赛博坦安全管理平台中的 UEBA

安全分析 置顶 精帖
收藏
7 2203
Sunny912
ct 未认证 2018-03-06 10:59:10
付费话题:0 积分

1. 背景

        当前的网络威胁状况越来越复杂,来自外部的威胁越来越隐蔽,而来自内部的威胁更是不易发现。内部用户通常都用合法的身份访问系统,经常会访问多个系统,多次登录,时间跨度可能长达几天甚至几个月。

        对于这些越来越隐蔽的威胁,常规的安全检测系统通常会面临很大的挑战,所以我们必须采用一些新的技术来进行安全检测,比如:机器学习、行为分析、数据科学、人工智能等等。

        赛博坦安全管理平台,为了应对当前越来越复杂的威胁状况,研发了 UEBA(用户与实体行为分析)模块,通过机器学习,行为分析等,可以减少告警误报,识别异常行为,大大提高安全分析师的工作效率。

2. 什么是 UEBA  

        它的前身是UBA(用户行为分析),最早用于购物网站上,通过收集用户搜索关键字,实现用户标签画像,并预测用户购买习惯,推送用户感兴趣的商品,而这项技术很快就被移植到网络安全领域。

        UBA 应用于网络安全领域,主要用来识别潜在的、真正的风险,从各种设备中采集的大量数据(SIEM, IDS/IPS, System Logs)中,发现蛛丝马迹,识别异常。UBA 最初将目标市场聚焦在安全(窃取数据)和诈骗(利用窃取来的信息)上,帮助组织检测内部威胁、有针对的攻击和金融诈骗。但随着数据窃取事件越来越多,Gartner 认为有必要把这部分从诈骗检测技术中剥离出来,于是在 2015 年正式提出:用户实体行为分析(UEBA)。

        Gartner 将 UBA 进行扩展,包括了设备、应用、服务器、数据,或者任何 IP 资源,将原来主要定位于诈骗识别的 UBA ,扩展为 UEBA,UEBA 定位于:识别当前已经布署的监控系统没有识别出来的恶意行为或权限滥用。其中增加的实体(entity),更强调了设备的行为在网络攻击及威胁检测中的作用。

3. 赛博坦安全管理平台中的 UEBA

        UEBA 是赛博坦安全管理平台的核心组件之一,对平台的安全分析、智能分析功能提供有力支撑。

        UEBA 是数据驱动的,数据是 UEBA 的核心支撑,UEBA 能被成功的部署、使用,有效的提升安全运营水平,其前提之一就是更广泛的数据收集,赛博坦安全管理平台强大的数据采集能力为 UEBA 充分发挥自身的强大功能提供了有力支撑。

        赛博坦在设计中就考虑了更多数据源,除了常规的日志数据(SIEM/SOC Alert, host log, VPN log, proxy log, anti-malware log 等),还包括 IT 系统可能提供的资产数据、AD 数据,LDAP 数据、HR 数据等,也包括来源于第三方的安全团队或客户的业务数据。

        赛博坦安全管理平台中的 UEBA 引擎,通过机器学习来识别用户的异常行为,而这些异常行为常常是常规的安全防护设备或者 SIEM 系统没有识别出来的。通过 UEBA,安全分析师可以大大提高威胁发现能力,在数据泄漏发生之前将漏洞补上。


4. UEBA 让赛博坦安全管理平台如虎添翼

  • - 在常规的 SIEM 和 日志分析技术之上,再提供一个强大的行为分析层
  • - 通过行为分析来检测风险和潜在攻击,以便及时阻止攻击或提供补救措施
  • - 面向事件调查的设计、从安全分析专家的角度来设计,目标是大大减少安全分析师的调查时间
  • - 从大量的常规告警事件中,发现真正需要关注的风险与事件
  • - 通过风险评分机制,将安全风险排序。任何单一的异常,都不需要安全分析人员特别关注,但每检测到一次异常,都会增加风险得分,只有风险得分达到一定的程度,才会由安全分析人员进行处理,这样可以大大减少误报
  • - 不仅对用户的行为进行分析,还对网络环境中的机器设备等的行主进行分析。如果只关注人的行为,那么跳板机的异常就会被忽略,因为攻击者会用各种默认的用户去
  • - 访问网络中的其他机器,从用户来说,所有的行为都是正常的
  • - 对于检测到的风险,通过 Cybertron 专有的会话数据模型,将用户的正常行为与异常行为按时间线串起来
  • - 基于恶意行为攻击链的调查。通过深度学习和 AI 模型,展示每个用户的完整攻击链,包括正常与非正常行为,而不仅仅是只显示异常
  • - 可以看到完整的用户行为视图(不受限于具体的设备、日志、行为)

 


回帖
  • Ethan
    2018-04-04 23:21:49
    @ ct:专有的会话识别模型与技术,这个叫做用户测绘
    0 回复
  • demon
    2018-03-28 10:38:56

    干货,666!

    0 回复
  • ct
    2018-03-14 11:51:10
    @ FoC:赛伯坦中 UEBA 最重要的两个部分是: 1. 专有的会话识别模型与技术。这是 UEBA 的支撑组件,其中采用了大量的机器学习算法与模型,来检测与识别用户会话,这部分几乎不需要用户配置。 2. UEBA 的配置,在智能分析模块的用户行为分析子模块。这部分通过非常简单的参数选择与配置,即可以让 UEBA 的检测引擎对实时事件流或历史事件进行持续检测,通过机器学习、统计模型等算法,识别用户的异常行为并为其打分。
    0 回复
  • cyberguy
    2018-03-09 14:50:54

    没看够。多写点。

    0 回复
  • FoC
    2018-03-09 13:05:11

    ueba在赛博坦的套件中是如何配置和使用的?

    0 回复
  • Ethan
    2018-03-06 13:26:10

    能结合具体场景就更棒了

    0 回复
  • 一辉
    2018-03-06 09:35:40

    好文

    0 回复