什么是 UEBA(用户和实体行为分析)?
了解 UEBA 如何为团队提供更深入的安全性洞察,并强化零信任安全计划。
订阅 IBM 时事通讯 了解有关 UEBA 与 QRadar SIEM 的更多信息
显示不同办公室人员的等轴测图,全部使用 IBM Security
什么是 UEBA?

用户和实体行为分析 (UEBA) 是一款安全软件,采用行为分析、机器学习算法和自动化来识别异常和潜在的危险用户行为和设备行为。UEBA 在识别内部威胁(恶意内部人员或使用遭到入侵的内部凭据的黑客)方面特别有效,这些威胁因为会模仿经授权的网络流量,可以躲避其他安全工具。

UEBA 是 Gartner 于 2015 年首次提出的术语,是用户行为分析 (UBA) 的演变。UBA 仅跟踪最终用户行为模式,而 UEBA 还会监视服务器、路由器和物联网 (IoT) 设备等非用户实体是否存在可能指示安全威胁或攻击的异常行为或可疑活动。

UEBA 与其他企业安全工具一起用于安全运营中心 (SOC),企业安全解决方案中也通常会包含 UEBA 的功能,如安全信息和事件管理 (SIEM)端点检测和响应 (EDR)扩展检测和响应 (XDR) 以及身份和访问管理 (IAM)
UEBA 的工作原理

UEBA 解决方案通过数据分析和机器学习提供安全洞察。UEBA 系统中的行为分析工具从多个来源采集并分析大量数据,以创建特权用户和实体的典型工作方式基线图。然后,系统会借助机器学习来优化基线。随着机器学习不断深入,UEBA 解决方案需要收集和分析的正常行为样本更少,即可创建准确的基线。

对基线行为进行建模后,UEBA 将相同的高级分析和机器学习功能应用于当前用户和实体活动数据,以实时识别与基线的可疑偏差。UEBA 通过分析来自尽可能多的企业来源的数据,越多越好,以评估用户和实体行为。这些来源通常包括:

  • 网络设备和网络访问解决方案,如防火墙、路由器、VPN 和 IAM 解决方案。
     

  • 安全工具和解决方案,如杀毒软件/反恶意软件、EDR、入侵检测和防御系统 (IDPS) 以及 SIEM。
     

  • 身份验证数据库,如 Active Directory,其中包含有关网络环境、系统中活动的用户帐户和计算机以及允许的用户活动的关键信息。
     

  • 威胁情报源和框架,如 MITRE ATT&CK,其中提供有关常见网络威胁和漏洞的信息,包括零日攻击、恶意软件、僵尸网络和其他安全风险。
     

  • 企业资源规划 (ERP) 或人力资源 (HR) 系统,其中包含有关可能构成威胁的用户的相关信息,如已发出通知或可能心怀不满的员工。

UEBA 利用所学知识来识别异常行为,并根据其代表的风险对其进行评分。例如,短时间内多次尝试失败的身份验证,或异常的系统访问模式,均可能表示存在内部威胁,并会创建低分警报。同样,用户插入多个 USB 驱动器并进入异常的下载模式可能表示数据渗漏,并将分配更高的风险评分。

采用此评分指标可帮助安全团队避免误报,并优先处理最大威胁,同时还记录和监视一段时间内的低级别警报,这些警报组合在一起可能表明存在缓慢但严重的威胁。
UEBA 用例

UEBA 可帮助公司识别可疑行为,并强化数据丢失预防 (DLP) 工作。除了这些策略用途之外,UEBA 还可以用于更具战略性的目的,例如证明遵守用户数据和隐私保护的相关法规。

策略用例

恶意内部人员 – 这些人员具备公司网络的授权,甚至是访问特权,并试图发动网络攻击。仅靠数据(如日志文件或事件记录)并不能总是能发现这些人员,但高级分析可以。由于 UEBA 提供针对特定用户(而不是 IP 地址)的洞察,因此可以识别违反安全策略的单个用户。

遭到入侵的内部人员 – 这些攻击者通过网络钓鱼计划、暴力攻击或其他方式获得对授权用户或设备凭据的访问权限。典型的安全工具可能不能发现他们,因为使用合法的(尽管是被盗的)凭据的攻击者显得像是已获得授权一样。一旦进入,这些攻击者就会进行横向移动,在整个网络中移动并获取新的凭据,以提升其权限并访问更敏感的资产。尽管这些攻击者可能会使用合法凭据,但 UEBA 可以发现他们的异常行为,从而帮助阻止攻击。

