- 什么是UEBA?
- UEBA的三大支柱
- UEBA的组成部分
- UEBA是如何运作的?
- SIEM和UEBA的融合
- UEBA如何在不同场景中提供帮助
- UEBA对安全运营的好处
- UEBA今天
- 医疗保健中的UEBA
- BFSI中的UEBA
- 教育部门的UEBA
- 如何选择正确的UEBA解决方案
什么是UEBA?
用户和实体行为分析(UEBA)或异常检测是一种网络安全技术,它使用机器学习(ML)算法来检测网络中用户、主机和其他实体的异常活动。
为了检测异常情况,UEBA首先了解网络中所有用户和实体的预期行为,并为每个用户和实体创建常规活动的基线。任何偏离此基线的活动都会被标记为异常。随着获得更多经验,UEBA解决方案变得更加有效。
为了了解UEBA如何为每个用户创建行为配置文件,让我们先举一个例子,并了解人类是如何做到这一点的。考虑一下John,一个新聘用的营销实习生。在他上班的第一天,保安认出他是新人,并密切注意确保他所有的证件都签出。警卫还跟踪约翰进出设施的时间。他监视约翰的活动几天,并了解他预期的时间模式——上午10点到达,下午6点离开。任何偏离这一点的,例如约翰在凌晨5点到达,都会引起警卫的怀疑。这就是人类检测异常的方式。
同样,UEBA集成的SIEM解决方案中的ML算法将监控日志数据,以建立网络中的模式。例如,用户的登录和注销时间以及他们在特定设备上的操作将告诉SIEM解决方案该用户期望的活动。一旦它监控活动几天,UEBA引擎将知道用户的预期行为,包括与它的任何偏差。用户的风险评分将增加,以表明威胁的严重性,SIEM解决方案将向安全分析师标记警报。
“但如果一个人已经可以做到这一点,你为什么需要UEBA?”
因为您的安全团队不可能不断观察和分析在您组织工作的数千名员工的行为;生成网络不同部分异常活动的报告;并立即采取适当行动。这让我们想到了下一个问题:UEBA可以识别哪些类型的异常?
UEBA解决方案可以识别什么类型的异常?
UEBA识别与时间、计数和模式相关的异常。让我们看看每个含义。
时间异常:
如果用户或实体偏离了预期的基线,则称为时间异常。你可以把John在早上5点的登录,而不是他通常的上午10点作为时间异常的例子。
计数异常:
如果用户或实体在短时间内执行了异常数量的活动,我们称之为计数异常。例如,用户在上午11点至下午12点之间访问客户数据库50次。
模式异常:
如果一系列意外事件导致用户帐户或实体以非典型或未经授权的方式访问,则称为模式异常。模式异常的一个例子是,用户帐户在连续八次登录失败后成功登录,然后从该帐户进行多次文件删除、修改和数据传输。
在我们讨论UEBA如何在幕后工作之前,让我们通过了解UEBA的三大支柱和组成部分来更详细地介绍基础知识。
UEBA的三大支柱
Gartner对UEBA的定义涉及三个关键属性或支柱:用例、数据源和分析。
UEBA解决方案寻找与用户和实体正常行为的异常偏差,以识别安全威胁。然而,它们必须适用于许多用例,如内部威胁、帐户泄露、数据泄露和零日攻击。
您使用的UEBA解决方案应该能够通过在SIEM解决方案中完全集成或从数据仓库或数据湖等一般存储库(如数据存储库)摄取数据,从各种数据源(如事件日志、网络流量和端点设备)收集数据。他们不应该要求在IT环境中部署代理来收集数据。
UEBA解决方案采用先进的分析技术,如ML算法、统计模型、威胁签名以及识别用户和实体正常行为基线的规则。然后,UEBA解决方案在用户角色、权限和典型活动的背景下分析行为,以准确区分正常行为和可疑行为。
这三大支柱共同授权组织加强其网络安全态势并有效降低风险。
UEBA的组成部分
UEBA解决方案有三个主要组成部分:
- 1)数据分析
- 2)数据集成
- 3)数据展示
1.数据分析
UEBA中的数据分析涉及从各种日志源收集和分析数据,以研究所有用户和实体的“正常行为”。每当它检测到任何异常事件时,它都会将其标记为异常。
2.数据集成
这涉及将从各种来源(包括日志、数据包捕获数据和其他数据集)收集的数据与现有安全系统集成,以使其更加强大。
3.数据演示
UEBA中的数据显示有助于安全分析师和其他利益相关者根据确定的行为模式轻松解释和做出明智的决策。这是通过可视化、图表、图表或报告来完成的,这些可视化、图表、图表或报告突出了从数据分析中得出的模式、异常和风险评分。
UEBA是如何运作的?
