腾讯安全运营中心集成UEBA能力，助力企业保障内部网络安全

数字经济时代的到来，也伴随着日益严峻的网络威胁。相对于外部入侵，内部威胁危害性更大，也更加隐蔽，难以防范应对。据2019年调查数据显示，全球企业因信息安全事件损失超过百亿，而其中超过60%的损失是由内部问题引起的。在全球爆发的重大网络安全事件，大多数也是由员工违规或无意操作引发敏感数据外泄、身份被冒用等内部威胁而导致。且相对于外部入侵来说，往往首先入侵、控制内部某台设备，再从内部发起攻击。其威胁危害性更大，也更加隐蔽，难以防范应对，内部安全威胁已经成为了一个亟待解决的安全问题。

为帮助企业更好的应对内部威胁，腾讯安全运营中心（SOC）推出了UEBA分析能力，基于账号异常、设备异常、横向移动和数据安全四大安全场景，帮助客户高效、准确、及时的检测风险，从而提升自身内部安全防护能力，有效降低内部威胁影响。

UEBA （User and Entity Behavior Analytics，用户实体行为分析）作为目前异常发现的重要分析技术日益受到关注。它结合办公、生产日志，第三方安全产品告警（如hids,nta等），专注于分析用户和设备的风险。通过对用户和设备的风险检测和行为分析，它能够及时、准确的感知内部安全状况。

而UEBA能力作为腾讯安全运营中心（SOC）的关键子系统，通过自建规则分析引擎、画像检测引擎、机器学习检测引擎，对全网海量安全告警数据进行快速分析。为网络中的实体行为构建基线，再根据基线检测用户或实体偏离“正常”模式的高风险操作，从而检测网络中的安全短板或疑似攻击行为，帮助企业降低内部威胁风险。

在UEBA能力的支持下，腾讯安全运营中心（SOC）识别发现内部网络安全威胁、增强网络安全事件可见程度、降低网络安全团队管理成本等方面等能力大大加强。例如当员工因为误点钓鱼网站、简单口令被破解等导致丢失登录帐号密码，或设备存在安全漏洞被入侵者控制，从而导致黑客利用漏洞对内网进行一系列的横向渗透活动时。UEBA可以记录、分析此类帐号异常情况，并根据该帐号的可疑行为进行分析后及时告警；同时可以对终端用户或实体访问敏感数据的情况进行分析，在企业发生信息泄露事件之前及时发现威胁、消除风险。

不仅如此，UEBA能力还可以帮助安全运维人员从海量日志中抽丝剥茧，高效处理海量告警，进行更细粒度的威胁检测，从而降低管理难度，提高告警准确率，有效降低网络安全团队管理成本。

总体来讲，腾讯安全运营中心（SOC）的UEBA能力目前已经具备六大产品优势：

第一，充分利用客户已购的，有针对性的安全产品进行告警，同时分析出其中的高价值告警，为每一条告警绑定到一个用户、一台设备，方便安全运维人员研判；

第二，着重针对用户和实体进行评分，并构建起一套软关联、数据驱动搭建的评分框架，从而高效处理海量告警，去除误报影响；

第三，提供“智能时间线”运营方式，通过将用户、账号、资产和应用上发生的各类异常和活动，以发生时间先后关系串联起来，做持续的用户与实体异常行为检测；

第四，基于规则构建了全面的高频横向移动规则，将用户从登录到登出的全部风险行为关联起来，实现精确描述恶意威胁横向移动场景；

第五，通过规则分析引擎、画像检测引擎、机器学习检测引擎，支持多种类型的检测问题；

第六，构建用户实体画像系统，存储丰富的数据指标，帮助安全运维人员快速研判风险。

在可以预见的将来，UEBA必将成为企业网络安全防护的核心技术，在降低内部安全威胁风险等方面发挥重要作用。作为产业互联网安全领导品牌的腾讯安全，将继续发挥自身的技术实力和实践经验，持续探索更加健全的网络安全解决方案，助力企业应对内外部网络安全威胁挑战，为数字经济安全和高质量发展保驾护航。