用户行为分析 (UBA) 工具可以检测到个人用户何时执行他们通常不会做的事情,例如从新 IP 地址登录或查看他们通常不会处理的敏感数据。
这些微小异常可能不会触发其他网络监控工具。但是,用户行为分析 (UBA) 可以确定此特定用户的此活动是异常的,并提醒安全团队。
由于用户行为分析 (UBA) 工具可以检测到细微的可疑行为,因此可以帮助安全运营中心 (SOC) 发现隐蔽式攻击,例如内部威胁、高级持续威胁和使用被盗凭据的黑客。
这种能力对于当今的 SOC 非常重要。根据 IBM® X-Force Threat Intelligence Index,滥用有效帐户是网络罪犯侵入网络的最常见方式。
用户行为分析 (UBA) 工具和技术用于各个领域。例如,营销人员和产品设计师经常跟踪用户行为数据,以了解人们如何与应用程序和网站交互。不过,在网络安全领域,用户行为分析 (UBA) 主要用于威胁检测。
用户和实体行为分析 (UEBA) 于 2015 年由分析公司 Gartner 首次定义,是从 UBA 演变而来的一类安全工具。
与用户行为分析 (UBA) 一样,UEBA 工具也监控网络活动,为正常行为建立基线并检测与这些规范的偏差。主要区别在于,用户行为分析 (UBA) 仅跟踪人类用户,而 UEBA 系统还跟踪来自非人类实体(例如应用程序和设备)的活动和指标。
关于这两个术语是否可以互换存在一些争论。IDC 等一些公司认为,它们是不同类别的技术。1 另一方面,前 Gartner 分析师 Anton Chuvakin 表示,他认为用户行为分析 (UBA) 和 UEBA 大致相同。
无论如何,对用户的专注是用户行为分析 (UBA) 和 UEBA 与安全信息和事件管理 (SIEM) 以及端点检测和响应 (EDR) 等类似安全工具的不同之处。这些工具使安全团队能够在个人用户层面了解和分析系统活动。跟踪非人类实体可以添加上下文,但这不一定是这些工具的核心目的。
或者,用 Chuvakin 的话来说:“‘U’是必须的”,但“超越‘U’达到其他‘E’则不然。”
用户行为分析 (UBA) 工具不断从整个网络的来源收集用户数据,并使用这些数据来创建和优化用户行为的基线模型。这些工具会实时将用户活动与这些基线进行比较。当他们检测到带来重大风险的异常行为时,他们会向相应的利益相关者发出警报。
用户行为分析 (UBA) 工具收集有关用户属性(例如:角色、权限、位置)和用户活动(例如:他们对文件所做的更改、他们访问的网站、他们移动的数据)的数据。用户行为分析 (UBA) 可以从各种数据来源收集这些信息,包括:
用户目录,例如 Microsoft Active Directory
来自入侵检测和预防系统 (IDPS)、路由器、VPN 和其他基础设施的网络流量日志
来自应用程序、文件、端点和数据库的用户活动数据
来自身份和访问管理系统的登录和身份验证数据
来自 SIEM、EDR 和其他安全工具的事件数据
用户行为分析 (UBA) 工具利用数据分析将用户数据转化为正常活动的基线模型。
用户行为分析 (UBA) 工具可以使用基本的分析方法,例如统计建模和模式匹配。许多公司还使用高级分析,例如人工智能 (AI) 和机器学习 (ML)。
AI 和 ML 支持用户行为分析 (UBA) 工具分析海量数据集,以创建更准确的行为模型。机器学习算法还可以随着时间的推移完善这些模型,以便它们随着业务运营和用户角色的变化而发展。
用户行为分析 (UBA) 工具可以为单个用户和用户组创建行为模型。
对于单个用户,该模型可能会记录用户从何处登录以及他们在不同应用程序中花费的平均时间等信息。
对于用户组(例如部门中的所有用户),该模型可能会考虑这些用户访问的数据库以及他们与之交互的其他用户等内容。
个人用户可能拥有多个用户帐户,用于他们在典型的工作日中使用的不同应用程序和服务。许多用户行为分析 (UBA) 工具可以学会将这些帐户的活动整合到一个统一的用户身份下。
即使用户活动分散在网络的不同部分,帐户活动整合也能帮助安全团队发现行为模式。
创建基线模型后,用户行为分析 (UBA) 工具会监视用户并将他们的行为与这些模型进行比较。一旦发现可能预示着潜在威胁的偏差,它们就会向安全团队发出警报。
用户行为分析 (UBA) 可以通过几种不同的方式检测异常,并且许多用户行为分析 (UBA) 工具结合使用了多种检测方法。
一些用户行为分析 (UBA) 工具使用基于规则的系统,其中安全团队手动定义触发警报的情况,例如用户尝试访问其权限级别之外的资产。
许多用户行为分析 (UBA) 工具还使用 AI 和 ML 算法来分析用户行为并发现异常。借助 AI 和 ML,用户行为分析 (UBA) 可以检测与用户历史行为的偏差。
