现状分析

业务环境变化，企业面临更多安全挑战
随着各行业信息化的快速发展，应用场景多元化，业务应用会出现在多个访问域中甚至互联网上，服务的用户也不再局限于传统的某个区域的内网中。面对遍布全国甚至全球的员工，供应商，客户等多种用户角色，如何确保用户身份安全，遇到了新的安全挑战。

MFA强身份认证不足
MFA强身份认证，是通过密码、手势码、手机短信，USB Key，指纹，面部特征等多个因素进行组合验证，可以大幅提高认证的准确性。但也存在很多不足。
第一，每个认证因素的伪造成本不高，随着认证因素使用的次数不断增多，泄露的概率也不断增高。
第二，认证过程比较繁琐，严重影响用户体验，降低使用者的工作效率。尤其对于2C的场景中，会直接降低客户粘性，增加获客难度。

传统风控规则受限， 无法精准灵活识别异常风险
传统风险控制大多是依赖于规则进行检测，在检测引擎中预置了多种固定规则、依据专家经验人为设定规则阈值来筛选风险，这种规则由于很难适配到所有用户上，尤其是面对来自不同地域的员工和客户，通常会导致误报率高、同时真正风险的命中率很低的情况，对于某些特殊用户（如经常加班、出差）进行频繁告警带来很多困扰，而有经验的攻击者，又可以轻易避开规则，无法灵活识别异常风险，以致于很难达到设计的安全目的。

风险识别范畴受限， 导致管理死角的出现
只将系统的使用人纳入风险管理的范畴，会导致很多管理死角的出现。
第一，对于未获得身份，有可能存在攻击行为的终端设备（如某一台PC、手机，甚至只是一个IP）并不计入风险识别维度中。
第二，行为异常的应用服务器，若已被攻击者控制，也会被用作挖矿或者用来实施进一步恶意攻击行为，也不计入到风险识别维度中。

针对传统方式的不足，安全行业逐步加强基于大数据驱动，机器学习、概率分析、模式识别等的以“行为”为核心的检测分析。于是，用户实体行为分析（UEBA）应运而生，让潜伏在企业中的各路“内鬼”无处遁形。

什么是UEBA（用户和实体行为分析）？

用户和实体行为分析（UEBA）是一种安全软件，它使用行为分析、机器学习算法和自动化来识别异常的和有潜在危险的用户和设备行为。UEBA在识别内部威胁方面特别有效–恶意的内部人员或使用受损的内部凭证的黑客–这些人可以躲避其他安全工具，因为他们会模仿授权网络流量。

UEBA是Gartner在2015年首次提出的一个术语，是用户行为分析（UBA）的演变。UBA只跟踪终端用户的行为模式，而UEBA还监测非用户实体，如服务器、路由器和物联网（IoT）设备，以监测可能表明安全威胁或攻击的异常行为或可疑活动。

UEBA在安全运营中心（SOC）内与其他企业安全工具一起使用，UEBA功能通常包含在安全信息和事件管理（SIEM）、端点检测和响应（EDR）、扩展检测和响应（XDR）以及身份和访问管理（IAM）等企业安全解决方案中。

UEBA应用场景

1. 检测内部威胁：想象一个员工或一群员工可能会产生破坏心理，通过他们自己的访问权限窃取数据和信息，这在以往的数据安全事件中很常见。UEBA 可以帮助您检测企业自己员工的数据泄露、破坏、特权滥用和违反政策的行为。

2. 检测被盗账户：有时用户账户被盗用，可能是用户无意中在其机器上安装了恶意软件，或者是合法账户被泄露了。UEBA 可以帮助企业在受到这部分威胁的用户造成真正的伤害之前拦截他们。

3. 检测暴力攻击：黑客有时会针对管理员的基于云的实体以及第三方身份验证系统。使用 UEBA，管理员可以检测到暴力尝试，从而阻止对这些实体的访问。

4. 检测权限变化和超级用户的创建：一些攻击涉及使用超级用户。UEBA 允许管理员检测何时创建了超级用户，或者是否有账户被授予了不必要的权限。5. 检测受保护数据的泄露：如果企业有受保护的数据，仅仅保证数据安全是不够的。当用户没有任何合法的商业理由访问这些数据时，管理员应该知道用户何时何地访问这些数据。

UEBA如何工作

UEBA解决方案通过数据分析和机器学习提供安全洞察力。UEBA系统内的行为分析工具从多个来源摄取和分析大量数据，以创建一个特权用户和实体通常如何运作的基线图。然后，它使用机器学习（ML）来完善该基线。随着ML随着时间的推移而学习，UEBA解决方案需要收集和分析更少的正常行为样本来创建一个准确的基线。

在对基线行为进行建模后，UEBA将同样的高级分析和机器学习能力应用于当前的用户和实体活动数据，以实时识别与基线的可疑偏差。UEBA通过分析尽可能多的企业来源的数据来评估用户和实体的行为–越多越好。这些来源通常包括。

