本文讲的是 用户与实体行为分析的能与不能,用户与实体行为分析(UEBA)已经在过去的几年得到了迅速的发展。最开始它只是用户行为分析,关注与捕捉内部恶意威胁。之后,从业者和供应商们意识到用户互动只是情况的一部分,服务器和终端的行为对一个更完整的视角来说也是非常重要的。这在分析物联网和工业控制系统环境时尤为正确。
今天UEBA已经不再仅仅是一个单点解决方案,它已经被视为从内部威胁,到安全信息事件管理工具,再到网络风险分析和终端保护的重要因素。
通过把UEBA技术同其他数据资源和分析方法结合起来,机构越来越方便在更大的尺度上解决网络风险挑战。比如,他们使用UEBA分析异常用户和机器行为的重叠作为攻击指标,以识别有问题的账户;或者用UEBA确定基于供应商的内部威胁,并且这方面信息和其他的风险智能结合起来,以获得一个360度的第三方风险视角。这一视角可以被安全和供应商风险管理参与方用来减少侵入公司网络和信息的外部威胁。
伴随2018年5月生效的《通用数据保护规则》(GDPR),保护雇员、顾客和股东的私人数据的关注点也会更新。UEBA将被用于检测处理不当的敏感数据,这些没有被妥善处理的数据会导致公司在合规性方面违反通用数据保护条例。这包括了解人们在访问什么、异常访问、异常数据分类水平处理、异常解密和异常电子邮件和云上传的行为模式。
UEBA最有力而又往往被忽视的应用之一,是确定和缓冲粗心用户和有问题的业务流程。
大多数公司的典型安全工具,其事件数据来自于非恶意用户,这些用户要么是粗心大意,要么是由于缺乏一个即遵守安全策略又方便工作的方法。
尽管这些用户和业务流程造成很大的风险,并给安全运营中心(SOC)产生了大量的噪音,但在应对更紧急的恶意威胁时,它们还是经常被“搁置”起来。在如今繁忙的安全环境中,搁置也就意味着“近十年不理会”。
使用UEBA来确定和分析正常的用户和雇员组的重复性非恶意行为模式,是矫正他们的行为,减少风险和降低噪音的第一步。
即使确定正常或不正常的行为模式是UEBA的一项基本能力,它仍然成为整个网络风险分析难题的关键拼图。
当然,UEBA不是“银弹”。管理和减少网络风险需要对资产、损失影响、基于主机的威胁比如恶意软件和勒索软件、漏洞,以及滥用特权而带来的风险,有着全面的理解。但UEBA仍不失是首席信息安全官工具箱中必不可少的组成部分。