“ 这是第一次写学习研究类文章,是一次新的尝试。搜集、学习、理解、写文章,断续间大概3天时间完成。希望能实践出快速学习和入门的方式方法。”
一、背景
一)引用数据
二)什么是UBA
行为分析系统最早出现在2000年代初,它是帮助营销团队分析和预测客户购买模式的工具。很多所谓的安全新概念都是把其它行业使用的技术,引入到安全领域而已。UBA是一种分析的方法或技术,本身与设备或系统无关,但可以应用到任务领域。前几年非常火,成为比SIEM系统具有更高级的分析和异常监视能力,但太过于依赖大数据基础和数据分析技术,想真正做好非常难。
Gartner定义的用户行为分析(UBA)是一个有关检测内部威胁,针对性攻击和财务欺诈的网络安全流程。UBA解决方案着眼于人类行为的模式,然后应用算法和统计分析从这些模式中检测出有意义的异常-表明潜在威胁的异常。UBA不会跟踪设备或安全事件,而是跟踪系统的用户。像Apache Hadoop这样的大数据平台正在通过允许它们分析PB级的数据来检测来提高UBA功能。内部威胁和高级持续威胁。用户行为分析(UBA)。UBA技术分析历史数据日志-包括收集并存储在日志管理和 SIEM 系统中的网络和身份验证日志-以确定由正常和恶意的用户行为引起的流量模式。
三)什么是 UEBA
2015年,分析公司Gartner发布了一份市场指南,将其称为用户和实体行为分析(UEBA)。Gartner表示,用户和实体行为分析技术的两个主要用途是内部威胁和外部威胁,它们正试图渗透到公司网络中。分析师建议用户在有关优先使用案例的数据支持方面获得清晰的答案,并在选择过程中要求概念验证阶段。
用户和实体行为分析技术主要是跟踪用户活动,其次还会跟踪设备,应用程序,服务器和数据的活动。UEBA旨在使用机器学习来查找可能的威胁。企业通常将UEBA与SIEM技术结合使用,以更好地分析收集到的信息。
Gartner预测UEBA将成为不同安全平台(主要是SIEM)的功能。由于UEBA依赖强大的数据基础,在没有强大数据收集能力或已有其它平台提供数据的情况下,UEBA是很难成功实施的。
在大数据基础上,关联和分析来自多个来源的事件:用户,设备,资产,应用程序。然后使用无监督和监督的机器学习以及统计模型来建立正常行为的概况并检测异常。分析涉及聚类,模糊关联,预测性和顺序学习等技术。
四)UEBA原理
UEBA需要以大量数据收集作为基础,根据数据分析组织生成实体。各种实体中以用户核心,跟踪每个用户、设备、应用、进程等实体的行为。长期收集各种实体行为数据,利用机器学习实体行为基线,生成正常活动的基准,使用 大数据和 机器学习算法来实时评估这些偏差,在实体行业超出基线时产生告警。
对实体行为还可以实行计分制,当行为异常或涉及敏感资源时提升风险值。利用SOAR系统联动其它安全设备,自动限制实体的行为或增加实体身份验证难度等操作。
二、对标安全应用
一)常见风险场景
高盛前程序员谢尔盖·阿列尼科夫(Sergey Aleynikov)等一些员工在离开公司时就拥有IP。Aleynikov因涉嫌2009年IP盗窃而接受第二次审判,被指控在高盛退出公司加入初创公司Teza Technologies时复制了高盛高频交易平台的源代码。
1. 即将离职、解雇的员工,在离开前恶意收集敏感数据。
2. 客服在工作中获取敏感的客户数据,获取高净值用户倒卖。
3. 员工不满公司决策,删除数据库或备份数据。
4. 员工联合外部黑客倒卖数据,获取非法收益。
5. 倒卖源代码或复制源代码开公司成为竞争对手。
6. 被社会工程攻击的员工造成的意外后果。
二)常见应用方式
对UEBA的应用上有两种,一种是记录所有日志,在出现问题时可以进行事后的溯源,也可以在事后进行风险的挖掘。一种是动态收集日志,把已知的安全风险形成case,出现异常的行为时可以近实时的产生告警。
近两年讨论kill chain ,Att&ck攻击链的非常多,这部分也非常的重要。但这是假设攻击者没有获得凭证的情况下,如果攻击者(内鬼)已经有用户凭据的情况下,基于攻击链的防护也会失效。在内部威胁的检测中,目前理论上仅有行为分析是可行的。一些应用场景:
1. 结合SIEM或其他大数据日志管理平台,基于数据挖掘恶意行为。
2. 使用机器学习和先进的数学算法在行为之上构建行为监控“大脑”。
3. 根据攻击者的历史行为建立case,来监视用户的行为。
三)常见实施目标
1.通过行为分析实现的快速检测和响应功能。
2.通过行为分析实现内部威胁的管控,对内鬼有效的方法。
3.通过机器学习自动化行为分析,提升安全团队价值产出。
三、供应商和产品分析
一)产品选择方法
1. 识别和研究市场上可用的产品和服务,以及如何将用户行为分析技术集成到现有的安全架构中。
2. 区别谁是顶级供应商、提供什么技术、能力和服务。
3. 尽量形成各种问卷,对供应商完成调查评估。这些问题应包含云或本地部署,硬件设备或虚拟部署,已实现功能列表,可否定制功能,与哪些数据源支持直接集成,可检测的攻击场景列表、以及其他关心的要素。
4. 尽量找到安全要求与供应商的产品开发路线一致的产品。
1. 了解供应商能力和产品能力排名前6的产品或服务。
2. 从前6中找出3家合适的产品或服务进行现场测试,保证实现一致。
3. 将3-5个需求形成测试用例,让供应商的产品或服务提供POC测试。
4. 预置能力中主要支持哪些用例,并在POC环境中进行实战演示。
5. 确认能否支持需求的场景(POC),是否能检测出攻击。
6. 异常行为模式的检出率,误报率在合理范围。
7. 机器学习算法形成行为基线后,能否调整。
8. 能否支持自定义的case 开发。
1. 测试报告中区分中核心能力和非核心能力。
2. 测试报告必须包含预置能力和需求场景。
3. 测试报告中记录客观结果,以便后期多家对比。
4. 测试报告中应包含供应商体量、技术支持能力、维保能力对比。
二)国外供应商
1、User-behavior-analytics-Building-a-business-case-for-enterprises
https://searchsecurity.techtarget.com/tip/User-behavior-analytics-Building-a-business-case-for-enterprises
2、What is user behavior analytics (UBA)? - Definition from WhatIs.com
https://searchsecurity.techtarget.com/definition/user-behavior-analytics-UBA?_ga=2.95518812.1141213183.1597104744-1304351387.1597104744
《ATT&CK攻防研究和实践》
目前仅能邀请加入 加群请加我微信
# 近期预告
-
【安全】DevSecOps 设计和实践(近期推出)
-
【极思】自生长思维架构:伟人与普通人、大牛与小白他们之间的差别是什么?
-
【企业安全建设】数据安全方案思考与设计【2/2】
# 往期文章
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论