导语:监控用户行为是早期发现和预防内部威胁的有效做法。
监控用户行为是早期发现和预防内部威胁的有效做法。识别可疑的用户行为有助于消除潜在的威胁、数据泄露和策略违规。因此,您的企业将更好地满足许多行业标准的要求,例如NIST、HIPAA、PCI DSS等。但要充分利用用户行为监控,您需要更好地理解其原理。
在本文中,我们将解释用户行为分析 (UBA) 和用户和实体行为分析 (UEBA)是什么以及它们在网络安全中扮演什么角色。我们还揭示了用户行为监控和分析可以在不同级别为您的企业带来的好处。
用户行为监控和分析
网络安全中的 UEBA 是跟踪、分析和解释网络内用户交互的过程。用户行为监控和分析可以帮助您深入了解员工如何使用您的系统和数据。
UBA 和 UEBA 是用户行为监控和分析的两种主要方法。基于这些方法之一的解决方案可帮助您监视和分析企业网络内的用户行为。因此,您可以检测潜在的内部威胁,例如受损帐户、恶意活动、横向移动等。
然而,UBA 和 UEBA 有一些区别。让我们详细探讨一下它们。
UBA 与 UEBA有什么区别
UBA 解决方案监控人类行为模式并应用算法来检测这些模式中的异常情况。他们分析事件日志以检测异常活动并识别可能对企业安全构成威胁的人员。用户行为分析作为包括其他安全措施的综合网络安全策略的一部分时最为有效。
UEBA 是一种用于分析用户和实体行为并检测异常的技术。UBA 解决方案仅分析用户行为,而 UEBA 将用户监控范围扩展到非用户实体(应用程序、服务器和设备)执行的活动。
UEBA 基于机器学习、算法、统计和分析来观察和解释个人和设备如何与您的资产和关键数据交互。UEBA 软件更进一步,提供比 UBA 系统更复杂的报告选项,从而实现更全面的威胁检测。
在本文中,我们将进一步探讨大多数 UEBA 解决方案提供的用户行为监控和分析级别。
UEBA 如何实现有效的威胁检测
UEBA 可以发现传统的基于规则的安全工具可能忽略的内部安全威胁(无论是有意还是无意)。UEBA 通过分析用户和实体随时间的行为、了解上下文并采用高级分析来适应内部威胁的动态性质。
UEBA 解决方案使用高保真度风险评分系统,不一定将所有异常情况报告为有风险。如果偏离正常基线,UEBA 会增加可疑用户或设备的风险评分——行为越不寻常,风险评分越高。随着可疑活动的积累,风险评分会上升,直到达到设定的阈值。然后,用户行为监控软件会向安全人员发出有关可疑活动的警报,以便他们采取进一步的行动。
由于 UEBA 减少了误报并为安全团队提供了更准确的可操作风险情报,因此它有助于:
减少安全团队的工作量并提高工作效率
减少事件响应的平均时间
加强防范内部威胁
5 个级别的用户和实体行为分析
用户行为监控和分析分为五个级别。这些级别代表了从基本用户行为分析到复杂的异常行为检测方法的进展。
第 1 级:收集有用的背景信息
用户行为跟踪的第一阶段涉及从 UEBA 解决方案需要分析的系统、实体和事件收集数据。
每个 UEBA 解决方案根据其涵盖的用例记录唯一的数据集。例如,UEBA 软件可能会收集以下信息:
登录和注销时间
请求访问敏感资产
访问过的网站
已开始申请
连接的 USB 设备
击键动态等等
所有其他级别的行为监控的有效性取决于此阶段收集的数据。一些UEBA解决方案可以自行收集必要的信息。但是,最好使用带有内置 UEBA 模块的综合用户活动监控平台。
第 2 级:检测威胁
一旦用户行为分析解决方案收集了有关正常用户和实体行为的信息,它就能够检测内部威胁。通过分析之前收集的数据,UEBA 可以为各种类别的用户(普通员工、特权用户、第三方承包商和安全人员)建立模式。
在这个级别,UEBA 软件可以帮助您:
根据实时用户操作检测威胁。例如,UEBA 模块分析每个员工的工作时间并定义正常登录和退出时间。如果用户尝试在异常时间(例如半夜)登录,可以通知您的安全管理者或自动阻止登录尝试。
优先考虑安全警报。基于对用户行为的分析,UEBA 解决方案可以创建可疑用户操作列表。当集成到 SIEM 或威胁检测系统中时,UEBA 可以对基于规则的警报进行优先级排序,并从最危险到最危险进行排序。此功能对于威胁检测解决方案每天可以生成数百个警报的企业特别有用。