网络设备和网络接入解决方案，如防火墙、路由器、VPN和IAM解决方案。
安全工具和解决方案，如防病毒/防恶意软件、EDR、入侵检测和预防系统（IDPS）和SIEM。
认证数据库，如活动目录，包含关于网络环境、系统中活跃的用户账户和计算机以及允许的用户活动的关键信息。
威胁情报馈送和框架，如MITRE ATT&CK，提供关于常见网络威胁和漏洞的信息，包括零日攻击、恶意软件、僵尸网络和其他安全风险。
企业资源规划（ERP）或人力资源（HR）系统，其中包含可能构成威胁的用户的相关信息，如已经发出通知或可能不满意的员工。
UEBA利用它所学到的知识来识别异常行为，并根据其代表的风险进行评分。例如，在很短的时间内有几次失败的认证尝试或异常的系统访问模式可能表明有内部威胁，并会产生一个低分警报。同样，一个用户插入多个USB驱动器并参与异常的下载模式，可能表明数据外流，并将被赋予较高的风险分数。

使用这种评分标准可以帮助安全团队避免误报，并优先考虑最大的威胁，同时也可以记录和监测一段时间内的低级别警报，这些警报结合起来，可能表明一个缓慢发展但严重的威胁。

战术用例

恶意内部人员 – 这些人拥有对企业网络的授权甚至特权访问权，他们试图发动网络攻击。单纯的数据–如日志文件或事件记录–不一定能发现这些人，但高级分析可以。由于UEBA提供了对特定用户的洞察力，而不是IP地址，它可以识别违反安全政策的个人用户。

被破坏的内部人员 – 这些攻击者通过网络钓鱼计划、暴力攻击或其他手段获得授权用户或设备的凭证。典型的安全工具可能不会发现他们，因为使用合法的（尽管是偷来的）凭证使攻击者看起来是被授权的。一旦进入，这些攻击者就会进行横向移动，在整个网络中移动并获得新的凭证，以提升他们的权限并接触到更敏感的资产。虽然这些攻击者可能使用合法的凭证，但UEBA可以发现他们的异常行为，帮助挫败攻击。

被破坏的实体 – 许多组织，特别是制造商和医院，使用了大量的连接设备，如物联网设备，通常几乎没有安全配置。缺乏保护使这些实体成为黑客的主要目标，他们可能会劫持这些设备来访问敏感数据源，破坏运营，或发动分布式拒绝服务（DDoS）攻击。UEBA可以帮助识别表明这些实体已被破坏的行为，以便在威胁升级之前加以解决。

数据外流–内部威胁和恶意行为者经常试图从被入侵的服务器、计算机或其他设备中窃取个人数据、知识产权或商业战略文件。UEBA通过提醒团队注意异常的下载和数据访问模式，帮助安全团队实时发现数据泄露。

战略用例

实施零信任安全 – 零信任安全方法是指从不信任并持续验证所有用户或实体，无论他们是在网络之外还是已经进入网络。具体来说，零信任要求所有的用户和实体在被授予对应用程序和数据的访问之前都要经过认证、授权和验证–随后要不断地重新认证、重新授权和重新验证，以便在整个会话中保持或扩大这种访问。

一个有效的零信任架构需要对网络上的所有用户、设备、资产和实体有最大的可见性。UEBA为安全分析师提供了对所有终端用户和实体活动的丰富、实时的可视性，包括哪些设备正试图连接到网络，哪些用户正试图超出他们的权限，等等。

GDPR合规性–欧盟的《通用数据保护条例》（GDPR）对企业提出了保护敏感数据的严格要求。根据GDPR，公司必须跟踪哪些个人数据被访问，被谁访问，如何使用，以及何时被删除。UEBA工具可以帮助公司通过监控用户行为和他们访问的敏感数据来遵守GDRP。

UEBA、SIEM和其他安全工具

UEBA，或UEBA类型的功能，包含在今天的许多安全工具中。虽然它可以作为一个独立的产品使用，但UEBA应被视为综合网络安全工具箱中的一个工具。特别是，UEBA经常与以下工具一起使用，或内置于以下工具中。

安全信息和事件管理（SIEM）–SIEM系统将来自不同的内部安全工具的安全事件数据汇总到一个单一的日志中，并分析这些数据以检测异常行为和潜在威胁。UEBA可以通过其内部威胁检测和用户行为分析功能将SIEM的可视性扩展到网络中。今天，许多SIEM解决方案包括UEBA。

端点检测和响应（EDR）–EDR工具监测系统端点，如笔记本电脑、打印机和物联网设备，以寻找可能表明威胁的异常行为的迹象。当检测到威胁时，EDR会自动包含它们。UEBA通过监测用户在这些端点上的行为来补充，而且通常是EDR解决方案的一部分。例如，一个可疑的登录可能会触发EDR的低级警报，但如果UEBA发现该端点被用来访问机密信息，警报可以被适当提升并迅速处理。

身份和访问管理（IAM）–身份和访问管理工具确保正确的人和设备能够在需要时使用正确的应用程序和数据。IAM是积极主动的，旨在防止未经授权的访问，同时促进授权访问。UEBA通过监测凭证受损的迹象或授权用户滥用特权的情况，增加了另一个层次的保护。

···本文作者：琉璃@涂鸦智能安全团队

···