数字化新时代下的网络安全挑战与应对策略:全面解析
一、背景新的数字时代正在加速到来。网络环境更加多样化,人员更加复杂,接入方式更加多样化。网络边界逐渐模糊甚至消失,同时企业数据不断增加。数字化转型在促进组织业务发展的同时,也带来了严峻的网络安全挑战。
1、外部攻击增多,包括受利益或国家驱动而难以察觉的高级攻击;
2. 恶意内部人员、员工疏忽、账户被盗、主机被盗等造成的各种内部威胁;
3、数字基础设施的脆弱性和风险暴露不断增加,不断变化的业务需求使问题持续加剧;
4、安全团队人员不足或能力有限,陷入不对称的“安全战”。
在数字化带来的巨大变化下,传统的安全威胁发现能力受到了极大的挑战。传统的安全产品、技术和解决方案基本上都是基于已知特征的规则匹配来进行分析和检测。基于特征、规则、人工分析,以“特征”为核心的检测分析存在安全可视性盲点,后果严重。存在滞后效应、无法检测未知攻击、容易被绕过、难以适应攻防对抗的网络现实、快速变化的企业环境和外部威胁等问题。
安全是人与人之间攻防对抗的游戏,一切意图都需要通过行为来表达。这是安全运营中最重要、最有价值的一块拼图,也是传统方法中最缺乏的。针对传统方法的弊端,安防行业基于大数据驱动、机器学习、概率分析、模式识别等,逐渐强化以“行为”为核心的检测分析。
用户实体行为分析(UEBA)应运而生。
2.什么是UEBA?
UEBA的全称是User and,即用户实体行为分析。
UEBA的定义是“UEBA提供基于各种分析方法的剖析和异常检测,通常是基本分析方法(使用签名规则、模式匹配、简单统计、阈值等)和高级分析方法(有监督和无监督机器学习等)” .),使用打包分析来评估用户和其他实体(主机、应用程序、网络、数据库等)并发现与用户或实体的标准配置文件或行为异常的活动相关的潜在事件。受信任的内部或第三方人员访问系统(用户异常),或绕过安全控制的外部攻击者(异常用户)。
用户行为分析(UBA)将用户活动和相关实体(用户相关的应用程序和终端等)信息关联起来构建角色和群体,进一步定义这些个人和群体的合法和正常行为,并将这些角色在群体和群体之间进行整合。组。对团体、团体与个人、个人与个人(远离合法正常行为的团体和个人)进行对比分析,发现异常用户(账号被盗)和用户异常(违法行为),从而发现商业欺诈行为、敏感数据泄露、内部恶意用户、恶意用户。高级威胁的目的,例如定向攻击。
3. UEBA应用场景1 账户安全
内部员工,尤其是高权限用户以及服务和共享帐户是内部和外部攻击者的主要目标。通过获得访问权限,他们可以访问最敏感的交易、数据,甚至创建其他新的特权帐户或滥用权限升级操作。由于公司账户数量庞大且难以区分滥用和合法使用,组织在监控这些账户方面面临着重大挑战。有效监控特权帐户不仅是一项重要的合规性要求,也是一项关键的威胁管理功能。而专有的特权帐户管理应用程序(PAM),PAM应用程序提供特权帐户的全生命周期管理,对特权帐户的异常行为进行监控、检测和分析是PAM的一项高级功能。 PAM内置的特权账户异常检测能力比较弱,因此一些PAM厂商会与UEBA产品集成,将PAM检测到的异常事件连接到UEBA产品的高级分析引擎,与其他维度的数据配合,进行更深层次的权限处理异常账户事件识别。
破坏账户安全的场景大致有两种。一类是账户本身的异常操作,如创建、提权、删除、暂停、撤销等异常行为,以及静默账户的突然活动等。另一种是通过对登录时间、位置、频率等账户行为进行异常监控来判断账户是否被盗或被泄露。
2 内部威胁
内部员工比不受信任的外部人员更容易访问和获取重要的公司信息。一方面,公司的安全防护和访问控制大部分都是针对外部攻击者;另一方面,内部人员对组织的人员、规则、制度有一定程度的了解,因此可以利用这些便利来逃避安全保护。检测。内部威胁通常分为两类。一类是恶意内部人员,即合法人员利用职权做违法事情。例如,下载大量重要客户数据并出售以获取利润。另一种是内部人员账户被盗后的恶意行为。内部威胁检测的场景设计相对复杂,一般从四个维度考虑。