密切监控一个人的行为可以揭示很多关于他们真实意图的信息。这就是UEBA工作的概念。UEBA解决方案密切监控网络内每个用户和实体的活动,并了解其特征。UEBA解决方案通常与SIEM解决方案一起工作,通过使用活动日志来研究用户和实体的通常行为。
在将组织中的每个用户和实体的行为与常规活动的基线进行比较后,计算出风险评分。风险评分通常从零到100之间(分别表示无风险到最大风险)。偏离行动的风险得分取决于一些因素,如行动的分配权重、行动偏离基线的程度、每种偏差的频率以及自该类型偏差发生以来的时间。要了解有关异常检测中风险评分如何运作的更多信息,请阅读此博客。
有两种方法可以设置UEBA系统:
监督ML
在这种方法中,UEBA系统被输入了已知良好和不良行为的列表。此列表有限,因此可能缺乏适当的知识来检测异常行为。系统进一步构建这些输入,并检测网络中的异常行为。
无监督的ML
在无监督的ML方法中,UEBA系统经过一个培训期,以了解每个用户和实体的正常行为。这种方法无疑是最好的,因为该系统自行研究用户和实体的日常行为。
UEBA的工作机制
UEBA使用稳健主成分分析(RPCA)和马尔可夫链等统计模型来建立行为基线。这些异常检测模型有助于检测时间、计数和模式异常。
RPCA
这种方法是一种流行技术,主成分分析的变体。在这里,ML算法查看历史数据以确定最佳拟合线(如图1所示)。观察到的事件被视为预期和异常事件的矩阵总和。偏离预测最佳拟合线的异常值被认为是异常的。RPCA方法用于识别时间和计数异常。
马尔可夫链
马尔可夫链的特点是一系列事件,其中下一个事件的概率完全取决于当前事件的状态。在这里,算法将用户或主机的每个操作与可能的操作列表进行比较,并随着时间的推移,以低概率将每个事件识别为异常。您可以使用此方法确定模式异常。
在马尔可夫链中,感兴趣的模式被分为两个连续的行动,算法检查第二个行动在第一个行动之后发生的概率是否合理。该算法依靠历史行为来确定这种概率。
例如,John在不寻常的时间进行了软件安装。在这种情况下,要分析的模式是:用户名>主机名>时间。
要为这种情况实现马尔可夫链,您需要将模式分为两部分:
第1部分:用户名>主机名
第2部分:主机名>时间
该算法首先检查用户(John)访问主机(服务器)的概率是否可能,然后检查在特定时间访问主机是否可以接受(见图2)。如果算法将这些操作中的任何一个识别为意外,则此模式被视为异常。
有关进一步阅读,您可以参考这些免费资源:
SIEM和UEBA的融合
Gartner认为UEBA是SIEM解决方案中的一个特征或功能,现代SIEM解决方案是这样设计的。虽然有独立的UEBA解决方案,但近年来,安全供应商主要将UEBA功能集成到其安全分析或SIEM解决方案中。这种融合代表了现代网络安全中强大的协同作用。
SIEM平台从各种来源收集、关联和分析安全事件数据,提供对潜在威胁的见解。UEBA通过专注于用户和实体行为来增强SIEM,利用高级分析来检测异常和内部威胁。通过将UEBA功能集成到SIEM中,组织获得了针对复杂网络攻击的主动防御机制,从而在当今动态威胁环境中实现更快的威胁检测、高效事件响应和整体风险缓解。
UEBA用例
UEBA可以帮助组织识别各种威胁,如恶意内部人员、帐户被盗、数据泄露和异常登录。为此,他们寻找以下迹象:
内幕威胁的迹象
- 新的或不寻常的系统访问
- 不寻常的访问时间
- 不寻常的文件访问或修改
