UEBA
-------------------(什么是UEBA)--------------------------
UEBA的前身:
UBA (User Behavior Analytics) 用户行为分析
最早用在网站访问和精准营销方面,通过对相关数据(用户购买、点击、收藏等行为)进行统计、分析,
实现用户标签画像,预测用户消费习惯,最终对用户感兴趣商品进行推送,达到精准营销的目的。

UEBA(User and Entity Behavior Analytics)用户实体行为分析
2014年,Gartner发布了对UEBA的市场界定;
2016年,UEBA入选Gartner十大信息安全技术
UEBA是一种高级网络安全威胁分析检测技术, 是对用户以及实体(如路由器、服务器、端点)的行为分析。
它可以分析包括用户、IT设备和IP地址等在内的行为,以检测复杂的攻击。

UEBA关联了用户活动和相关实体(用户相关的应用和终端等)信息构建人物角色与群组,进一步定义这些个体与群组的合法和正常行为,把这些人 物角色在群体与群体、群体与个体、个体与个体维度上相互比对分析,将异常用户(失陷账号)和用户异常(非法行为)检测出来,从而达到检测业务欺诈、敏感数据泄露、内部恶意用户、有针对性攻击等高级威胁的目的。

-------------------(UEBA能做什么)--------------------

  • 建立用户行为基线
    监控和分析用户、实体的行为,能够从IT系统收集数据并创建实体的行为基线。
  • 检测用户异常行为
    与行为基线的偏差很重要,可能表示内部人员攻击或其他安全威胁。
  • 实时警报
    跟踪大量文件中的用户活动,以便立即检测到任何未经授权的访问并且采取正确措施避免进一步损坏受影响的文件。
  • 全局关联
    UEBA解决方案能够识别跨多个用户、实体或IP的安全事件,还可以组合来自许多不同来源的数据,例如反恶意软件、防火墙、代理、DLP和VPN,将多个活动组合到一个安全事件中。
  • 处理大量活动
    敏感数据很容易像丛林大火一样传播,尤其是在处理大量文件之时。通过分析大量数据中不同用户的活动,系统能查看关键元数据并在异常时提出查询

----------------------(为什么要用UEBA)--------------------------
问题1:
报警数量多,误报率高。我们知道传统解决内部威胁一般都是通过SOC或SIEM和DLP产品等来解决,类似SIEM和SOC这样产品都是针对“安全事件”的管理和分析的工具,会产生大量的告警数据。但是在特殊客户场景下,很多告警都是无效的,结果就演变成天天在喊“狼来了”,大部分时间狼都没来。但是,如果狼真的来了,也可能就忽略了。
问题2:
操作复杂,投入成本高。对当前企业来说安全的投入难点实际往往不在安全产品的购买,往往是缺少有高级安全经验的人。企业想要使用好SIEM和DLP产品很困难,需要拥有大批具备高级安全经验的人,投入也是很大。因此每当发生安全事件,需要投入不少安全人员和时间才能解决。

解决内部威胁,传统技术存在先天不足。*内部威胁和未知威胁是最难捕获的,也是传统安全工具无法检测的,并且可能是最具破坏性的。UEBA作为大数据安全分析的新型分析工具,能够利用现代机器学习算法技术,帮助安全团队识别、响应可能被忽视的内部威胁和未知威胁。

--------------------------------(UEBA怎么做)-------------------------------------

UEBA采用先进技术如机器学习、大数据分析等,并通过一系列机器学习算法运行数据以检测是否偏离用户规范(基线)。通过与同行群体或过去的行为基线进行对比,以查看用户或资产行为中的偏差。
UEBA解决方案为不同的组(不同权限不同职能的:用户、设备、应用程序)创建基线,然后检测标准偏差。随后,分配一个风险评分来指示相关威胁的强度,让企业不仅可以每天查看警报,还可以全时监视顶级恶意用户并采取预防措施。
UEBA的三大支柱!

