網(wǎng)絡(luò)安全用戶實(shí)體行為分析技術(shù)UEBA白皮書

1、網(wǎng)絡(luò)安全先進(jìn)技術(shù)與應(yīng)用發(fā)展系列報(bào)告用戶實(shí)體行為分析技術(shù)（UEBA）目錄 HYPERLINK l _bookmark1 一、安全新范式1 HYPERLINK l _bookmark2 （一）數(shù)字化面臨的安全挑戰(zhàn)2 HYPERLINK l _bookmark3 （二）新范式破局之道7 HYPERLINK l _bookmark4 （三）UEBA 的定義與演進(jìn)10 HYPERLINK l _bookmark5 （四）UEBA 的價(jià)值13 HYPERLINK l _bookmark6 二、架構(gòu)與技術(shù)17 HYPERLINK l _bookmark7 （一）基線及群組分析17 HYPERLINK l _

2、bookmark8 （二）異常檢測18 HYPERLINK l _bookmark9 （三）集成學(xué)習(xí)風(fēng)險(xiǎn)評分19 HYPERLINK l _bookmark10 （四）安全知識圖譜19 HYPERLINK l _bookmark11 （五）強(qiáng)化學(xué)習(xí)20 HYPERLINK l _bookmark12 （六）其他技術(shù)21 HYPERLINK l _bookmark13 三、部署實(shí)施23 HYPERLINK l _bookmark14 （一）聚焦目標(biāo)23 HYPERLINK l _bookmark15 （二）識別數(shù)據(jù)源與接入數(shù)據(jù)23 HYPERLINK l _bookmark16 （三）確定部署模

3、式24 HYPERLINK l _bookmark17 （四）分析微調(diào)與定制24 HYPERLINK l _bookmark18 （五）迭代優(yōu)化25 HYPERLINK l _bookmark19 四、最佳實(shí)踐27 HYPERLINK l _bookmark20 （一）專職團(tuán)隊(duì)27 HYPERLINK l _bookmark21 （二）專注于用例開發(fā)27 HYPERLINK l _bookmark22 （三）法律合規(guī)性27 HYPERLINK l _bookmark23 五、典型應(yīng)用案例29 HYPERLINK l _bookmark24 （一）惡意內(nèi)部人員29 HYPERLINK l _bo

4、okmark25 （二）失陷賬號30 HYPERLINK l _bookmark26 （三）失陷主機(jī)32 HYPERLINK l _bookmark27 （四）數(shù)據(jù)泄露33 HYPERLINK l _bookmark28 （五）風(fēng)險(xiǎn)定級排序35 HYPERLINK l _bookmark29 （六）業(yè)務(wù) API 安全36 HYPERLINK l _bookmark30 （七）遠(yuǎn)程辦公安全37 HYPERLINK l _bookmark31 六、行業(yè)應(yīng)用案例38 HYPERLINK l _bookmark32 （一）醫(yī)療行業(yè)38 HYPERLINK l _bookmark33 （二）金融行業(yè)38

5、 HYPERLINK l _bookmark34 （三）能源行業(yè)39 HYPERLINK l _bookmark35 （四）政務(wù)行業(yè)40 HYPERLINK l _bookmark36 七、總結(jié)42關(guān)于48圖目錄 HYPERLINK l _bookmark0 圖 1誰是數(shù)據(jù)泄漏的受害者？3 HYPERLINK l _bookmark0 圖 2安全轉(zhuǎn)向數(shù)據(jù)科學(xué)驅(qū)動的新范式8 HYPERLINK l _bookmark0 圖 3SIEM、UEBA、SOAR 的融合趨勢11 HYPERLINK l _bookmark0 圖 4UEBA 的發(fā)展現(xiàn)狀12 HYPERLINK l _bookmark0 圖

6、 5典型的 UEBA 系統(tǒng)架構(gòu)17 HYPERLINK l _bookmark0 圖 6基線分析與群組分析18 HYPERLINK l _bookmark0 圖 7孤立森林發(fā)現(xiàn)異常點(diǎn)19 HYPERLINK l _bookmark0 圖 8多種算法進(jìn)行集成學(xué)習(xí)20 HYPERLINK l _bookmark0 圖 9安全知識圖譜20 HYPERLINK l _bookmark0 圖 10UEBA 中的強(qiáng)化學(xué)習(xí)21 HYPERLINK l _bookmark0 圖 11UEBA 分析改進(jìn)與迭代調(diào)優(yōu)循環(huán)流程26 HYPERLINK l _bookmark0 圖 12內(nèi)部人員導(dǎo)致的安全威脅29 HY

