快捷菜单
社交媒体
联系方式
业务咨询

400-816-1670

地址

北京市 海淀区 东北旺西路8号 中关村软件园9号楼2区306A

Email

contact@HanSight.com

Phone

(+86 10) 8282 6616

新闻 / News

用户行为分析(UBA)实战:如何为每个用户绘制准确的画像?

  • 关键词:UBA,大数据安全分析,用户行为分析,HanSight UBA,网络安全 by HanSight瀚思
  • - Nov.4th, 2016
导语:Gartner曾经的一组调查显示:目前超过85%的安全威胁来自组织内部。在互联网高速发展的今天,内外网无法完全分开的当下,企业的IT管理人员发现,即便是最先进的安全产品也无法根治“内鬼”猖獗。
【本文系HanSight瀚思编译稿件,如需转载请注明出处!】

Gartner曾经的一组调查让我们对于安全威胁问题心有余悸,该调查显示:目前超过85%的安全威胁来自组织内部。在互联网高速发展的今天,内外网无法完全分开的当下,企业的IT管理人员发现,即便用最先进的安全产品防住了黑客的攻击,却对“内鬼”的猖獗无法根治。

可能你对此并没有更深的感触,然而昨天一则《网易员工卧底腾讯被抓》【文章出自三茅网微信公众号 ID:sanmaohr,原文标题《网易员工卧底腾讯被抓!还有这么多大公司在用间谍战》】火遍了朋友圈,让我们更加关注网络安全业内的“无间道”事件。

除此事件外,文中还提到:“前些年原华为副总裁刘平在其《华为往事》中写道:‘从市场到研发,少不了间谍战和情报战。双方都在对方安插了卧底。华为高层会议刚开完,会议精神还没传达,中兴的高层领导就拿到了会议纪要。当然,华为也马上知道中兴拿到了华为的纪要。华为的高层领导经常会看到一份竞争对手动态,里面描述了中兴活动的一举一动。我还看过中兴ATM交换机的详细的开发资料以及中兴接入服务器的立项报告。’”

……………………

事实上,间谍战并不稀奇,那么对于企业来说如何将这种伤害降到最低,如何在内鬼的某些特定行为上找到蛛丝马迹,防患于未然?如何在根本上提高企业的安全级别?在未来,这必将是所有企业争相解决的问题。

本文介绍了用户行为分析(UBA)的一些特定及针对内部威胁的发现过程,希望对您有所帮助。(以下为HanSight编译文章,如需转载,请注明出处)

用户行为分析(UBA)是IT安全行业大有希望的新技术。许多专家一致认为,它让我们有望发掘“不知道的未知情况”,因为它能发现其他技术发现不了的那些攻击。当然,厂商总是在大肆炒作这些新技术,但是事实上,UBA确实是一个大好机会,可以大大提高企业的安全级别。那么,它又是如何实现的呢?

用户在使用公司的基础设施时,会在系统上到处留下足迹。他们的行动出现在日志、审计跟踪记录和其他无数地方。这些大量的宝贵数据早已存在。对UBA工具来说,第一步是收集这些信息。如果使用收集而来的数据(里面含有用户留下的数字足迹),就可以建立一条基准线,表明对这些用户来说什么是“正常行为”。他们通常在什么时候活跃,他们使用什么服务,他们如何使用这些服务等等。

UBA产品使用不同的机器学习算法,绘制用户的画像。这条基准线建立起来后,UBA产品可以开始将活动与用户的寻常行为进行比对,实时发现不寻常的行为。使用被劫持帐户的攻击者或不怀好意的内部人员与系统的交互方式跟平常用户会不一样;通过比较活动和基准线,UBA产品就能第一时间发现出现的“不寻常”活动,并及时提醒安全操作中心(SOC)。

UBA产品使用几种机器学习算法来绘制用户画像的原因在于,所谓的包治百病的“银弹式”算法只出现在电影中。一种算法可能会不必要地提高用户的风险分数,但是如果是几种不同的算法触发警报,那么这种行为一定是可疑的。比如说,始终在上午8点左右登录的某个用户在上午6点登录,这未必是可疑的。可能是出于个人原因,他想早点离开办公室。但是如果他在同一个时间从陌生的国家登录,并且访问之前从不访问的服务器,使用跟平常不一样的命令,那么这个行为就要可疑得多。

UBA产品必须收集相关度最高的数字足迹,那样才能找到可疑的内部人员或外部攻击者。但是在这种情况下,哪种类型的数字足迹最有用?哪种数字足迹能够最准确地描述用户的特点?