图片说明
用例——UEBA解决方案提供有关公司网络中用户和其他实体行为的信息。他们应该对异常情况进行监测,检测和警报。它们应该适用于多种用例-与员工监控,可信主机监控,欺诈等专用工具不同。
数据源——UEBA解决方案能够从一般数据存储库(如数据湖或数据仓库)或通过SIEM提取数据。他们不应直接在IT环境中部署代理来收集数据。
分析——UEBA解决方案使用各种分析方法检测异常-统计模型,机器学习,规则,威胁签名等。

Gartner对UEBA的交互建议
用例
提供有关用户和其他实体的行为的见解。
对用户和实体的异常行为执行监视,检测和警报。
不要只关注单个用例(例如,仅关注员工监控或可信用户或欺诈的工具将不在本市场指南的范围内)。
分析
使用各种分析方法(主要是统计模型和机器学习(ML))检测异常,但结合规则和签名,作为预先打包的分析提供,用于创建和比较用户和实体活动与其配置文件及其同行的配置文件。
提供不是唯一基于规则的高级分析功能,例如使用群集算法来提供动态对等分组
关联用户和其他实体活动和行为(例如,通过贝叶斯网络技术),以及aqqreqate个人风险行为,以突出异常活动。
数据源
从用户和实体活动中提取事件数据,可以直接从数据源或通过现有存储库(中央日志管理[CLM],SIEM或数据湖)本地获取。 解决方案不应主要依赖网络数据作为主要数据源,并且不应主要依靠自己的代理来收集遥测数据。
利用上下文信息丰富用户和实体的数据,并支持从IT目录(例如,Active Directory)或其他机器可读信息源(例如,用于提取结构化,实时事件数据以及结构化和非结构化参考数据) 例如,HR数据库)

----------------------------------(分析方法)--------------------------------------------
已知良好行为和已知不良行为的监督机器学习集被馈入系统。该工具学习分析新行为并确定它是否与已知的良好或已知的不良行为集“相似”。
贝叶斯网络——可以结合有监督的机器学习和规则来创建行为概况。
无监督学习——系统学习正常行为,并能够检测异常行为并发出警报。它无法判断异常行为是好还是坏,只是它偏离正常。
加强/半监督机器学习——混合模型,其中基础是无监督学习,并且实际警报分辨率被反馈到系统中以允许微调模型并降低信噪比。
深度学习——启用虚拟警报分类和调查。系统训练代表安全警报及其分类结果的数据集,执行功能的自我识别,并能够预测新的安全警报集的分类结果。

传统的分析技术是确定性的,在某种意义上说,如果某些条件为真,则会生成警报,如果不是,则系统假设“一切正常"。上面列出的高级分析方法的不同之处在于它们是启发式的。他们计算风险评分,即事件代表异常或安全事件的概率。当风险评分超过某个阈值时,系统会创建安全警报。

-----------------------------------(UEBA实例)-------------------------------
越来越多的供应商将UEBA分析功能添加到他们关注特定功能的现有解决方案中。
这些功能包括员工监控,以数据为中心的审计和保护(DCAP)等等
[ Cynet ]
Cynet 是一个专门为今天的多方面网络战场创建的检测和响应安全平台。它为能提供了一个全面的工具去找出已越过保护墙的未知的伪装的威胁。Cynet使用独特的方法来检测威胁,关联和分析跨文件,用户,网络和端点的指标。
Cynet指出,用户身份是攻击者的主要目标,因为它们是整个组织资源的关键。坚定的攻击者可能会逃避检测,成功窃取用户帐户凭据并利用它们进行横向移动和数据访问。其解决方案是,持续监控和描述用户活动,以定义合法的行为基线,并识别指示用户帐户受损的异常活动。

