現(xiàn)狀分析

業(yè)務(wù)環(huán)境變化圆兵，企業(yè)面臨更多安全挑戰(zhàn)
隨著各行業(yè)信息化的快速發(fā)展砾层，應(yīng)用場景多元化史侣，業(yè)務(wù)應(yīng)用會出現(xiàn)在多個訪問域中甚至互聯(lián)網(wǎng)上拴泌，服務(wù)的用戶也不再局限于傳統(tǒng)的某個區(qū)域的內(nèi)網(wǎng)中。面對遍布全國甚至全球的員工惊橱，供應(yīng)商蚪腐，客戶等多種用戶角色，如何確保用戶身份安全税朴，遇到了新的安全挑戰(zhàn)回季。

MFA強身份認證不足
MFA強身份認證，是通過密碼正林、手勢碼泡一、手機短信，USB Key觅廓，指紋鼻忠，面部特征等多個因素進行組合驗證，可以大幅提高認證的準確性哪亿。但也存在很多不足粥烁。
第一，每個認證因素的偽造成本不高蝇棉，隨著認證因素使用的次數(shù)不斷增多讨阻，泄露的概率也不斷增高。
第二篡殷，認證過程比較繁瑣钝吮，嚴重影響用戶體驗，降低使用者的工作效率板辽。尤其對于2C的場景中奇瘦，會直接降低客戶粘性，增加獲客難度劲弦。

傳統(tǒng)風(fēng)控規(guī)則受限耳标， 無法精準靈活識別異常風(fēng)險
傳統(tǒng)風(fēng)險控制大多是依賴于規(guī)則進行檢測，在檢測引擎中預(yù)置了多種固定規(guī)則邑跪、依據(jù)專家經(jīng)驗人為設(shè)定規(guī)則閾值來篩選風(fēng)險次坡，這種規(guī)則由于很難適配到所有用戶上，尤其是面對來自不同地域的員工和客戶画畅，通常會導(dǎo)致誤報率高砸琅、同時真正風(fēng)險的命中率很低的情況，對于某些特殊用戶（如經(jīng)常加班轴踱、出差）進行頻繁告警帶來很多困擾症脂，而有經(jīng)驗的攻擊者，又可以輕易避開規(guī)則淫僻，無法靈活識別異常風(fēng)險诱篷，以致于很難達到設(shè)計的安全目的。

風(fēng)險識別范疇受限雳灵， 導(dǎo)致管理死角的出現(xiàn)
只將系統(tǒng)的使用人納入風(fēng)險管理的范疇兴蒸，會導(dǎo)致很多管理死角的出現(xiàn)。
第一细办，對于未獲得身份橙凳，有可能存在攻擊行為的終端設(shè)備（如某一臺PC、手機笑撞，甚至只是一個IP）并不計入風(fēng)險識別維度中岛啸。
第二，行為異常的應(yīng)用服務(wù)器茴肥，若已被攻擊者控制坚踩，也會被用作挖礦或者用來實施進一步惡意攻擊行為，也不計入到風(fēng)險識別維度中瓤狐。

針對傳統(tǒng)方式的不足瞬铸，安全行業(yè)逐步加強基于大數(shù)據(jù)驅(qū)動批幌，機器學(xué)習(xí)、概率分析嗓节、模式識別等的以“行為”為核心的檢測分析荧缘。于是，用戶實體行為分析（UEBA）應(yīng)運而生拦宣，讓潛伏在企業(yè)中的各路“內(nèi)鬼”無處遁形截粗。

什么是UEBA（用戶和實體行為分析）？

用戶和實體行為分析（UEBA）是一種安全軟件鸵隧，它使用行為分析绸罗、機器學(xué)習(xí)算法和自動化來識別異常的和有潛在危險的用戶和設(shè)備行為。UEBA在識別內(nèi)部威脅方面特別有效–惡意的內(nèi)部人員或使用受損的內(nèi)部憑證的黑客–這些人可以躲避其他安全工具豆瘫，因為他們會模仿授權(quán)網(wǎng)絡(luò)流量珊蟀。

