Cybertron-UEBA 介绍

安全分析
收藏
0 782
Sunny912
ct 未认证 2020-07-07 22:53:01
付费话题:0 积分

1. 概述

1.1 背景

当前的网络威胁状况越来越复杂,来自外部的威胁越来越隐蔽,而来自内部的威胁更是不易发现。内部用户通常都用合法的身份访问系统,经常会访问多个系统,多次登录,时间跨度可能长达几天甚至几个月。
对于这些越来越隐蔽的威胁,常规的安全检测系统通常会面临很大的挑战,所以我们必须采用一些新的技术来进行安全检测,比如:机器学习、行为分析、数据科学、人工智能等等。

为了应对当前越来越复杂的威胁状况,我们在 2018 年研发了用户行为分析模块,今年,我们在其基础上,研发了 Cybertron-UEBA 产品,通过机器学习,关联分析、行为分析、用户分析等技术,增强异常行为识别能力,从而减少告警误报,以便大大提高安全分析师的工作效率。

1.2 什么是 UEBA

UEBA 的前身是UBA(用户行为分析),最早用于购物网站上,通过收集用户搜索关键字,实现用户标签画像,并预测用户购买习惯,推送用户感兴趣的商品,后来这项技术很快就被运用到网络安全领域。

UBA 应用于网络安全领域,主要用来识别潜在的、真正的风险,从各种设备中采集的大量数据(SIEM, IDS/IPS, System Logs,VPN)中,发现蛛丝马迹,识别异常。UBA 最初将目标市场聚焦在安全(窃取数据)和诈骗(利用窃取来的信息)上,帮助组织检测内部威胁、有针对的攻击和金融诈骗。但随着数据窃取事件越来越多,Gartner 认为有必要把这部分从诈骗检测技术中剥离出来,于是在 2015 年正式提出:用户实体行为分析(UEBA)。

Gartner 将 UBA 进行扩展,包括了设备、应用、服务器、数据,或者任何 IP 资源,将原来主要定位于诈骗识别的 UBA ,扩展为 UEBA,UEBA 定位于:识别当前已经布署的监控系统没有识别出来的恶意行为或权限滥用。其中增加的实体(entity),更强调了设备的行为在网络攻击及威胁检测中的作用。

2. Cybertron-UEBA

2.1 总体架构



2.2 能力列表

     Cybertron-UEBA 具体以下能力:

  1. 1. 数据采集能力
    UEBA 是数据驱动的,数据是 UEBA 的核心支撑,UEBA 能被成功的部署、使用,有效的提升安全运营水平,其前提之一就是更广泛的数据收集,强大的数据采集能力为 UEBA 充分发挥自身的强大分析功能提供了有力支撑。

    Cybertron-UEBA 在设计中就考虑了更多数据源,可以采集的数据源包括:

    • - 常规日志源(SIEM/SOC Alert, host log, VPN log, proxy log, anti-malware log 等)
    • - IT 系统可能提供的资产数据
    • - AD 数据,LDAP 数据
    • - HR 数据
    • - 第三方的安全团队或客户的业务数据
  2. 2. 用户与实体识别能力

    UEBA 通过专有的识别模型与技术对用户和各种实体进行识别,其中采用了大量的机器学习算法与模型,包括:

    • - 帐户识别
    • - 用户识别
    • - 会话识别
    • - 设备识别
    • - 应用识别
  3. 3. 异常分析能力

    UEBA 通过 Cybertron 强大的智能分析引擎,充分利用机器学习、关联分析、行为分析、专项分析等技术,对识别出来的用户与各种实体进行分析,从而发现异常行为,对异常行为进行风险评分,而这些异常行为通常是常规的安全防护设备或者 SIEM 系统没有识别出来的。通过 UEBA,安全分析师可以大大提高威胁发现能力,在数据泄漏发生之前将漏洞补上。

    • - 关联分析

      关联分析能够结合企业内的各类情景数据对海量安全事件进行关联行分析。Cybertron-UEBA 除了支持常见的匹配关联、统计关联运算外,还支持跟各种情景数据进行关联,比如资产数据、威胁情报,活动列表等。

    • - 行为分析

      行为分析通过机器学习和统计分析技术,将用户与实体和会话模型自动关联,然后对用户和实体的行为按时间序列进行建模,采用风险置信模型对检测到的异常行为进行风险置信度计算与评分,然后触发相关告警。同时提供了灵活的配置和扩展框架,用户可以结合行业和业务的特点进行扩展配置。

    • - 专项分析

      专项分析以小程序插件的方式为智能分析引擎提供补充,用户可以根据所需的分析技术和场景进行自定义开发,同时系统也内置了多个实用化的深度分析场景,用户可以根据需要直接使用。

  4. 4. 分布式布署能力

    在大数据时代,随着网络规模的扩大,网络处理能力与设备节点数量不断增加,导致 EPS(每秒处理事件量)水涨船高,另一方面,安全分析不仅要关注安全日志,还要关注业务日志、流量日志,以及大量的情景数据,这使需要处理的 EPS 以指数级增长。所以 Cybertron-UEBA 还提供了分布式布署的能力,以增强对大数据进行安全分析的能力。

2.3 关键特性

  • - 通过机器学习技术对用户与实体进行智能识别

  • - 从大量的常规事件中,发现真正需要关注的风险与事件

  • - 不仅对用户的行为进行分析,还对网络环境中的机器设备等实体的行为进行分析

       比如:如果只关注人的行为,那么跳板机的异常就会被忽略,因为攻击者会用各种默认的用户去访问网络中的其他机器,从用户来说,所有的行为都是正常的

  • - 在常规的 SIEM 和 日志分析技术之上,提供了一个强大的行为分析层

  • - 通过行为分析来检测风险和潜在攻击,以便及时阻止攻击或提供补救措施

  • - 内置的风险评分能力与可配置的风险评分模型相结合

  • - 通过风险评分机制,将安全风险排序

  • - 任何单一的异常,都不需要安全分析人员特别关注,安全分析人员只需要处理风险得分比较高的异常,这样可以大大减少误报,提高安全分析师的工作效率。

  • - 对于检测到的风险,通过 Cybertron 专有的会话数据模型,将用户的正常行为与异常行为按时间线串起来

  • - 基于恶意行为攻击链的调查。展示每个用户的完整攻击链,包括正常与非正常行为,而不仅仅是只显示异常

  • - 可以看到完整的用户行为视图(不受限于具体的设备、日志、行为)。

2.4 部分截图

  1. 1. 行为分析配置



  2. 2. 用户行为概览


  3. 3. 可疑用户详情及行为轨迹


     


回帖
  • 消灭零回复