  • 用户行为基准
    Cynet利用实时用户活动监控来实现基准,利用他们登录的主机数量,位置,频率,内部和外部网络通***问的数据文件和执行的进程。
  • 实时活动背景
    通过将用户活动与其他实体事件(包括端点,文件和外部网络位置)持续关联,提供丰富的上下文来确定相关风险,实现实时活动上下文。
  • 主动登录监控
    利用用户角色,组,地理位置和工作时间的内部知识来定义可能表明用户帐户受损的SaaS和本地资源的访问模式。

Cynet UEBA 实时监控用户发起的所有交互,能够感知异常登录、新的VPN连接、多个并发连接、非工作时间SaaS登陆

[ Exabeam ]
Exabeam基于行为的安全情报使用先进的机器学习技术来检测和评估网络上的风险活动。Exabeam跨多个帐户,设备和IP地址连接用户活动,以创建一致的时间线。然后,Exabeam UEBA把带有风险标识的用户配置文件发给分析师,以便他们能够快速响应事件,同时充分了解发生的情况以及受影响的系统。

  • 规则和无签名事件检测
    Exabeam使用高级分析来识别异常和风险活动,而无需预定义的关联规则或威胁模式。它提供有意义的警报,无需大量设置和微调,并且误报率较低。
  • 安全事件的自动时间表
    Exabeam可以将相关的安全事件拼接到一个时间线中,该时间线显示安全事件,跨越多个用户,P地址和I系统。
  • 动态对等分组
    Exabeam不仅执行单个实体的行为基线,还动态地对类似实体(例如来自同一部门的用户或同一类的物联网设备)进行分组,以分析整个组中的正常集体行为并检测个体谁表现出冒险行为。
  • 横向移动检测
    Exabeam在攻击者使用不同的IP地址,凭据和机器在网络中移动时检测攻击者,以搜索敏感数据或关键资产。它将来自多个来源的数据联系在一起,以连接点并查看攻击者通过网络的旅程。

[ Dtex ]
Dtex能够搜索其他地方无法获得的信息。该软件可以检测组织内部出现的威胁。这些威胁可能来自恶意员工,欺诈活动,安全控制失败,知识产权被盗,意外滥用等。
Dtex将用户可见性元数据与机器学习,行为模型和真实警报相结合,以提供可操作的答案。

  • 检测恶意内部人员
    通过将轻量级的以用户为中心的可视性与机器学习和行为模型相结合,Dtex经过培训,可以捕获数据窃取的每个阶段,包括混淆,渗漏,凭证滥用等。
  • 检测受到侵害的内部人员
    检测外部渗透者是一个识别不寻常的用户行为的问题。Dtex的异常检测发现账户妥协的迹象,先进的分析模型确定了凭证被盗。
  • 检测疏忽的用户
    低调的用户往往被忽视,但操纵了超过60%的内幕事件。Dtex提供行为背景,突出了网络钓鱼,可公开访问的数据或违反政策的意外威胁。

----------------------------(UEBA实施)--------------------------------
UEBA解决方案的真正强大之处在于能够跨越组织边界,IT系统和数据源,并分析特定用户或实体可用的所有数据。
UEBA应该尽可能多地分析数据源,一些示例数据源包括:

  • 身份验证系统
  • 访问系统,如VPN和代理
  • 配置管理数据库
  • 人力资源数据--为用户提供其他上下文的任何数据
  • 防火墙,入侵检测和防御系统(IDPS)
  • 端点检测和响应系统

UEBA解决方案学习正常行为以识别异常行为。它检查一组广泛的数据,以确定用户的基线或行为概况。当偏离基线时,系统会增加该用户或机器的风险评分。行为越不寻常,风险评分越高。随着越来越多的可疑行为积累,风险评分会增加,直到达到阈值。

整个UEBA 流程可以确定的做到以下几个功能:

  1. 针对性建立不同的行为模型
  2. 聚合基线
  3. 对异常附加权值用以风险评分
  4. 输出风险的信息