福德正神注册《UEBA客户使用指南》

2019年04月02日 作者: 瀚思科技

4月2日,《UEBA客户使用指南》正式对外发布,报告由瀚思科技与安全牛联合发布。通过对国内外20多个实际的UEBA客户案例进行分析和梳理,明确了UEBA的概念,剖析了关键技术,并针对项目生命周期管理提出了建议性的意见。


调查显示,虽然大多数的攻击可能来自组织以外,但最严重的损害往往是由内部人员造成的。SANS在2017年发布的内部威胁调研报告显示,40%的被调查者认为,恶意内部人员是他们面临的最大威胁。Verizon 2018 Data Breach Investigation Report的统计数据也佐证了这一点,28%的数据泄漏由都是内部威胁造成的。

对此,《UEBA客户使用指南》提到,只有管理好内部威胁,才能保卫网络安全,这逐渐成为一种共识。

UEBA是解决内部威胁和相关安全应用场景的首选方案 《UEBA客户使用指南》提到,内部威胁,是指拥有合法授权访问组织资产的个人,利用其访问权限(无论是恶意还是无意)对公司的应用、数字资产进行访问的操作行为,而这些行为可能会对组织的经营、经济、名誉等方面带来伤害或产生负面影响。

比如,个别内部高权限用户,他们能随意获取最敏感的交易和数据,甚至可以创建其他新特权帐户,一旦这种特权被滥用,就有可能给公司造成不必要的损害。

再比如,内部人员账号被攻陷后的恶意行为,也可能给企业带来不良的后果。相较于传统的外部网络攻击,越来越多隐藏得极深的内部威胁给企业的数字资产、业务安全带来了更直接、更大的威胁。

虽然不易被发觉,但并不是无计可施。诞生于2014年的UEBA(User Entity Behavior Analytics,用户实体行为分析)技术就是有效应对内部威胁的利器。

Gartner率先提出了用户行为分析UBA(User Behavior Analytics)的概念,旨在应对日益增长的内部威胁。后来,实体(Entity)的概念又被引入了UBA技术,并逐步演进成UEBA,其中E更多是指IT资产或设备,包括服务器、终端、网络设备等,通过对它们的行为异常分析可以发现外部的网络攻击、内部的横向移动或者主机遭受病毒侵害的行为。

毫不夸张地说,今天,UEBA已成为解决内部威胁和相关安全应用场景的首选方案,也是很多企业安全投资的重点之一。此概念自2016年被引入中国市场以来,发展迅速。Gartner预测,到2022年,核心UEBA技术将出现在80%的威胁检测和安全事件响应解决方案中。

UEBA只有对症下药,才能做到药到病除

《UEBA客户使用指南》从市场发展、客户需求、项目评估、方案落地等实用性的角度,对UEBA的应用进行说明和指导,目的是帮助企业揪出“内鬼”,更好地解决数据泄露、企业内部人员的攻击威胁、盗用或侵犯公司资产等问题。

为了更有效地利用UEBA技术,必须首先明确UEBA适用于哪些应用场景。《UEBA客户使用指南》列举了四大典型应用场景,包括特权账号安全、数据安全、业务安全和定位失陷主机。不同行业的客户需求不同、应用痛点各异,比如游戏客户特别关注源代码保护,制造业客户希望有效保护研发数据和知识产权,保险业客户容易出现共享账号、异常登录等问题,而互联网企业则要避免“薅羊毛”、虚假注册等情况发生……UEBA只有对症下药,才能做到药到病除。

举例来说,UEBA方案拥有三大能力,可以保障特权账号的安全:动态识别特权账号,包括高权限、服务类以及共享账号;通过历史行为以及同组行为分析,实时监测高风险异常行为;可视化分析以及溯源能力,确定特权账号异常事件。

深入分析UEBA的诸多实践可以得到这样的经验:

UEBA项目的成功不仅仅是技术因素,它还与业务、项目的管理甚至公司领导层息息相关。报告中提到瀚思科技在帮助客户进行UEBA规划的初期,便会与客户的管理层进行深入而全面的沟通,了解应该注意的所有事项、项目涉及到哪些人,以及项目的测试、评估等众多细节问题。《UEBA客户使用指南》还原了UEBA技术的本质,关键是给出了UEBA实施的方法论,告诉用户UEBA应该是什么样,如何按部就班地落地。

在有些情况下,UEBA落地的最大障碍并不是技术,而是人,因为它涉及到对员工行为的监控、分析,以及员工权限的设定等,而这往往是很多企业中十分敏感的问题。在UEBA规划初期,上述这些敏感的问题都要考虑清楚。对于企业来说,最重要的是加强整体风险管控,从立项开始,选好平台,正确定位问题,参考最佳实践,这样才能做到事半功倍。

福德正神注册 以数为鉴

瀚思科技在UEBA方面拥有深厚的技术积累和丰富的实践经验。归纳起来,瀚思科技的技术和解决方案具有以下三大优势。

首先在数据接入层,瀚思科技通过其智能分析平台,可以对接入的大量历史数据进行分析,包括IT数据和非IT数据、人的行为数据、VPN和登录数据,以及AD、HR数据等,不仅可以对接入数据进行实时分析,而且可以结合上下文进行智能分析。

其次,瀚思科技提供以机器学习算法为核心的高级分析功能,能够根据具体的业务场景提供最匹配的分析手段,让分析更有效。

最后是可视化的展现。瀚思科技的解决方案具有溯源分析能力,可以把历史事件依据时间轴进行排序,用不同颜色标注或用热力图的方式展示高风险所在,而且可以纵向与历史事件进行对比,以及横向与其他群组的情况进行对比,所有风险在同一个页面中一览无余。

《UEBA客户使用指南》提到在UEBA项目落地的过程中,有两大问题需要客户特别注意:一是不能迷信机器学习高级算法,毕竟算法是为分析服务的,目的是解决实际的安全问题;二是内部人员行为异常的分析不能一味求快,拿三天的数据说事儿,而是要建立在对大量历史数据分析的基础上,至少也要分析过去一个月的数据。以史为鉴,以数为鉴,这才是正途。

通读《UEBA客户使用指南》,它最核心的一个观点是,企业或组织要对UEBA类项目的生命周期管理拥有充分的理解,从立项、IT成熟度评估到RFP、POC 测试,再到产品的部署运维,每个阶段都需要精心规划和充分沟通,UEBA技术的长期性、可持续性的价值必须通过产品运维的系统性规划以及严谨的执行来体现。

最后借用《UEBA客户使用指南》中一句话来高度总结就是,未来安全技术将围绕“两个中心”展开:一是以“人”为中心,二是以“数据”为中心,UEBA两者兼而有之,是未来的发展方向。