企業智能安全運營的秘密
Entity Behavior Analytics(實體行為分析)是一種革命性的安全告警分析方法,它可以實現調查優先級分數,根據用戶和某些實體的行為進行人工智能計算和機器學習,確定特定用戶執行特定活動的概率,以準確發現安全異常。
微軟和Mandiant的多個產品正在使用這種革命性的方法產生智能安全告警...
「先進攻防社群」甄選了Blumira公司一位資深女性安全工程師的博客,她的這篇文章非常深刻的解釋了UEBA安全理念和實例,推薦給粉絲們學習參考…
User and Entity Behavior Analytics (UEBA)是對用戶和實體行為數據的分析,以檢測與安全威脅有關的可疑行為。UEBA工具建立了基線,可以定義 "正常 "行為,并且可以對獨特的行為進行量化和跟蹤。
當檢測到異常行為時,相對于分配給各個用戶/實體的各種實體屬性,異常行為的權重被確定。其他特征,如資產所有權,可以由UEBA工具確定,并適當加權,以確定網絡內記錄的行為或相關行為的 "正常性"。
隨著時間的推移,隨著該工具攝取越來越多的環境信息,它可以確定規范化的網絡活動數據、地理位置數據,并以反映典型系統行為的方式識別你、你的團隊和整個公司其他團隊通常訪問的文件。
從事偏離基線行為的實體會被分配一個加權值,代表該行為偏離規范的嚴重程度。異常行為的例子包括從非典型地點登錄,從新設備登錄,或在正常時間以外訪問數據。UEBA用例的類型將在本篇文章的最后進行更深入的討論。
這些工具可以在漏洞發生后支持安全運營,提供所需的適當資源,以深入了解安全漏洞,并在事件審查期間改變政策和程序。從UEBA工具中收集的數據也可用于補充資產管理計劃,通過分析用戶-資產行為數據來確定資產所有權。
好吧--你能給我一個例子嗎?
讓我們提供一些非常基本的假設背景,來說明為什么用戶和實體行為分析工具可以幫助安全操作。通常在SIEM中,賬戶登錄被跟蹤,但沒有邏輯上的關聯。例如,當賬戶用戶Erika Baker登錄到她的工作站時,這一事件被記錄在日志中,由SIEM收集、攝取和存儲。安全分析員可以通過搜索user='erika.baker'或類似內容(取決于使用的搜索語言)來搜索這個登錄或任何存儲的登錄事件。
假設Erika現在使用一個共享的管理賬戶dbadmin登錄數據庫。一個傳統的SIEM會通過其用戶名來識別這個用戶,即dbadmin,但不會把這個登錄與Erika聯系起來。UEBA工具可以識別并將此登錄與Erika相關聯;在這種情況下,它通過利用額外的SIEM數據,在網絡內的用戶活動和托管數據庫的機器活動之間建立聯系。
這種先進的數據分析得到了機器學習算法的支持,可以快速檢測許多數值和數據集組合的獨特趨勢,這樣安全分析師就可以在異常行為發生時,或者在某些情況下甚至在異常行為發生之前,解放出來去調查更積極的指標。
回到我們假設的企業,幾個月來收集的基線顯示,Erika一直從美國登錄到公司的VPN。然而,最近這些登錄是來自其他國家。由于這種行為非常不尋常,你可以提醒相關管理員重置Erika的密碼,并進一步調查這一安全事件。理想的情況是,UEBA工具能提前發現類似的行為,這樣就能避免更危險的情況。
誰在使用UEBA工具?
如果你還沒有聽說過20項CIS安全管控能力,那么了解一下它們如何被企業用來指導內部安全項目的發展。這些控制措施類似 "一份高度優先、高度有效的防御行動的簡短清單,為每個尋求改善網絡防御的企業提供了一個'必須做、優先做'的起點。"
擁有既定安全計劃的企業,為了使其當前的安全模式更加成熟,往往選擇將UEBA產品整合到其工具集中。
CIS的基礎控制 #16 賬戶監測和控制措施,要求企業:"積極管理系統和應用程序賬戶的生命周期--它們的創建、使用、休眠、刪除 -- 以盡量減少攻擊者利用它們的機會。" (Center for Internet Security, 2019)
基本的的CIS控制措施
1. 硬件資產的盤點和管控
2. 軟件資產的盤點和管控
3. 持續性漏洞管理
4. 管理特權管控
5. 移動設備、筆記本電腦和服務器的硬件和軟件安全配置
6. 審計日志的維護、監控和分析
基礎性的CIS控制措施
7. 電子郵件和Web瀏覽器的保護
8. 惡意軟件防御
9. 對網絡端口、協議和服務的限制和控制
10. 數據恢復能力
11. 網絡設備的安全配置,如防火墻、路由器和交換機
12. 邊界防御
13. 數據保護
14. 基于“需要知悉”原則的控制訪問
15. 無線網絡訪問控制
16. 賬戶監測和控制
關于CIS控制,UEBA工具應該在組織成功地在其安全和IT操作中實施所有的基本安全控制后進行整合。這些控制措施旨在為組織提供適當的數據和資源,以負責任地監測、收集、存儲和響應公司的安全數據。
除了CIS控制之外,醫療保健、金融和能源相關組織將尋求UEBA解決方案,以滿足與數據收集、保留、監控和安全相關的管理或服務水平要求。
此外,在歐盟于2018年3月全面采用《通用數據保護條例》(GDPR)立法后,許多歐洲企業將發現自己正在尋求UEBA解決方案。GDPR執行更好的私人數據保護和更嚴厲的罰款;它要求企業對數據保護有更大的可見性,以檢測并隨后在72小時內披露可能 "導致個人權利和自由風險 "的數據泄露事件。
UEBA技術通過在可疑行為對組織造成實質性破壞之前識別它來協助組織。無論在哪個部門,如果有效地使用UEBA工具,可以幫助企業檢測到攻擊者的行為,更早地打破攻擊鏈,并減少安全事件的總體平均解決時間,以盡量減少對公司和附屬機構的潛在損害。
UEBA使用案例
UEBA工具通常會在數據中尋找相同或類似的趨勢,以發現不尋常的行為異常、表明安全事件或入侵的趨勢。以下是常見的UEBA用例清單:
?用例 描述 失陷賬戶檢測 檢測被盜的用戶憑證或被欺詐利用的用戶憑證。檢測共享賬戶的使用和通用賬戶的濫用。UEBA專注于這一領域的威脅檢測,數據可用于優化身份訪問管理或支持相關計劃內的政策變化。 失陷終端檢測 識別感染了惡意軟件或有其他可疑行為的受損網絡端點。重點關注命令控制(C2)流量(即調查當前用戶未登錄操作時的流量)。 數據滲透檢測 識別授權或未授權用戶的數據滲漏。專注于數據丟失防護(DLP)警報、云訪問安全代理(CASB )日志或網絡流量數據。 ?濫用內部訪問權限,包括濫用特權 識別惡意的濫用訪問權限用戶。重點關注對數據的未經授權的訪問或不符合組織政策的系統特權的濫用。 為調查提供額外的上下文背景信息 根據安全威脅有關異常情況的關聯性,將通知安全分析員告警進行分流分類,隨后進行事件聚集和關聯,以便進一步分析。 用戶定制案例 可選的行為監測和執法用途,具體到企業案例...比如醫療行業的安全數據模型可以為納入藥物配給的跟蹤服務;零售行業的安全數據模型可以完善欺詐檢測指標。自定義數據和用例通常采用機器學習模型,以幫助跟蹤和識別與所需環境和用例相關的趨勢。 |