例如,如果用户过去仅在工作时间登录应用程序,现在在晚上和周末登录,则可能表示帐户被盗用。
用户行为分析 (UBA) 工具还可以使用 AI 和 ML 将用户与其他用户进行比较,并以这种方式检测异常。
例如,营销部门很有可能没有人需要提取客户信用卡记录。如果营销用户开始尝试访问这些记录,则可能表明存在数据渗漏的企图。
除了根据用户行为训练 AI 和 ML 算法之外,组织还可以使用威胁情报源来教导用户行为分析 (UBA) 工具发现已知的恶意活动指标。
用户行为分析 (UBA) 工具不会在用户每次执行异常操作时都发出警报。毕竟,人们通常有正当的理由从事“异常”行为。例如,用户可能会与以前未知的一方共享数据,因为他们是第一次与新供应商合作。
许多用户行为分析 (UBA) 工具不是标记单个事件,而是为每个用户分配风险评分。每当用户做一些不寻常的事情时,他们的风险评分就会增加。异常 风险 越大,增幅越高。当用户的风险评分超过某个阈值时,用户行为分析 (UBA) 工具会提醒安全团队。
这样,用户行为分析 (UBA) 工具就不会让安全团队被微小的异常情况淹没。但是,它仍然会捕获用户活动中的常规异常模式,这更有可能表明存在网络威胁。如果单个重大异常构成足够高的风险,则也可能触发警报。
当用户的风险评分足够高时,用户行为分析 (UBA) 工具会向 SOC、事件响应团队或其他利益相关者发出警报。
一些用户行为分析 (UBA) 工具具有专用的仪表板,安全团队可以在其中监控用户活动、跟踪风险评分和接收警报。许多用户行为分析 (UBA) 工具还可以将警报推送到 SIEM 或其他安全工具。
虽然用户行为分析 (UBA) 工具通常不具备直接响应威胁的能力,但它们可以与其他直接响应威胁的工具集成。
例如,一些身份和访问管理 (IAM) 平台使用用户行为分析 (UBA) 数据进行自适应身份验证。如果用户的风险评分超过某个阈值(可能是因为他们是从新设备登录),IAM 系统可能会要求提供额外的身份验证因素。
由于用户行为分析 (UBA) 工具专注于网络内用户的活动,因此可以帮助安全团队捕获突破其边界防御的恶意参与者。
此外,通过跟踪用户行为的长期模式,用户行为分析 (UBA) 可以检测到最复杂的 网络攻击 留下的几乎难以察觉的痕迹。
无论是有意还是无意, 内部威胁 都是指用户滥用或误用其合法特权对公司造成损害。由于这些用户通常有权进入他们正在破坏的系统,因此许多安全工具可能会漏掉他们。
另一方面,用户行为分析 (UBA) 可以看到用户何时出现异常行为。用户可能有权处理敏感数据,但如果他们将大量数据传输到未知设备,用户行为分析 (UBA) 可能会将此标记为潜在的盗窃。
APT 可能在网络中潜伏数月或数年,悄悄窃取数据或传播恶意软件。他们经常通过伪装成合法用户并随着时间的推移采取许多小步骤来避免被发现,而不是采取重大、冒险的行动。用户行为分析 (UBA) 擅长检测这些可疑行为的长期模式。
UBA 工具在某些情况下会产生假阳性和假阴性结果。组织可以通过使用风险评分,并根据其用户的独特模式训练 AI 和 ML 算法来降低这些可能性,但它们可能无法完全消除风险。
假设用户开始将大量敏感数据从一个云传输到另一个云,作为计划迁移的一部分。UBA 的基线模型可能没有考虑到这种已批准但罕见的活动,因此敲响了警钟。
当用户行为分析 (UBA) 工具学会将潜在威胁视为可接受的行为时,就会出现假阴性。当异常反复发生而没有纠正时,就会发生这种情况。
例如,一家供应商在演示过程中通过为客户模拟数据泄露展示其 UBA 威胁检测技能。UBA 工具会看到同样的违规事件一次又一次地发生。最终,该工具可能会判定这种违规行为属于正常现象(因为它经常发生),并停止发出相关警报。
虽然一些供应商提供独立的 UBA 解决方案,但市场开始倾向于将 UBA 功能作为其他安全工具的集成或附加组件。具体来说,UBA 功能通常嵌入在 SIEM、EDR 和 IAM 平台中。
SIEM 将来自不同内部安全工具的安全事件数据汇总到单个日志中,并分析该数据以检测异常活动。现在,许多 SIEMS 都包含 UBA 功能,或可随时与 UBA 工具集成,这可以帮助组织优化其 SIEM 数据。
将用户行为数据与安全事件数据相结合,可以帮助组织更快地发现威胁,并优先调查风险最高的异常。
用户行为分析 (UBA) 通过将用户行为数据添加到端点活动数据来补充 EDR 工具。这使安全团队能够更深入地了解用户在其端点上的行为,从而更轻松地识别跨设备的可疑行为模式。
组织使用 IAM 工具来控制哪些用户可以访问哪些资源。如前所述,将用户行为分析 (UBA) 工具与 IAM 系统集成使组织能够设计智能自适应身份验证流程,随着用户风险评分的上升,该流程会加强身份验证要求。