UEBA是Gartner在2015年首次提出的一個術(shù)語，是用戶行為分析（UBA）的演變外驱。UBA只跟蹤終端用戶的行為模式系洛，而UEBA還監(jiān)測非用戶實體，如服務(wù)器略步、路由器和物聯(lián)網(wǎng)（IoT）設(shè)備描扯，以監(jiān)測可能表明安全威脅或攻擊的異常行為或可疑活動。

UEBA在安全運營中心（SOC）內(nèi)與其他企業(yè)安全工具一起使用趟薄，UEBA功能通常包含在安全信息和事件管理（SIEM）绽诚、端點檢測和響應(yīng)（EDR）、擴展檢測和響應(yīng)（XDR）以及身份和訪問管理（IAM）等企業(yè)安全解決方案中杭煎。

UEBA應(yīng)用場景

1. 檢測內(nèi)部威脅：想象一個員工或一群員工可能會產(chǎn)生破壞心理恩够，通過他們自己的訪問權(quán)限竊取數(shù)據(jù)和信息，這在以往的數(shù)據(jù)安全事件中很常見羡铲。UEBA 可以幫助您檢測企業(yè)自己員工的數(shù)據(jù)泄露蜂桶、破壞、特權(quán)濫用和違反政策的行為也切。

2. 檢測被盜賬戶：有時用戶賬戶被盜用扑媚，可能是用戶無意中在其機器上安裝了惡意軟件，或者是合法賬戶被泄露了雷恃。UEBA 可以幫助企業(yè)在受到這部分威脅的用戶造成真正的傷害之前攔截他們疆股。

3. 檢測暴力攻擊：黑客有時會針對管理員的基于云的實體以及第三方身份驗證系統(tǒng)。使用 UEBA倒槐，管理員可以檢測到暴力嘗試旬痹，從而阻止對這些實體的訪問。

4. 檢測權(quán)限變化和超級用戶的創(chuàng)建：一些攻擊涉及使用超級用戶。UEBA 允許管理員檢測何時創(chuàng)建了超級用戶两残，或者是否有賬戶被授予了不必要的權(quán)限永毅。5. 檢測受保護數(shù)據(jù)的泄露：如果企業(yè)有受保護的數(shù)據(jù)，僅僅保證數(shù)據(jù)安全是不夠的人弓。當(dāng)用戶沒有任何合法的商業(yè)理由訪問這些數(shù)據(jù)時沼死，管理員應(yīng)該知道用戶何時何地訪問這些數(shù)據(jù)。

UEBA如何工作

UEBA解決方案通過數(shù)據(jù)分析和機器學(xué)習(xí)提供安全洞察力票从。UEBA系統(tǒng)內(nèi)的行為分析工具從多個來源攝取和分析大量數(shù)據(jù)漫雕，以創(chuàng)建一個特權(quán)用戶和實體通常如何運作的基線圖滨嘱。然后峰鄙，它使用機器學(xué)習(xí)（ML）來完善該基線。隨著ML隨著時間的推移而學(xué)習(xí)太雨，UEBA解決方案需要收集和分析更少的正常行為樣本來創(chuàng)建一個準確的基線吟榴。

在對基線行為進行建模后，UEBA將同樣的高級分析和機器學(xué)習(xí)能力應(yīng)用于當(dāng)前的用戶和實體活動數(shù)據(jù)囊扳，以實時識別與基線的可疑偏差吩翻。UEBA通過分析盡可能多的企業(yè)來源的數(shù)據(jù)來評估用戶和實體的行為–越多越好次氨。這些來源通常包括洪乍。

