UEBA能解决哪些安全问题

张家口  沽源县。2018年7月15日

长期以来，传统安全技术都是依赖于规则进行检测，检测引擎里内置了很多已知规则、专家经验和人为设定的阈值，这种技术通常会导致误报率很高、准确率很低的问题，甚至对于一些新型的未知威胁行为根本检测不出来。

用户实体行为分析（UEBA）则是从另外一个视角去发现问题，从单维度检测到多维度分析，从单点检测到长周期分析，从基于规则分析到关联分析、行为建模、异常分析来发现更多更准确的安全威胁。

总结下来，用户实体行为分析（UEBA）能够弥补传统检测技术、单点安全分析的不足，通过用户实体行为异常分析来检测各种业务与安全风险，具体的应用场景及检测的风险类别详细说明如下：

1、金融反欺诈

金融诈骗一般每一个流程环节都由不同的团伙完成，撞库、养号属于金融诈骗前端环节，利用规则分析、关联分析、机器学习算法等手段，对金融用户及相关实体实时进行异常分析，可以有效检测撞库、养号等金融诈骗行为的发生。

2、数据泄露检测

在企业敏感数据泄露事件中，绝大多数都是通过内部合法用户进行泄露的，对内部用户访问数据的数量、关系、序列进行多维度计算，形成用户行为正常行为基线，并检测出偏离正常基线的异常行为。

3、账号失陷检测

获取内部合法账户的权限，是大多数黑客攻击的目的，同时也是进一步渗透的主要手段，通过对内部账号的登陆地点、登陆时间、登陆次数、登陆设备、操作习惯等维度进行建模，对内部账号及相关实体进行实时分析，可以检测出哪些账号已经被攻破，哪些账号正面临着攻击。

4、绕过控制行为检测

很多恶意人员对于安全规则、内控措施非常了解，他们很清楚什么操作做到什么程度会触发报警。因此，恶意人员会降低非法操作行为的次数和规模，避免被传统安全系统检测到。利用用户实体行为分析（UEBA）长周期分析用户行为特征，将行为特征进行横向与纵向对比，检测长期低频有规律地重复性非法行为。

5、在海量噪声中进行精准检测

很多传统设备虽然能够检测出用户行为异常，但由于存在着大量的误报和无效告警，使精准有效的检测结果淹没在了海量的噪声中，利用用户实体行为分析（UEBA）以分组聚合统计的方式，过滤安全告警相关的原始信息，有效降低安全事件分析工作量，提高传统设备告警的针对性和准确率。

以上是用户实体行为分析（UEBA）常见的应用场景，随着各行业安全需求的不断变化，以及在各行业应用的不断深入与积累，相信用户实体行为分析（UEBA）解决问题的类型会越来越多，应用范围也会越来越广。

原文始发于微信公众号（微言晓意）：UEBA能解决哪些安全问题