什么是用户和实体行为分析?
用户和实体行为分析(UEBA)是一种网络监控算法,重点关注人类行为者和实体(如主机、软件平台和端点)的活动。通过机器学习,UEBA 解决方案可建立网络 "正常 "行为的基准线。然后,它们利用这一基线来识别潜在的威胁行为者和受损系统。
威胁行动者在发起攻击时,很少利用单一的受损账户。他们的战术往往是为了迷惑注重静态规则的安全系统。内部威胁尤其难以用传统解决方案检测到,因为他们的行为看起来就像是在做本职工作。
最后,基于规则的安全解决方案不适合我们大多数人现在所处的动态、无边界的生态系统。
UEBA 就是为了应对这些挑战而发展起来的。UEBA 专注于实时行为而非预定义标志,使企业能够更快、更准确地检测到可能存在的威胁。UEBA 与端点保护 和扩展检测与响应一起,是零信任网络访问的重要组成部分,为持续身份验证等流程提供必要的支持。
巴斯克地区大学的优势
采用注重结果的预算编制方法的好处包括
- 减少安全团队的工作量
- 减少警报疲劳
- 降低管理费用
- 更好地防范内部威胁
- 云和物联网资产的管理/监控
UEBA 不依赖于静态规则或签名,因此能更好地防范零时差威胁和未知攻击模式。这也大大简化了安全团队的工作。他们不必再花时间为每一种可能的情况煞费苦心地配置规则,而是可以专注于缓解和响应。
由于 UEBA 建立在机器学习的基础上,因此解决方案在识别行动是正常还是可疑时会逐渐变得更加准确。这就减少了误报,降低了总体通知量。此外,通过行为分析,内部威胁行为者更容易被发现,这意味着 UEBA 还能更好地防范恶意内部人员和疏忽大意。
额外的 UEBA 福利
- 自适应动态安全策略
- 更快检测到高级威胁
- 提高检测的准确性
- 加强对安全策略的控制
- 为承包商和远程工作人员提供更好的安全保障
- 检测非恶意软件攻击
巴斯克地区大学如何运作
UEBA 建立在基线之上。其核心理念是,即使威胁行为者成功入侵了某人的账户,他们也无法模仿该人的行为--他们的行为会偏离 "正常 "范围。同样,如果内部人员的行为突然开始异常,UEBA 工具就可以将其标记出来进行调查。
不过,UEBA 并不只关注用户。它还分析网络上非人类实体的行为,如端点和软件平台。一些 UEBA 解决方案还将重点进一步扩展到事件。
无论其范围如何,UEBA 解决方案都会分析多种数据源以建立基线:
- 威胁情报
- 入侵检测和防御系统(IDPS)
- 网络监控馈送
- 系统日志
- VPN 活动
- EDR或 XDR 系统
- 数据库
- 认证系统
- 员工记录
从上文得出的相关数据包括
- 访问位置
- 时间
- 访问频率
- 典型文件或服务器
- 典型应用或服务
- 角色、特权和权限
- 设备类型
在对这些信息进行充分消化和背景化之后,UEBA 就会为每个用户和实体定义一个风险分值。每当发生任何偏离基线的活动,该分数就会增加。最终,一旦分数达到预定义的临界值,该用户或实体就会引起安全团队的注意。
一些先进的 UEBA 解决方案甚至可以协调和汇总来自多个系统的数据,以构建安全事件或破坏性事件的时间线。这一过程被称为会话缝合。
教科文组织非洲国际能力培养研究所的 "三大支柱
使用案例
数据来源
分析
实施注重结果的预算编制方法的最佳做法
以下步骤对于建立有效基线并在网络安全态势中成功实施 UEBA 至关重要:
- 了解贵组织的风险状况。
- 确定您打算如何使用 UEBA - 部署将解决哪些用例?