網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)接入解決方案，如防火墻欢唾、路由器搏予、VPN和IAM解決方案熊锭。
安全工具和解決方案，如防病毒/防惡意軟件雪侥、EDR碗殷、入侵檢測和預(yù)防系統(tǒng)（IDPS）和SIEM。
認證數(shù)據(jù)庫速缨，如活動目錄锌妻，包含關(guān)于網(wǎng)絡(luò)環(huán)境、系統(tǒng)中活躍的用戶賬戶和計算機以及允許的用戶活動的關(guān)鍵信息旬牲。
威脅情報饋送和框架仿粹，如MITRE ATT&CK，提供關(guān)于常見網(wǎng)絡(luò)威脅和漏洞的信息原茅，包括零日攻擊牍陌、惡意軟件、僵尸網(wǎng)絡(luò)和其他安全風(fēng)險员咽。
企業(yè)資源規(guī)劃（ERP）或人力資源（HR）系統(tǒng)毒涧，其中包含可能構(gòu)成威脅的用戶的相關(guān)信息，如已經(jīng)發(fā)出通知或可能不滿意的員工。
UEBA利用它所學(xué)到的知識來識別異常行為契讲，并根據(jù)其代表的風(fēng)險進行評分仿吞。例如，在很短的時間內(nèi)有幾次失敗的認證嘗試或異常的系統(tǒng)訪問模式可能表明有內(nèi)部威脅捡偏，并會產(chǎn)生一個低分警報唤冈。同樣，一個用戶插入多個USB驅(qū)動器并參與異常的下載模式银伟，可能表明數(shù)據(jù)外流你虹，并將被賦予較高的風(fēng)險分數(shù)。

使用這種評分標(biāo)準可以幫助安全團隊避免誤報彤避，并優(yōu)先考慮最大的威脅傅物，同時也可以記錄和監(jiān)測一段時間內(nèi)的低級別警報，這些警報結(jié)合起來琉预，可能表明一個緩慢發(fā)展但嚴重的威脅董饰。

戰(zhàn)術(shù)用例

惡意內(nèi)部人員 – 這些人擁有對企業(yè)網(wǎng)絡(luò)的授權(quán)甚至特權(quán)訪問權(quán)，他們試圖發(fā)動網(wǎng)絡(luò)攻擊圆米。單純的數(shù)據(jù)–如日志文件或事件記錄–不一定能發(fā)現(xiàn)這些人卒暂，但高級分析可以。由于UEBA提供了對特定用戶的洞察力娄帖，而不是IP地址也祠，它可以識別違反安全政策的個人用戶。

被破壞的內(nèi)部人員 – 這些攻擊者通過網(wǎng)絡(luò)釣魚計劃近速、暴力攻擊或其他手段獲得授權(quán)用戶或設(shè)備的憑證诈嘿。典型的安全工具可能不會發(fā)現(xiàn)他們，因為使用合法的（盡管是偷來的）憑證使攻擊者看起來是被授權(quán)的数焊。一旦進入永淌，這些攻擊者就會進行橫向移動，在整個網(wǎng)絡(luò)中移動并獲得新的憑證佩耳，以提升他們的權(quán)限并接觸到更敏感的資產(chǎn)遂蛀。雖然這些攻擊者可能使用合法的憑證，但UEBA可以發(fā)現(xiàn)他們的異常行為干厚，幫助挫敗攻擊李滴。

被破壞的實體 – 許多組織，特別是制造商和醫(yī)院蛮瞄，使用了大量的連接設(shè)備所坯，如物聯(lián)網(wǎng)設(shè)備，通常幾乎沒有安全配置挂捅。缺乏保護使這些實體成為黑客的主要目標(biāo)芹助，他們可能會劫持這些設(shè)備來訪問敏感數(shù)據(jù)源，破壞運營，或發(fā)動分布式拒絕服務(wù)（DDoS）攻擊状土。UEBA可以幫助識別表明這些實體已被破壞的行為无蜂，以便在威脅升級之前加以解決。

數(shù)據(jù)外流–內(nèi)部威脅和惡意行為者經(jīng)常試圖從被入侵的服務(wù)器蒙谓、計算機或其他設(shè)備中竊取個人數(shù)據(jù)斥季、知識產(chǎn)權(quán)或商業(yè)戰(zhàn)略文件。UEBA通過提醒團隊注意異常的下載和數(shù)據(jù)訪問模式累驮，幫助安全團隊實時發(fā)現(xiàn)數(shù)據(jù)泄露酣倾。

