UEBA算是一個(gè)新興事物了牙勘,2014年之前很少會(huì)被提到论泛,但它發(fā)展的速度很快揩尸,從國際廠商看,一些領(lǐng)先的UEBA廠商憑借檢測能力上的優(yōu)勢屁奏,已經(jīng)在嘗試顛覆原有市場格局岩榆,這類產(chǎn)品必將會(huì)帶來深遠(yuǎn)的影響。但在國內(nèi)看,似乎并沒有引起足夠的重視勇边,并且經(jīng)常聽到一些UEBA是做用戶畫像解決業(yè)務(wù)風(fēng)險(xiǎn)的問題犹撒,還有UEBA最重要的技術(shù)是機(jī)器學(xué)習(xí)等等說法。聽的多了粒褒,就忍不住想說說自己看到的识颊、理解的UEBA,畢竟沒有實(shí)際在做這樣一個(gè)產(chǎn)品怀浆,錯(cuò)誤難免但也希望能給大家一些可供參考的信息谊囚。
UEBA的價(jià)值
UEBA 已經(jīng)有一些成熟度比較高的產(chǎn)品:Exabeam、Gurucul执赡、Interset镰踏、Niara、Securonix沙合、Splunk(2015年收購Caspida)等奠伪。
從這些產(chǎn)品看,希望為客戶解決的問題是比較一致的首懈,包括:
- 賬號失陷檢測
- 主機(jī)失陷檢測
- 數(shù)據(jù)泄漏檢測
- 內(nèi)部用戶濫用
- 提供事件調(diào)查的上下文
毫無疑問绊率,這些威脅雖然不包括業(yè)務(wù)風(fēng)控相關(guān)的擼羊毛、刷單等(至于為什么沒有涉及業(yè)務(wù)風(fēng)險(xiǎn)究履,就是另一個(gè)大的技術(shù)話題滤否,這里就不涉及了),但都是企業(yè)最關(guān)注的風(fēng)險(xiǎn)最仑。并且從最終產(chǎn)品上看藐俺,UEBA廠商確實(shí)通過技術(shù)的繼承和創(chuàng)新是提供了較理想的解決方案,因此在國際市場能夠快速成長就不足為奇了泥彤。就如Exabeam創(chuàng)立于2013年欲芹,到現(xiàn)在已經(jīng)完成了B輪數(shù)千萬美元的融資,其中的投資方就包括Cisco吟吝,不知它最終是否會(huì)被Cisco收入囊中菱父,成為另一個(gè)強(qiáng)勁的動(dòng)力引擎?我們下面就以Exabeam為例剑逃,了解一下UEBA的相關(guān)主要技術(shù)點(diǎn)浙宜。
UEBA和機(jī)器學(xué)習(xí)
UEBA 在一定程度上屬于數(shù)據(jù)驅(qū)動(dòng)的安全分析類產(chǎn)品,因此很多人會(huì)自然而然的認(rèn)為機(jī)器學(xué)習(xí)是UEBA中最核心的技術(shù)炕贵,而廠商從市場營銷宣傳上也是很愿意迎合這樣的想象梆奈。不可否認(rèn)所有的UEBA產(chǎn)品在一定程度上都使用了機(jī)器學(xué)習(xí)(包括監(jiān)督學(xué)習(xí)和非監(jiān)督學(xué)習(xí)),但如果說這就是UEBA成功的關(guān)鍵称开,就失之簡單了。
UEBA 能被成功的部署、使用鳖轰,有效的提升安全運(yùn)營水平清酥,其前提之一就是更廣泛的數(shù)據(jù)收集,跨越傳統(tǒng)的SIEM/SOC產(chǎn)品蕴侣,UEBA產(chǎn)品在設(shè)計(jì)中就考慮了更多數(shù)據(jù)源焰轻,除了包括IT系統(tǒng)可能提供的EDR數(shù)據(jù)歇终、AD數(shù)據(jù)以及業(yè)務(wù)應(yīng)用數(shù)據(jù)礼仗,同時(shí)也包括了很多非IT的數(shù)據(jù):ERP(相關(guān)企業(yè)?)箱残、組織結(jié)構(gòu)狞膘、工作職責(zé)揩懒、差旅等。有更多的數(shù)據(jù)挽封,是其成功的條件之一已球。
同樣的UEBA廠商也看到了單純的數(shù)據(jù)驅(qū)動(dòng)不能完成一個(gè)完整的產(chǎn)品,如Exabeam 辅愿,就倡導(dǎo)并建立了一種數(shù)據(jù)驅(qū)動(dòng)+專家驅(qū)動(dòng)的混合系統(tǒng)智亮,在Exabeam看來,單純的數(shù)據(jù)驅(qū)動(dòng)有下列的問題:
- 很難有一種情況点待,在學(xué)習(xí)之初就能得到需要的所有數(shù)據(jù)阔蛉,每當(dāng)有新的數(shù)據(jù)源都需要重新學(xué)習(xí),這無疑是不可想象的工程災(zāi)難癞埠;
- 需要考慮隨時(shí)增加新的features這個(gè)不可能避免的情況状原,這樣情況下如何快速部署和開發(fā)?
