【安全】用户实体行为分析研究(UEBA )

  • A+
所属分类:安全文章

 这是第一次写学习研究类文章,是一次新的尝试。搜集、学习、理解、写文章,断续大概3天时间完成。希望能实践出快速学习和入门的方式方法。


一、背景



随着企业信息化进程不断的推进,网络架构和业务架构越来越复杂,安全防御范围越来越大,安全分析越来越依赖于大数据技术。很多企业建立了日志大数据平台收集大量的数据。但在数据价值挖掘方面并没有特别好的应用场景。从日志中找出真正的攻击行为,依然面临非常大的挑战。
安全方面最常用手法是通过已知签名或已知漏洞利用来发现攻击者,对于未知风险的预测手段不多。另外基于攻击链的防护居多,对于拥有正常凭据的攻击很少有检测和防护措施。

一)引用数据

根据2014年Wisegate成员的一项调查, 内部威胁在组织对漏洞的关注中排名第一,为59%,其次是网络钓鱼,为55%。第三方合作伙伴风险排名第四,为32%(仅次于恶意软件,为45%)。接受调查的高级IT和安全专业人员还报告了有关寻找人员来应对这些威胁的担忧。
【安全】用户实体行为分析研究(UEBA )
根据2015年Verizon数据泄露调查报告,与过去几年一样,特权滥用仍然是报告事件中55%的事件的“内部参与者违规行为的决定性行动”,但组织“看到的涉及最终用户的事件比以往任何时候都要多。” 自2011年以来,“出纳员”一直居于报告的“内幕滥用”之首,但在2014年,最终用户排名最高,为37.6%,其次是收银员(16.8%)和财务(11.2%)。高管排名10.4%。报告称,经济收益和便利性落后于40%的事件。内幕滥用通常是*在*用户离开公司*后*通过对设备进行法医分析发现的。
【安全】用户实体行为分析研究(UEBA )
Ponemon Institute的“ 2016年数据泄露成本研究”,2016年所有泄露中的48%是由恶意或犯罪内部人员(员工,承包商或其他第三方)造成的。


二)什么是UBA

行为分析系统最早出现在2000年代初,它是帮助营销团队分析和预测客户购买模式的工具。很多所谓的安全新概念都是把其它行业使用的技术,引入到安全领域而已。UBA是一种分析的方法或技术,本身与设备或系统无关,但可以应用到任务领域。前几年非常火,成为比SIEM系统具有更高级的分析和异常监视能力,但太过于依赖大数据基础和数据分析技术,想真正做好非常难。

Gartner定义的用户行为分析(UBA)是一个有关检测内部威胁,针对性攻击和财务欺诈的网络安全流程。UBA解决方案着眼于人类行为的模式,然后应用算法和统计分析从这些模式中检测出有意义的异常-表明潜在威胁的异常。UBA不会跟踪设备或安全事件,而是跟踪系统的用户。像Apache Hadoop这样的大数据平台正在通过允许它们分析PB级的数据来检测来提高UBA功能。内部威胁和高级持续威胁。用户行为分析(UBA)。UBA技术分析历史数据日志-包括收集并存储在日志管理和 SIEM 系统中的网络和身份验证日志-以确定由正常和恶意的用户行为引起的流量模式。


 三)什么是 UEBA

2015年,分析公司Gartner发布了一份市场指南,将其称为用户和实体行为分析(UEBA)。Gartner表示,用户和实体行为分析技术的两个主要用途是内部威胁和外部威胁,它们正试图渗透到公司网络中。分析师建议用户在有关优先使用案例的数据支持方面获得清晰的答案,并在选择过程中要求概念验证阶段。

用户和实体行为分析技术主要是跟踪用户活动,其次还会跟踪设备,应用程序,服务器和数据的活动。UEBA旨在使用机器学习来查找可能的威胁。企业通常将UEBA与SIEM技术结合使用,以更好地分析收集到的信息。

【安全】用户实体行为分析研究(UEBA )

Gartner预测UEBA将成为不同安全平台(主要是SIEM)的功能。由于UEBA依赖强大的数据基础,在没有强大数据收集能力或已有其它平台提供数据的情况下,UEBA是很难成功实施的。

【安全】用户实体行为分析研究(UEBA )

在大数据基础上,关联和分析来自多个来源的事件:用户,设备,资产,应用程序。然后使用无监督和监督的机器学习以及统计模型来建立正常行为的概况并检测异常。分析涉及聚类,模糊关联,预测性和顺序学习等技术。


四)UEBA原理

UEBA需要以大量数据收集作为基础,根据数据分析组织生成实体。各种实体中以用户核心,跟踪每个用户、设备、应用、进程等实体的行为。长期收集各种实体行为数据,利用机器学习实体行为基线,生成正常活动的基准,使用 大数据和 机器学习算法来实时评估这些偏差,在实体行业超出基线时产生告警。【安全】用户实体行为分析研究(UEBA )

数据类型上包含用户角色和职务,包括访问权限,帐户和权限;用户活动和地理位置等。并且分析考虑使用的资源,会话的持续时间,连接性和对等组活动等因素。数据范围(IAM,应付账款,人力资源和差旅系统、CRM系统等)。

对实体行为还可以实行计分制,当行为异常或涉及敏感资源时提升风险值。利用SOAR系统联动其它安全设备,自动限制实体的行为或增加实体身份验证难度等操作。

    【安全】用户实体行为分析研究(UEBA )





