网络安全先进技术与应用发展系列报告用户实体行为分析技术(UEBA )来源:中国信息通信研究院安全研究所、杭州安恒信息技术股份有限公司)
1 .当今各种组织面临的严峻的网络安全挑战来自四个方面。 越来越多的外部攻击恶意cmdlm、疏忽员工、帐户丢失、主机丢失导致的各种内部威胁数字化基础设施漏洞和风险暴露面,包括利益驱动或国家驱动的隐形高级攻击,导致业务需求暴露面越来越多传统的安全产品、技术、方案,基于一点有限的信息,用签名、规则进行非黑非白的防护控制,可能会导致大量的噪声和误报。 有警报聚合等基础聚合技术等,想修复上述问题,但还没有效果。 传统的方式不能自动应对攻击者的逃生绕行,战略升级往往也需要几个月的时间,存在严重的滞后效应,完全察觉不到未知的攻击。 可见,传统的安全仍然依赖于规范,基于特征、规则和人工分析,存在安全可见性盲区,与严重的滞后效应、检测不到未知攻击、容易绕过、攻防对抗的网络现实发生迅速变化
如图2所示,通过困境的持续探索,安全行业逐渐转向基于大数据驱动、安全分析和机器学习的安全新范式,以期弥补传统的安全短板。 同时,网络安全也从单纯强调边界防护开始了向纵深安全检查响应的艰难转变。 攻击者不对称的优势是安全团队面临的最大问题。 如果能充分利用行为分析这个谜题和网络纵深路径中的各种数据,安全团队就能逆转这种不对称,从海量的安全数据中识别和发现攻击和恶意行为。
2 .用户实体行为分析的特点(1)行为分析主导的身份权限可能被窃取,但行为模式难以模仿。 内部威胁、外部攻击,在基于行为的分析中很难完全隐藏、迂回、逃跑,行为异常成为首要威胁信号。 通过采集充分的数据和适当的分析,可以发现横向移动、数据传输、连续连接等异常行为。
)所有聚焦用户和实体的威胁都源于人,所有攻击最终必然落入账户、机器、数据资产、APP应用等实体。 通过持续跟踪用户和实体的行为并持续进行风险评估,安全团队可以最全面地了解内部威胁风险,将日志、警告、事件和异常与用户和实体相关联,并构建完整的时间线。 通过聚焦用户和实体,安全团队可以摆脱警告疲劳,聚焦业务中最关注的风险、某一类箭头,提高安全操作性能,同时围绕帐户、资产和关键数据展开
)全时空间分析行为分析使用全时空间分析方法,而不是孤立的独立事件,连接过去(历史基线)、现在)、未来)、预测趋势)、个体、群体、部门、相似功能的行为模式。 丰富的上下文相结合,安全团队可以从多源异构数据中多视角、多维度全方位分析用户和实体行为,发现异常。
)机器学习行为分析大量采用统计分析、时序分析等基本数据分析技术,以及非监控学习、监控学习、深度学习等高级分析技术。 通过机器学习技术,可以从行动数据中捕捉人类无法感知、无法认知的细节,找出表象下潜在的异常之处。 同时机器学习驱动的行为分析避免了人工设定阈值的困难和无效。
)5)异常检测行为分析的目的是发现异常,从正常用户中发现异常恶意用户,从用户正常行为中发现异常恶意行为。
总结新范式破局的五个方面,就是在全时空上下文中聚焦用户和实体,运用机器学习驱动方法分析行为,发现异常。 3.UEBA的定义和演进Gartner对UEBA的定义是:“UEBA提供图像,是基于各种分析方法的异常检测,通常是基本分析方法(利用签名的规则、模式匹配、简单统计、阈值等)和高级分析方法)的监视和监视在包分析中评估用户和其他实体)、主机、APP应用程序、网络、数据库等的这些活动包括对系统的内部或第三方异常访问(用户异常)或外部攻击者绕过安全控制措施的入侵(例如
Gartner认为,UEBA是一个可以改变游戏规则的预测性工具,其特点是专注于风险最高的领域,允许安全团队积极管理网络信息安全。 UBA可以识别传统日志和基于网络的解决方案无法识别的异常,从而有效补充安全信息和事件管理(SIEM )。 经过多年的验证,SIEM已成为业界有价值的必备技术,但由于SIEM缺乏客户级别的可见性,安全团队无法根据需要快速发现、响应和控制它15。
作为现代化SIEM的进化方向,如图3所示,SIEM、UEBA、安全编织自动化响应(SOAR )走向融合。
图4显示了UEBA的发展过程。 由于身份和访问管理(IAM )无法提供全面的数据分析等原因,UEBA的前身——用户行为分析(UBA )应运而生。 此后,用户方面的强劲需求使UEBA市场持续快速增长,复合年增长率达到48%。
4.UEBA的价值(1)发现未知UEBA可适应动态环境变化和业务变化,有助于安全团队发现隐藏在网络中或未知威胁,包括外部攻击和内部威胁; 通过异常评分定量分析,分析所有事件,不需要硬编码阈值,即使表面看起来细小、缓慢、潜伏也是可能的
被检测出来。 (2)增强安全可见UEBA 可以监控所有账号,无论是特权管理员、内部员工、供应商员工、合作伙伴等;利用行为路径分析,贯穿从边界到核心资产的全流程,扩展了对关键数据等资产的保护;对用户离线、机器移动到公司网络外等情况,均增强了保护;准确检测横向移动行为,无论来自内部还是外部,都可能可以在敏感数据泄露之前发现端倪,从而阻止损害发生;可以降低威胁检测和数据保护计划的总体成本和复杂性,同时显著降低风险以及对组织产生的实际威胁。
(3)提升能效UEBA 无需设定阈值,让安全团队更有效率。引入全时空上下文,结合历史基线和群组对比,将告警呈现在完整的全时空上下文中,无需安全团队浪费时间手动关联,降低验证、调查、响应的时间;当攻击发生时,分析引擎可以连接起事件、实体、异常等,安全人员可以看清全貌,快速进行验证和事故响应;促使安全团队聚焦在真实风险和确切威胁,提升威胁检测的效率。
(4)降低成本UEBA 通过聚合异常,相比 SIEM、DLP 等工具,大量降低总体告警量和误报告警量,从而降低安全运营工作负载,提升投资回报率(ROI);通过缩短检测时间、增加准确性,降低安全管理成本和复杂性,降低安全运营成本;无监督、半监督机器学习让安全分析可以自动化构建行为基线,无需复杂的阈值设置、规则策略定制,缓解人员短缺问题;通过追踪溯源及取证,简化事故调查和根因分析,缩短调查时间,降低每事故耗费的调查工时,以及外部咨询开销;
总之,UEBA 的价值主要体现在发现未知、增强安全可见、提升能效、降低成本 5.架构与技术UEBA 是一个完整的系统,涉及到算法、工程等检测部分,以及用户实体风险评分排序、调查等用户交互、反馈。从架构上来看,UEBA 系统包含三个层次,分别是数据中心层、算法分析层、场景应用层。其中,算法分析层一般运行在实时流处理、近线增量处理、离线批量处理的大数据计算平台之上。典型的完整 UEBA 架构如图 5所示。
该平台运行着传统的规则引擎、关联引擎,同时也支持人工智能引擎,如基线及群组分析、异常检测、集成学习风险评分、安全知识图谱、强化学习等 UEBA 核心技术。