- 确定 UEBA 解决方案将使用的数据源。
- 确定哪些行为与您的用例相关。
- 确定谁将在何时收到教科文组织非洲部的通知。
- 对内部和外部用户和实体进行问责。
- 确保您的流程和政策与采用的 UEBA 保持一致。
- 定期全面测试您的 UEBA 解决方案。
UEBA 用例
检测恶意内部威胁
防御高级持续性威胁
高级持续性威胁和未知威胁非常难以检测和缓解。它们经常遵循复杂的杀伤链,采用尚未被识别为危险的策略或行为。UEBA 能够更容易地识别受信任用户、账户或设备是否已被入侵,因为它们的行为不可避免地会超出基线。
它还可用于检测拥有特权访问权限的人是否对敏感资产漫不经心。
防止数据外泄
警报和事件的管理与优先级排序
UEBA 与 SIEM
鉴于两者的目的相似,人们可能会认为安全事件和事件管理(SIEM)与 UEBA 相互排斥。这种看法并不准确。尽管在使用案例中可能会有一些重叠,但 UEBA 和 SIEM 解决方案的目的是不同的。
它们配合得非常好。
这也许就是为什么 Gartner 将 UEBA 视为 SIEM 的扩展,而不是一项独立的技术。不难理解为何如此。SIEM 解决方案是 UEBA 工具的宝贵数据来源,而 UEBA 工具则提供更复杂的威胁检测和分析,两者互为补充。
常见问题
UEBA 代表什么?
UEBA 是用户和实体行为分析的缩写。
什么是 UEBA 安全?
UEBA 解决方案通过复杂的机器学习增强了现有的网络安全实践和流程。与 ZTNA、XDR 和 EPP 搭配使用时,它将成为一种更现代、更完整的安全和业务连续性方法。
什么是 UEBA 工具?
UEBA 工具是任何内置 UEBA 功能的软件或平台。它可以是纯粹的(完全专用于 UEBA),也可以是嵌入式的(UEBA 作为整体功能的一部分)。
什么是 "实体"?
在 "用户体验与BA "中,实体是指能够在网络上自主或在人类行为者的指示下采取行动的任何非人类元素。这些实体包括但不限于
- 终点
- 软件和应用程序
- 移动设备
- 其他网络或组织
- 网络硬件等 IT 系统
- 非人类威胁(如勒索软件、恶意软件)
- 其他业务
UEBA 和 UBA 有什么区别?
UBA(用户行为分析)只关注人类行为者。而 UEBA 除分析用户行为外,还分析网络上设备和机器的行为。与 UBA 相比,UEBA 也更关注外部威胁。
除此以外,两者几乎完全相同。
UEBA 的三大支柱是什么?
根据 Gartner 的定义,UEBA 的三大支柱是 UEBA 解决方案或框架为取得成效而应采用的核心功能。它们是
- 用例。 UEBA 必须定义和处理多种独特的使用案例
- 数据。 UEBA 解决方案应能从多个预定义数据源(如数据湖、数据存储库)或通过 SIEM 摄入数据,而无需专门的仪器代理。
- 分析。 UEBA 要求采用相对复杂的算法网络安全方法,利用多种威胁建模和机器学习技术,如统计模型、基于规则的监控、行为分析和威胁特征检测。
UEBA 和 SIEM 有什么区别?
安全信息和事件管理(SIEM)工具可以汇总系统事件数据并将其上下文化,从而更有效地对主动威胁进行实时管理。UEBA 更注重行为而非事件,因此可以检测到 SIEM 可能会忽略的更复杂的攻击。值得注意的是,UEBA 和 SIEM 并不相互排斥--实际上,Gartner 认为 UEBA 是现代 SIEM 平台的一项功能。
为什么 UEBA 很重要?
业务运营环境日益复杂多变,要想配置基于规则的安全系统来适应这样的生态系统,充其量也就是站不住脚。更重要的是,现代威胁行动者非常聪明。他们的策略往往能迷惑以预防为主的传统安全解决方案。
UEBA 还在零信任网络访问 (ZTNA) 中发挥重要作用,帮助企业减少误报和不必要的警报。
员工队伍比以往任何时候都更具动态性和适应性。 在我们的世界里,企业不能再依赖静态的、基于规则的安全解决方案,他们需要的是更加灵活、动态和适应性更强的工具。
BlackBerry 可以提供帮助。作为BlackBerry Spark®Suites的一部分--我们的完整解决方案CylanceGUARD™结合了机器学习和先进的预测性人工智能,可根据用户的工作方式和地点动态定义和调整安全策略。通过CylancePERSONA ,您可以让您的员工以他们认为合适的方式和地点工作,同时还能保证您最敏感和最重要资产的安全。
