UEBA(用户及实体行为分析)作为目前异常发现的重要分析技术,无论是用户整体 IT 环境的态势感知(和 SIEM 融合,或在 SOC 中),还是结合数据防泄漏 (DLP) 等内部人员安全方案进行更精准的异常定位,都是不可或缺的一项重要能力。
UEBA 并不是最新颖的技术理念。Gartner 在 2016 年安全与风险管理峰会上,就已经将其作为当年十大信息安全技术。但是,国内主流安全厂商,对UEBA的理解,以及具体落实到产品方案,可以明显感觉到各有各自的理解和特点。
6月28日,安全牛联合瀚思、启明星辰、白山云科技(以下简称 “白山”)、观安信息,以及行业安全专家、甲方信息(安全)建设负责人等,针对以上四家应用 UEBA 技术的相关方案,进行了一次闭门探讨。
此次闭门研讨会的重点,更多在于结合实际安全建设经验和具体方案,双向辩析对 UEBA 的理解、适用场景与落地难点,并提出下一步建议。而且从产品方案层面,这四家各具特色的方案也有对比、分享的价值。基于此,此篇文章,将四家的 UEBA 方案的核心内容,整理如下。
一、瀚思——内部安全
特点:更针对 Users(用户),聚焦企业内部异常行为发现从而消除大量高危风险,实际案例中重视多维数据结合的价值。
1. 方案价值
瀚思认为,目前 UEBA 技术的应用,更多的还是要关注人的行为,特别是企业内部的员工,作为异常行为和发生数据泄漏的主体。并作为线索或预警,再结合审计、溯源等手段,定位到人。
对于将应用场景侧重在企业内部,瀚思技术总监黄亮的解释是,企业内部的管理相对规范,访问行为更加有迹可循。瀚思的 “内部安全” 方案,重要的价值,在于结合其他技术手段和数据,可以更为精准的发现员工的异常行为,降低漏报和误报。
2. 方案内容
UEBA 对异于标准基线的可疑活动进一步分析,从而可以帮助发现潜在威胁,在企业中最常见的应用是检测恶意内部人员和外部渗透攻击者。
——Gartner
由于 UEBA 类技术用于解决以人、资产、数据为维度的内部安全安全类场景。此类场景往往攻击行为不明显,无成型的方法论,也无显著的规律可以遵循。此外,UEBA 所支持的场景都有长、低、慢,即所谓低频长周期的特征,场景支持的复杂性、分析数据的多维度等特性,均对UEBA类产品的关键技术支撑提出了高要求。
“内部安全” 方案对于企业的价值,瀚思认为存在三个阶段:第一个是客观采集人员访问行为,从审计的角度进行统计、展示;第二是结合用户角色和行为特征,进行内部用户行为画像;第三是结合具体场景,通过算法集合、规则、特征等进行多维度的异常行为监控与风险预警。
具体效果以及所处阶段,和客户自身的安全建设成熟度有关。
此外,黄亮认为,有效的UEBA方案,不应过分强调算法,要看具体的应用场景。基线、黑/白名单、特征各有各的适用和限制。
3. 参考案例
案例方面,瀚思强调了三点:一是通过账号 “风险分数” 而不是告警的方式,告知运维人员关注异常账户,并作出响应;二是结合企业原有安全能力,如 DLP,可以实现更准确的检测效果,和更灵活的处置;三是根据客户情况,可以先通过咨询、人工溯源等手段,找到基线后,更针对性的制定安全策略。
1) 内部员工窃取敏感数据
某大型地产用户,企业内部员工数量过万,有部署大厂的 DLP 方案,但因为告警过多,效果并不太理想。
2018 年瀚思部署了自己的 UEBA 产品以及 NTA 产品,并结合原有 DLP 产生的相关数据,逐步建立了面向敏感数据异常访问监控的分析模型。
UEBA 在运行 2 个月后,实时触发了 “高权限用户行为异常” 监控模型,平台显示重大风险预警。通过 DLP 日志和流量分析导致账号异常的具体行为,发现内部高权限账号10月22号拷贝自己简历,10月23号凌晨1点大量拷贝这个工作目录下的合作项目材料,涉及财务报表、项目管理月报、资产负载表等累计 540 份。
2) 第三方人员篡改数据库
某全球知名外企,2019 年 5 月份瀚思 UEBA 模块监测到数据库中有异常执行的数据库查询操作。经过进一步溯源分析数据库、堡垒机日志,成功锁定了相关人员的账号。
此账号利用一定防侦察的手段(命令不直接输入,而使用 Ctrl+C, Ctrl+V, 避免被检测),未触发安全设备告警,目的是篡改/窃取数据库重要信息。