7、PERLINK l _bookmark0 圖 13內(nèi)部員工竊取敏感數(shù)據(jù)場景分析流程圖30 HYPERLINK l _bookmark0 圖 14賬號失陷是攻擊鏈模型中的轉(zhuǎn)折點(diǎn)31 HYPERLINK l _bookmark0 圖 15主機(jī)失陷是病毒爆發(fā)、勒索軟件的前奏33 HYPERLINK l _bookmark0 圖 16數(shù)據(jù)泄漏中的攻擊移動和數(shù)據(jù)流34表目錄 HYPERLINK l _bookmark0 表 1海外市場上的主流 UEBA 廠商分類13 HYPERLINK l _bookmark0 表 2各種安全技術(shù)和范式對比14一、安全新范式全球數(shù)字化浪潮下，各類信息化成果持續(xù)融入億萬大

8、眾的生活， 也深刻改變著信息技術(shù)環(huán)境。一方面，以云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)等為代表的新技術(shù)得到快速應(yīng)用；另一方面，傳統(tǒng)能源、電力、交通等行業(yè)平臺聯(lián)入網(wǎng)絡(luò)，成為關(guān)鍵信息基礎(chǔ)設(shè)施的有機(jī)組成；與此同時，5G 通信、人工智能、區(qū)塊鏈等更多顛覆式創(chuàng)新科技已經(jīng)來到。以云計(jì)算為例，當(dāng)前，云計(jì)算正處于快速發(fā)展階段，技術(shù)產(chǎn)業(yè)創(chuàng)新不斷涌現(xiàn)。其中，產(chǎn)業(yè)方面，企業(yè)上云成為趨勢，云管理服務(wù)、智能云、邊緣云等市場開始興起；自 2017 年起，中國公有云市場持續(xù)保持高速增長，零售、制造和金融等行業(yè)用戶對于公有云的接受程度越來越高，公有云在傳統(tǒng)行業(yè)的滲透率持續(xù)提升1，云服務(wù)在當(dāng)年的采用率已經(jīng)達(dá)到 70%2。而隨著萬物

9、互聯(lián)的到來，邊緣計(jì)算和物聯(lián)網(wǎng)（IoT）也蓬勃發(fā)展。到 2021 年，邊緣托管容器數(shù)量將達(dá)到 7 億，企業(yè)數(shù)據(jù)中心之外的工作負(fù)載占比 50%，到 2022 年，物聯(lián)網(wǎng)（IoT）設(shè)備數(shù)量將達(dá)到 146億，增強(qiáng)現(xiàn)實(shí)（AR）和虛擬現(xiàn)實(shí)（VR）的使用量將增長 12 倍，2017 至 2022 年，業(yè)務(wù)移動流量將每年增加 42%，53%網(wǎng)絡(luò)安全攻擊導(dǎo)致的損失將超過 50 萬美元。31 中國公有云發(fā)展調(diào)查報(bào)告 (2018 年) ，中國信息通信研究院，2018 年 8 月2 云計(jì)算發(fā)展白皮書 (2019 年) ，中國信息通信研究院，2019 年 7 月3 2020 全球網(wǎng)絡(luò)趨勢報(bào)告，思科，2020普華永道和微

10、軟中國在 2019 年四季度，聯(lián)合進(jìn)行了一次現(xiàn)代化云辦公解決方案調(diào)研。調(diào)研結(jié)果發(fā)現(xiàn) 81%企業(yè)員工在工作中需要在移動設(shè)備上使用辦公軟件，100%企業(yè)高管需要使用移動設(shè)備進(jìn)行辦公， 24%調(diào)研對象反映他們每日工作中有超過 30%的任務(wù)需使用移動設(shè)備在非辦公場所完成（比如家中、咖啡廳、機(jī)場、火車上、酒店等場所）。預(yù)計(jì)到 2020 年將有 100 億臺移動設(shè)備投入使用，而移動技術(shù)的普及正在從根本上改變?nèi)藗兊乃伎肌⒐ぷ?、行動和互動方式。公司已廣泛接受自帶設(shè)備（BYOD）策略，允許或鼓勵員工使用其個人移動設(shè)備（如手機(jī)、平板電腦和筆記本電腦）訪問企業(yè)數(shù)據(jù)和系統(tǒng)4。2020 年春季一場突如其來的新冠病毒全球