- 最后燕差,也是個(gè)人認(rèn)為最重要的遭笋,機(jī)器學(xué)習(xí)得到的結(jié)果是黑盒,不能滿足用戶要求進(jìn)行解釋徒探、說明的需求瓦呼,這種情況下,最終用戶可能難以進(jìn)行事件的判別和響應(yīng)工作测暗。
因此它設(shè)計(jì)了一個(gè)更合理的技術(shù)架構(gòu)央串,如下圖所示(來源:Exabeam):
這樣一個(gè)混合系統(tǒng),其異常發(fā)現(xiàn)不是只依賴于機(jī)器學(xué)習(xí)碗啄,而是同時(shí)依靠統(tǒng)計(jì)以及特征的方法质和,一些通過機(jī)器學(xué)習(xí)可以輸出明確結(jié)果的內(nèi)容在這個(gè)階段會(huì)也會(huì)體現(xiàn)出來,如DGA域名發(fā)現(xiàn)等稚字;統(tǒng)計(jì)的方法會(huì)更經(jīng)常出現(xiàn)饲宿,如某用戶賬號第一次訪問一個(gè)文件夾厦酬、用戶訪問的文件數(shù)量異常等。但這些發(fā)現(xiàn)的異常不會(huì)產(chǎn)生直接給客戶的報(bào)警瘫想,而是成為機(jī)器學(xué)習(xí)使用的原材料:features仗阅,在這些features基礎(chǔ)上,再利用機(jī)器學(xué)習(xí)(包括貝葉斯方法)国夜,快速的確定不同features組合對應(yīng)的風(fēng)險(xiǎn)值减噪,而風(fēng)險(xiǎn)值大于一定范圍才會(huì)成為需要用戶關(guān)注的事件。這種方法车吹,在數(shù)據(jù)和機(jī)器學(xué)習(xí)中間筹裕,有一個(gè)異常發(fā)現(xiàn)的過程及中間產(chǎn)物,利用專家領(lǐng)域的知識窄驹,簡化了機(jī)器學(xué)習(xí)的方面的工作朝卒,同時(shí)提升了系統(tǒng)靈活性,進(jìn)而可以快速部署馒吴、快速完成學(xué)習(xí)過程扎运。
就舉某用戶賬號第一次訪問一個(gè)文件夾這種情況為例,它就需要同時(shí)去看其它features饮戳,來判定是否是高風(fēng)險(xiǎn)事件:這個(gè)用戶所屬的不同分類中(這里也應(yīng)該隱藏了一部分機(jī)器學(xué)習(xí))豪治,是否普遍存在這樣的情況;這種訪問新文件夾的概率在用戶組織內(nèi)是高概率事件等扯罐。
這樣一種結(jié)合了專家知識负拟、數(shù)據(jù)的力量和機(jī)器學(xué)習(xí)魔法的系統(tǒng),才能夠針對不同用戶環(huán)境提供對應(yīng)的風(fēng)險(xiǎn)發(fā)現(xiàn)能力歹河,同時(shí)支持彈性掩浙、快速的用戶部署。UEBA走到這步應(yīng)該是一個(gè)較成熟的產(chǎn)品了秸歧,而機(jī)器學(xué)習(xí)在其中也有了成功的應(yīng)用厨姚,不再是一個(gè)探索和嘗試。
UEBA和SIEM
UEBA是數(shù)據(jù)的一個(gè)統(tǒng)一匯集點(diǎn)键菱,這個(gè)位置原來是屬于SIEM的谬墙,那么這兩個(gè)產(chǎn)品會(huì)產(chǎn)生怎樣的碰撞呢?不同的廠商有不同的路经备,Splunk通過收購獲得了UEBA產(chǎn)品拭抬,就和已有的企業(yè)安全APP組成一個(gè)完整的方案進(jìn)行緊密配合,而Exabeam通過分化更多的功能產(chǎn)品侵蒙,如日志管理造虎、事件響應(yīng),企圖覆蓋原有的SIEM產(chǎn)品市場纷闺。無論哪種角度看算凿,一致的是UEBA聚焦在解決客戶重大關(guān)切的痛點(diǎn)份蝴,利用領(lǐng)先、實(shí)用的技術(shù)組合方案澎媒,使其成為一個(gè)顛覆的力量搞乏。也許過不了多久波桩,傳統(tǒng)的SIEM就會(huì)被安全運(yùn)營者丟到角落戒努,而UEBA將成為一個(gè)新寵,或者說镐躲,最終UEBA會(huì)結(jié)合SIEM實(shí)用化的功能储玫,拋棄賦予SIEM的不現(xiàn)實(shí)期望,成為真正意義上的 新一代SIEM萤皂,一切靜待歷史的發(fā)展撒穷,你我也許都有機(jī)會(huì)成為這個(gè)過程中一個(gè)個(gè)的小齒輪。
最后裆熙,有一點(diǎn)感慨端礼,UEBA、威脅情報(bào)是兩個(gè)比較新的領(lǐng)域入录,大家一起看著國內(nèi)外在差不多的起跑線上出發(fā)蛤奥,但逐漸的,我們落到了后面僚稿,現(xiàn)今在我看來都有至少一年的差距了凡桥。原因是什么呢,文化蚀同、投資缅刽、產(chǎn)業(yè)環(huán)境、人蠢络?這也許是一個(gè)比UEBA產(chǎn)品更有趣的話題衰猛。