瀚思 UEBA 产品自动判定其行为偏离了基线,结合访问目标的重要级别判定为重大风险,将此账号的风险指数进行了大幅的提升并发布预警。风险指数的异常变化使得此账号在第一时间进入了安全监控人员的视野,快速定位并阻断了违法行为。
4. 部署
与 SIEM/态势感知平台进行结合,将其采集到的行为类数据,应用系统日志、人员/权限数据导入 UEBA 分析引擎中进行实时处理。
5. 客户群
具有大量员工的大中型企业;拥有大量高价值敏感数据;“内部安全” 相关的管理手段落实困难,经常出现账号共享、数据篡改、信息泄露等安全问题。
综合评价
将 UEBA 的应用聚焦针对企业内部员工的异常行为,发现 “异常的人、人的异常”,看似过于具体、简单,但在实际技术能力与方案落地方面,显然更容易,更具实用性。对企业其它安全能力,例如身份体系,较为依赖。
二、启明星辰——智能安全分析框架
特点概括:面向四个典型场景,在大数据安全分析平台之上,以分析引擎插装的方式,将基于 UEBA 的分析能力内嵌其中。
1. 方案价值
同时聚集用户和实体对象的行为,在整体平台框架下,面向不同场景,使用不同的数据和检测分析能力。所以可以理解为,UEBA 是大数据安全分析平台的一个关键能力,或一个重要的分析引擎,而不是方案的整体。
相较于上文介绍的两个方案,启明星辰的大数据安全分析平台显然通用性更强。
此外,据启明星辰大数据安全实验室经理侯广训介绍,综合分析平台的重要价值还在于可以对更多事件进行关联分析。
一个成熟的平台,可以保证在用户的超大数据集现场稳定运行。通过数据的接入、过滤标注等处理,再馈送到运行在平台上的分析引擎根据不同场景、需求进行检测分析,最后通过可视化对用户做呈现。UEBA 只是一方面,恶意域名、横向移动等,都要在这个平台上做。但 UEBA 又是一个重要能力,因为 UEBA 是基于行为,针对用户和设备,而不是 IP 的。
2. 方案内容
这里着重介绍一下启明星辰基于 UEBA 能力,要应对的四个主要威胁场景:
1) 内部威胁
包括人员的可疑行为和失陷主机的发现。人员的可疑行为由分为对内和对外。
对内:刻意数据收集、异常与违规访问、账号滥用等。
对外:数据渗漏、持续数据外传,异常网站访问等。
失陷主机:内网探测呼与横向移动、数据收集、暴力破解、加密文件、恶意/可疑 C&C 外连、数据外传、扫描或发动 DDoS 等。
企业内部的威胁场景,因为多数企业动态分配 IP 的情况,UEBA 可以更好的帮助将异常行为追溯到具体设备和人员/账号。
2) 自适应安全访问
目的在于挡住坏人,并让好人的访问可以正常进行。Gartner 的 CARTA 体系,包括自适应的攻击防护和访问保护。利用 UEBA 技术,可以实现用户可信评价、终端环境风险评价、应用访问风险评价以及应用 API 风险评价,提供不同风险评价结果。基于这些风评结果,企业可以在访问/接入控制、API 网关等处进行动态的安全策略调整,实现自适应的安全访问。
3) 移动app业务风险感知
将来自终端(指纹、位置等信息)、app 状态、用户行为(app登录等)、app 服务器(地理范围限制等)的信息,汇聚到上层的分析引擎。这部分数据获取,也会和相关厂商进行合作。
4) 应用日志分析与审计
针对企业的关键应用,通过定义用户和行为的属性,以及个群对比,来对应用日志进行分析和审计,找出异常登陆和操作(比如跨地域、跨部门、异常配置等)。目前审计预设的违规策略相对滞后,所以需要利用 UEBA 快速的迭代审计基线。
3. 参考案例
某省烟草局客户部署了种类较多的内网及边界安全设备,但是每种设备只能解决一类问题,同时存在被绕过,安全事件无法追溯到人等问题。启明星辰 UEBA 收集终端、网络流、AD 日志信息,实现将用户、实体、异常行为相关联绑定,通过规则引擎及机器学习引擎分析,发现诸如数据泄露、账号滥用等内部违规行为,最终提升追溯、响应处置的效果。
4. 部署
旁路部署到网络中,通过数据镜像的方式收集网络流量及非结构化日志(人员信息、设备信息、AD 日志、VPN 日志等),针对不同的网络规模,可选择一体机或分布式部署。
5. 客户群
关注内部威胁的企业或机构;