11、大流行，更是讓遠(yuǎn)程辦公、移動辦公進(jìn)入了公眾視線。如前所述，數(shù)字新時代正在加速全面到來，網(wǎng)絡(luò)環(huán)境變得更加多元、人員變得更復(fù)雜、接入方式多種多樣，網(wǎng)絡(luò)邊界逐漸模糊甚至消失，同時伴隨著企業(yè)數(shù)據(jù)的激增。發(fā)展與安全，已成為深度融合、不可分離的一體之兩面。在數(shù)字化浪潮的背景下，網(wǎng)絡(luò)信息安全必須應(yīng)需而變、應(yīng)時而變、應(yīng)勢而變。（一）數(shù)字化面臨的安全挑戰(zhàn)凡有收益，必有代價(jià)。數(shù)字資產(chǎn)的巨大價(jià)值同樣被網(wǎng)絡(luò)犯罪組織所垂涎。2018 年流行的挖礦病毒、勒索軟件等安全威脅均以可直接給網(wǎng)絡(luò)犯罪分子帶來經(jīng)濟(jì)收益為典型特征，垃圾郵件攻擊、移動4 現(xiàn)代化云辦公解決方案中國市場白皮書，普華永道和微軟中國，2020安全威脅也處于不斷

12、上升趨勢。數(shù)字化轉(zhuǎn)型促進(jìn)組織的業(yè)務(wù)發(fā)展的同時，也帶來了重大的網(wǎng)絡(luò)安全挑戰(zhàn)。越來越多的敏感數(shù)字信息遭受網(wǎng)絡(luò)攻擊被竊取，網(wǎng)絡(luò)和系統(tǒng)平臺被暴露或被操縱，數(shù)字資產(chǎn)的保密性、可用性、完整性遭受挑戰(zhàn)。網(wǎng)絡(luò)威脅的影響遍及醫(yī)療保健、金融、零售等各行各業(yè)，未能采取適當(dāng)?shù)陌踩Ｗo(hù)舉措可能給組織帶來巨大的財(cái)務(wù)和聲譽(yù)損失。來源：2019 Data Breach Investigations Report，Verizon圖 1 誰是數(shù)據(jù)泄漏的受害者？根據(jù)Verizon 發(fā)布的 2019 數(shù)據(jù)泄露調(diào)查報(bào)告，如圖 1 所示，公共部門、醫(yī)療組織、金融機(jī)構(gòu)是數(shù)據(jù)泄漏的主要受害者，同時大量的數(shù)據(jù)泄漏事件也波及到了中小型組織5。部

13、分原因可能是由于領(lǐng)先組織的安全能力提升，導(dǎo)致一些直接攻擊向供應(yīng)鏈間接攻擊轉(zhuǎn)變。隨著最終用戶和消費(fèi)者的安全意識、隱私意識越來越強(qiáng)，對安全事件越來越敏感，每個組織面臨的安全事件成本壓力也愈加突出。根據(jù)Ponemon Institute 的報(bào)告，基于一項(xiàng)涉及 12 個國家、383 個公司的調(diào)查，在 2016 年的數(shù)據(jù)泄漏的平均代價(jià)是 400 萬美金，相比 2013 年增長了 29%。2018 年，在美國數(shù)據(jù)泄漏的平均代價(jià)已經(jīng)達(dá)5 2019 Data Breach Investigations Report，Verizon，2019到了 790 萬美金，全世界范圍內(nèi)，每 7 分鐘就有一起合規(guī)性告警事件

14、發(fā)生。6IBM Security 在2019 年度數(shù)據(jù)泄露成本調(diào)研報(bào)告中對2018 年 7 月至 2019 年 4 月期間的全球 16 個國家和地區(qū)的 17 個行業(yè)的 507 家公司發(fā)生的數(shù)據(jù)泄露事件進(jìn)行了調(diào)查。調(diào)查結(jié)果顯示，數(shù)據(jù)泄露事件的全球平均成本為 392 萬美元，平均泄露 25575 條記錄，每條記錄的平均成本為 150 美元，檢測和控制數(shù)據(jù)泄露事件的時間為 279 天。7隨著網(wǎng)絡(luò)犯罪集團(tuán)的增加和國家隱蔽網(wǎng)絡(luò)活動的激增，網(wǎng)絡(luò)攻擊在數(shù)量和復(fù)雜性方面都在增長。網(wǎng)絡(luò)攻擊技術(shù)不斷升級，網(wǎng)絡(luò)犯罪分子也在不斷提升專業(yè)攻擊技術(shù)，意圖突破安全防線，例如，采用非常規(guī)文件擴(kuò)展名、“無文件”組件、數(shù)字簽名技

