随着企业数字化转型的深入推进,信息泄漏事件时有发生,企业数据资产的保密性、可用性、完整性备受威胁,现已成为各企业在安全管理中的主要威胁。
明朝万达数据安全专家认为,针对企业敏感数据的网络攻击技术近年来不断升级,按照攻击来源可分为外部攻击行为和内部威胁行为两种。
其中,外部攻击行为通过隐藏在合法进程中,能够躲避安全防护系统的监测和查杀,从而快速入侵目标系统;内部威胁行为则会伪装成合法用户,进而突破网络边界、窃取网络凭证,引发内部信息安全威胁。
-----
传统信息安全技术是基于规则和专家经验,通过人为设定阈值来进行防护检测,面对合法进程中的恶意攻击存在安全可见性盲区,因无法检测到未知攻击被逃逸绕过或造成误报。
根据思科统计调查发现:企业遭受攻击,超过70%的攻击行为难以给出安全警报,给出的安全警报中真实攻击占比不到40%,而其中又只有不到10%能够被有效处置。
当前,企业面临严峻的网络安全战挑。
-----
近几年,在AI技术的驱动下信息安全问题正在转变成大数据分析问题。如何利用大数据和机器学习提高内部威胁和外部攻击的可见性,成为安全从业者当下重要的发展趋势,也成为了企业关注的重点。
UEBA:用户实体行为分析(user and entity behavior analytics),是新型信息安全技术的代表,该技术以用户为视角,从传统规则分析转变为关联分析、行为建模、异常分析。
基于大数据驱动、安全分析和机器学习,通过刻画用户行为,将内部违规操作、窃取数据、非法删除等异常行为与正常行为进行关联分析,通过行为建模,准确地描述出行为细节,从而提高了命中异常事件的准确率,弥补了传统安全防控无法有效监测内部威胁的不足。
那么,UEBA技术是如何发展成型的?它在数据安全领域应用实现了哪些价值?UEBA尚有哪些不足需要补足,未来前景如何?今天,就随着明朝万达数据安全专家来一一了解吧。
-----
UEBA发展演进
UEBA是由UBA(用户行为分析)概念演进而来。
作为现代化SIEM的发展方向,为应对日益增长的内部人员威胁,2014年 UBA概念首次被提出。
之后随着设备资产的不断增长,实体(Entity)概念逐渐被引入,通过监控用户和机器的行为活动,不仅可以发现内部失陷主机,还能对外部网络攻击以及渗透成功后的内部横向移动有更强的洞察力。
UBA演进成为UEBA,其核心要素是数据分析、应用场景和分析方法。
△ UEBA核心要素
❖ 数据分析包括用户行为日志、网络监控流量、企业的基础信息等,数据质量直接影响分析结果的准确性,刻画用户画像需要高质量、多维度的数据,能够精准地表征期望场景下的特定行为。
❖ 应用场景主要侧重于企业内部安全领域,如用户异常登陆行为、违规删除/浏览敏感文件、大流量文件传输、恶意泄漏数据等。
❖ 分析方法采用机器学习方法建立模型,结合专家知识,利用无监督和半监督学习进行自我演化,长时间、持续性地对用户行为进行跟踪分析,构建用户实体的行为活动链,从而有效识别异常行为。
-----
UEBA在敏感数据防泄漏中的应用
敏感数据防泄漏一直是企业关注的重点,其中内部员工窃取敏感数据是典型的数据泄漏发生场景。但是由于内部员工本身就具备对企业数据资产的合法访问权限,因此传统的规则监测方法难以有效识别该类行为。
UEBA技术的应用,为企业敏感数据防泄漏提供了最佳的安全视角。
丨整体技术架构
丨具体实现步骤
1. 特征抽取
UEBA以大数据作为驱动,基于流量、文件操作、web访问和邮件收发等多源日志,结合5W1H模型(何人(Who)、 何事(What)、 何时(When)、 何地(Where)、何解(Why) 及如何(How))标准,从行为日志中抽取特征向量,构建正常用户、实体行为基线和用户画像,并基于机器学习、深度神经网络等算法实现异常行为检测,最后对异常行为进行研判,并对风险进行评估。2. 构建基线
多维安全基线由个体行为基线、部门行为基线和场景行为基线等构成,其中,个体基线反应用户个体的行为特征,部门基线反应用户所属部门群体特征,场景基线反应用户与实体操作行为特征。基于随机森林、SVM等学习算法生成敏感数据实时访问行为的动态基线,并通过群组基线分析,构建全时空的上下文环境,避免单一行为的局限性,并采用分布实时数据计算,实时更新安全基线,实现完整的动态行为基线。
△ 本图展示了3个用户的个体行为基线,包括邮件收发、文件操作和web访问三个业务操作场景。将用户行为进行纵向分析计算,可得到部门行为基线。
3. 异常行为检测
异常行为检测主要针对统计指标、模式序列、时间序列和行为逻辑序列,通过CNN、RNN等深度学习算法,从账户登录登出次数、IP调用次数、访问时间间隔等多维角度进行异常行为检测。最后,基于迭代评估机制,将各种行为告警、检测异常,以及群组对比分析等加权组合,不断优化迭代,得到异常行为评分,并根据实际业务场景,将评估行为反映到实际场景中。
-----
UEBA的不足与展望
目前,根据UEBA在企业的使用案例说明其技术已较为成熟,但同时业界也清楚明确在提升企业安全能力方面,现有的UEBA技术并不足以解决所有安全问题。毕竟数字信息时代企业面临的安全威胁复杂多变,各类网络攻击手段也在不断发展变化着,因此,安全技术和战略也需要持续发展演进。
UEBA的实际应用,应该是一个不断迭代、优化、持续改进的过程,需要不断进行数据源的分析、特征挖掘和抽取、算法优化和改进、新型异常行为场景的识别,以便能够更好地提升异常行为检测性能,提高潜在威胁响应的能力和效率。
UEBA将从行为、事件、告警、异常中抽取实体及实体间的关系,构建安全网络知识图谱,所有的行为、事件等都集成到该图谱中,将用户和实体间的多层关系清晰地呈现出来,挖掘出更加隐蔽的联系,并将威胁行为的全貌完整地复现,从而实现及时应急响应和处置。
-----
作为中国新一代信息安全技术企业的代表厂商,明朝万达专注于数据安全、公共安全、云安全、大数据安全等服务,历经十余年的发展,客户群覆盖金融、政府、公安、电信运营商等诸多领域,其中在金融领域数据安全的市场占有率超80%。明朝万达始终以守护用户数据价值为己任,致力于让安全真正服务于业务发展。公司拥有大量自主创新的数据安全和新技术、数据安全核心产品和解决方案,在科技创新的同时,注重技术与业务的深度融合,为客户提供量身定制的数据安全解决方案。
