自2015年Gartner将UBA正式改名为UEBA以后,通过近几年的发展,UEBA的有效性已经在如数据泄露、内部威胁、帐号失陷、主机失陷等典型的场景中获得了应用和验证,在此不赘述。本文将对UEBA的实现过程作简要介绍,不涉及任何场景。从全息来看,完成UEBA的落地实施须要具有6个步骤:算法
NO.1数据采集安全
数据采集是第一步,也是基础。不一样的数据采集方式得到数据类型和颗粒度也不尽相同。目前有两种典型的采集方式:日志(这里将代理方式也划分到日志方式)和网络流量。网络
日志方式:运维
根据设备和应用系统提供商预先提供的数据格式、颗粒度和内容等的相关规则,产生日志数据,同理安装代理方式也产生各类日志数据,并将日志数据发送到日志探针。机器学习
日志方式随着日志数据内容由少到多、颗粒度由粗到精细的过程,占用的资源会急剧增长,此时会给设备和应用系统带来必定的风险。因此在实施日志采集方式时,一般产生的日志数据都是最小集合和粗颗粒度的,而这对于以数据驱动为核心的UEBA来讲,最终的效果会大打折扣。ide
网络流量方式:工具
通常是经过交换机镜像功能,将网络流量复制一份,发送到流量采集器。网络流量方式就是真实和实时的网络流量,包含更加全面的信息。同时,又具备无感知和零风险的特色,即一般说的旁路模式,不会改变现有的网络拓扑、不须要对现有的业务系统进行变动,也就不会影响业务,部署也方便易行。全息数据采集也是以网络流量方式为主,在某些状况下,能够采用日志方式做为补充。学习
NO.2信息识别人工智能
是对采集到的数据进行处理,从数据中提取出帐号、用户、设备、应用、数据、IP等关键元素。代理
就日志方式来讲,是对采集的日志进行数据标准化处理;网络流量方式则是对采集的流量,一般按照ISO模型进行2-7层解析和信息提取。
随着数据泄露事件的日益频发,如何保护敏感数据所面临的严峻挑战?2-7层信息采集方式显然已经不能胜任,须要更深层次的信息采集能力:2-8层信息提取。这里的第8层表示数据包的内容/上下文,也是一般所说的发现和识别敏感数据。
举个绿皮火车的例子以便于理解第8层信息。对于该列货车车箱来讲, 2-7层解析能力类比表示:此时可以只看到车外部状况,包括车箱颜色、外形、车箱编号等信息;2-8层解析能力类比表示:除了前面的信息外,更进一步还可以看到车箱内的状况,好比车箱内运输的是什么(黄金、煤炭、食品等等)、数量、车箱内壁的颜色等等信息。就货车例子来讲,咱们除了须要2-7层基本信息外,咱们更加须要第8层的信息。同理,在信息采集和提取方面,咱们须要2-8层信息,全息数据采集模式原生就是从网络流量中实时提取2-8层信息。
NO.3行为刻画
通过数据采集和信息识别两阶段后,输出的关键元素,就是咱们常说的用户和各类实体,它们又是第三阶段的输入,行为刻画是对全部用户和实体的行为基于时间序列进行持续不断的跟踪和画像。以全息对用户刻画为例,主要包括该用户都有哪些帐号、访问哪些应用、Top应用是哪些、使用哪些文件、哪些敏感数据、都使用什么设备、何时在线、所在位置等属性信息。画像过程是创建基线的过程,经过画像将用户和实体的一切网络活动彻底可视化。
NO.4关联分析
有了用户和实体的行为刻画数据后,就要考虑如何有效使用这些数据。关联分析是结合各种数据对安全事件进行分析的自动化过程。大部分安全事件很难在某一个或两个维度的分析下被发现,须要多维度考虑。如时间、网络层次、安全业务对象等维度。以全息网御来讲,是从用户、设备、应用、数据4个维度作实时全息关联分析,不是一次性事件,而是自动化、持续化的过程,关联分析的结果不少状况下能够直接用于解决问题;另外一个方面,关联分析做为UEBA落地的重要一环。
NO.5行为建模
行为建模阶段,对个体行为从多个维度在时间序列和地点域进行分析,不只仅分析个体,还要对群组行为分析,基于行为刻画和关联分析的数据,创建群组基线和个体基线;借助平均值、方差、类似度等,对个体和群组行为对比,识别出偏离正常基线的行为。
NO.6异常检测
最后步骤是异常检测,使用各类机器学习算法如孤立森林、SVM, K-Means聚类等进行异常检测,不一样的算法有各自的局限性,很难有一个算法适用全部场景,须要对异常检测的结果进行验证和回馈,还要综合个群对比特征等专项分析技术识别和发现异常行为,经过风险评分来缩小和减小误报的范围,更加精准的聚焦异常行为。异常检测不只只是算法,而是综合上述6步构成UEBA基本落地步骤。
UEBA做为一种分析技术,是以数据驱动为核心主线,围绕用户多帐号、多实体、多种敏感数据、关键应用、访问方式、部门、时间、地点、频度等等信息,综合运用各类技术贯穿从信息采集、提取、识别、关联、建模和检测的整个分析过程。UEBA 既是技术也能够做为一种工具,其特色是经过行为分析尽量将异常行为从网络行为中分离出来,提供更加聚焦和精准的异常行为检测结果,从而有效的提高安全运营水平。
上述6个步骤中,每个阶段都涉及大量内容,限于篇幅本文浮光掠影稍做介绍,以期让你们有基本了解,为你们从此有机会落地UEBA提供参考。
关于全息网御:全息网御科技融合NG-DLP、UEBA、NG-SIEM、CASB四项先进技术,结合机器学习(人工智能),发现并实时重构网络中不可见的”用户-设备-数据”互动关系,推出以用户行为为核心的信息安全风险感知平台,为企业的信息安全管理提供无感知、无死角的智能追溯系统,高效精准的审计过去、监控如今、防患将来,极大提升IT安全运维和安全人员响应事故、抓取证据链、追责去责无责、恢复IT系统的能力和效率。