15、術(shù)、微軟 HTML 應(yīng)用程序（MSHTA）等新技術(shù)，躲避安全防護(hù)系統(tǒng)的檢測與查殺，更好地攻擊入侵目標(biāo)系統(tǒng)。同時，攻擊者也采用了新策略。根據(jù)賽門鐵克的一份報(bào)告，2018 年供應(yīng)鏈攻擊增長了 78%。據(jù)分析 LotL 策略（Living-off-the-Land 攻擊，指的是借助系統(tǒng)中已存在的應(yīng)用程序或工具完成攻擊）已成為攻擊者最重要的攻擊方式之一，旨在協(xié)助網(wǎng)絡(luò)犯罪分子進(jìn)行復(fù)雜攻擊時盡量隱藏攻擊行為。LotL 技術(shù)允許攻擊者隱藏在合法進(jìn)程中， 相關(guān)攻擊事件呈爆發(fā)趨勢。例如，2018 年惡意PowerShell 腳本的使用增加了十倍。賽門鐵克每月阻止 11.5 萬個惡意PowerShell 腳本，6

16、 2018 Cost of a Data Breach Study，Ponemon Institute LLC，20187 2019 年度數(shù)據(jù)泄露成本調(diào)研報(bào)告，IBM，2019但不到PowerShell 總使用量的百分之一。如果阻止全部 PowerShell 腳本將對業(yè)務(wù)運(yùn)行產(chǎn)生影響，進(jìn)一步佐證了 LotL 技術(shù)已成為許多高級持續(xù)性威脅（APT）攻擊團(tuán)體躲避安全團(tuán)隊(duì)檢測的首選策略。8外部網(wǎng)絡(luò)攻擊威脅加劇的同時，組織內(nèi)部及其網(wǎng)絡(luò)周邊的內(nèi)部威脅也持續(xù)增長。網(wǎng)絡(luò)犯罪分子可能偽裝成合法用戶，進(jìn)而突破網(wǎng)絡(luò)邊界、竊取網(wǎng)絡(luò)憑證、植入惡意軟件，或由于組織內(nèi)部人員工作失誤，引發(fā)組織內(nèi)部的網(wǎng)絡(luò)安全威脅。根據(jù)IBM

17、 X-Force 安全團(tuán)隊(duì)的監(jiān)測，2019 年全球超過 85 億條記錄遭到泄露，相比 2018 年增長超過 200%。究其原因，可能由于內(nèi)部人員玩忽職守導(dǎo)致數(shù)據(jù)泄露。由于錯誤配置的服務(wù)器（包括公開訪問的云存儲、不安全的云數(shù)據(jù)庫以及安全措施不到位的遠(yuǎn)程同步備份或開放的互聯(lián)網(wǎng)絡(luò)區(qū)域存儲設(shè)備）而泄露的記錄占 2019 年泄露記錄數(shù)量的 86%。9據(jù)外媒報(bào)道稱，2017 年，美國五角大樓由于在使用亞馬遜簡單存儲服務(wù)（S3）時配置錯誤，意外暴露了美國國防部的機(jī)密數(shù)據(jù)庫，其中包含美國當(dāng)局在全球社交媒體平臺中收集到的 18 億用戶的個人信息。10雪上加霜的是，在外部攻擊、內(nèi)部威脅的壓力之下，由于數(shù)字化時代的

18、信息系統(tǒng)、數(shù)字科技越來越復(fù)雜，組織和機(jī)構(gòu)脆弱性暴露面也越來越多。8 2019 Internet Security Threat Report，Symantec，20199 X-Force 威脅情報(bào)指數(shù)，IBM，202010 五角大樓 AWS S3 配置錯誤，意外在線暴露包含全球 18 億用戶的社交信息，2017， https:/ HYPERLINK /a/205831467_354899 /a/205831467_354899根據(jù)中國國家信息安全漏洞庫（CNNVD）網(wǎng)站數(shù)據(jù)統(tǒng)計(jì)，新增漏洞數(shù)量近幾年一直保持上升趨勢。2018 年，新增漏洞 15040 個，與2017 年披露的漏洞數(shù)量 11097

