淺談UEBA基本實現步驟

自2015年Gartner將UBA正式改名爲UEBA以後,通過近幾年的發展,UEBA的有效性已經在如數據泄露、內部威脅、帳號失陷、主機失陷等典型的場景中獲得了應用和驗證,在此不贅述。本文將對UEBA的實現過程作簡要介紹,不涉及任何場景。從全息來看,完成UEBA的落地實施須要具有6個步驟:算法

NO.1數據採集安全

數據採集是第一步,也是基礎。不一樣的數據採集方式得到數據類型和顆粒度也不盡相同。目前有兩種典型的採集方式:日誌(這裏將代理方式也劃分到日誌方式)和網絡流量。網絡

日誌方式:運維

根據設備和應用系統提供商預先提供的數據格式、顆粒度和內容等的相關規則,產生日誌數據,同理安裝代理方式也產生各類日誌數據,並將日誌數據發送到日誌探針。機器學習

日誌方式隨着日誌數據內容由少到多、顆粒度由粗到精細的過程,佔用的資源會急劇增長,此時會給設備和應用系統帶來必定的風險。因此在實施日誌採集方式時,一般產生的日誌數據都是最小集合和粗顆粒度的,而這對於以數據驅動爲核心的UEBA來講,最終的效果會大打折扣。ide

網絡流量方式:工具

通常是經過交換機鏡像功能,將網絡流量複製一份,發送到流量採集器。網絡流量方式就是真實和實時的網絡流量,包含更加全面的信息。同時,又具備無感知和零風險的特色,即一般說的旁路模式,不會改變現有的網絡拓撲、不須要對現有的業務系統進行變動,也就不會影響業務,部署也方便易行。全息數據採集也是以網絡流量方式爲主,在某些狀況下,能夠採用日誌方式做爲補充。學習

NO.2信息識別人工智能

是對採集到的數據進行處理,從數據中提取出帳號、用戶、設備、應用、數據、IP等關鍵元素。代理

就日誌方式來講,是對採集的日誌進行數據標準化處理;網絡流量方式則是對採集的流量,一般按照ISO模型進行2-7層解析和信息提取。

隨着數據泄露事件的日益頻發,如何保護敏感數據所面臨的嚴峻挑戰?2-7層信息採集方式顯然已經不能勝任,須要更深層次的信息採集能力:2-8層信息提取。這裏的第8層表示數據包的內容/上下文,也是一般所說的發現和識別敏感數據。

舉個綠皮火車的例子以便於理解第8層信息。對於該列貨車車箱來講, 2-7層解析能力類比表示:此時可以只看到車外部狀況,包括車箱顏色、外形、車箱編號等信息;2-8層解析能力類比表示:除了前面的信息外,更進一步還可以看到車箱內的狀況,好比車箱內運輸的是什麼(黃金、煤炭、食品等等)、數量、車箱內壁的顏色等等信息。就貨車例子來講,咱們除了須要2-7層基本信息外,咱們更加須要第8層的信息。同理,在信息採集和提取方面,咱們須要2-8層信息,全息數據採集模式原生就是從網絡流量中實時提取2-8層信息。

NO.3行爲刻畫

通過數據採集和信息識別兩階段後,輸出的關鍵元素,就是咱們常說的用戶和各類實體,它們又是第三階段的輸入,行爲刻畫是對全部用戶和實體的行爲基於時間序列進行持續不斷的跟蹤和畫像。以全息對用戶刻畫爲例,主要包括該用戶都有哪些帳號、訪問哪些應用、Top應用是哪些、使用哪些文件、哪些敏感數據、都使用什麼設備、何時在線、所在位置等屬性信息。畫像過程是創建基線的過程,經過畫像將用戶和實體的一切網絡活動徹底可視化。

NO.4關聯分析

有了用戶和實體的行爲刻畫數據後,就要考慮如何有效使用這些數據。關聯分析是結合各種數據對安全事件進行分析的自動化過程。大部分安全事件很難在某一個或兩個維度的分析下被發現,須要多維度考慮。如時間、網絡層次、安全業務對象等維度。以全息網禦來講,是從用戶、設備、應用、數據4個維度作實時全息關聯分析,不是一次性事件,而是自動化、持續化的過程,關聯分析的結果不少狀況下能夠直接用於解決問題;另外一個方面,關聯分析做爲UEBA落地的重要一環。

NO.5行爲建模

行爲建模階段,對個體行爲從多個維度在時間序列和地點域進行分析,不只僅分析個體,還要對羣組行爲分析,基於行爲刻畫和關聯分析的數據,創建羣組基線和個體基線;藉助平均值、方差、類似度等,對個體和羣組行爲對比,識別出偏離正常基線的行爲。

NO.6異常檢測

最後步驟是異常檢測,使用各類機器學習算法如孤立森林、SVM, K-Means聚類等進行異常檢測,不一樣的算法有各自的侷限性,很難有一個算法適用全部場景,須要對異常檢測的結果進行驗證和回饋,還要綜合個羣對比特徵等專項分析技術識別和發現異常行爲,經過風險評分來縮小和減小誤報的範圍,更加精準的聚焦異常行爲。異常檢測不只只是算法,而是綜合上述6步構成UEBA基本落地步驟。

UEBA做爲一種分析技術,是以數據驅動爲核心主線,圍繞用戶多帳號、多實體、多種敏感數據、關鍵應用、訪問方式、部門、時間、地點、頻度等等信息,綜合運用各類技術貫穿從信息採集、提取、識別、關聯、建模和檢測的整個分析過程。UEBA 既是技術也能夠做爲一種工具,其特色是經過行爲分析儘量將異常行爲從網絡行爲中分離出來,提供更加聚焦和精準的異常行爲檢測結果,從而有效的提高安全運營水平。

上述6個步驟中,每個階段都涉及大量內容,限於篇幅本文浮光掠影稍做介紹,以期讓你們有基本瞭解,爲你們從此有機會落地UEBA提供參考。

關於全息網禦:全息網禦科技融合NG-DLP、UEBA、NG-SIEM、CASB四項先進技術,結合機器學習(人工智能),發現並實時重構網絡中不可見的」用戶-設備-數據」互動關係,推出以用戶行爲爲核心的信息安全風險感知平臺,爲企業的信息安全管理提供無感知、無死角的智能追溯系統,高效精準的審計過去、監控如今、防患將來,極大提升IT安全運維和安全人員響應事故、抓取證據鏈、追責去責無責、恢復IT系統的能力和效率。

相關文章
相關標籤/搜索