遭到入侵的实体 – 许多组织,尤其是制造商和医院,会使用大量连接设备,如 IoT 设备,且通常几乎没有安全配置。由于缺乏保护,这些实体成为黑客的主要目标,他们可能会劫持这些设备来访问敏感数据源、中断运营或实施分布式拒绝服务 (DDoS) 攻击。UEBA 可以帮助识别表明这些实体已遭到入侵的行为,从而可以在威胁升级之前将其解决。

数据渗漏 – 内部威胁和恶意行为者经常试图从遭到入侵的服务器、计算机或其他设备中窃取个人数据、知识产权或业务战略文档。UEBA 通过提醒安全团队异常的下载和数据访问模式,帮助团队实时发现数据泄露。

战略用例

实施零信任安全方法零信任安全方法是一种永不信任并持续验证所有用户或实体的方法,无论这些用户或实体是在网络外部还是已经在网络内部。具体而言,零信任要求所有用户和实体在获得应用程序和数据的访问权限之前必须经过身份认证、授权和验证,随后不断进行重新身份认证、重新授权和重新验证,以便在整个会话中保持或扩展访问权限。

有效的零信任架构需要最大限度地了解网络上的所有用户、设备、资产和实体。UEBA 针对所有最终用户和实体活动,为安全分析师提供了丰富实时的可见性,包括哪些设备正在尝试连接到网络、哪些用户试图超越权限等等。

GDPR 合规 – 欧盟的《通用数据保护条例》(GDPR) 对组织提出了保护敏感数据的严格要求。根据 GDPR,公司必须跟踪哪些个人数据被访问、由谁访问、如何使用以及何时删除。UEBA 工具可以通过监控用户行为及其访问的敏感数据来帮助公司遵守 GDRP。
UEBA、SIEM 和其他安全工具

当今很多安全工具中均包含 UEBA,或 UEBA 类型的功能。虽然 UEBA 可以作为一个独立的产品使用,但也应该将其视为综合网络安全工具箱中的一种工具。特别是,UEBA 通常与以下工具一起使用或内置于这些工具中:

安全信息和事件管理 (SIEM)SIEM 系统将来自不同内部安全工具的安全事件数据汇聚到单个日志中并进行分析,以检测异常行为和潜在威胁。UEBA 可通过其内部威胁检测和用户行为分析功能将 SIEM 可见性扩展到网络中。如今,许多 SIEM 解决方案均包含 UEBA。

端点检测和响应 (EDR) – EDR 工具监视系统端点,例如笔记本电脑、打印机和 IoT 设备,以发现可能表明存在威胁的异常行为迹象。检测到威胁时,EDR 会自动将其控制。UEBA 通过监控用户在这些端点上的行为,来充当 EDR 解决方案的补充,且通常也是 EDR 解决方案的一部分。例如,可疑登录可能会触发 EDR 的低级别警报,但如果 UEBA 发现端点被用于访问机密信息,则可以适当提升警报并快速处理。

身份和访问管理 (IAM) – 身份和访问管理工具可确保正确的人员和设备可以在需要时使用正确的应用程序和数据。IAM 是主动式工具,旨在防止未经授权的访问,同时推动授权访问。UEBA 通过监控遭到入侵的凭据或授权用户滥用权限的迹象,进一步提高了保护等级。
相关解决方案
IBM Security QRadar SIEM

检测、调查和响应整个企业中的重点网络安全威胁。

探索 QRadar SIEM
IBM Security QRadar SIEM 附加组件

利用 UEBA、人工智能、事件取证等强化 QRadar SIEM。

深入了解附加组件
内部威胁安全解决方案

防范可访问网络的内部人员的恶意或无意威胁。

深入了解解决方案
资源 什么是 SIEM(安全信息和事件管理)?

SIEM 可帮助组织及早识别潜在的安全威胁和漏洞,以免业务运营遭受破坏。

 什么是 EDR(端点检测和响应)?

EDR 可保护最终用户、端点设备和 IT 资产免受防病毒和其他传统端点安全工具的威胁。

 什么是机器学习?

机器学习能支持计算机像人类一样学习,从而逐渐提高其准确性。
采取下一步行动

立即与专家预约时间,共同踏上 IBM Security QRadar® SIEM 定制之旅。了解如何更好地为攻击做好准备,利用 AI 和自动化来协助加速发现和关联高级威胁,并发现危害网络的可疑内部人员活动等等。

请求 SIEM 演示