19、 個相比，增加了 36%。2019 年，國家信息安全漏洞共享平臺（CNVD）新收錄通用軟硬件漏洞數(shù)量達(dá) 16193 個，與前一年相比同比增長 14.0%，創(chuàng)下歷史新高。漏洞影響范圍也從傳統(tǒng)互聯(lián)網(wǎng)到移動互聯(lián)網(wǎng)，從操作系統(tǒng)、辦公自動化系統(tǒng)（OA） 等軟件到虛擬私人網(wǎng)絡(luò)（VPN）、家用路由器等網(wǎng)絡(luò)硬件設(shè)備，以及芯片、SIM 卡等底層硬件。11因此，安全防護(hù)運(yùn)營團(tuán)隊(duì)通常需要跟蹤最新漏洞，持續(xù)識別網(wǎng)絡(luò)環(huán)境中的隱患，進(jìn)行加固防護(hù)；持續(xù)進(jìn)行安全監(jiān)控，保持最大的安全可見性，感知全域安全威脅與風(fēng)險(xiǎn)；關(guān)注最新的威脅情報(bào)，了解最新的攻擊組織、技術(shù)和方法，持續(xù)監(jiān)控失陷指標(biāo)（IoC）并應(yīng)用到威脅檢測過程中，同時主動進(jìn)行

20、威脅狩獵；以及對組織成員進(jìn)行安全意識教育培訓(xùn)。但是根據(jù)思科的一份調(diào)查報(bào)告，77%的中型企業(yè)發(fā)現(xiàn)，從數(shù)量繁多的安全解決方案中找出真正有價(jià)值的安全警報(bào)非常困難。在眾多安全警報(bào)中，幾乎有 46%的警報(bào)未經(jīng)分析驗(yàn)證；54%的警報(bào)經(jīng)過驗(yàn)證后，其中只有將近四成是真實(shí)警報(bào)，能得到修復(fù)的只有不到半數(shù)?？傮w來看，僅不到 10%的告警最終被有效處置。1211 2019 年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢綜述，國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心，202012 思科 2018 年度網(wǎng)絡(luò)安全報(bào)告，思科，2018此外，安全團(tuán)隊(duì)正在遭受“拒絕服務(wù)（DDoS）攻擊”。在不對稱且長期持久的網(wǎng)絡(luò)安全攻防對抗形勢下，“安全勇士們”責(zé)任重大。

21、總之，組織面臨的嚴(yán)峻網(wǎng)絡(luò)安全挑戰(zhàn)來自四個方面：越來越多的外部攻擊，包括被利益驅(qū)動或國家驅(qū)動的難以察覺的高級攻擊；心懷惡意的內(nèi)鬼、疏忽大意的員工、失陷賬號與失陷主機(jī)導(dǎo)致的各種內(nèi)部威脅；數(shù)字化基礎(chǔ)設(shè)施的脆弱性和風(fēng)險(xiǎn)暴露面越來越多，業(yè)務(wù)需求多變持續(xù)加劇的問題；安全團(tuán)隊(duì)人員不足或能力有限，深陷不對稱的“安全戰(zhàn)爭” 之中。挑戰(zhàn)催生革新，正是在數(shù)字化帶來的巨大安全新挑戰(zhàn)下，安全新范式應(yīng)運(yùn)而生。（二）新范式破局之道2012 年咨詢公司高德納（Gartner）發(fā)表了一份題為信息安全正在成為一個大數(shù)據(jù)分析問題的報(bào)告，提出當(dāng)前信息安全問題正在轉(zhuǎn)變成大數(shù)據(jù)分析問題，大數(shù)據(jù)的出現(xiàn)將對信息安全產(chǎn)生深遠(yuǎn)的影響13。在數(shù)字

