什么是UEBA(User Entity Behavior Analytics) | 用户实体行为分析

相关阅读

视频讲解

安全需要从组织内部做起，但如果你的公司有100、1000、甚至100000个员工呢？识别可疑的用户活动根本无法手工完成；你需要一个策略来找到可能从内部破坏你的组织的 “坏人”。在这段视频中，我们将分享如何利用UBA/UEBA工具分析用户（和实体）的行为，以帮助拨开迷雾，识别潜在威胁。

图文讲解

什么是UEBA（用户和实体行为分析）？

用户和实体行为分析（UEBA）是一种安全软件，它使用行为分析、机器学习算法和自动化来识别异常的和有潜在危险的用户和设备行为。UEBA在识别内部威胁方面特别有效–恶意的内部人员或使用受损的内部凭证的黑客–这些人可以躲避其他安全工具，因为他们会模仿授权网络流量。

UEBA是Gartner在2015年首次提出的一个术语，是用户行为分析（UBA）的演变。UBA只跟踪终端用户的行为模式，而UEBA还监测非用户实体，如服务器、路由器和物联网（IoT）设备，以监测可能表明安全威胁或攻击的异常行为或可疑活动。

UEBA在安全运营中心（SOC）内与其他企业安全工具一起使用，UEBA功能通常包含在安全信息和事件管理（SIEM）、端点检测和响应（EDR）、扩展检测和响应（XDR）以及身份和访问管理（IAM）等企业安全解决方案中。

UEBA如何工作

UEBA解决方案通过数据分析和机器学习提供安全洞察力。UEBA系统内的行为分析工具从多个来源摄取和分析大量数据，以创建一个特权用户和实体通常如何运作的基线图。然后，它使用机器学习（ML）来完善该基线。随着ML随着时间的推移而学习，UEBA解决方案需要收集和分析更少的正常行为样本来创建一个准确的基线。

在对基线行为进行建模后，UEBA将同样的高级分析和机器学习能力应用于当前的用户和实体活动数据，以实时识别与基线的可疑偏差。UEBA通过分析尽可能多的企业来源的数据来评估用户和实体的行为–越多越好。这些来源通常包括。

• 网络设备和网络接入解决方案，如防火墙、路由器、VPN和IAM解决方案。
• 安全工具和解决方案，如防病毒/防恶意软件、EDR、入侵检测和预防系统（IDPS）和SIEM。
• 认证数据库，如活动目录，包含关于网络环境、系统中活跃的用户账户和计算机以及允许的用户活动的关键信息。
• 威胁情报馈送和框架，如MITRE ATT&CK，提供关于常见网络威胁和漏洞的信息，包括零日攻击、恶意软件、僵尸网络和其他安全风险。
• 企业资源规划（ERP）或人力资源（HR）系统，其中包含可能构成威胁的用户的相关信息，如已经发出通知或可能不满意的员工。

UEBA利用它所学到的知识来识别异常行为，并根据其代表的风险进行评分。例如，在很短的时间内有几次失败的认证尝试或异常的系统访问模式可能表明有内部威胁，并会产生一个低分警报。同样，一个用户插入多个USB驱动器并参与异常的下载模式，可能表明数据外流，并将被赋予较高的风险分数。

使用这种评分标准可以帮助安全团队避免误报，并优先考虑最大的威胁，同时也可以记录和监测一段时间内的低级别警报，这些警报结合起来，可能表明一个缓慢发展但严重的威胁。

UEBA使用案例

UEBA帮助公司识别可疑行为并加强数据丢失预防（DLP）工作。除了这些战术用途，UEBA还可以为更多的战略目的服务，如证明符合围绕用户数据和隐私保护的法规。

战术用例

恶意内部人员 – 这些人拥有对企业网络的授权甚至特权访问权，他们试图发动网络攻击。单纯的数据–如日志文件或事件记录–不一定能发现这些人，但高级分析可以。由于UEBA提供了对特定用户的洞察力，而不是IP地址，它可以识别违反安全政策的个人用户。

被破坏的内部人员 – 这些攻击者通过网络钓鱼计划、暴力攻击或其他手段获得授权用户或设备的凭证。典型的安全工具可能不会发现他们，因为使用合法的（尽管是偷来的）凭证使攻击者看起来是被授权的。一旦进入，这些攻击者就会进行横向移动，在整个网络中移动并获得新的凭证，以提升他们的权限并接触到更敏感的资产。虽然这些攻击者可能使用合法的凭证，但UEBA可以发现他们的异常行为，帮助挫败攻击。

被破坏的实体 – 许多组织，特别是制造商和医院，使用了大量的连接设备，如物联网设备，通常几乎没有安全配置。缺乏保护使这些实体成为黑客的主要目标，他们可能会劫持这些设备来访问敏感数据源，破坏运营，或发动分布式拒绝服务（DDoS）攻击。UEBA可以帮助识别表明这些实体已被破坏的行为，以便在威胁升级之前加以解决。

数据外流–内部威胁和恶意行为者经常试图从被入侵的服务器、计算机或其他设备中窃取个人数据、知识产权或商业战略文件。UEBA通过提醒团队注意异常的下载和数据访问模式，帮助安全团队实时发现数据泄露。

战略用例

实施零信任安全 – 零信任安全方法是指从不信任并持续验证所有用户或实体，无论他们是在网络之外还是已经进入网络。具体来说，零信任要求所有的用户和实体在被授予对应用程序和数据的访问之前都要经过认证、授权和验证–随后要不断地重新认证、重新授权和重新验证，以便在整个会话中保持或扩大这种访问。

一个有效的零信任架构需要对网络上的所有用户、设备、资产和实体有最大的可见性。UEBA为安全分析师提供了对所有终端用户和实体活动的丰富、实时的可视性，包括哪些设备正试图连接到网络，哪些用户正试图超出他们的权限，等等。

GDPR合规性–欧盟的《通用数据保护条例》（GDPR）对企业提出了保护敏感数据的严格要求。根据GDPR，公司必须跟踪哪些个人数据被访问，被谁访问，如何使用，以及何时被删除。UEBA工具可以帮助公司通过监控用户行为和他们访问的敏感数据来遵守GDRP。

UEBA、SIEM和其他安全工具

UEBA，或UEBA类型的功能，包含在今天的许多安全工具中。虽然它可以作为一个独立的产品使用，但UEBA应被视为综合网络安全工具箱中的一个工具。特别是，UEBA经常与以下工具一起使用，或内置于以下工具中。

安全信息和事件管理（SIEM）–SIEM系统将来自不同的内部安全工具的安全事件数据汇总到一个单一的日志中，并分析这些数据以检测异常行为和潜在威胁。UEBA可以通过其内部威胁检测和用户行为分析功能将SIEM的可视性扩展到网络中。今天，许多SIEM解决方案包括UEBA。

端点检测和响应（EDR）–EDR工具监测系统端点，如笔记本电脑、打印机和物联网设备，以寻找可能表明威胁的异常行为的迹象。当检测到威胁时，EDR会自动包含它们。UEBA通过监测用户在这些端点上的行为来补充，而且通常是EDR解决方案的一部分。例如，一个可疑的登录可能会触发EDR的低级警报，但如果UEBA发现该端点被用来访问机密信息，警报可以被适当提升并迅速处理。

身份和访问管理（IAM）–身份和访问管理工具确保正确的人和设备能够在需要时使用正确的应用程序和数据。IAM是积极主动的，旨在防止未经授权的访问，同时促进授权访问。UEBA通过监测凭证受损的迹象或授权用户滥用特权的情况，增加了另一个层次的保护。