https://img2.baidu.com/it/u=2495549370,936492402&fm=253&fmt=JPEG&app=120&f=JPEG?w=889&h=500
构建用户行为的风险概况 - 将所有身份、活动和访问特征与基线、同级组和其他已知威胁指标进行比较,以识别真正的风险区域。高权限账户监控——自动识别管理员、服务、共享账户等高权限账户,监控其与攻击相关的异常行为,判断是否因高权限用户被成功攻击而导致高危异常行为。关键应用程序监控 – 为所有关键应用程序和系统构建访问风险评估,以识别所有高风险用户、与其敏感数据和交易相关的访问和活动。内部欺诈检测——通过比较分析,利用同一群人的异常行为来检测潜在的内部欺诈。 3 数据泄露
一般来说,各类攻击的主要目的是窃取组织最重要的数据资产。组织通常部署监控数据流、数据库安全或应用程序访问产品的 DLP 产品,以保护公司的核心数据资产。此类数据保护产品往往误报较多,每天产生的海量报警让安全团队很难真正聚焦重点。 UEBA可以对应用访问和DLP日志进行更深入的多维度分析,定位真正的高危数据泄露风险。具体的场景设计可以从以下几个维度来考虑。
应用系统访问监控/风险分析——对存储敏感数据的应用系统、文件服务器等的访问进行行为监控,通过与用户过去的行为或异常行为进行比较,自动识别并持续监控这些数据的访问情况同行。高风险访问和活动。
DLP事件评估——对DLP事件进行多维度关联分析,例如发生DLP事件的人、他的风险等级、是否有离开的意图、敏感文件下载/传出/打印的次数和频率数据,以及数据流出的目的地是否为竞争对手等,从而进一步定位高风险。针对高危人群的DLP事件会被优先处理,多维度分析往往可以进一步定位这些数据泄露企图背后的动机。
4 丢失主机
除了人类的异常行为之外,各种应用服务器、重要终端等重要IT资产的异常行为检测对于许多组织来说也至关重要。例如,一个重要的应用服务器执行一个非业务应用程序或进程,打开一个新端口,连接到一个以前从未连接过的地址/端口。突然出现一个长链接的SSH会话,并且系统目录中突然出现一个新的SSH会话。可疑文件等,这些异常行为往往表明服务器受到攻击,需要进一步分析取证。
使用UEBA技术定位受感染主机的通常思路是根据相应设备和主机执行的高风险异常事件和活动建立异常时间线,然后关联各种实体参数,包括:端点安全警报、漏洞扫描结果(常见漏洞评分系统)、用户或账户的风险级别、访问目标、请求负载的数据包级别等,从多个维度检测任何异常活动或事件,以确定风险分数。
4、UEBA主要实现技术
UEBA是一个完整的系统,涉及算法、工程等检测部分,以及用户实体风险评分排序、调查等用户交互和反馈。从架构上来看,UEBA系统一般包括三个层次,即数据中心层、算法分析层、场景应用层。其中,算法分析层一般在大数据计算平台之上运行实时分析、统计分析、关联分析、机器学习等分析引擎。
机器学习引擎实现,如基线和分组分析、异常检测、集成学习风险评分、安全知识图谱、强化学习等UEBA核心技术。
基线和队列分析
历史基线是行为分析的重要组成部分。通过构建群体分析,我们可以超越个体用户和实体的局限性,看到更大的事实;通过比较组,很容易发现异常情况;通过概率评估,可以减少误报,提高信噪比;结合基线分析和群体分析,可以形成完整的时空背景。
异常检测
异常检测重点发现统计指标异常、时序异常、序列异常、模式异常等异常信号。使用的技术包括传统的机器学习算法,例如孤立森林、K-means 聚类、时序分析、异常检测和变化点检测。现代异常检测也采用深度学习技术,包括基于变分自动编码器(VAE)的深度表示重建异常检测、基于循环神经网络(RNN)和长短期记忆网络(LSTM)的顺序深度网络异常检测、图形模式异常检测针对标记数据的缺乏,一些UEBA系统可以利用主动学习技术( )和自学习(Self)来充分挖掘标记和未标记的价值 数据。