关注业务访问安全、需要动态评估客户可信度的企业或机构;
关注移动APP业务风险感知的企业或机构。
综合评价
可以明显感受到,启明星辰要将 UEBA 作为大数据安全分析平台中的一个面向用户和实体异常行为的分析能力组件,而不是平台整体的核心能力。根据相应场景,客户可以具体选择所需数据和分析模型,分别形成面向内部威胁的UEBA产品,面向自适应安全访问的 UEBA 产品等等。
三、白山——深度威胁识别
特点概括:从用户视角而不是网络流量视角,基于 “六元组” 用户行为模型,结合多种无监督学习和半监督学习算法,从更多维度(如频域)挖掘异常行为。
1. 方案价值
白山的深度威胁识别 (ATD,Advanced Threat Detection) 方案的重要价值在于,从传统依赖威胁情报、基于规则、异常流量特征的方案现状,通过 AI 算法的引入和应用,对用户行为的描述,过渡到从用户角度出发,关注行为和场景特点,能够应对来自企业内部和外部业务安全风险的综合威胁感知能力。
白山技术中心 ATD 产品负责人丛磊表示,企业对网络流量从安全角度进行标注的成本太大,如果只依赖威胁情报,针对性不强,同时往往容易产生误判。所以白山 ATD 方案核心机制的选择是AI算法。
但目前,AI 在安全的落地仍有难点,主要包括:
大量样本的标注成本高,甚至在某些场景下是不现实的;
场景多样化,同样行为不同场景有不同性质定义;
不同于规则,AI算法的可解释性差,其中尤其是深度学习算法,对样本的依赖性也最强。
所以在算法方面,白山的平衡,是主要采用无监督学习算法,用于安全分析和检测。对于难以覆盖的场景,则使用半监督学习来补足。
2. 方案内容
首先,对用户行为的描述——行为建模。白山认为,这也是 UEBA 的核心。
白山提出的六元组行为模型,是从六个维度来描述用户的行为。这些维度有:时间、地点、人/ID、作用域、动作和结果。
ATD 方案的原理类似 SIEM,通过收集日志、流量等数据,基于行为,结合 AI 算法,进行分析,发现异常。
作为 ATD 方案的核心,白山在 AI 算法的应用上,主要有下面四种:
无监督——聚类分析
1)基于实时个群对比进行一场行为识别。异常用户一般占少数,可以通过对大部分用户的行为进行建模,找出少数的高危用户,再匹配威胁或攻击模型来确认。
2)针对多源低频的攻击行为特征,通过聚类将行为特征放大,并拉长分析的时间轴,往往可以找到攻击团伙深层次的异常行为。
3)学习数据包括文本、路径的历史行为内在规律,构建概率模型,并通过集成学习分类算法,识别未知异常。
半监督——主动学习
4)引入半监督学习的主要目的,是覆盖无监督学习无法涉及的场景,允许用户通过有限的标注(比如对威胁发现的情况进行打分),将标注结果反馈到卷积神经网络 (CNN) 帮助训练少量的样本以不断修正和优化算法(而不是简单的调整阈值),提升检测模型的准确率。这种方法的突出价值在于,能够学习到人无法描述的深层次特征。
3. 参考案例
丛磊介绍了三个典型案例,这里简单描述:
1) 频域/个群对比
在某电商平台客户实际使用中,ATD 发现攻击者已经破解了签名算法,并通过伪造的 useragent 不断更换 userid 进行撞库。但因为攻击者具有合法签名并采取了低访问频率的策略,所以传统安全设备从这两个角度无法发现异常。将访问行为相关参数转化到频域观察时发现,部分访问有非“常人”的规律行为,进一步分析,我们最终确认为撞库攻击。
2) 长时间轴/个群对比
游戏行业最头痛的是外挂问题,但外挂作为规模大、较为成熟的黑色产业链规避检测也是做的比较全面的。在某游戏客户服务过程中,ATD 对访问日志通过时间轴线行为建模分析 24 小时行为走势,分析其熵和时间轴方差,发现其中一些访问行为与大部分用户相比,熵和时间轴方差都较小,并且整体行为尤其是夜间行为不同于正常用户。通过个群对比,向客户反馈后发现了游戏外挂。
3) 多源低频爬虫/聚类
在某在线房产平台,攻击者其主要目的是爬取房屋评论信息,通过伪造 useragent,利用爬虫程序使用多个 c 段 ip(数量超过200)实现多源低频的爬取信息。ATD 通过从请求数、GET 请求数占比、HTML 请求占比标准差、平均请求发送字节数等角度,对比异常可能 “攻击源” 和群体行为,确认攻击源,以及为多源低频团伙爬虫。
