快捷菜单
社交媒体
联系方式
业务咨询

400-816-1670

地址

北京市 海淀区 东北旺西路8号 中关村软件园9号楼2区306A

Email

contact@HanSight.com

Phone

(+86 10) 8282 6616

新闻 / News

用户行为分析(UBA)已成企业内部威胁的“收割利器”

  • 关键词:HanSight UBA,大数据安全分析,用户行为分析,网络安全 by HanSight瀚思
  • - Dec.2th, 2016
导语:据美国波耐蒙研究所的一项调查显示,损失最为惨重的网络犯罪案件多数是企业内部人员监守自盗导致,因此企业亟需一种对付恶意内部人员的高级技术。用户行为分析(UBA)利用一种专门的安全分析算法,不仅仅可以关注初始登录操作,还能跟踪用户的一举一动。
【本文系HanSight瀚思编译文章,如需转载,请注明出处!】

UBA已成企业内部威胁的“收割利器”1

尽管包括数据丢失预防(DLP)在内的众多安全产品已被添加到企业网络安全战略中,但是确保机密数据和资产的安全仍是企业组织面临的一大挑战。据美国波耐蒙研究所(Ponemon Institute)2015年的一项调查显示,目前损失最为惨重的网络犯罪案件多数是由企业内部人员监守自盗导致,其次才是拒绝服务攻击(DoS)和基于Web的攻击。

对付恶意内部人员需要使用高级技术,比如用户行为分析(UBA),这种新兴技术可提供以往被遗漏的数据保护和欺诈检测功能。结合用户日常操作的系统,UBA利用一种专门的安全分析算法,不仅仅可以关注初始登录操作,还能跟踪用户的一举一动。

HanSight瀚思以群为单位的多维度基线偏离降低误报

HanSight瀚思以群为单位的多维度基线偏离降低误报

UBA有两个主要功能:它有助于为用户执行的正常活动确立基线,并迅速识别偏离正常行为的异常行为,以便安全分析员执行调查。某些异常行为可能乍一看不是恶意,但是这需要安全分析员进一步调查情况,以确定它是合法行为还是恶意行为。

UBA使用统计分析和机器学习技术,实时分析并了解用户行为和模式,从而检测和评估企业中的高危用户行为。UBA可以主动寻找内部威胁和欺诈行为、检测高级的恶意软件活动、密切关注用户的行动,从而自动识别高危行为,并向安全分析员表明用户的风险状况。这一切不需要分析员花大量的时间来筛选大量的干扰警报。UBA可以有效地关联安全警报,并确定优先级。

以下是UBA的一种使用场景:一名授权用户试图在半夜访问企业组织的文件服务器――该用户之前从来没有这么做过。当然,该用户访问服务器很有可能是因为当晚有维护工作。与此同时,这也有可能是一起登录信息被恶意利用的事件:攻击者企图将数据泄露到服务器外面,以窃取企业信息或知识产权。

目前瀚思用户行为分析系统(HanSight UBA)已经内置700+种检测场景,并可以通过独特的“仪表盘”功能,将机器学习和算法产生的各种数值结果翻译成用户能够理解的安全场景,在国内也是首次突破了这项技术的瓶颈,并已经拥有了实际客户。

UBA有助于为用户行为建立模型、绘制画像,并且以近实时的方式自动处理这类事件。它还会提醒安全分析员采取行动,不然异常行为就会很容易被忽略,最终导致数据泄密事件。

UBA的价值实现

UBA可以在许多方面为企业提供巨大的价值。它能提供可见性,以便企业深入了解潜在的内部威胁,比如授权帐户被攻击者利用后,UBA会及早发出警报信号。同时UBA还可以评估用户的正常活动与异常活动中的行为变化。

UBA已成企业内部威胁的“收割利器”2

UBA涉及数据整合、数据挖掘、关联、数据呈现及可视化和服务交付等多种技术。目前,许多厂商一直在针对某个特定的安全使用场景实施产品优化。其实,UBA功能的高效实现其实是依赖收集的结构化信息和非结构化信息。

也就是说,分析引擎功能的实现很大程度上依赖接入的数据源和适当的上下文的结合,以便用户了解哪些数据和变量需要加以分析、为用于分析风险评级功能的关键变量分配权重。

所以,想获得UBA技术的最大利用价值,将含有业务上下文的合适数据接入引擎是一个关键步骤。UBA可接入的原始数据源包括VPN网关日志(记录用户远程连接到企业网络的情况)、活动目录日志、Windows及Unix服务器日志、来自防火墙和DLP等系统的安全事件日志,以便了解用户何时成功的连接到VPN网络、建立会话,何时登录到应用服务器,何时访问来自敏感系统的数据,用户花在处理和移动数据方面的时间,以及是否将任何数据从服务器传送到外部系统。

最后,IP窃取、数据外泄及欺诈检测、恶意软件检测和分析员工的社交媒体活动,也是UBA技术有助于检测异常并向安全团队发出预警信号的几个使用场景。企业一旦选择了某家厂商的解决方案并完成部署,下一个重要的步骤就是在获得实际的结果或价值之前,密切关注用户在几周内的行为,以此确立初始基线。如果这项技术未加以优化或微调,使用时就会生成大量干扰信号。

因此,为了获得最佳结果,用户有必要花费一些时间,提前密切关注和了解企业中的用户行为,正确辨别正常行为与异常行为。机器学习和统计方法有助于显示异常行为和身份识别频率,并且发现严重的内部威胁和针对性高级攻击。

长久以来,安全厂商在定义安全产品的方案上都花了大量时间去研究“黑”,然而在实际部署的过程中,我们发现“白”远远大于“黑”,HanSight瀚思首席科学家万晓川认为:定义“白”比定义“黑”更为重要。

此外,紧跟无监督学习业界前沿研究成果,瀚思在大数据安全产品中相应地采用最新算法,比如数据拓扑分析、变分自编码器,而不是墨守成规使用老的常见聚类算法,使得异常分析在企业缺乏标注安全数据的情况下也能达到好的效果。