什么是UEBA
前身是用户行为分析UBA,即User Behavior Analysis,用于购物网站上,通过收集用户搜索的关键字,实现用户标签画像,并预测用户购买习惯,推送用户感兴趣的商品。
2014年,为了解决传统规则检测违规的,误报太多,无法识别之前未知的威胁模式的问题,提出了UBA,UBA最初的提出,是为了应对日益增长的内部(人员)威胁。但是,更多的IT资产和设备,即实体(Entity)的概念被渐渐引入。通过UEBA,异常行为分析不仅可以发现内部失陷主机,还能对外部网络攻击以及渗透成功后的内部横向移动有更强的洞察力
UBA的技术目标聚焦在安全(窃取数据)和诈骗(利用窃取来的信息)上,帮助组织检测内部威胁,有针对性的攻击,和诈骗.UBA关注的是人而不是物,通过机器学习来发现高级威胁,实现了自动化的建模,相比于传统的安全管理,UBA在发现用户异常行为(合法用户做不合法的事),异常用户(特权账号盗用)等方面有较高的命中率
UBA定义为:基于机器学习的行为分析,异常检测,UBA分析用户的活动,并为之确立基线,从而评估某个用户的正常行为和异常行为,一旦用户偏离已知正常状态,就会产生警报
UBA的显著特点是除使用检测可能是威胁的异常用户行为的规则外,还利用机器学习和统计模型。机器学习能够让企业识别之前未知的模式,减少静态规则因无法适应每个用户或变化行为所触发的误报,并且基本上不需要为每个潜在的违规行为定义规则。
2015年,UBA演化为UEBA,User and Entity Behavior Analytics,即用户和实体行为分析,除了分析用户外,还可以分析其他实体,比如设备、应用程序和端点设备。
实际UEBA的情景
传统安全框架会推送基于事件的告警,如主机重启,交换机重启,这种情况会让安全人员误认为发生了安全事件,但是实际上是狼来了,实际上只是按规定的重启而已.
我们按照UEBA的思路,关注点在人,且行为符合基线即认定为非安全事件.
按照关注点在人的行为分析,我们可以解决
- 特权账号的盗用(基线分析出账户的异常行为)
- 内部威胁(基线分析)