戰(zhàn)略用例

實施零信任安全 – 零信任安全方法是指從不信任并持續(xù)驗證所有用戶或?qū)嶓w，無論他們是在網(wǎng)絡(luò)之外還是已經(jīng)進入網(wǎng)絡(luò)谤专。具體來說躁锡，零信任要求所有的用戶和實體在被授予對應(yīng)用程序和數(shù)據(jù)的訪問之前都要經(jīng)過認證、授權(quán)和驗證–隨后要不斷地重新認證毒租、重新授權(quán)和重新驗證稚铣，以便在整個會話中保持或擴大這種訪問箱叁。

一個有效的零信任架構(gòu)需要對網(wǎng)絡(luò)上的所有用戶墅垮、設(shè)備、資產(chǎn)和實體有最大的可見性耕漱。UEBA為安全分析師提供了對所有終端用戶和實體活動的豐富算色、實時的可視性，包括哪些設(shè)備正試圖連接到網(wǎng)絡(luò)螟够，哪些用戶正試圖超出他們的權(quán)限灾梦，等等。

GDPR合規(guī)性–歐盟的《通用數(shù)據(jù)保護條例》（GDPR）對企業(yè)提出了保護敏感數(shù)據(jù)的嚴格要求妓笙。根據(jù)GDPR若河，公司必須跟蹤哪些個人數(shù)據(jù)被訪問，被誰訪問寞宫，如何使用萧福，以及何時被刪除。UEBA工具可以幫助公司通過監(jiān)控用戶行為和他們訪問的敏感數(shù)據(jù)來遵守GDRP辈赋。

UEBA鲫忍、SIEM和其他安全工具

UEBA，或UEBA類型的功能钥屈，包含在今天的許多安全工具中悟民。雖然它可以作為一個獨立的產(chǎn)品使用，但UEBA應(yīng)被視為綜合網(wǎng)絡(luò)安全工具箱中的一個工具篷就。特別是射亏，UEBA經(jīng)常與以下工具一起使用，或內(nèi)置于以下工具中。

安全信息和事件管理（SIEM）–SIEM系統(tǒng)將來自不同的內(nèi)部安全工具的安全事件數(shù)據(jù)匯總到一個單一的日志中智润，并分析這些數(shù)據(jù)以檢測異常行為和潛在威脅银锻。UEBA可以通過其內(nèi)部威脅檢測和用戶行為分析功能將SIEM的可視性擴展到網(wǎng)絡(luò)中。今天做鹰，許多SIEM解決方案包括UEBA击纬。

端點檢測和響應(yīng)（EDR）–EDR工具監(jiān)測系統(tǒng)端點，如筆記本電腦钾麸、打印機和物聯(lián)網(wǎng)設(shè)備更振，以尋找可能表明威脅的異常行為的跡象。當(dāng)檢測到威脅時饭尝，EDR會自動包含它們肯腕。UEBA通過監(jiān)測用戶在這些端點上的行為來補充，而且通常是EDR解決方案的一部分钥平。例如实撒，一個可疑的登錄可能會觸發(fā)EDR的低級警報，但如果UEBA發(fā)現(xiàn)該端點被用來訪問機密信息涉瘾，警報可以被適當(dāng)提升并迅速處理知态。

身份和訪問管理（IAM）–身份和訪問管理工具確保正確的人和設(shè)備能夠在需要時使用正確的應(yīng)用程序和數(shù)據(jù)。IAM是積極主動的立叛，旨在防止未經(jīng)授權(quán)的訪問负敏，同時促進授權(quán)訪問。UEBA通過監(jiān)測憑證受損的跡象或授權(quán)用戶濫用特權(quán)的情況秘蛇，增加了另一個層次的保護其做。