了解 UEBA 及其在事件響應中的作用

安全漏洞在數字世界中變得越來越普遍。 UEBA 幫助組織檢測和響應這些事件。

用戶和實體行為分析 (UEBA) 以前稱為用戶行為分析 (UBA)。 它是一種網絡安全解決方案，它使用分析來了解組織中的用戶（人類）和實體（聯網設備和服務器）通常如何實時檢測和響應異常活動。

UEBA 可以識別並提醒安全分析師注意可能表明的風險變化和可疑行為：

• 橫向運動
• 特權帳戶濫用
• 權限提升
• 憑證妥協或
• 內部威脅

UEBA 還進一步評估威脅級別並提供有助於建立適當響應的風險評分。

繼續閱讀以了解 UEBA 的工作原理、組織為何轉向 UEBA、UEBA 的主要組成部分、UEBA 在事件響應中的作用以及 UEBA 最佳實踐。

用戶和實體行為分析如何工作？

用戶和實體行為分析首先從數據存儲庫（例如數據湖、數據倉庫）或通過 SIEM 收集有關組織中人員和機器的預期行為的信息。

UEBA 然後使用高級分析方法來處理這些信息，以確定並進一步定義行為模式的基線：員工從哪裡登錄、他們的權限級別、文件、他們經常訪問的服務器、訪問時間和頻率以及他們使用的設備使用權。

UEBA 然後持續監控用戶和實體活動，將它們與基線行為進行比較，並決定哪些操作可能會導致攻擊。

UEBA 可以知道用戶何時進行正常活動以及何時發生攻擊。 儘管黑客可能能夠訪問員工的登錄詳細信息，但他們將無法模仿他們的常規活動和行為。

UEBA 解決方案具有三個主要組件：

數據分析： UEBA 收集和組織用戶和實體的數據，以構建每個用戶典型行為的標準配置文件。 然後製定並應用統計模型來檢測異常活動並提醒安全團隊。

數據集成：為了使系統更具彈性，UEBA 將從各種來源（例如係統日誌、數據包捕獲數據和其他數據集）獲得的數據與從現有安全系統收集的數據進行比較。

數據呈現： UEBA 系統傳達其發現和適當響應的過程。 此過程通常涉及向安全分析師發出調查異常行為的請求。

UEBA 在事件響應中的作用

用戶和實體行為分析使用機器學習和深度學習來監控和分析組織中人和機器的通常行為。

如果與常規模式有偏差，UEBA 系統會檢測到它並執行分析，以確定異常行為是否構成真正的威脅。

UEBA 從不同的日誌源（例如數據庫、Windows AD、VPN、代理、徽章、文件和端點）獲取數據以執行此分析。 使用這些輸入和習得的行為，UEBA 可以融合信息以構成風險排名的最終分數，並向安全分析師發送詳細報告。

例如，UEBA 可以查看第一次從非洲通過 VPN 進入的員工。 僅僅因為員工的行為不正常並不意味著這是一種威脅； 用戶可能只是在旅行。 但是，如果人力資源部門的同一名員工突然訪問財務子網，UEBA 會將員工的活動識別為可疑並警告安全團隊。

這是另一個相關的場景。

哈利是紐約西奈山醫院的一名員工，他急需錢。 在這一天，Harry 等待所有人離開辦公室，然後在晚上 7 點將患者的敏感信息下載到 USB 設備中。 他打算在黑市上以高價出售被盜數據。

幸運的是，西奈山醫院採用了 UEBA 解決方案，該解決方案可以監控醫院網絡內每個用戶和實體的行為。

儘管 Harry 有權訪問患者信息，但 UEBA 系統在檢測到他的日常活動有偏差時會增加他的風險評分，這通常涉及在上午 9 點到下午 5 點之間查看、創建和編輯患者記錄。

當 Harry 在晚上 7 點嘗試訪問信息時，系統識別模式和時間不規則並分配風險評分。

您可以將 UEBA 系統設置為暗示為安全團隊創建警報以建議進一步調查，或者您可以將其設置為立即採取行動，例如由於可疑的網絡攻擊而自動關閉該員工的網絡連接。

我需要 UEBA 解決方案嗎？

UEBA 解決方案對組織來說至關重要，因為黑客正在實施越來越難以檢測的更複雜的攻擊。 在威脅來自內部的情況下尤其如此。

根據最近的網絡安全統計，全球超過 34% 的公司受到內部威脅的影響。 此外，85% 的企業表示很難量化內部攻擊的實際成本。

因此，安全團隊正在轉向更新的檢測和事件響應 (IR) 方法。 為了平衡和提升他們的安全系統，安全分析師正在將用戶和實體行為分析 (UEBA) 等技術與傳統的 SIEM 和其他遺留預防系統相結合。