二、对标安全应用



一)常见风险场景

高盛前程序员谢尔盖·阿列尼科夫(Sergey Aleynikov)等一些员工在离开公司时就拥有IP。Aleynikov因涉嫌2009年IP盗窃而接受第二次审判,被指控在高盛退出公司加入初创公司Teza Technologies时复制了高盛高频交易平台的源代码。

【安全】用户实体行为分析研究(UEBA )


事件案例的范围中,从现任和前员工到承包商和业务合作伙伴。用户行为分析(UBA)是内部威胁监测的手段之一。用户行为分析也是安全培训的有力且有效的check点。风险场景如下:

1. 即将离职、解雇的员工,在离开前恶意收集敏感数据。

2. 客服在工作中获取敏感的客户数据,获取高净值用户倒卖。

3. 员工不满公司决策,删除数据库或备份数据。

4. 员工联合外部黑客倒卖数据,获取非法收益。

5. 倒卖源代码或复制源代码开公司成为竞争对手。

6. 被社会工程攻击的员工造成的意外后果。


二)常见应用方式

对UEBA的应用上有两种,一种是记录所有日志,在出现问题时可以进行事后的溯源,也可以在事后进行风险的挖掘。一种是动态收集日志,把已知的安全风险形成case,出现异常的行为时可以近实时的产生告警。

【安全】用户实体行为分析研究(UEBA )

近两年讨论kill chain ,Att&ck攻击链的非常多,这部分也非常的重要。但这是假设攻击者没有获得凭证的情况下,如果攻击者(内鬼)已经有用户凭据的情况下,基于攻击链的防护也会失效。在内部威胁的检测中,目前理论上仅有行为分析是可行的。一些应用场景:

1. 结合SIEM或其他大数据日志管理平台,基于数据挖掘恶意行为。

2. 使用机器学习和先进的数学算法在行为之上构建行为监控“大脑”。

3. 根据攻击者的历史行为建立case,来监视用户的行为。


三)常见实施目标

1.通过行为分析实现的快速检测和响应功能。

2.通过行为分析实现内部威胁的管控,对内鬼有效的方法。

3.通过机器学习自动化行为分析,提升安全团队价值产出。



三、供应商和产品分析



一)产品选择方法

第一阶段 基础分析

1. 识别和研究市场上可用的产品和服务,以及如何将用户行为分析技术集成到现有的安全架构中。

2. 区别谁是顶级供应商、提供什么技术、能力和服务。

3. 尽量形成各种问卷,对供应商完成调查评估。这些问题应包含云或本地部署,硬件设备或虚拟部署,已实现功能列表,可否定制功能,与哪些数据源支持直接集成,可检测的攻击场景列表、以及其他关心的要素。

4. 尽量找到安全要求与供应商的产品开发路线一致的产品。

【安全】用户实体行为分析研究(UEBA )

第二阶段 执行测试

1. 了解供应商能力和产品能力排名前6的产品或服务。

2. 从前6中找出3家合适的产品或服务进行现场测试,保证实现一致。

3. 将3-5个需求形成测试用例,让供应商的产品或服务提供POC测试。

4. 预置能力中主要支持哪些用例,并在POC环境中进行实战演示。

5. 确认能否支持需求的场景(POC),是否能检测出攻击。

6. 异常行为模式的检出率,误报率在合理范围。

7. 机器学习算法形成行为基线后,能否调整。

8. 能否支持自定义的case 开发。

【安全】用户实体行为分析研究(UEBA )

第三阶段 形成报告

1. 测试报告中区分中核心能力和非核心能力。

2. 测试报告必须包含预置能力和需求场景。

3. 测试报告中记录客观结果,以便后期多家对比。

4. 测试报告中应包含供应商体量、技术支持能力、维保能力对比。

【安全】用户实体行为分析研究(UEBA )


二)国外供应商

由于当前没有此类的采购需要,没有全力收集。
UEBA技术的主要供应商包括:Splunk、Rapid7、Gurucul、Fortscale、Exabeam、 Hewlett Packard Enterprise 、Niara(于2017年被HPE收购)、Bay Dynamics、IBM、Oracle、Secournix。
【安全】用户实体行为分析研究(UEBA )

四、参考资料



1、User-behavior-analytics-Building-a-business-case-for-enterprises

https://searchsecurity.techtarget.com/tip/User-behavior-analytics-Building-a-business-case-for-enterprises

2、What is user behavior analytics (UBA)? - Definition from WhatIs.com

https://searchsecurity.techtarget.com/definition/user-behavior-analytics-UBA?_ga=2.95518812.1141213183.1597104744-1304351387.1597104744















【安全】用户实体行为分析研究(UEBA )【安全】用户实体行为分析研究(UEBA )

《ATT&CK攻防研究和实践》

目前仅能邀请加入  加群请加我微信


# 近期预告

  • 【安全】DevSecOps 设计和实践(近期推出)

  • 【极思】自生长思维架构:伟人与普通人、大牛与小白他们之间的差别是什么?

  • 【企业安全建设】数据安全方案思考与设计【2/2】

# 往期文章

  1. 【安全】MITRE ATT&CK 作用和适用场景思考

  2. 【极思】从人性看职场生存之道

  3. 【极思】你是安全圈的“韭菜”吗?

  4. 【安全】运营自动化思考与小实践

  5. 【极思】关于大局 责任 使命的思考

  6. 【极思】团队建设思考和实践

  7. 【极思】资产管理:安全人员的自救实践

  8. 【极思】咱们是一条船上的仁儿



发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: