UEBA能够检测的七大类安全风险
作者:星期日, 十月 22, 20170

用户和实体行为分析(UEBA)技术,是网络安全工具市场新成员,旨在提供防火墙和入侵预防系统(IPS)等传统网络安全工具所不具备的功能。有了UEBA,公司企业不仅仅能从网络流量和反恶意软件扫描获悉入侵指标(IoC),还能深入理解用户行为。

UEBA系统可识别不同类型的异常用户行为,这些异常用户行为可被视作威胁及入侵指标。下面是UEBA技术可帮检测到的7类安全风险。

1. 缓慢少量攻击

坏人、外部人和内部人都知道,传统安全工具基于基本阈值起效。他们清楚,只要做同样的事情超过“X”次,就会触发警报。于是,他们降低攻击速度和规模,以便保持低调,避免被侦测到。此种做法的一个例子,可以参考每天仅一次,通过邮件渗漏少量信用卡号。UEBA可检测到此种模式,并将之识别为需加以调查的重复性行为。

2. 共谋

UEBA可帮助发现紧密合作突然改变行为模式的一组人员。比如说,一组人决定打劫客户记录谋私利,但知道安全措施在监视。于是,每个成员分走一部分记录,通过邮件发送到自己的个人账户上。UEBA不仅会找出用户行为的突然改变,还会标出这是该组人员内部统一的改变,然后标记整组。

3. 在噪音中隐身

每个员工都有一个角色,须按角色需求执行特定动作。比如说,小王在负责打印抵押单的团队。小赵在同一家公司,担任退休计划财务顾问,却在2周时间里打印了2张抵押单。虽然打印抵押单对小王、小王的团队和整个公司而言,都是很平常的一件事;对小赵及其团队成员来说就太异常了。UEBA可从人群中鉴别出此类行为异常人员,让安全团队启动调查过程,在无需审查其他人的情况下进行针对性调查。

4. 持续渗漏尝试

如果渗漏敏感数据的尝试受阻,攻击者往往就会尝试另一种方法以绕过安全系统。比如说,小张试图将敏感数据用邮件发到自己的个人账户,但被封了。他继续尝试上传文件到他个人网站的云存储中,也被封堵了。然后,他试图将文件拷贝到U盘中,再次遭遇U盘端口不可用的封禁状态。于是,他点击了“打印”按钮——成功了!UEBA技术能将所有这些行为都拼起来,小张最终会在自己的工作台位迎来调查人员的到访。

5. 好奇风险

有些人就是控制不住哪扇门都想推开看看。其中很多人仅仅是好奇,或者就是想碰碰底线而已,但现实就是,这些人往往就是面对明知不应该打开的文件,还忍不住手痒点开的那些。他们会访问那些被封禁的网站,不断尝试,以为没人真的在监视。这些雇员就是网络钓鱼攻击最用以得手的入口点。UEBA能发现这些闲极无聊的人,向他们警示这些危险行为。

6. 离职员工

UEBA能发现正打算离职的员工在行为上的改变,可使安全团队在这些人提交辞职报告之前就发现他们。这很重要!因为员工离职,往往会造成敏感数据随之外泄。因为UEBA能看出表征员工离职意愿的行为改变,这些员工就能在数据流出公司大门之前被发现。

7. 长期潜伏者

与百无聊赖的手痒人士不同,这些人才是真的坏心眼。在寻找金矿的时候,他们会梳理文件系统,试图登录能发现的任何什么东西。这些人目标远大,不达目的不罢休,除非找到价值巨大的敏感数据——或者,被UEBA发现,否则他们会一直游弋在公司系统中。

相关阅读

用户与实体行为分析的能与不能
UEBA的预期,特性和最佳实践

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章