用户行为特征分析(安全分析及提取详解)

seoxin 09-09 15:09 10次浏览

网络安全威胁正以一种惊人的速度发展,据Gartner分析,用户行为分析(UBA)市场在2015年后正以48%的年复合增长率急剧增长。因此,如果您对UBA还不熟悉,那么是时候了解一下了。以下内容将带您了解UBA。

从5个方面带您全面了解用户行为分析

1. UBA会为您带来什么?

行为分析最开始应用于营销领域,目的是帮助公司了解和预测消费者的购买模式。如今,行为分析已被广泛用于检测网络安全中的潜在威胁。2018年Verizon数据泄露调查报告揭示了UBA为何如此受欢迎。

  • 28%的数据泄露事件涉及到了内部员工行为。现有的网络安全解决方案主要用于保护企业免受外部网络攻击,而忽略了一部分受信任的群体-公司内部员工。重点放在关注外部威胁上时,内部人员滥用特权的情况往往会被忽视。当攻击者侵入公司内部网络,他们非常善于模仿普通员工的行为,进而利用特权进行一些违规操作。这就是UBA不同于传统安全解决方案的地方,通过关注企业内部用户的行为,UBA可提供一套针对内部威胁的防御机制。
  • 68%的内部用户违规行为需要一个月甚至更长时间才能发现。这种威胁检测的延迟是因为现有安全解决方案会产生大量误报,导致IT安全人员在大量的无关紧要的告警中错过了某些关键告警。设置较低的告警阈值和触发大量含有误报的告警,或配置较高的阈值都会面临潜在的风险,IT安全人员往往倾向于选择前者。UBA解决方案可以在一定程度上减少误报的数量,从而为IT安全人员腾出足够的时间专注于那些真正的网络威胁告警。
    2. UBA工作原理
  • UBA解决方案首先会收集整个公司用户在较长时间内的工作行为。然后,为他们建立一个特定于每个用户的“正常”活动模型。最后,只要有偏离正常活动规范的情况发生,UBA就会及时通知到相关管理员。
  • 现有的网络安全解决方案通常是人为定义的一个静态阈值来区分正常和不正常的用户行为,而UBA解决方案使用的是动态分析方法(数据分析和机器学习相结合),根据用户行为的真实情况去定义不同的动态阈值。
  • UBA解决方案的秘诀是不同员工行为难以模仿。因此,即使外部攻击者侵入公司内部网络,他们也很难模仿某个真实员工的日常工作行为。
从5个方面带您全面了解用户行为分析

通过举例UBA解决方案如何检测现有安全解决方案检测不到的内部用户违规行为,我们可以更好地了解UBA。以下几个攻击场景可以涵盖安全威胁的整个范围:从内部人员成为攻击者,到攻击者使用泄露的内部特权用户凭据,再到来自外部的攻击行为。

3. UBA vs 文件复制异常指标监控

  • 经典场景

一名心怀不满的员工从公司离职前决定带走一些公司敏感数据,他知道公司重要文档的存储位置,也很聪明地决定只复制其中少数而且最重要的文件,因为他知道复制太多文件可能会超出管理员设置的基于文件活动量的阈值,从而触发告警系统暴露自己。

  • 泄露指标:异常文件活动行为阈值
  • UBA如何解决该问题?

上述讲到的如果文件活动量较少,传统的安全解决方案很难发现此种用户违规行为,这对企业来说是一项风险很高的内部威胁。但是UBA解决方案可以学习用户过去一段时间的行为,知道用户通常在一天中的特定时间访问多少文件,以及访问什么文件,哪些文件。然后在员工离职的那几天,如果与过去相比,文件活动次数明显增加,UBA会认为这是一项异常的用户行为,因此会实时通知到相关的IT安全人员。

从5个方面带您全面了解用户行为分析

4. UBA vs 登陆异常指标监控

  • 经典场景

获得特权账户凭据的攻击者总是希望扩大其在网络中的控制范围,最常见的是他会使用RDP扫描其他系统,以获得对网络上其他主机的远程访问。攻击者知道管理员通常会检查大量的登录失败记录以检测此类攻击,因此攻击者也会很聪明地避免失败的登录,防止触发基于登录失败次数的告警。

  • 危害指标:首次远程访问主机时出现异常登录活动
  • UBA如何解决该问题?

由于登录失败次数很少,因此此种行为并不会被现有安全解决方案所关注。但是,UBA解决方案会检测到某位员工在某个时段通过远程方式访问了某台重要主机,且是首次访问,这样一来,UBA解决方案就会及时通知管理员。

从5个方面带您全面了解用户行为分析

更重要的是,此攻击者并不知道他们正在使用的凭据的所有者(内部员工)通常会不会RDP到某些重要主机,更不了解通常是何时登录,只要偏离用户的正常行为基准,就会触发异常登录活动告警。

从5个方面带您全面了解用户行为分析

5. UBA vs 外部攻击指标监控

  • 经典场景

员工有时会一不小心点击邮件、网页、QQ中的恶意链接,不知不觉恶意软件就会在公司网络中进行传播,加密公司内部数据。

  • 关键指标:异常进程-主机上首次运行的新进程
  • UBA如何解决该问题?

虽然现有的安全解决方案可以在数据加密开始后检测到勒索软件,但UBA解决方案可以在文件加密之前检测到勒索软件。如上述中提到的场景,当点击恶意链接并下载了恶意程序后,UBA解决方案会立即检测到主机上的新进程并触发告警。这种勒索软件检测方式相比传统方式更加高效和敏捷,管理员也就能够及时采取措施,避免网络攻击的发生。