- 过度身份验证失败
帐户妥协的迹象
- 为用户运行的异常软件
- 主机上安装的多个软件实例
- 主机上的多次登录失败
数据泄露的迹象
- 不寻常的文件下载数量或类型
- 用户创建多个可移动磁盘
- 用户执行的异常命令
- 异常主机登录
登录异常的迹象
- 多次登录失败
- 多次登录失败后成功登录
- 在不寻常的时间尝试登录
- 从不寻常的位置登录
- 未经授权的登录或登录尝试
UEBA如何在不同场景中提供帮助
从三种场景中选择一种
使用有效的UEBA解决方案,您可以防止三种类型的安全风险——内部威胁、帐户被盗和数据泄露。选择以下任何场景,看看UEBA在这些情况下的表现。
UEBA对安全运营的好处
- 它可以提供更好的保护,防止尚未已知签名的零日漏洞。
- 将每个用户和实体的活动与他们相应的典型、平均或基线行为进行比较。因此,与基于规则的警报机制相比,假阳性和假阴性的数量将减少。
- 传统的SIEM解决方案将安全事故视为孤立的事件并发送警报,而UEBA解决方案则全面审视安全性并计算每个用户的风险分数,从而减少虚假警报。
- UEBA集成的SIEM解决方案可以比传统安全解决方案更有效地检测长期、恶意的横向移动,风险评分有助于控制这一点。
- 较少依赖IT管理员来制定阈值或相关规则来识别威胁。
- 风险评分使安全专家能够专注于最可信、高风险的警报。
UEBA今天
UEBA继续发展,作为解决组织在识别和缓解基于用户的威胁方面面临的日益严峻的挑战的解决方案。正在开发新的技术和方法,以领先于新出现的威胁。以下是UEBA的一些最新技术,使其更加高效。
同行小组分析
UEBA中的对等分组分析是一种技术,其中使用统计模型将具有相似特征的用户和主机归类为一个组。同行分组背后的想法是,通过将用户的行为与相关同行群体的行为进行比较,风险评分的准确性将提高。有两种不同类型的对等组:静态和动态。
静态对等体分组涉及根据部门、角色或位置等预定义属性对用户或实体进行分组。通过比较这些静态群体中个体的行为,可以检测到异常。例如,如果用户的行为与他们的同行群体有显著差异,这可能表明存在潜在的安全问题,他们的风险评分将相应增加。
动态对等分组分析涉及根据随着时间的推移收集的行为数据动态形成组。与静态方法不同,动态对等组是根据类似行为的模式创建和分析的,而不是根据位置等广泛类别进行分组。这种方法可以进行更准确的异常检测,并减少假阳性的可能性。
虽然对等分组的动态方法似乎比静态方法更好,但能够基于这两种方法构建对等组的UEBA集成SIEM解决方案是精确风险评估和评分的最有效选择。您可以在此处了解有关静态和动态对等分组的更多信息。
季节性
如果一项活动以特定程度的规律性进行,例如每小时、每天、每周或每月,则被视为季节性活动。如果这种季节性活动不正常发生,那么它应该被视为异常,您的UEBA解决方案应该能够检测到它。例如,通常只在月底访问的数据库在月中访问将被视为异常。
如果不考虑季节性因素,您可能会错过本可以帮助您检测和阻止攻击的重要线索,或者您的安全分析师可能会被许多虚假警报淹没,导致警报疲劳。在UEBA解决方案中考虑季节性将提高您的风险评分准确性并减少误报。要深入了解季节性,请阅读此博客。
自定义异常建模和自定义风险评分能力
UEBA中的自定义异常建模是指创建个性化模型的能力,以检测特定于组织独特环境和需求的异常。它允许组织根据其特定需求定制UEBA系统,并更好地识别与正常行为的偏差。根据您选择的参数,该算法将分析行为并建立基线。异常建模可以根据时间、计数和模式异常进行定制。
