UEBA能够检测的七大类安全风险

2017-10-21 11:16 来源:安全牛 操作系统 /技术
用户和实体行为分析(UEBA)技术，是网络安全工具市场新成员，旨在提供防火墙和预防系统(IPS)等传统网络安全工具所不具备的功能。有了UEBA，公司企业不仅仅能从网络流量和反恶意软件扫描获悉指标(IoC)，还能深入理解用户行为。

UEBA系统可识别不同类型的异常用户行为，这些异常用户行为可被视作威胁及***指标。下面是UEBA技术可帮检测到的7类安全风险。

1. 缓慢少量
   坏人、外部人和内部人都知道，传统安全工具基于基本阈值起效。他们清楚，只要做同样的事情超过“X”次，就会触发警报。于是，他们降低速度和规模，以便保持低调，避免被侦测到。此种做法的一个例子，可以参考每天仅一次，通过邮件渗漏少量信用卡号。UEBA可检测到此种模式，并将之识别为需加以调查的重复性行为。
2. 共谋
   UEBA可帮助发现紧密合作突然改变行为模式的一组人员。比如说，一组人决定打劫客户记录谋私利，但知道安全措施在监视。于是，每个成员分走一部分记录，通过邮件发送到自己的个人账户上。UEBA不仅会找出用户行为的突然改变，还会标出这是该组人员内部统一的改变，然后标记整组。
3. 在噪音中隐身
   每个员工都有一个角色，须按角色需求执行特定动作。比如说，小王在负责打印抵押单的团队。小赵在同一家公司，担任退休计划财务顾问，却在2周时间里打印了2张抵押单。虽然打印抵押单对小王、小王的团队和整个公司而言，都是很平常的一件事；对小赵及其团队成员来说就太异常了。UEBA可从人群中鉴别出此类行为异常人员，让安全团队启动调查过程，在无需审查其他人的情况下进行针对性调查。
4. 持续渗漏尝试
   如果渗漏敏感数据的尝试受阻，***者往往就会尝试另一种方法以绕过安全系统。比如说，小张试图将敏感数据用邮件发到自己的个人账户，但被封了。他继续尝试上传文件到他个人网站的云存储中，也被封堵了。然后，他试图将文件拷贝到U盘中，再次遭遇U盘端口不可用的封禁状态。于是，他点击了“打印”按钮——成功了！UEBA技术能将所有这些行为都拼起来，小张最终会在自己的工作台位迎来调查人员的到访。
5. 好奇风险
   有些人就是控制不住哪扇门都想推开看看。其中很多人仅仅是好奇，或者就是想碰碰底线而已，但现实就是，这些人往往就是面对明知不应该打开的文件，还忍不住手痒点开的那些。他们会访问那些被封禁的网站，不断尝试，以为没人真的在监视。这些雇员就是网络钓鱼***最用以得手的入口点。UEBA能发现这些闲极无聊的人，向他们警示这些危险行为。
6. 离职员工
   UEBA能发现正打算离职的员工在行为上的改变，可使安全团队在这些人提交辞职报告之前就发现他们。这很重要！因为员工离职，往往会造成敏感数据随之外泄。因为UEBA能看出表征员工离职意愿的行为改变，这些员工就能在数据流出公司大门之前被发现。
7. 长期潜伏者
   与百无聊赖的手痒人士不同，这些人才是真的坏心眼。在寻找金矿的时候，他们会梳理文件系统，试图登录能发现的任何什么东西。这些人目标远大，不达目的不罢休，除非找到价值巨大的敏感数据——或者，被UEBA发现，否则他们会一直游弋在公司系统中。

转载于:https://blog.51cto.com/2179514/2346571