隨著企業數字化轉型的深入推進,信息泄漏事件時有發生,企業數據資產的保密性、可用性、完整性備受威脅,現已成為各企業在安全管理中的主要威脅。
明朝萬達數據安全專家認為,針對企業敏感數據的網絡攻擊技術近年來不斷升級,按照攻擊來源可分為外部攻擊行為和內部威脅行為兩種。
其中,外部攻擊行為通過隱藏在合法進程中,能夠躲避安全防護系統的監測和查殺,從而快速入侵目標系統;內部威脅行為則會偽裝成合法用戶,進而突破網絡邊界、竊取網絡憑證,引發內部信息安全威脅。
-----
傳統信息安全技術是基于規則和專家經驗,通過人為設定閾值來進行防護檢測,面對合法進程中的惡意攻擊存在安全可見性盲區,因無法檢測到未知攻擊被逃逸繞過或造成誤報。
根據思科統計調查發現:企業遭受攻擊,超過70%的攻擊行為難以給出安全警報,給出的安全警報中真實攻擊占比不到40%,而其中又只有不到10%能夠被有效處置。
當前,企業面臨嚴峻的網絡安全戰挑。
-----
近幾年,在AI技術的驅動下信息安全問題正在轉變成大數據分析問題。如何利用大數據和機器學習提高內部威脅和外部攻擊的可見性,成為安全從業者當下重要的發展趨勢,也成為了企業關注的重點。
UEBA:用戶實體行為分析(user and entity behavior analytics),是新型信息安全技術的代表,該技術以用戶為視角,從傳統規則分析轉變為關聯分析、行為建模、異常分析。
基于大數據驅動、安全分析和機器學習,通過刻畫用戶行為,將內部違規操作、竊取數據、非法刪除等異常行為與正常行為進行關聯分析,通過行為建模,準確地描述出行為細節,從而提高了命中異常事件的準確率,彌補了傳統安全防控無法有效監測內部威脅的不足。
那么,UEBA技術是如何發展成型的?它在數據安全領域應用實現了哪些價值?UEBA尚有哪些不足需要補足,未來前景如何?今天,就隨著明朝萬達數據安全專家來一一了解吧。
-----
UEBA發展演進
UEBA是由UBA(用戶行為分析)概念演進而來。
作為現代化SIEM的發展方向,為應對日益增長的內部人員威脅,2014年 UBA概念首次被提出。
之后隨著設備資產的不斷增長,實體(Entity)概念逐漸被引入,通過監控用戶和機器的行為活動,不僅可以發現內部失陷主機,還能對外部網絡攻擊以及滲透成功后的內部橫向移動有更強的洞察力。
UBA演進成為UEBA,其核心要素是數據分析、應用場景和分析方法。
△ UEBA核心要素
? 數據分析包括用戶行為日志、網絡監控流量、企業的基礎信息等,數據質量直接影響分析結果的準確性,刻畫用戶畫像需要高質量、多維度的數據,能夠精準地表征期望場景下的特定行為。
? 應用場景主要側重于企業內部安全領域,如用戶異常登陸行為、違規刪除/瀏覽敏感文件、大流量文件傳輸、惡意泄漏數據等。
? 分析方法采用機器學習方法建立模型,結合專家知識,利用無監督和半監督學習進行自我演化,長時間、持續性地對用戶行為進行跟蹤分析,構建用戶實體的行為活動鏈,從而有效識別異常行為。
-----
UEBA在敏感數據防泄漏中的應用
敏感數據防泄漏一直是企業關注的重點,其中內部員工竊取敏感數據是典型的數據泄漏發生場景。但是由于內部員工本身就具備對企業數據資產的合法訪問權限,因此傳統的規則監測方法難以有效識別該類行為。
UEBA技術的應用,為企業敏感數據防泄漏提供了最佳的安全視角。
丨整體技術架構
丨具體實現步驟
1. 特征抽取
UEBA以大數據作為驅動,基于流量、文件操作、web訪問和郵件收發等多源日志,結合5W1H模型(何人(Who)、 何事(What)、 何時(When)、 何地(Where)、何解(Why) 及如何(How))標準,從行為日志中抽取特征向量,構建正常用戶、實體行為基線和用戶畫像,并基于機器學習、深度神經網絡等算法實現異常行為檢測,最后對異常行為進行研判,并對風險進行評估。2. 構建基線
多維安全基線由個體行為基線、部門行為基線和場景行為基線等構成,其中,個體基線反應用戶個體的行為特征,部門基線反應用戶所屬部門群體特征,場景基線反應用戶與實體操作行為特征。基于隨機森林、SVM等學習算法生成敏感數據實時訪問行為的動態基線,并通過群組基線分析,構建全時空的上下文環境,避免單一行為的局限性,并采用分布實時數據計算,實時更新安全基線,實現完整的動態行為基線。
△ 本圖展示了3個用戶的個體行為基線,包括郵件收發、文件操作和web訪問三個業務操作場景。將用戶行為進行縱向分析計算,可得到部門行為基線。
3. 異常行為檢測
異常行為檢測主要針對統計指標、模式序列、時間序列和行為邏輯序列,通過CNN、RNN等深度學習算法,從賬戶登錄登出次數、IP調用次數、訪問時間間隔等多維角度進行異常行為檢測。最后,基于迭代評估機制,將各種行為告警、檢測異常,以及群組對比分析等加權組合,不斷優化迭代,得到異常行為評分,并根據實際業務場景,將評估行為反映到實際場景中。
-----
UEBA的不足與展望
目前,根據UEBA在企業的使用案例說明其技術已較為成熟,但同時業界也清楚明確在提升企業安全能力方面,現有的UEBA技術并不足以解決所有安全問題。畢竟數字信息時代企業面臨的安全威脅復雜多變,各類網絡攻擊手段也在不斷發展變化著,因此,安全技術和戰略也需要持續發展演進。
UEBA的實際應用,應該是一個不斷迭代、優化、持續改進的過程,需要不斷進行數據源的分析、特征挖掘和抽取、算法優化和改進、新型異常行為場景的識別,以便能夠更好地提升異常行為檢測性能,提高潛在威脅響應的能力和效率。
UEBA將從行為、事件、告警、異常中抽取實體及實體間的關系,構建安全網絡知識圖譜,所有的行為、事件等都集成到該圖譜中,將用戶和實體間的多層關系清晰地呈現出來,挖掘出更加隱蔽的聯系,并將威脅行為的全貌完整地復現,從而實現及時應急響應和處置。
-----
作為中國新一代信息安全技術企業的代表廠商,明朝萬達專注于數據安全、公共安全、云安全、大數據安全等服務,歷經十余年的發展,客戶群覆蓋金融、政府、公安、電信運營商等諸多領域,其中在金融領域數據安全的市場占有率超80%。明朝萬達始終以守護用戶數據價值為己任,致力于讓安全真正服務于業務發展。公司擁有大量自主創新的數據安全和新技術、數據安全核心產品和解決方案,在科技創新的同時,注重技術與業務的深度融合,為客戶提供量身定制的數據安全解決方案。
