内部威胁搞事情？UBA专治各种不服！【上】

IT安全人员表示，近些年来大型企业在网络安全方面的开支主要投入在防火墙、反病毒系统和基于特征（signature-based）的数字看守系统这些边界防御工具上，但是，重大数据泄密事件仍层出不穷，丝毫没有放缓的迹象。

原因何在？

其中一个原因是由于边界本身在逐渐消失，越来越多的企业组织在启动移动技术和全天候办公模式，结果导致越来越多的设备可以访问企业网络。同时，企业组织还将越来越多的业务职能外包给非雇员合同工和供应商，他们常常需要访问企业网络才能正常开展工作。

不仅如此，大肆炒作的“物联网”使企业网络向另一大批“授权设备”敞开了大门，给恶意人员可乘之机，钻设备的空子，大搞破坏，近期的互联网基础设施公司Dyn遭黑客攻击事件就明确无误的印证了这一点，导致世界知名的网络公司（包括Netflix、Twitter、亚马逊和Tumblr）的服务持续不断的受到干扰。

因此，尽管许多企业组织的开支仍往往集中在边界防御，但安全专家们已经意识到：当下将恶意人员完全隔离在企业网络之外几乎是不可能的。于是，大家开始寻找其他可以缓解入侵者带来危害的更好方法。当然，我们需要防范的不仅仅是黑客引起的安全事件。

最新研究表明，内部威胁（Insider Attack）在如今的数据泄密事件中已经占到20%-60%。事件的始作俑者有的是备受信赖的企业员工，有的是拥有合法登录信息的其他授权用户，而传统边界防御却无力阻止这种内部威胁，网络安全人员纷纷将目光投向用户行为分析（UBA），并愈发看重这项技术。

UBA技术是从一大批名为数据分析的“大数据”技术演变而来的，可以对数字系统不断记录的日常事件数据和活动日志进行实时监控、关联和分析。

由于连中型公司通常每天都有成千上万个设备与企业网络进行联系，这类联系必将生成大量的数据，这其中就很可能含有企图入侵或攻击的线索。纯粹依赖人力来筛查、解读这类海量信息带来的安全影响明显是不现实的，UBA结合了强大的计算机系统、先进的应用数学模型以及业务和行为情报来分析数据，查出不易被发现的异常活动，并且提醒安全专业人员留意应立即注意的问题。

UBA可以根据不断输入的内容进行“学习”，主动寻找内部威胁和欺诈行为、检测高级的恶意软件活动、密切关注用户的行动，从而自动识别高危行为。

我们在之前的文章中也反复提到过，UBA的技术核心就是“使用无监督式的机器学习算法监测用户的行为模式，建立模型，进行监测，并作出判断和预报。”

在这一点上，HanSight UBA利用了无监督机器学习业界前沿的研究成果，基于多种先进算法集，使得异常分析在企业缺乏标注安全数据的情况下也能达到好的效果。

同时，UBA经过认真管理――这一点我们会在后面详细地探讨，与边界防御工具不同，就会具有独特的功能：它可以识别不怀好意或粗心大意的内部人员从事的异常活动或可疑活动，这些拥有访问网络的权限的内部人员，很可能在以未授权、有危害的方式来使用那些权限。

如果UBA得到合理配置和部署，其识别和标记潜在危险内部活动的能力将是企业级网络安全“武器库”中一种非常厉害的“武器”。

举个例子，某个受信赖的中层员工在特殊的时间（比如，凌晨2:00）通过VPN连接并登录所在企业的网络，花了几小时访问了众多服务器和几十个或几百个文件，想一想这代表着什么？如果许多被访问的文件在这名员工之前工作中从未涉及过的地方，想想这又代表了什么？要是没有检测到恶意软件，IP地址也是干净的，公司的安全系统能够识别出这个活动是异常、可能的恶意活动吗？目前，这对于大多数企业组织来说是不可能的，除非它们已经制定了妥善管理的UBA计划。

UBA能够检测异常情况，有合理的迹象表明哪里出了什么岔子，从而发出警报，这在一方面依赖系统对于用户的什么行为是“正常”行为的理解。让UBA发挥正常作用的前提是，系统中要有每个用户的角色和职责方面的正确信息，包括这些人的属性：职衔、组织结构中的位置、该人经常共事的小组或团队、正常的工作时间、办公地点、网络访问权限等等信息。UBA把这些信息与系统自动整理的个人使用计算机留下的行为数据关联起来，为用户建立执行的正常活动确立基线，具体参数如IP地址、登录和退出时间、服务器访问尝试、打开和下载的文件、网站访问、打印任务等。

管理UBA的一项重大任务就是设定适当的告警阈值。事实证明，单一监测维度的异常很容易造成大量的误报。典型的设定阈值做法是，将每个用户分派到同部门小组，小组中的成员有着类似的业务职能和访问权限。

在此方面，除同部门外，HanSight UBA还以个人、资产、资产群等为单位建立多维度行为基线群，并通过算法计算出多个维度异常分值的综合值，进一步降低误报，在700百多种场景数据测试下显示，综合检测率达业界最高，即＞87.4%。

同时，还可以为每个用户赋予一个基准风险分值（baseline risk score）。风险分值最低的人员，比如网络访问权限非常有限的兼职行政管理人员，风险最高的将是可无限制访问整个IT基础设施的网络管理员。每个人的风险分值决定了异常检测的敏感性和异常行为的严重程度。相应地，对低风险的员工而言，触发警报的阈值就要高得多。（原文作者： Jason Straight   原文链接：http://www.legaltechnews.com/id=1202779048814/Can-User-Behavior-Analytics-Do-a-Better-Job-of-Protecting-Your-Data）[ 本文系HanSight瀚思编译！]

未经允许不得转载：DOIT » 内部威胁搞事情？UBA专治各种不服！【上】