自2015年Gartner將UBA正式更名爲UEBA之後,經過近幾年的發展,UEBA的有效性已經在如數據泄露、內部威脅、賬號失陷、主機失陷等典型的場景中得到了應用和驗證,在此不贅述。本文將對UEBA的實現過程做簡要介紹,不涉及任何場景。從全息來看,完成UEBA的落地實施需要具備6個步驟:
NO.1數據採集
數據採集是第一步,也是基礎。不同的數據採集方式獲得數據類型和顆粒度也不盡相同。目前有兩種典型的採集方式:日誌(這裏將代理方式也劃分到日誌方式)和網絡流量。
日誌方式:
根據設備和應用系統提供商預先提供的數據格式、顆粒度和內容等的相關規則,產生日誌數據,同理安裝代理方式也產生各種日誌數據,並將日誌數據發送到日誌探針。
日誌方式隨着日誌數據內容由少到多、顆粒度由粗到精細的過程,佔用的資源會急劇增加,此時會給設備和應用系統帶來一定的風險。所以在實施日誌採集方式時,通常產生的日誌數據都是最小集合和粗顆粒度的,而這對於以數據驅動爲核心的UEBA來說,最終的效果會大打折扣。
網絡流量方式:
一般是通過交換機鏡像功能,將網絡流量複製一份,發送到流量採集器。網絡流量方式就是真實和實時的網絡流量,包含更加全面的信息。同時,又具有無感知和零風險的特點,即通常說的旁路模式,不會改變現有的網絡拓撲、不需要對現有的業務系統進行變更,也就不會影響業務,部署也方便易行。全息數據採集也是以網絡流量方式爲主,在某些情況下,可以採用日誌方式作爲補充。
NO.2信息識別
是對採集到的數據進行處理,從數據中提取出賬號、用戶、設備、應用、數據、IP等關鍵元素。
就日誌方式來說,是對採集的日誌進行數據標準化處理;網絡流量方式則是對採集的流量,通常按照ISO模型進行2-7層解析和信息提取。
隨着數據泄露事件的日益頻發,如何保護敏感數據所面臨的嚴峻挑戰?2-7層信息採集方式顯然已經不能勝任,需要更深層次的信息採集能力:2-8層信息提取。這裏的第8層表示數據包的內容/上下文,也是通常所說的發現和識別敏感數據。
舉個綠皮火車的例子以便於理解第8層信息。對於該列貨車車廂來說, 2-7層解析能力類比表示:此時能夠只看到車外部情況,包括車廂顏色、外形、車廂編號等信息;2-8層解析能力類比表示:除了前面的信息外,更進一步還能夠看到車廂內的情況,比如車廂內運輸的是什麼(黃金、煤炭、食品等等)、數量、車廂內壁的顏色等等信息。就貨車例子來說,我們除了需要2-7層基本信息外,我們更加需要第8層的信息。同理,在信息採集和提取方面,我們需要2-8層信息,全息數據採集模式原生就是從網絡流量中實時提取2-8層信息。
NO.3行爲刻畫
經過數據採集和信息識別兩階段後,輸出的關鍵元素,就是我們常說的用戶和各種實體,它們又是第三階段的輸入,行爲刻畫是對所有用戶和實體的行爲基於時間序列進行持續不斷的跟蹤和畫像。以全息對用戶刻畫爲例,主要包括該用戶都有哪些賬號、訪問哪些應用、Top應用是哪些、使用哪些文件、哪些敏感數據、都使用什麼設備、什麼時候在線、所在位置等屬性信息。畫像過程是建立基線的過程,通過畫像將用戶和實體的一切網絡活動完全可視化。
NO.4關聯分析
有了用戶和實體的行爲刻畫數據後,就要考慮如何有效使用這些數據。關聯分析是結合各類數據對安全事件進行分析的自動化過程。大部分安全事件很難在某一個或兩個維度的分析下被發現,需要多維度考慮。如時間、網絡層次、安全業務對象等維度。以全息網禦來說,是從用戶、設備、應用、數據4個維度做實時全息關聯分析,不是一次性事件,而是自動化、持續化的過程,關聯分析的結果很多情況下可以直接用於解決問題;另一個方面,關聯分析作爲UEBA落地的重要一環。
NO.5行爲建模
行爲建模階段,對個體行爲從多個維度在時間序列和地點域進行分析,不僅僅分析個體,還要對羣組行爲分析,基於行爲刻畫和關聯分析的數據,建立羣組基線和個體基線;藉助平均值、方差、相似度等,對個體和羣組行爲對比,識別出偏離正常基線的行爲。
NO.6異常檢測
最後步驟是異常檢測,使用各種機器學習算法如孤立森林、SVM, K-Means聚類等進行異常檢測,不同的算法有各自的侷限性,很難有一個算法適用所有場景,需要對異常檢測的結果進行驗證和回饋,還要綜合個羣對比特徵等專項分析技術識別和發現異常行爲,通過風險評分來縮小和減少誤報的範圍,更加精準的聚焦異常行爲。異常檢測不僅只是算法,而是綜合上述6步構成UEBA基本落地步驟。
UEBA作爲一種分析技術,是以數據驅動爲核心主線,圍繞用戶多賬號、多實體、多種敏感數據、關鍵應用、訪問方式、部門、時間、地點、頻度等等信息,綜合運用各種技術貫穿從信息採集、提取、識別、關聯、建模和檢測的整個分析過程。UEBA 既是技術也可以作爲一種工具,其特點是通過行爲分析儘可能將異常行爲從網絡行爲中分離出來,提供更加聚焦和精準的異常行爲檢測結果,從而有效的提升安全運營水平。
上述6個步驟中,每一個階段都涉及大量內容,限於篇幅本文浮光掠影稍作介紹,以期讓大家有基本瞭解,爲大家今後有機會落地UEBA提供參考。
關於全息網禦:全息網禦科技融合NG-DLP、UEBA、NG-SIEM、CASB四項先進技術,結合機器學習(人工智能),發現並實時重構網絡中不可見的”用戶-設備-數據”互動關係,推出以用戶行爲爲核心的信息安全風險感知平臺,爲企業的信息安全管理提供無感知、無死角的智能追溯系統,高效精準的審計過去、監控現在、防患未來,極大提高IT安全運維和安全人員響應事故、抓取證據鏈、追責去責無責、恢復IT系統的能力和效率。