近年来信息安全一个非常热门的话题是用户和实体行为分析UEBA(User & Entity Behavior Analysis),诸多客户都期望UEBA一劳永逸地解决自身网络安全遇到的挑战,而各安全厂商希望UEBA成为自己所能提供安全解决方案保驾护航的killer级产品,相关的文章频出报端。
UEBA并不是一个凭空出世的概念,BA(行为分析)上个世纪就已经在很多科学领域得到了实践和发展,而Gartner也很早就定义了UBA(用户行为分析),认为分析网络中用户行为,基于用户实际行为偏离行为基线而做异常报警是企业网络安全的一个重要方向,在五年前又将这个定义扩展为UEBA,分析对象在用户(User)之外增加了实体(Entity),业界对此变化一般的解读是:这个实体为主机、服务器和应用,对这些与用户有密切关联关系的实体行为进行监控和对用户自身行为监控一样重要。
无论是UBA还是UEBA,虽然原理非常容易被接受和认可,但在其概念问世至今,业界没有出现一款真正让众人认可的UBA或UEBA产品。其原因并不难发现,行为分析只是一个技术方法或者工具,并不是一个最终的安全产品形态,对于客户最佳利用形式是将其做为一个工具或框架作为参考,根据自身情况对一个特定业务场景进行分析,是有目的和有上下文的分析,按现在AI术语,就是监督式学习,如果指望安全厂商能够提供一款非常适合自身企业的“拿来即用”的UBA或UEBA产品是一个不现实的想法。
运用行为分析方法为网络安全贡献应有价值,需考虑如下几个因素:
分析对象
在做行为分析工作之前,第一个要理清的要素就是分析的对象,这个对象就应该是我们业务场景想解决的问题的对象,譬如企业网络安全实际情况往往比较复杂,需要引入多个分析对象(譬如用户的终端设备、用户访问的应用系统和用户使用过的数据文件等),并将这些对象放在一个关联场景下做关联分析,才能够高效发现问题及原因所在;
分析来源
当讨论UBA或UEBA的时候,人们往往关注的是分析算法,认为算法是决定一个行为分析的优劣高低,殊不知巧妇难为无米之炊,很多失败的UBA/UEBA案例的根源还远到不了去评判分析算法的高下,数据源中关键特征信息的缺失和数据源的数据真伪难辨成为行为分析成败的最大的两只拦路虎;
静态 vs 实时
基于解决问题的时效性不同,行为分析有静态分析和实时分析两种选择,如果我们的目的是溯源审计,事后静态分析就是理所应当的选择(传统SIEM的应用场景),这时提到的效率是指分析过程的快慢,而不是要求快速抓住问题的现行;当我们希望是及时尽早发现安全隐患或者正在发生的安全事件,那么行为实时分析就成为不二选择了(这正是企业安全态势感知的方向),如何将静态分析和动态分析结合为有机一体,为企业网络安全提供更实用的利器,是企业网络安全领域里的一个更高追求。
广义的行为分析(BA)有四个层次,企业应该根据自身网络安全情况的需求逐阶段实现,这四个层次从低到高依次为:
行为管理
行为管理从技术角度严格意义上讲并不是分析,而是用预定义规程去约束行为,行为分析则是从行为中分析出规律。上网行为管理产品(UBM)是这一层次的典型代表,其下一代产品是“行为管理和监控”(UBMM);
结果导向行为分析
最典型的场景就是企业已知一个安全事件,通过对相关数据源的分析,试图找出事件发生的原因,并还原事件发生轨迹,其目的是溯源追责,并避免同一类型的事件再次发生,典型代表就是SIEM产品的使用;
实时行为分析
目前企业IT运维广泛应用的NPM/APM就采用了该类分析方法(但因为性能考量,监控的因素更多,分析的因素相对较少),其目的是在实时监控网络流量和应用的使用,以达到保障企业网络和关键应用系统的健康运行;
趋势导向行为分析
这是行为分析的高级境界,根据实时行为变化分析,发现是什么驱动行为,产生行为的原因,目标是防患于未然,具体到在信息安全领域则是通过这样的趋前分析去主动发现正在发生的安全事件行为或异常行为(可能产生安全事件),并预测出相关的潜在安全漏洞或风险。此类产品在市场上还未见到,也正是安全态势感知的正确发展方向。
行为分析一定会成为信息安全规划的重要组成,但一定要注意到行为分析的天然弊端,克服这些弊端是行为分析能够高效落地的一个前提:
用户行为分析是信息安全必不可少的一环,从个人角度看其违背人的本性,尤其是对个人隐私的担心:想看的没有看到,不该看到的看到了。安全运维人员只想看和信息安全相关的员工行为,对其他员工行为不想看也不应该看,这种界限在分析工作中很难区分;
行为分析的目的本来是从大量的数据中分析出有安全价值的信息,这种分析又恰恰会产生大量的噪声(False Alert),这种噪声又分为两种:1)从分析技术角度看是精准分析,但从业务角度看没有太大意义;2)由于分析算法或其他技术因素的原因,分析结果无法或很难人为解释(目前AI/机器学习技术落地的一个很大挑战就是结果不易解释),这就给信息安全的决策者出了一个难题;
行为分析不像其他安全产品呈现直接的结果,往往需要安全运维相关人员对行为分析使用的方法(算法)有相当程度的了解,这样才易于理解分析结果和应该采取的安全措施,这对于IT部门是一个巨大的资源和能力的挑战。
基于以上考量,全息网御推出CCBA(Context & Content)行为分析理念,在分析数据源通过从网络流量提取相关特征(Content)把关;在分析对象上定义多个网络维度,并为每个维度下每个实体画像并实时更新;关联在网络环境中自我学习的知识库和第三方情报(Context);根据具体业务场景利用AI/机器学习算法进行静态分析和动态分析,实现信息安全领域的“审计过去、监控现在、预测未来”!
关于全息网御:全息网御科技融合NG-DLP、UEBA、NG-SIEM、CASB四项先进技术,结合机器学习(人工智能),发现并实时重构网络中不可见的”用户-设备-数据”互动关系,推出以用户行为为核心的信息安全风险感知平台,为企业的信息安全管理提供无感知、无死角的智能追溯系统,高效精准的审计过去、监控现在、防患未来,极大提高IT安全运维和安全人员响应事故、抓取证据链、追责去责无责、恢复IT系统的能力和效率。