uebaUEBA如何在企业有效地应用与落地

头条星座 2020-03-2657未知admin

  作为一种高级网络安全检测手段,用户实体行为(UEBA)这个网络安全市场的新,这两年一直备受关注。我们来看一下市场定位,就能感受到用户实体行为(UEBA)的发展速度了。

  2016年,用户实体行为(UEBA)入选Gartner十大信息安全技术;

  2018年,用户实体行为(UEBA)入选Gartner为安全团队的十大新项目。

  能够高准确率命中异常事件,使真正的安全浮出水面,这正是用户实体行为(UEBA)备受关注的主要原因。但是,用户实体行为(UEBA)技术复杂,实施部署难度大、成本高,企业应用失败的案例也比比皆是。为此,笔者将自己对用户实体行为(UEBA)的理解,以及在实施落地过程中的关键事项进行一下总结,希望能够给大家一些可供参考的信息。

  用户行为(UBA)最早用在网站访问和精准营销方面,通过对相关数据进行统计、,实现用户标签画像,预测用户消费习惯,最终对用户感兴趣商品进行推送,达到精准营销的目的。很快,ueba用户行为(UBA)就被移植到网络安全领域。

  2014年,Gartner发布了用户行为(UBA)市场界定,用户行为(UBA)技术目标市场聚焦在安全(窃取数据)和(利用窃取来的信息)上,帮助企业检测内部、有针对性的和金融。

  为使这部分市场快速发展和成熟,Gartner认为有必要把这部分从检测技术中剥离出来。于是在2015年正式将用户行为(UBA)更名为用户实体行为(UEBA)。至于加入了实体行为,Gartner的解释是实体行为从某种程度上关联了用户行为,关注实体行为可以更准确地识别。

  准确地说,用户行为(UBA)关联了用户活动和相关实体(用户相关的应用和终端等)信息构建人物角色与群组,进一步定义这些个体与群组的和正常行为,把这些人物角色在群体与群体、群体与个体、个体与个体(那些远离和正常行为的群体与个体)维度上相互比对,将异常用户(失陷账)和用户异常(非法行为)检测出来,从而达到检测业务欺诈、数据泄露、内部恶意用户、有针对性等高级的目的。

  以来,传统安全技术都是依赖于规则进行检测,检测引擎里内置了很多已知规则、专家经验和人为设定的阈值,这种技术通常会导致误报率很高、准确率很低的问题,甚至对于一些新型的未知行为根本检测不出来。

  用户实体行为(UEBA)则是从另外一个视角去发现问题,从单维度检测到度,从单点检测到长周期,从基于规则到关联、行为建模、异常来发现更多更准确的安全。

  总结下来,用户实体行为(UEBA)能够弥补传统检测技术、单点安全的不足,通过用户实体行为异常来检测各种业务与安全风险,具体的应用场景及检测的风险类别详细说明如下:

  金融一般每一个流程环节都由不同的团伙完成,撞库、养属于金融前端环节,利用规则、关联、机器学习算法等手段,对金融用户及相关实体实时进行异常,可以有效检测撞库、养等金融行为的发生。

  在企业数据泄露事件中,绝大多数都是通过内部用户进行泄露的,对内部用户访问数据的数量、关系、序列进行度计算,形成用户行为正常行为基线,并检测出偏离正常基线.账失陷检测

  以上是用户实体行为(UEBA)常见的应用场景,随着各行业安全需求的不断变化,ueba以及在各行业应用的不断深入与积累,相信用户实体行为(UEBA)解决问题的类型会越来越多,应用范围也会越来越广。

  用户实体行为(UEBA)属于数据驱动的高级安全技术,在企业具体的应用落地过程中,更多的更像一个解决方案具体应用而非一款单一的具体产品。因此,在实施部署过程中,如果一些关键环节处理不好,应用落地效果就很差,ueba甚至会导致项目失败。那在用户实体行为(UEBA)应用落地过程中,有哪些关键事项需要注意的呢?笔者根据自己的理解与认识,简单的做一个梳理。

  上文中提到了用户实体行为(UEBA)属于高级安全技术的一种,所以它是建立在基础安全控制的基础上的。如果各个单点安全建设还没有到位,基础安全控制还处在一穷二白的水平,那么实户实体行为(UEBA)的效果可能就会大打折扣。这就好比一个小孩走还不稳当的时候,去给他建立一套提高跨栏水平的锻炼机制是没有太大意义的。因此,用户实体行为(UEBA)的成功应用的一个前提,是基础性安全建设已经比较成熟,最好是SIEM或SOC平台已经建设完成,然后在集中力量解决某一个特定的安全风险场景。

