如何深度实现用户与实体行为分析
作者:星期一, 八月 2, 20210

建设背景

根据国外权威机构调查,企业85%的数据泄露是来于内部威胁,75%的内部威胁事件并未对外报告,55%的企业认为内部威胁的危害要远远大于外部威胁。

某国内大型集团企业在一次风险评估后的统计中发现, 53%的内部风险会利用到系统的高危或极高危漏洞;涉及到集团内部人员、第三方厂商违规操作导致的风险高达68%,且仍在上升;45%的用户权限涉及的内部安全风险中,特权用户占比最高;有53%已检测到的内部攻击、异常行为对数据安全构成了直接风险。

相对于黑客的外部网络攻击,内部员工拥有更大的权限和合法身份,他们的异常操作不太容易被发现。UEBA,User and Entity Behavior Analytics,即用户与实体行为分析,主要是以用户和实体为对象,结合规则以及机器学习模型,对用户行为进行分析和异常检测,尽可能快速地感知内部用户的可疑非法行为。

相对于传统安全设备分析外部威胁事件的优势,UEBA则对企业内部威胁的分析场景更有优势,UEBA更侧重于关注用户的行为,并从另一视角去发现问题。

 应用场景

日志易用户与实体行为分析系统接入数据防泄露系统、门禁、上网行为、邮件、堡垒机、终端管理、工单等系统日志,通过关联和对比等分析方式,对数据泄露、账号失陷、离职倾向、违规操作、登录凭证滥用等场景进行检测分析并实现多维度智能可视化。

数据泄露

泄密其实很容易。

据统计,每400封邮件中就有1封包含敏感信息,每50份通过网络传输的文件中就有1份包含敏感数据,每2个U盘中就有1个包含敏感信息。

内部员工恶意攻击窃取敏感数据是典型的数据泄露场景,由于内部员工具备企业数据资产合法的访问权限,且通常了解企业敏感数据的存放位置,因此通过传统的安全审计手段无法有效检测该类行为。

UEBA可以通过对数据防泄露系统、邮件、U盘、终端管理、打印机等日志进行关联分析,从而发现可疑下载及外发文件等异常操作。

离职倾向

很多员工在即将离职时会访问招聘网站寻求机会,在本地制作或保存简历文件并上传或外发给招聘人员时,也会将公司的一些资料或者自己的工作成果下载保存到私人U盘或网盘等。

离职倾向主要通过终端管理、上网行为等日志,分析出员工是否存在大量的访问招聘网站、外发简历、U盘拷贝、打印、网盘或邮件外传文档等可疑行为。企业还可以进一步关注具有离职倾向的员工,是否有蚂蚁搬家式窃取数据或恶意删除数据等行为。

违规操作

在企业日常运营过程中,高权账户滥用、本地保存密码文件、门禁卡共用、未使用规定机器执行操作等未按照企业规定进行的操作行为非常普遍,但基本无从发现。于是,内部员工往往抱有侥幸心理,在日常工作中依旧执行违规的高风险操作,而这些高风险操作随时都可能影响到业务的正常运行。

UEBA可以帮助企业针对门禁、终端管理、邮件、审计等日志进行分析,对特定行为进行监控,及时发现违规操作。

 分析方式

日志易用户与实体行为分析系统发现异常的分析方式主要有高频分析、罕见行为分析、个群行为分析和自动化行为分析等。

高频分析

高频分析主要是通过行为基线分析,将用户某类行为或多类行为与其历史过往基线进行对比,发现偏离程度较大的行为。

例如,从AD登录数据中,帮助企业发现员工A的当日登录次数与平日登录次数有较大偏离,则可能存在异常。

罕见行为分析

正常用户办公过程中,往往会出现一定的重复行为,当一些少见的行为被系统发现,则可能存在异常。

例如,系统发现服务器上执行了不常见的命令,像“rm –rf  /*”等,或发现有相关邮件发送给了不常见的收件人。

个群行为分析

同部门的员工往往行为较为一致,通过将个人行为与群体行为进行对比,能够从中发现个人的异常行为,对比指标可考虑部门的文档拷贝基线、接入外设频率等。

自动化行为发现

规律性行为也可能是异常行为,比如定时执行的行为也可能存在异常。

例如,有些企业会通过脚本方式定时批量发送邮件,其中也可能存在泄密行为。

 平台特色

日志易用户与实体行为分析系统能够对各类日志进行采集,统一经过标准化清洗后将数据写入存储集群,在应用层界面根据特定场景配置规则后,即可在用户与实体行为分析系统的WEB前端页面查看风险视图和用户画像等分析结果。

功能特色

自主研发、信创认证的底层搜索引擎Beaver

以日志易自研的国内首个高性能高可用性的日志搜索引擎Beaver为基础,每天可处理数百TB日志,相比通用开源搜索引擎来说,底层搜索引擎性能可提升5-10倍且硬件成本降低50%。

支持日志易自研的低代码编程语言SPL,并且对接了后台多种机器学习算法,能迅速地对数据进行“与或非”以及关键字查询过滤,并可通过已实现的数百个各类函数、指令对数据进行灵活统计和计算,具备强大的数据统计分析和挖掘能力。

风险视图

多重智能可视化能力,能够根据企业需要,以群体和个人的角度分别进行风险展示,多角度分析用户行为并通过趋势、统计、列表、排序、时间轴等可视化图表实现结果展示。

用户画像

能够将静态标签与动态标签相结合,深度剖析用户的行为基线及指数,抽象出用户各个维度的行为,构建用户画像,且支持自定义配置标签。

丰富的规则模型

内置100+UEBA规则模型,涉及VPN、邮件、数据防泄露系统、终端管理、上网行为等多种数据源,根据企业需要,对异常登录、数据泄漏、怠工分析、离职倾向、违规操作等多种场景进行分析。

灵活的关联分析、对比分析

通过定时监控以及SPL(Search Processing Language),能够对任意时间段的历史数据进行对比分析,并能灵活对比不同时间、不同种类的数据,从多重维度发现异常。

强大的日志采集及数据处理能力

具备独立的日志以及流量采集能力,支持对国内外主流安全设备、网络设备、中间件、系统等日志的采集,支持开箱即用的数据解析规则,支持对主流的应用及网络协议进行采集和解析。


相关文章