UEBA应用落地的关键事项

张家口  沽源县。2018年7月15日。

有很多人把用户实体行为分析（UEBA）想像成像防火墙、入侵检测一样的产品，简单部署实施接入网络就可以发挥作用，一旦短时间内没有出现效果原有的期望就大打折扣，甚至悲观失望。这是目前非常普遍的态度，其实这是因为对用户实体行为分析（UEBA）部署应用关键点还不够了解所造成的。

用户实体行为分析（UEBA）属于数据驱动的高级安全分析技术，在企业具体的应用落地过程中，更多的更像一个解决方案具体应用而非一款单一的具体产品。因此，在实施部署过程中，如果一些关键环节处理不好，应用落地效果就很差，甚至会导致项目失败。那在用户实体行为分析（UEBA）应用落地过程中，有哪些关键事项需要注意的呢？笔者根据自己的理解与认识，简单的做一个梳理。

1、定义需要解决的风险场景

上文中提到了用户实体行为分析（UEBA）属于高级安全分析技术的一种，所以它是建立在基础安全控制的基础上的。如果各个单点安全建设还没有到位，基础安全控制还处在一穷二白的水平，那么实施用户实体行为分析（UEBA）的效果可能就会大打折扣。这就好比一个小孩走路还不稳当的时候，去给他建立一套提高跨栏水平的锻炼机制是没有太大意义的。因此，用户实体行为分析（UEBA）的成功应用的一个前提，是基础性安全建设已经比较成熟，最好是SIEM或SOC平台已经建设完成，然后在集中力量解决某一个特定的安全风险场景。

因为是网络安全领域的新兴技术，很多人认为用户实体行为分析（UEBA）可以无所不能地解决所有问题。其实并不是这样的，用户实体行为分析（UEBA）的定位和特长，是解决某个非常特定风险场景的手段。它不能解决一个非常大面的问题，比如分析一下三万个用户的行为习惯，这个需求就太泛泛了，没有形成特定的风险场景，不适合用用户实体行为分析（UEBA）来解决。因此，准备实施用户实体行为分析（UEBA）前，首先应该考虑好到底来解决什么特定风险场景，比如是解决电子银行撞库风险检测、还是解决利用合法账户盗取保单信息？定义特定风险场景是实施用户实体行为分析（UEBA）的前提，也只有将解决的风险场景定义清楚了，才能有针对性的开展后续的各项工作。

2、采集高质量多种类的数据

如果说特定风险场景是前提，那么，广泛的数据采集就是用户实体行为分析（UEBA）应用落地的基础。如果输入的数据量比较少或者数据质量不高，用户实体行为分析（UEBA）最终分析出来的结果肯定是价值不高的，就算系统平台、模型算法再好，如果输入的是一堆垃圾数据，最终得出来的肯定还是一堆垃圾，这个道理很简单。

那么是不是数据越多越好呢？也不是，如果和需要要分析的风险场景无关，数据再多也只能是一种负担。所以数据采集的前提，就是要和需要分析的特定场景相匹配，也就是说想要分析这个特定场景需要什么数据，而不是有一堆数据看看能分析出什么结果。在这个前提下，数据采集的要点是高质量和多种类，用户实体行为分析（UEBA）对于数据的要求甚至超过了SIEM/SOC产品，除了一般的安全数据还包括广泛的IT信息，比如AD数据、IAM数据、业务应用数据等，除此之外还需要包括一些像资产、IP地址、组织架构、工作职责等上下文信息。总之，高质量多种类的数据，是用户实体行为分析（UEBA）成功条件之一。

3、专家驱动与机器学习算法

由于用户实体行为分析（UEBA）属于数据驱动的安全分析技术，那么很多人理所当然的认为机器学习算法是最核心的技术，而很多产品厂商也愿意迎合这种口味来进行宣传。不可否认用户实体行为分析（UEBA）在一定程度都是用了机器学习，但并不等同于用户实体行为分析（UEBA）只用了（或者一定要用）机器学习，也不等同于采集了数据之后直接用机器学习算法分析就能达到想要的落地效果。

实践表明，单纯的数据驱动并不能完成一个用户实体行为分析（UEBA）的完美应用，需要在数据驱动的基础上增加专家驱动形成一个双驱动的混合系统。这样一个混合系统，其异常发现就不是只是依赖于机器学习，而是依靠统计以及特征方法+机器学习算法来实现。而且，统计以及特征分析方法使用频率更高，将检测出的各个单点异常输入给机器学习来作为分析原料，在这些单点分析的基础上，利用机器学习算法的优势，快速确定不同的统计以及特征异常组合对应的风险水平，如果风险值大于一定范围就作为需要用户关注的事件进行输出。

这种数据驱动+专家驱动的混合系统，在数据和机器学习之间有一个异常发现的过程及中间产物，利用专家领域的知识，简化了机器学习方面的工作，同时提升了系统灵活性，进而可以快速部署、快速完成学习过程。

4、与其它系统平台进行集成

目前用户实体行为分析（UEBA）存在两种产品形态，一种是原有SIEM厂商通过改造核心引擎来迎合高级分析、用户实体分析和风险评分；另外一种就是新兴厂商以独立的产品形态出现，单独用户实体行为分析（UEBA）产品就需要扩展平台功能或者与其它平台进行集成。

Gartner认为单独的UEBA产品会越来越少，而会越来越成为一种高级安全分析功能存在于多种产品之中，所以UEBA与SIEM进行整合是大势所趋。笔者个人认为最好的模式是将UEBA的高级分析能力，整合到SIEM平台中，SIEM把数据送到UEBA，UEBA的告警和附带数据再反馈给SIEM，使SIEM成为真正意义上的下一代SIEM。

原文始发于微信公众号（微言晓意）：UEBA应用落地的关键事项