UEBA中的自定义风险评分涉及根据组织的特定需求和背景定制风险评分方法。它允许组织定义自己的风险因素,并根据其独特的安全要求为异常的权重和衰减因素分配适当的值。
用户身份映射
用户身份映射(UIM)是通过匹配公共属性将企业中的不同用户帐户映射到基本帐户(如Active Directory)的过程。使用UIM,来自不同来源的离散用户帐户的活动归因于实际执行这些帐户的一个用户。被视为单独且具有个人风险分数的用户帐户现在将只有一个表示和一个风险分数。合并风险评分是根据个人在各个账户上的行为计算的(例如Windows、Linux和SQL)。您可以在这里了解更多关于UIM的信息。
医疗保健领域的UEBA
UEBA通过提供先进的威胁检测和内部威胁监控能力,在医疗保健行业发挥着至关重要的作用。医疗保健是网络攻击的热门目标。攻击者越来越多地利用医疗物联网设备进行勒索软件攻击。UEBA解决方案在早期阶段检测勒索软件的迹象(文件重命名、文件访问和异常流程执行),并提醒分析师进行有效缓解。UEBA可用于医疗保健行业,以保护机密的患者信息,保证监管合规性,并改善整体安全态势。要了解更多信息,请阅读此博客。
BFSI中的UEBA
货币是网络攻击背后最强大的动力之一;银行、金融服务和保险(BFSI)行业比其他大多数机构更处理货币和货币交易,使其成为恶意威胁行为者的主要目标。UEBA通过提供对用户活动和实体行为的高级见解来增强IT安全经理的能力,允许他们跟踪员工和客户帐户的可疑活动。通过利用具有UEBA能力的SIEM解决方案,金融组织可以实时了解其IT生态系统,这可以帮助他们领先于威胁并防止金融犯罪。这种方法加强了欺诈检测和内部威胁监控,同时确保在高度监管的金融环境中遵守监管。要了解有关在BFSI行业中打击UEBA威胁的更多信息,请阅读此博客。
教育部门的UEBA
教育机构存储大量敏感数据,包括学生记录、姓名、地址、社会保障号码、医疗状况、财务数据和知识产权,需要采取强有力的网络安全措施。通过利用UEBA技术,教育机构的IT安全经理可以主动应对不断变化的网络威胁,加强整体网络安全,并确保所有利益相关者的安全学习环境。UEBA促进了对用户行为的持续监控和分析,使早期威胁检测和缓解成为可能,使教育机构能够减轻与网络安全漏洞相关的财务、声誉和法律风险。如需更多见解,请浏览我们的博客。
如何选择正确的UEBA解决方案
实时警报
通过警报,您可以实时接收有关网络中发生的异常的通知。例如,一旦发现异常,您可能会立即收到一封通知电子邮件。通过实时警报,每当您的网络面临新风险时,您不必登录UEBA解决方案来检查警报。
数据收集和分析
UEBA解决方案应正确收集和分析网络中用户、机器和其他实体的数据,如事件日志和数据包捕获数据。持续监控和分析来自不同来源的数据将有助于轻松、即时地检测异常。
可操作的报告
收集的数据应该有效地整合到易于查看的报告中,生成可操作的报告是UEBA解决方案的另一个关键功能。定期审查报告有助于管理员发现网络中的虚假标志,并提供有关如何定制UEBA解决方案以符合组织安全规范的见解。
准确的风险评分
UEBA解决方案必须能够为网络中的每个用户和主机分配风险分数,以代表实体构成的风险程度。风险评分取决于用户或主机触发的异常的程度和类型。