提高侦查效率。将正常用户行为与导致内部威胁的恶意行为进行比较可以为安全人员节省大量时间。通过这种比较,您可以确定哪个具体操作将威胁转变为攻击。
在第二个层面上,UEBA 解决方案已经使您的内部威胁安全工具更加有效,但它仍然需要对其必须检测的违规行为、警报机制和进一步调查的工具进行准确的描述。 学习更多关于 使用 Ekran 系统进行安全事
第 3 级:创建员工行为档案
在心理学中,行为概况描述了个人或群体的特征和行为模式。在内部威胁检测中,行为档案用于创建用户行为的基线。该基线有助于系统检测异常的用户操作。您的安全管理者还可以使用此基线来构建恶意内部人员的肖像。
用户配置文件包含基于基线期间收集的数据的特定员工的一组典型操作。如果特定用户的行为发生变化,该解决方案会将其与对等组中其他用户的典型行为以及已知的内部威胁模式进行比较。如果 UEBA 检测到任何异常,它会向安全管理者发出警报。
此类功能对于事件预测很有用。
内部人员的肖像是基于对以前的安全违规行为的调查。通过分析它们,UEBA 找出表明恶意意图的模式。这些可以是基于警报的事件响应的有用补充。
行为分析如何发挥作用?
UEBA 系统分析收集的数据以确定正常的用户和实体行为并建立指示恶意活动的模式。
根据收集的数据量和分析的复杂性,建立基线用户行为可能需要一周到几个月的时间。在此级别,最好将自动行为分析与安全人员的输入结合起来,因为手动调查将有助于避免将来出现误报。
安全管理者需要考虑法律和道德问题。由于忠诚的员工可能需要数年时间才能变成恶意内部人员,因此一些公司监控网络上的用户活动,甚至跟踪社交媒体活动。如果您也这样做,请确保它反映在您的网络安全政策中并且您的员工了解这一点。
4 级:获得早期预警
第 4 级和第 5 级用户行为监控有助于根据收集的数据,使用机器学习和统计分析来预测严重的网络安全违规行为。
在第 4 级,UEBA 解决方案检测员工行为中表明恶意意图的异常情况。早期预警意味着在数据丢失发生之前检测到事件——通常是在攻击者仅计划恶意行动但尚未决定时间、工具、规模等的阶段。
UEBA 解决方案可以通过分析以下因素来发现恶意意图的早期迹象:
非工作时间登录公司系统
访问超出员工职责范围的敏感数据
连接可疑的USB设备等
尽管如此,用户和实体分析以及机器学习分析仍然可能在此级别产生误报。这就是为什么您的安全管理者需要手动检查行为配置文件以正确解释警报。
如果用户持续违反网络安全规则(例如,在工作时间之外登录服务器在家工作),UEBA 解决方案会将此类行为标记为正常行为。然而,此类行为会暴露网络并可能导致数据泄露。因此,最好在根据 UEBA 警报采取任何操作之前进行额外分析。您应该遵循企业的政策,而不是纯粹依赖统计分析和分析。
第五级:预见内部威胁
在最后一级,UEBA 解决方案可以在用户实施攻击之前很久就为他们创建内部风险评分。内部威胁预测通常基于:
用户的行为档案
内部攻击的模式
各种类型攻击的预测模型
绩效评估
数据由人力资源、会计和法律部门提供
尽管 UEBA 在没有安全管理者任何输入的情况下收集和分析这些数据,但您的安全团队应仔细检查 UEBA 触发的任何警报。在此级别很可能出现假阳性结果,您可以通过以下方式减少假阳性结果:
不断为UEBA解决方案提供相关监控数据。此流程中集成的公司系统越多,您获得的结果就越好。
允许模型逐步增长。当您雇用新员工并创建新职位时,您需要确保 UEBA 创建新的员工档案并将其与现有档案关联起来。
为软件提供自动和手动反馈。该算法应始终将其预测与真实的用户操作进行比较,并且您的安全团队应根据需要纠正此比较。
进行长期和短期基线。这种实践教会算法使用最近和过去的结果来预测违规行为。
结论
用户行为监控对于检测和预防内部威胁非常有效。与其他网络安全解决方案相结合,您可以构建清晰的网络图景。
本文翻译自:https://www.ekransystem.com/en/blog/5-levels-user-behavior-monitoring如若转载,请注明原文地址
