企业智能安全运营的秘密

Entity Behavior Analytics（实体行为分析）是一种革命性的安全告警分析方法，它可以实现调查优先级分数，根据用户和某些实体的行为进行人工智能计算和机器学习，确定特定用户执行特定活动的概率，以准确发现安全异常。

微软和Mandiant的多个产品正在使用这种革命性的方法产生智能安全告警...

「先进攻防社群」甄选了Blumira公司一位资深女性安全工程师的博客，她的这篇文章非常深刻的解释了UEBA安全理念和实例，推荐给粉丝们学习参考…

User and Entity Behavior Analytics (UEBA)是对用户和实体行为数据的分析，以检测与安全威胁有关的可疑行为。UEBA工具建立了基线，可以定义 "正常 "行为，并且可以对独特的行为进行量化和跟踪。

当检测到异常行为时，相对于分配给各个用户/实体的各种实体属性，异常行为的权重被确定。其他特征，如资产所有权，可以由UEBA工具确定，并适当加权，以确定网络内记录的行为或相关行为的 "正常性"。

随着时间的推移，随着该工具摄取越来越多的环境信息，它可以确定规范化的网络活动数据、地理位置数据，并以反映典型系统行为的方式识别你、你的团队和整个公司其他团队通常访问的文件。

从事偏离基线行为的实体会被分配一个加权值，代表该行为偏离规范的严重程度。异常行为的例子包括从非典型地点登录，从新设备登录，或在正常时间以外访问数据。UEBA用例的类型将在本篇文章的最后进行更深入的讨论。

这些工具可以在漏洞发生后支持安全运营，提供所需的适当资源，以深入了解安全漏洞，并在事件审查期间改变政策和程序。从UEBA工具中收集的数据也可用于补充资产管理计划，通过分析用户-资产行为数据来确定资产所有权。

好吧--你能给我一个例子吗？

让我们提供一些非常基本的假设背景，来说明为什么用户和实体行为分析工具可以帮助安全操作。通常在SIEM中，账户登录被跟踪，但没有逻辑上的关联。例如，当账户用户Erika Baker登录到她的工作站时，这一事件被记录在日志中，由SIEM收集、摄取和存储。安全分析员可以通过搜索user='erika.baker'或类似内容（取决于使用的搜索语言）来搜索这个登录或任何存储的登录事件。

假设Erika现在使用一个共享的管理账户dbadmin登录数据库。一个传统的SIEM会通过其用户名来识别这个用户，即dbadmin，但不会把这个登录与Erika联系起来。UEBA工具可以识别并将此登录与Erika相关联；在这种情况下，它通过利用额外的SIEM数据，在网络内的用户活动和托管数据库的机器活动之间建立联系。

这种先进的数据分析得到了机器学习算法的支持，可以快速检测许多数值和数据集组合的独特趋势，这样安全分析师就可以在异常行为发生时，或者在某些情况下甚至在异常行为发生之前，解放出来去调查更积极的指标。

回到我们假设的企业，几个月来收集的基线显示，Erika一直从美国登录到公司的VPN。然而，最近这些登录是来自其他国家。由于这种行为非常不寻常，你可以提醒相关管理员重置Erika的密码，并进一步调查这一安全事件。理想的情况是，UEBA工具能提前发现类似的行为，这样就能避免更危险的情况。

谁在使用UEBA工具？

如果你还没有听说过20项CIS安全管控能力，那么了解一下它们如何被企业用来指导内部安全项目的发展。这些控制措施类似 "一份高度优先、高度有效的防御行动的简短清单，为每个寻求改善网络防御的企业提供了一个'必须做、优先做'的起点。" 

拥有既定安全计划的企业，为了使其当前的安全模式更加成熟，往往选择将UEBA产品整合到其工具集中。

CIS的基础控制 #16 账户监测和控制措施，要求企业："积极管理系统和应用程序账户的生命周期--它们的创建、使用、休眠、删除 -- 以尽量减少攻击者利用它们的机会。" (Center for Internet Security, 2019)

基本的的CIS控制措施

1. 硬件资产的盘点和管控

2. 软件资产的盘点和管控

3. 持续性漏洞管理

4. 管理特权管控

5. 移动设备、笔记本电脑和服务器的硬件和软件安全配置

6. 审计日志的维护、监控和分析

基础性的CIS控制措施

7. 电子邮件和Web浏览器的保护

8. 恶意软件防御

9. 对网络端口、协议和服务的限制和控制

10. 数据恢复能力

11. 网络设备的安全配置，如防火墙、路由器和交换机

12. 边界防御

13. 数据保护

14. 基于“需要知悉”原则的控制访问

15. 无线网络访问控制

16. 账户监测和控制

关于CIS控制，UEBA工具应该在组织成功地在其安全和IT操作中实施所有的基本安全控制后进行整合。这些控制措施旨在为组织提供适当的数据和资源，以负责任地监测、收集、存储和响应公司的安全数据。

除了CIS控制之外，医疗保健、金融和能源相关组织将寻求UEBA解决方案，以满足与数据收集、保留、监控和安全相关的管理或服务水平要求。

此外，在欧盟于2018年3月全面采用《通用数据保护条例》（GDPR）立法后，许多欧洲企业将发现自己正在寻求UEBA解决方案。GDPR执行更好的私人数据保护和更严厉的罚款；它要求企业对数据保护有更大的可见性，以检测并随后在72小时内披露可能 "导致个人权利和自由风险 "的数据泄露事件。

UEBA技术通过在可疑行为对组织造成实质性破坏之前识别它来协助组织。无论在哪个部门，如果有效地使用UEBA工具，可以帮助企业检测到攻击者的行为，更早地打破攻击链，并减少安全事件的总体平均解决时间，以尽量减少对公司和附属机构的潜在损害。

UEBA使用案例

UEBA工具通常会在数据中寻找相同或类似的趋势，以发现不寻常的行为异常、表明安全事件或入侵的趋势。以下是常见的UEBA用例清单：

‍用例	描述
失陷账户检测	检测被盗的用户凭证或被欺诈利用的用户凭证。检测共享账户的使用和通用账户的滥用。UEBA专注于这一领域的威胁检测，数据可用于优化身份访问管理或支持相关计划内的政策变化。
失陷终端检测	识别感染了恶意软件或有其他可疑行为的受损网络端点。重点关注命令控制（C2）流量（即调查当前用户未登录操作时的流量）。
数据渗透检测	识别授权或未授权用户的数据渗漏。专注于数据丢失防护（DLP）警报、云访问安全代理(CASB )日志或网络流量数据。
‍滥用内部访问权限，包括滥用特权	识别恶意的滥用访问权限用户。重点关注对数据的未经授权的访问或不符合组织政策的系统特权的滥用。
为调查提供额外的上下文背景信息	根据安全威胁有关异常情况的关联性，将通知安全分析员告警进行分流分类，随后进行事件聚集和关联，以便进一步分析。
用户定制案例	可选的行为监测和执法用途，具体到企业案例...比如医疗行业的安全数据模型可以为纳入药物配给的跟踪服务；零售行业的安全数据模型可以完善欺诈检测指标。自定义数据和用例通常采用机器学习模型，以帮助跟踪和识别与所需环境和用例相关的趋势。

点击左下角“阅读原文”,加入先进攻防社群

原文始发于微信公众号（赛博攻防悟道）：企业智能安全运营的秘密