4. 部署
ATD 方案支持私有化部署方式,支持日志和流量两种接入数据方式。可只在内网运行,也可接外网流量。
5. 客户群
有大量在线业务、以及通过 Web 端可访问到高价值数据的企业,如航空、出行、房产、电商、招聘等,以及白山现有的流量分发客户。
综合评价
重视从用户行为角度,根据场景不同,综合利用多种AI算法进行建模分析。因为白山本身的流量分发业务,所以在流量侧的分析能力上更具优势。
四、观安信息——数据泄漏行为分析
特点概括:关注数据泄漏行为和业务安全问题的发现,并重视前期的数据治理。
1. 方案价值
观安的方案更重视数据,包括数据源的采集以及前期的数据治理。
数据治理则是靠近业务的第一步。这包括数据的分级分类、数据资产的发现以及数据安全的展示和查询。
观安的产品总监杨逸林认为,UEBA 应是大数据分析平台的关键分析能力。但前提是,要有足够的数据用于分析。所以,首先,就是要能够获得不限于网络流量,堡垒机、VPN、数据库审计、主机等设备日志,以及资产和用户的属性信息,这是十分必要的。此外,结合外部的威胁情报,也可以更有针对性的进行数据训练。
此外,观安的方案也不是应对内部威胁的,而是以数据泄漏行为为视角,囊括业务流程异常、业务接口的违规调用、以及围绕数据库的异常操作等行为,进行发现。
2. 方案内容
内容方面,观安主要介绍了下面几方面内容:
1) 数据资产发现
根据数据规则,主动扫描各数据库、数据接口,并标识敏感数据的存储、使用和分布情况。数据存储后,通过重新定义敏感数据特征,对指定数据存储位置进行扫描,实现敏感数据的自动发现与配置。
2) 数据访问异常
三种方式:
通过检测数据保中是否含有敏感数据的关键字段,做敏感数据发现。
通过UEBA建立行为基线,从行为角度做人机识别。
通过关联分析,利用外部威胁情报,判断异常的行为。
3) 业务流程异常
重要的是做关键业务识别,将业务流程中的操作对应为编码序列。基于历史数据,训练序列异常的检测模型。如果异常度低,同时满足一定程度,既可以标识为关键业务。通过检测用户行为序列的异常度,判断是否有违背关键业务的流程,找出异常。
4) 未知异常
在数据治理和关键业务梳理的基础上,将业务数据和流量数据提取特征,再基于数据接口的调用日志,利用无监督模型计算账户的异常分值。
接口、关键业务、运维操作和数据库的异常行为发现,是我们的核心能力。
3. 参考案例
观安有大量在电信运营商的真实案例。
1) 以中国电信(某分公司)的案例为例
中国电信某分公司是省级分公司,是某省最大的基础网络运营商和综合信息服务提供商。平台、接口、应用、网络和终端都流转大量信息,但缺乏有效统一的日志审计能力。不仅难以对关键信息的数据泄漏进行监控,在数据泄漏发生后,也无法溯源、追责到人。观安通过对业务风险的梳理,标准化对系统日志、安全数据的采集、处理和检索工作,并通过平台的 UEBA 分析引擎,以及异常业务流程的风险模型,对异常操作(如报表爬取、批量下载等)、账号权限(账号公用、未授权访问等)进行识别,并输出告警。
2) 利用 UEBA 发现业务异常(某客户)
最为餐饮公司,某客户目前正将传统的餐饮业务转移到线上,并高频率、大额优惠的推出促销活动,且移动端应用快速迭代,更新频繁。某客户面临诸如批量注册、活动欺诈、暴力破解、撞库等诸多业务安全和账号安全问题。基于此,观安的方案是通过提供风控平台、离线 UEBA 大数据分析引擎、以及指纹库(包括覆盖浏览器、移动端和小程序的设备唯一标识符,以及终端环境安全检测),结合专家针对各业务场景制定的千余条风险评判规则和应对措施,通过多维度的数据分析,对薅羊毛行为、接口异常调用(特别是短信接口攻击)、异常订单等恶意行为进行检测和管控。
4. 客户群
运营商行业,以及如新零售、电商等对线上业务安全又较强需求的企业。
综合评价
无论是基于 UEBA 的大数据分析,还是资产发现、数据治理、业务风控,都是自有产品,自成体系。重视数据防泄漏和反线上业务欺诈场景。
声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。