與其他傳統安全解決方案相比，UEBA 為您提供了更強大的內部威脅檢測系統。 它不僅監控異常的人類行為，還監控可疑的橫向運動。 UEBA 還跟踪您的雲服務、移動設備和物聯網設備上的活動。

複雜的 UEBA 系統從所有不同的日誌源中提取數據，並為您的安全分析師構建詳細的攻擊報告。 這可以為您的安全團隊節省花在查看無數日誌以確定攻擊造成的實際損失的時間。

以下是 UEBA 的眾多用例中的一些。

前 6 個 UEBA 用例

#1 . 當用戶在既定的正常行為之外執行有風險的活動時，UEBA 會檢測到內部特權濫用。

#2. UEBA 融合來自不同來源的可疑信息，為風險排名創建風險評分。

#3. UEBA 通過減少誤報來確定事件優先級。 它消除了警報疲勞並使安全團隊能夠專注於高風險警報。

#4. UEBA 可防止數據丟失和數據洩露，因為系統會在檢測到敏感數據在網絡內移動或傳輸出網絡時發送警報。

#5 . UEBA 有助於檢測網絡中可能竊取員工登錄憑據的黑客的橫向移動。

#6. UEBA 還提供自動化事件響應，使安全團隊能夠實時響應安全事件。

UEBA 如何改進 UBA 和傳統安全系統（如 SIEM）

UEBA 不會取代其他安全系統，但代表了與其他解決方案一起使用的顯著改進，以實現更有效的網絡安全。 UEBA 與用戶行為分析 (UBA) 的不同之處在於 UEBA 包括“實體”和“事件”，例如服務器、路由器和端點。

UEBA 解決方案比 UBA 更全面，因為它監控非人類流程和機器實體以更準確地識別威脅。

SIEM 代表安全信息和事件管理。 傳統的遺留 SIEM 本身可能無法檢測複雜的威脅，因為它並非旨在實時監控威脅。 考慮到黑客通常會避免簡單的一次性攻擊，而是進行一系列複雜的攻擊，他們可能會在數週甚至數月內不被 SIEM 等傳統威脅檢測工具檢測到。

一個複雜的 UEBA 解決方案解決了這個限制。 UEBA 系統分析 SIEM 存儲的數據並協同工作以實時監控威脅，讓您能夠快速輕鬆地應對違規行為。

因此，通過合併 UEBA 和 SIEM 工具，組織可以更有效地進行威脅檢測和分析、快速解決漏洞並避免攻擊。

用戶和實體行為分析最佳實踐

以下是用戶行為分析的五個最佳實踐，可讓您深入了解在構建用戶行為基線時要做的事情。

#1. 定義用例

定義您希望 UEBA 解決方案識別的用例。 這些可以是對特權帳戶濫用、憑據洩露或內部威脅的檢測。 定義用例可幫助您確定要收集哪些數據以進行監控。

#2. 定義數據源

UEBA 系統可以處理的數據類型越多，基線就越精確。 一些數據源包括系統日誌或人力資源數據，例如員工績效歷史。

#3. 定義將收集哪些數據的行為

這可能包括員工的工作時間、他們經常訪問的應用程序和設備，以及打字節奏。 有了這些數據，您可以更好地了解誤報的可能原因。

#4. 設置建立基線的持續時間

在確定基線期的持續時間時，必須考慮企業的安全目標和用戶的活動。

基線期不應太短或太長。 這是因為如果基線持續時間結束太快，您可能無法收集正確的信息，從而導致誤報率很高。 另一方面，如果您收集基線信息的時間過長，則某些惡意活動可能會正常通過。

#5. 定期更新您的基線數據

您可能需要定期重建基線數據，因為用戶和實體活動一直在變化。 員工可能會得到提升並改變他們的任務和項目、特權級別和活動。 UEBA 系統可以自動設置為在發生變化時收集數據並調整基線數據。

最後的話

隨著我們越來越依賴技術，網絡安全威脅也變得越來越複雜。 大型企業必須保護其保存其自身及其客戶敏感數據的系統，以避免發生大規模的安全漏洞。 UEBA 提供了一個可以防止攻擊的實時事件響應系統。