動(dòng)態(tài)行為基線。
△ 本圖展示了3個(gè)用戶(hù)的個(gè)體行為基線,包括郵件收發(fā)、文件操作和web訪問(wèn)三個(gè)業(yè)務(wù)操作場(chǎng)景。將用戶(hù)行為進(jìn)行縱向分析計(jì)算,可得到部門(mén)行為基線。
3. 異常行為檢測(cè)
異常行為檢測(cè)主要針對(duì)統(tǒng)計(jì)指標(biāo)、模式序列、時(shí)間序列和行為邏輯序列,通過(guò)CNN、RNN等深度學(xué)習(xí)算法,從賬戶(hù)登錄登出次數(shù)、IP調(diào)用次數(shù)、訪問(wèn)時(shí)間間隔等多維角度進(jìn)行異常行為檢測(cè)。最后,基于迭代評(píng)估機(jī)制,將各種行為告警、檢測(cè)異常,以及群組對(duì)比分析等加權(quán)組合,不斷優(yōu)化迭代,得到異常行為評(píng)分,并根據(jù)實(shí)際業(yè)務(wù)場(chǎng)景,將評(píng)估行為反映到實(shí)際場(chǎng)景中。
-----
UEBA的不足與展望
目前,根據(jù)UEBA在企業(yè)的使用案例說(shuō)明其技術(shù)已較為成熟,但同時(shí)業(yè)界也清楚明確在提升企業(yè)安全能力方面,現(xiàn)有的UEBA技術(shù)并不足以解決所有安全問(wèn)題。畢竟數(shù)字信息時(shí)代企業(yè)面臨的安全威脅復(fù)雜多變,各類(lèi)網(wǎng)絡(luò)攻擊手段也在不斷發(fā)展變化著,因此,安全技術(shù)和戰(zhàn)略也需要持續(xù)發(fā)展演進(jìn)。
UEBA的實(shí)際應(yīng)用,應(yīng)該是一個(gè)不斷迭代、優(yōu)化、持續(xù)改進(jìn)的過(guò)程,需要不斷進(jìn)行數(shù)據(jù)源的分析、特征挖掘和抽取、算法優(yōu)化和改進(jìn)、新型異常行為場(chǎng)景的識(shí)別,以便能夠更好地提升異常行為檢測(cè)性能,提高潛在威脅響應(yīng)的能力和效率。
UEBA將從行為、事件、告警、異常中抽取實(shí)體及實(shí)體間的關(guān)系,構(gòu)建安全網(wǎng)絡(luò)知識(shí)圖譜,所有的行為、事件等都集成到該圖譜中,將用戶(hù)和實(shí)體間的多層關(guān)系清晰地呈現(xiàn)出來(lái),挖掘出更加隱蔽的聯(lián)系,并將威脅行為的全貌完整地復(fù)現(xiàn),從而實(shí)現(xiàn)及時(shí)應(yīng)急響應(yīng)和處置。
-----
作為中國(guó)新一代信息安全技術(shù)企業(yè)的代表廠商,明朝萬(wàn)達(dá)專(zhuān)注于數(shù)據(jù)安全、公共安全、云安全、大數(shù)據(jù)安全等服務(wù),歷經(jīng)十余年的發(fā)展,客戶(hù)群覆蓋金融、政府、公安、電信運(yùn)營(yíng)商等諸多領(lǐng)域,其中在金融領(lǐng)域數(shù)據(jù)安全的市場(chǎng)占有率超80%。明朝萬(wàn)達(dá)始終以守護(hù)用戶(hù)數(shù)據(jù)價(jià)值為己任,致力于讓安全真正服務(wù)于業(yè)務(wù)發(fā)展。公司擁有大量自主創(chuàng)新的數(shù)據(jù)安全和新技術(shù)、數(shù)據(jù)安全核心產(chǎn)品和解決方案,在科技創(chuàng)新的同時(shí),注重技術(shù)與業(yè)務(wù)的深度融合,為客戶(hù)提供量身定制的數(shù)據(jù)安全解決方案。
