UEBA案例分析系列之数据泄露检测

UEBA案例分析系列之数据泄露检测

近日全球最大的域名注册商GoDaddy被披露出一起数据泄露事件。GoDaddy拥有超过1900万的用户，管理7700万域名，托管数百万个网站，因此，此次事件可能引起巨大影响。据悉，该事件发生在2019年10月19日，但直到2020年4月23号GoDaddy才在一些服务器上发现可疑活动。在一封由GoDaddy CISO和工程副总裁Demetrius Comes发送给客户的电子邮件中确认，此次事件是未经授权的个人访问托管用户用来连接SSH的登录信息。
在国内也不乏此类数据泄露事件，2017年4月20日，沈某在担任建设银行余姚城建支行行长期间，将该行受理的贷款客户财产信息共计127条外泄给他人以用于招揽业务。近日，该案件审理终结，沈某因侵犯公民个人信息罪，判处有期徒刑三年，缓刑三年，并处罚金人民币六千元。

针对此类数据泄露事件，下面我们探讨利用安恒UEBA产品AiThink怎么进行检测。
首先确定针对此类问题，需要哪些特征及模型。

监测特征

• 特征1：网络访问日志量
• 特征2：数据系统访问者日志量
• 特征3：数据系统不同来源用户数量

算法模型

• 模型A：使用特征1检测数据系统访问量的突变异常

• 模型B：使用特征1检测数据系统访问量的周期性异常

• 模型C：使用特征2检测新出现的访问IP

• 模型D：使用特征2检测潜伏的访问IP

• 模型E：使用特征3检测数据系统不同用户名称数量的异常

  创建上述特征和模型，在AiThink上建立一个数据系统访问的监测工作流。

1. 添加模型，并选择背景流量对应的事件范围。
2. 选择模型交集，可以发现在10月21号模型A、模型B、模型C、模型E存在异常交集。其中，
   a) 模型A说明时序在异常点存在突变；
   b) 模型B说明时序在异常点存在周期异常；
   c) 模型C说明检测到了新出现的访问IP；
   d) 模型E说明来源IP和用户的数量超过了数据系统的常规阈值。

3. 继续查看异常列表，因为模型A的特征反映数据系统访问量的总体情况，并且异常分值排名靠前，故先对模型A进行单时序探索，时序图显示有明显的突然跳增。

4. 查看异常点溯源总体概览，发现responseCode全为200，requestMsg存在相似情况，srcGeoCountry有多个境外地址。查看对应的原始日志，requestMsg相似，且数字规律递增，responseMsg中发现id、姓名、公司、地址、城市、电话、邮箱等个人信息，员工信息疑遭窃取，对异常点标记员工信息泄露。

5. 查看同时段异常，可以发现同时存在模型B、模型C和模型E的异常，通过单时序探索与同时段异常功能可以实现在不同模型之间的转换跳跃。发现模型B在10月21日之前也存在异常情况。

6. 查看昼夜统计，可以发现模型B的异常点都显示在夜间。对比前一天和前一周数据，可以看到夜间的日志量明显偏离了历史数值。溯源原始日志，异常点中存在许多responseCode为404，resquestUrl随机变化，srcGeoCountry为境外的日志，疑似有IP（177.38.72.33）在夜间扫描数据访问应用路径。

7. 在模型B的单时序图上，对异常点标记“疑似夜间扫描”。若还想继续查找是否有其他IP也在做类似的攻击，则选择模型并集，可以看到在10月21日之前，监测各个来源IP访问情况的模型D也有报异常，进入相应的单时序探索，发现除了标记的夜间扫描异常之外，白天同样存在类似日志特征的IP（186.219.210.77），在大背景流量中发起隐蔽的低频低幅度扫描，总体预览显示responseCode包含大量的404和少量的200，原始日志显示异常IP最终成功扫描到了目的路径。

通过上述溯源与关联，可以确信这是一起通过应用扫描最终窃取员工信息的安全事件。攻击者在10-07至10-20对数据系统发起低频的路径扫描并于20日成功获取目标API，在21日凌晨3点发动多个IP收集用户资料。所建特征与模型不仅能检测到员工资料的泄露，还能上溯到泄露事件发生前的隐患，方便用户及时发现问题阻断攻击。

UEBA防数据泄露的八大功能

离职风险监控：被解雇员工带走公司敏感信息。监控特定文件类型的存储（例如pst格式的邮件档案到U盘或邮件），通过将特定文件类型添加到监测列表中能够尽早发现敏感数据丢失。如果一个部门是裁员计划的一部分，则部门员工可能被添加到异常行为监测列表中。
USB接口监控：通过USB端口使用记录日志数据识别风险操作，例如用户第一次将文件保存到USB，或者用户进行超出常规行为的大规模文件复制。
越权文件访问监控：对授权资产进行自动监控，可以发现访问这些资产的非授权用户。
打印任务监控：恶意内部人员通常通过打印敏感文件规避动态数据检测。UEBA能够监视异常频率的打印作业、向打印机发送未命名文件等潜在数据泄露的指标。
云文件监控：利用云端应用程序活动日志跟踪文件移动，并将活动与用户基线以及同一部门的其他基线进行比较。
敏感资产自动分类：识别敏感数据以及存储数据的系统，根据这些信息创建敏感资产类别，这能够帮助自动给敏感系统的异常访问标记风险评分。
丰富化上下文信息：对用户所有活动进行关联记录，保证分析人员通过用户名能够查看与其相关的所有活动，可以帮助分析人员更快、更简便地做出更好的判断。
减少误报率和告警噪音：根据用户行为创建用户行为基线，并优先关注风险行为。

文件监控模型
以下是列举的部分检测模型。

模型	详细描述
非授权用户访问授权文件	不具备文件访问权限的用户越权访问文件夹
用户首次/异常访问文件夹	用户访问其从未访问过的文件夹文件，或以异常的方式访问文件
从网络区域的首次/异常文件访问	用户或终端在之前从未访问过文件夹的网络域进行文件访问
用户访问文件数量异常	用户访问的文件数量比其通常访问的文件数量多得多
来自设备的首次/异常文件访问	用户首次使用该设备访问文件，例如，用户从未从特定的工作站访问过此文件
用户执行异常次数的文件读取/写入	更细粒度的模型，显示执行大量文件读取/写入的用户

UEBA通过大量相关模型增强文件监控，这些模型包含网络访问、终端行为等。这些模型多是基于上下文信息的。例如，非执行用户访问执行文件夹需要UEBA理解在组织中谁是执行用户和非执行用户。以数据科学驱动的UEBA的一个主要好处是即使信息未明确编码到资产或身份管理系统中，也会自动建立有关组织的上下文模型。自动创建上下文的其他示例包括：检测特权用户与普通用户、机器帐户和人工帐户、工作站和服务器以及其他类型分类。

敏感信息存储位置分散且多样，因此检测潜在违规行为和数据泄露的有效方法就是部署全范围的行为分析。依靠单点解决方案提供的本地日志分析价值有限，并且会忽略其他的链接行为。UEBA能够采集文件访问日志信息，以及云、数据库、电子邮件、应用程序和其他访问信息，即使用户试图通过变换用户凭证、设备或IP地址等方法隐藏自己，也能将这些数据链接到一个连贯的活动链。通过安全活动上下文信息，UEBA能够提升威胁和潜在数据丢失的检测，更好地确定工作优先级，以及更快速地响应检测事件，并生成相应的调查取证报告。