办公室员工的五大行为模式

员工的工作节奏――我们何时工作?

每个工作日都一样!许多觉得腻味的员工对此怨声载道。他们在同一个时间醒来,做同样的洗漱工作,然后在大约同一个时间去上班。此外,他们试图每天在同一个时间吃午饭、喝下午茶,然后到下班时间后离开办公室。所以他们工作日中至少90%的时间段里面的行为非常相似。比如说,我每天早上8:30左右开始工作,下午5:30离开办公室。由此来看,在半夜登录非同寻常!

使用的应用程序――我们运行什么应用程序?

大多数人每天都使用同样的应用程序。比如说,我通常使用微软Word & Excel、Google Chrome、文件资源管理器、Evernote,有时使用Paint。但是我从不使用SAP、Jupyter Notebook或Emacs,我们的财务部门、数据科学家或开发人员经常使用这些应用程序。这意味着,如果我使用这些或其他不同寻常的应用程序就是非常可疑的。

访问的文件和服务器――我们使用什么文件和服务器?

虽然我生性好奇,但通常工作时只访问工作所需的营销服务器,在这里我能找到需要的所有文件。如果我下载并打开了含有所有同事薪水的Excel表格,我确信,HR总监一定会来找我。

工作环境――我们在哪里使用什么样的设备?

用我自己打个比方,我每天在同一个办公室工作,只有要参加全球各大IT安全会议时,才有几个工作日在外地工作。此外,每当我前往某个地方出差,总是带上公司发放的笔记本电脑,大多数办公室员工都这样。换句话说,我使用之前从未用过的某个主机,从越南登录到企业网络显然是异常行为。

击键风格――我们是如何击键的?

指纹阅读和视网膜扫描是两种最知名的生物特征识别验证机制,但是并非只有它们两种。我们击键的方式也非常独特。不仅击键速度不一样,连我们击键时犯的错误,以及按两个特定字符之间的持续时间也不一样,这些都因人而异――比如说,我总是习惯输入user behavoir而不是user behavior。

用户行为分析的效果完全取决于分析的数字足迹的质量。老话说得好,垃圾进垃圾出。这意味着分析的效果完全取决于馈送进来的数据。(原文作者:Daniel Bago 原文链接:http://www.cybersecuritytrend.com/topics/cyber-security/articles/422408-behavior-analysis-practice-how-build-an-accurate-picture.htm)

HanSight瀚思在2016年发布了国内首款UBA产品——瀚思用户行为分析系统(HanSight UBA)。

该产品凭借其创新技术不仅比肩国外的顶级UBA产品,同时提供了基于实际安全场景的多维度异常检测功能,内置700+种检测场景。通过独特的“仪表盘”功能将机器学习和算法产生的各种数值结果翻译成用户能够理解的安全场景。

实测表明,在普通的服务器上,HanSight UBA利用GPU优化的高速算法,一分钟内就能完成大部分企业业务场景下的行为数据分析。

目前HanSight UBA已经成功实施某美国上市大型医药公司,通过实施我们发现HanSight UBA解决方案不仅可以利用机器学习让潜在威胁浮出水面,更在威胁发现速度和准确率方面远快于传统的网络威胁发现解决方案。

HanSight UBA的主要功能有:

  • 用户画像;
  • 单独设计的分析结果可视化界面,方便用户迅速掌握多维度的趋势变化和用户/资产与基线的比对;
  • 原生集成瀚思安全威胁情报(HanSight TI);
  • 独有的基于GPU的加速算法优化,性能是普通服务器的数十倍。使得分析结果秒级呈现。