UEBA(用户和实体行为分析)可以用来做什么(十大场景)
langu_xyz

一、UEBA简介

UEBA 监控用户和实体的活动(如硬件设备和网络),并将当前活动与”正常”或”基线”行为进行比较。使用先进的统计分析,在某些情况下,机器学习算法,目的是要么检测异常活动,这可能是入侵或恶意”内部”行动的迹象,或发现已知的恶意行为模式。

UEBA VS. UBA

UBA:重点是分析用户如何与数据交互
UEBA:Gartner 说,UEBA 一词”认识到一个事实,即除了用户之外,其他实体经常被分析,以便更准确地定位威胁,部分原因在于将这些其他实体的行为与用户行为相关联

UEBA VS. SIEM

由于许多公司安全团队已经实现了安全信息和事件管理(SIEM)解决方案,一个常见的问题是UEBA和SIEM是否提供了相同的保护。毕竟,它们都收集与安全相关的信息,这些信息可以指示潜在的或正在发生的威胁。
共同点都是收集非常多的数据进行分析,SIEM关注的更多是事件,UEBA更多的关注的是人的风险,当然这两者的界限在某些情境下可能非常窄。

二、为什么要做UEBA

1、内部的威胁往往不会触发告警
2、IoCs和静态检测很多时候是没有效果的(例如URLs、C&C Servers、IP Adresses等)
3、攻击数据可以捕捉,但是攻击本身却很难
4、大量的日志、事件、告警是容易混乱的

1、使用异常行为来检测攻击
2、使用机器模型规模分析所有的数据

三、UEBA的十个典型场景

1、登录凭证泄漏检测

问题描述:
1. 凭证失窃是一个大麻烦,仅次于钓鱼攻击;
2. 黑客使用窃取的凭证和相应的权限进入内部;
3. 最厉害的安全工具也无法区分合法的未授权访问。

UEBA解法:
1. 识别异常的账号访问、行动、设备、设备使用、应用对象进入等

2、特权用户监控

问题描述:
1. 特权账户能访问高价值资源,一旦泄漏,将会导致最大的影响;
2. 特权用户的工作模式往往不受规则限制和不可预测的。

UEBA解法:
1. 识别特权用户通过上下文数据或者行为,例如执行管理行为或者使用特权系统等;
2. 识别风险的异常活动,通过关联多个数据源来降低误报。

3、经营管理相关的用户、资产监控

问题描述:
1. 经营管理相关的资产往往包含敏感数据,例如关于收益、合并和收购、预算计划、产品和服务计划或竞争信息等;
2. 有时候更困难的可能是确定哪些资产是经营管理相关的。

UEBA解法:
1. 通过使用模式去自动判断经营管理相关资产;
2. 通过行为识别异常访问和活动;
3. 检测对内部有损害和恶意的使用。

4、系统、主机、设备等的入侵检测

问题描述:
1. 像IoT、OT等资产是黑客们频繁的目标,IoT是被用来获得网络访问权限的立足点,OT对于一些黑客来说是高价值目标;
2. 可能有多个用户和它们交互;
3. 许多攻击通过多个用户和资产来实现。

UEBA解法:
1. 识别和分类设备,例如服务器、工作站、IoT设备等;
2. 构建正常行为基线,包括端口、协议、授权、访问、活动等;
3. 监测异常活动和相关联的用户。

5、内部访问滥用

问题描述:
1. 内部员工可能是恶意、被入侵或疏忽的;
2. 当攻击者进入到内网中和多个系统中后很难被检测到;
3. 在大多数传统的安全工具中,它们不会触发警报。

UEBA解法:
1. 识别高风险、异常的行为,和它自身、同职位、同组织等相比较来检测内部威胁;
2. 通过提供全部数据中的异常行为视图来帮助识别攻击动机。

6、横向移动检测

问题描述:
1. 攻击者通过内部网络移动搜寻敏感数据和资产;
2. 在攻击者横向移动后,安全工具和安全团队经常失去攻击者的踪迹;
3. 结果可能导致全部攻击或部分攻击被忽略。

UEBA解法:
1. 通过行为分析去检测异常账户活动、账户切换、远程连接、PTH攻击等;
2. 当攻击者在网络中移动的时候进行追踪;
3. 攻击路径复现在单时间线下是容易的。

7、数据泄露检测

问题描述:
1. 敏感数据被非法转移到组织外;
2. 恶意的、被入侵的或疏忽的内部人员导致的;
3、像DLP等流行的工具在处理这类问题是误报率较高。

UEBA解法:
1. 识别不一样的数据访问、向外数据传输、USB活动、打印机活动、文件活动等等;
2. UEBA通过关联用户、角色、正常行为等上下文来实现低误报;
3. 在攻击生命周期中能更早的发现数据泄漏;
4. 上述内容的DLP攻击是基于行为和风险的。

8、失败的登录尝试和账户锁定

问题描述:
1. 产生的原因有很多,例如爆破攻击、密码重置、忘记密码、乌龙指等;
2. 在可允许的上下文中需要几分钟或者几小时去解决每个锁定;
3. 通常需要一个人去确认和解决。

UEBA解法:
1. 基于风险进行排序,允许安全团队关闭高风险的账号;
2. 提供锁定账号的相关内容协助快速处置;
3. 在账号锁定前后发生了什么?

9、服务账号滥用

问题描述:
1. 服务账号往往有较高的权限,对于攻击者来说是高价值目标;
2. 一些组织甚至不知道有一些服务账号在他们组织中存在;
3. 典型的安全工具对服务账户提供有限或不可见性的防护。

UEBA解法:
1. 通过理解、分析行为,自动识别服务账户;
2. 标记表明妥协或滥用的异常行为;
3. 通过相关的事件背景,提供一个清晰的事件链。

10、安全告警调查

问题描述:
1. 告警排查在很多分析中都是关键任务;
2. 它非常手工、耗时且容易出错;
3. 有太多的事件告警时误报。

UEBA解法:
1. 分析告警整体的通过全部的数据源;
2. 通过行为分析和风险排序去发现高风险告警或者异常告警;
3. 为事件排查人员提供一系列简短的高保真告警调查;
4. 通过自动化的方式规模化处理告警。

  • Post title:UEBA(用户和实体行为分析)可以用来做什么(十大场景)
  • Post author:langu_xyz
  • Create time:2022-03-15 21:00:00
  • Post link:https://uxss.net/2022/03/15/UEBA(用户和实体行为分析)可以用来做什么(十大场景)/
  • Copyright Notice:All articles in this blog are licensed under BY-NC-SA unless stating additionally.