集成学习风险评分
将安全运营从事件管理转变为用户和实体风险管理,大大减少工作量并提高效率。其中,实现转型的关键是利用集成学习进行风险评分。风险评分需要对各种警报和异常情况进行综合分析,以及群体比较分析和历史趋势。同时,风险评分技术中风险在用户之间的传递同样重要,需要一套类似于谷歌搜索所使用的网页排名算法的迭代评估机制。风险评分的好坏将直接影响UEBA实施的有效性,进而直接影响安全运营的效率。
安全知识图谱
知识图谱已成为人工智能领域的热门话题,在网络安全方面也具有巨大的应用潜力。一些UEBA系统已经支持某些安全知识图谱能力,可以根据从事件、警报、异常和访问中提取的实体和实体之间的关系构建网络图。任何事件、警报或异常都可以融入网络图谱中,直观、清晰地呈现多层关系,让分析触及更远的边界,触及更多隐藏的联系,揭示最细微的线索。结合攻击链和知识图谱关系的回放,还可以让安全分析人员近似整个攻击过程,了解攻击的路径和漏洞,评估潜在受影响的资产,从而更好地进行应急响应和处置。
强化学习
https://img1.baidu.com/it/u=3736629328,2294796351&fm=253&fmt=JPEG&app=120&f=JPEG?w=730&h=500
由于不同客户的环境数据来源的多样性和差异性,以及用户对异常风险的定义不同,UEBA需要具有一定的适应性,以输出更准确的异常风险。强化学习可以根据调查结果自适应调整反馈给系统的正负权重,从而获得更符合客户期望的风险评分。 UEBA给出异常信号后,结合安全管理者的调查结果,获得反馈奖励或惩罚,并通过学习调整正负权重,使整体效果不断优化和提高。
5、UEBA行业发展趋势
“用户指南和”报告指出:
最终用户在 UEBA 独立解决方案上的支出将以 48% 的复合年增长率增长,从 2015 年的 5000 万美元增长到 2020 年的 3.52 亿美元。
UEBA 解决方案提供商的数量在 2017 年和 2018 年持续下降,主要是由于收购活动。这一领域的整合预计将继续下去,在服务于相邻细分市场的产品中使用 UEBA 技术的供应商数量也将显着增加。
到 2021 年,用户和实体行为分析 (UEBA) 市场将不再是一个单独的市场。
一些 UEBA 供应商现在将其市场战略重点放在将其核心 UEBA 技术嵌入到其他供应商的更传统的安全解决方案中。到2022年,UEBA的核心技术将嵌入80%的高级威胁检测和事件解决方案(例如SIEM)中。
相信这一趋势将持续到2022年,届时UEBA将被更广泛的安全分析技术所取代。
《UEBA - (2020 - 2025)》报告:
用户和实体行为分析市场预计到 2025 年将达到 49 亿美元,2020 年至 2025 年复合年增长率为 41.5%。
UEBA 是一种检测内部风险、金融欺诈和针对性攻击的机制。该方法用于分析人类行为模式,然后使用统计分析和算法来识别差异。
UEBA 是一种机器学习模型,可以通过检测保护异常来帮助阻止网络攻击者。 UEBA 使用高级分析来聚合日志和报告数据,并分析数据包、流量、文件和其他类型的信息以及其他类型的威胁数据,以评估某些形式的活动和操作是否可能构成网络攻击。
UEBA 的优势包括 – 内部威胁识别、防止数据泄露、识别和防止欺诈、可操作的风险信息以及 IP 数据的安全性。
UEBA 正在成为应对综合网络威胁和欺诈的最有希望的应对措施。软件提供商更专注于确保可靠的算法和集成分析,以及开发应用系统。
根据上述报告可以看出:
UEBA市场价值快速上升,UEBA技术研究前景广阔。
UEBA的发展方向不再是一个独立的实体,而是倾向于将UEBA技术嵌入到其他先进的安全解决方案中。
作者的博客:
页:
[1]