  因为是网络安全领域的新兴技术,很多人认为用户实体行为(UEBA)可以无所不能地解决所有问题。其实并不是这样的,用户实体行为(UEBA)的定位和特长,是解决某个非常特定风险场景的手段。它不能解决一个非常大面的问题,比如一下三万个用户的行为习惯,这个需求就太泛泛了,没有形成特定的风险场景,不适合用用户实体行为(UEBA)来解决。因此,准备实户实体行为(UEBA)前,首先应该考虑好到底来解决什么特定风险场景,比如是解决电子银行撞库风险检测、还是解决利用账户盗取保单信息?定义特定风险场景是实户实体行为(UEBA)的前提,也只有将解决的风险场景定义清楚了,才能有针对性的开展后续的各项工作。

  如果说特定风险场景是前提,那么,广泛的数据采集就是用户实体行为(UEBA)应用落地的基础。如果输入的数据量比较少或者数据质量不高,用户实体行为(UEBA)最终出来的结果肯定是价值不高的,就算系统平台、模型算法再好,如果输入的是一堆垃圾数据,最终得出来的肯定还是一堆垃圾,这个道理很简单。

  那么是不是数据越多越好呢?也不是,如果和需要要的风险场景无关,数据再多也只能是一种负担。所以数据采集的前提,就是要和需要的特定场景相匹配,也就是说想要这个特定场景需要什么数据,而不是有一堆数据看看能出什么结果。在这个前提下,数据采集的要点是高质量和多种类,用户实体行为(UEBA)对于数据的要求甚至超过了SIEM/SOC产品,除了一般的安全数据还包括广泛的IT信息,比如AD数据、IAM数据、业务应用数据等,除此之外还需要包括一些像资产、IP地址、组织架构、工作职责等上下文信息。总之,高质量多种类的数据,是用户实体行为(UEBA)成功条件之一。

  由于用户实体行为(UEBA)属于数据驱动的安全技术,那么很多人理所当然的认为机器学习算法是最核心的技术,而很多产品厂商也愿意迎合这种口味来进行宣传。不可否认用户实体行为(UEBA)在一定程度都是用了机器学习,但并不等同于用户实体行为(UEBA)只用了(或者一定要用)机器学习,也不等同于采集了数据之后直接用机器学习算法就能达到想要的落地效果。

  实践表明,单纯的数据驱动并不能完成一个用户实体行为(UEBA)的完美应用,需要在数据驱动的基础上增加专家驱动形成一个双驱动的混合系统。这样一个混合系统,其异常发现就不是只是依赖于机器学习,而是依靠统计以及特征方法+机器学习算法来实现。而且,统计以及特征方法使用频率更高,将检测出的各个单点异常输入给机器学习来作为原料,在这些单点的基础上,利用机器学习算法的优势,快速确定不同的统计以及特征异常组合对应的风险水平,如果风险值大于一定范围就作为需要用户关注的事件进行输出。

  这种数据驱动+专家驱动的混合系统,在数据和机器学习之间有一个异常发现的过程及中间产物,利用专家领域的知识,简化了机器学习方面的工作,同时提升了系统灵活性,进而可以快速部署、快速完成学习过程。

  Gartner认为单独的UEBA产品会越来越少,而会越来越成为一种高级安全功能存在于多种产品之中,所以UEBA与SIEM进行整合是大势所趋。笔者个人认为最好的模式是将UEBA的高级能力,整合到SIEM平台中,SIEM把数据送到UEBA,UEBA的告警和附带数据再反馈给SIEM,使SIEM成正意义上的下一代SIEM。

  用户实体行为(UEBA)在国外已经获得了普遍的认可,Gartner2016年最终用户安全支出调查显示,有53%的用户有意实施UEBA。但在国内,UEBA还算是一个比较新的领域,希望越来越多的企业更了解UEBA,也希望越来越多的企业通过实施UEBA切实地提升高级安全能力。笔者写这篇文章,也算是为UEBA在国内的普及与发展,做一点小小的贡献。

  关于Mongodb的全面总结 MongoDB的内部构造《MongoDB The Definitive Guide》...

  1 前几天听说以前的同事老张,又离婚了。 老张40多岁,人不错,很热情。可是他离婚的原因正是因为他太“热情”了...

  今天回家上,孩子要让我在外面玩闭眼睛走的游戏。我没有同意,解释的原因是妈妈裤子穿的太少,非常冷,等不及要回家。...

  上一篇文章我们介绍了《关键冲突》这本书的第一部分,处理冲突之前要,今天这篇文章继续介绍第二部分安全应对 很...

  群里这位朋友被人骗了,花了88800元,买了对方32572bytes的byteball,他自己计算的结果是相当于花...

原文标题:uebaUEBA如何在企业有效地应用与落地 网址:http://www.paydaysbank.com/a/toutiaoxingzuo/2020/0326/22308.html

Copyright © 2002-2020 度日如年新闻网 www.paydaysbank.com 版权所有  

联系QQ:1352848661