22、時代，安全團(tuán)隊(duì)迫切希望通過大數(shù)據(jù)分析和機(jī)器學(xué)習(xí)，13 Information Security Is Becoming a Big Data Analytics Problem，Gartner，2012提高內(nèi)部威脅和外部攻擊的可見性，提升威脅檢測響應(yīng)能力，成為組織探索將安全分析應(yīng)用于其網(wǎng)絡(luò)和其他數(shù)據(jù)源的關(guān)鍵驅(qū)動因素。安全是人和人攻防對抗的游戲，一切的意圖都需要通過行為表達(dá)，這是安全運(yùn)營中最重要也最有價(jià)值的一塊拼圖，同時也是傳統(tǒng)方式最欠缺的。傳統(tǒng)安全產(chǎn)品、技術(shù)、方案，基于單次單點(diǎn)的有限信息，運(yùn)用簽名、規(guī)則進(jìn)行非黑即白式的防護(hù)控制，可能導(dǎo)致大量的噪聲和誤報(bào)。雖然已經(jīng)有告警聚合等基礎(chǔ)聚合技術(shù)等，嘗試

23、修復(fù)上述問題，但是仍未產(chǎn)生較好效果。傳統(tǒng)方式仍無法自動適應(yīng)攻擊者的逃逸繞過，策略升級也經(jīng)常需要長達(dá)數(shù)月時間，存在嚴(yán)重的滯后效應(yīng)，對未知攻擊甚至完全無法察覺。可見，傳統(tǒng)安全倚重舊范式，基于特征、規(guī)則和人工分析，存在安全可見性盲區(qū)，有嚴(yán)重的滯后效應(yīng)、無力檢測未知攻擊、容易被繞過，以及難以適應(yīng)攻防對抗的網(wǎng)絡(luò)現(xiàn)實(shí)和快速變化的企業(yè)環(huán)境、外部威脅等問題。圖 2 安全轉(zhuǎn)向數(shù)據(jù)科學(xué)驅(qū)動的新范式如圖 2 所示，通過對困境的持續(xù)探索，安全行業(yè)逐漸轉(zhuǎn)向基于大數(shù)據(jù)驅(qū)動、安全分析和機(jī)器學(xué)習(xí)的安全新范式，以期彌補(bǔ)傳統(tǒng)安全短板。同時，網(wǎng)絡(luò)安全也已經(jīng)開始從單純強(qiáng)調(diào)邊界防護(hù)到縱深安全檢測響應(yīng)的艱巨轉(zhuǎn)變。攻擊者的不對稱性優(yōu)勢，一

24、直是安全團(tuán)隊(duì)面臨的最大問題。只要能充分利用行為分析這塊拼圖，以及充分利用網(wǎng)絡(luò)縱深路徑上的各種數(shù)據(jù)，安全團(tuán)隊(duì)可能逆轉(zhuǎn)這種不對稱的情況，從海量的安全數(shù)據(jù)中識別和發(fā)現(xiàn)攻擊和惡意行為 。用戶實(shí)體行為分析（UEBA）就是安全新范式的一個典型體現(xiàn)， 其新范式的破局之道主要體現(xiàn)在如下五個方面：行為分析導(dǎo)向身份權(quán)限可能被竊取，但是行為模式難以模仿。內(nèi)部威脅、外部攻擊難以在基于行為的分析中完全隱藏、繞過或逃逸，行為異常成為首要的威脅信號。采集充分的數(shù)據(jù)和適當(dāng)?shù)姆治?，可發(fā)現(xiàn)橫向移動、數(shù)據(jù)傳輸、持續(xù)回連等異常行為。聚焦用戶與實(shí)體一切的威脅都來源于人，一切的攻擊最終都會必然落在帳號、機(jī)器、數(shù)據(jù)資產(chǎn)和應(yīng)用程序等實(shí)體上。

25、通過持續(xù)跟蹤用戶和實(shí)體的行為，持續(xù)進(jìn)行風(fēng)險(xiǎn)評估，可以使安全團(tuán)隊(duì)最全面地了解內(nèi)部威脅風(fēng)險(xiǎn)，將日志、告警、事件、異常與用戶和實(shí)體關(guān)聯(lián)，構(gòu)建完整的時間線。通過聚焦用戶與實(shí)體，安全團(tuán)隊(duì)可以擺脫告警疲憊，聚焦到業(yè)務(wù)最關(guān)注的風(fēng)險(xiǎn)、有的放矢，提升安全運(yùn)營績效，同時通過聚焦到以賬號、資產(chǎn)和關(guān)鍵數(shù)據(jù)為中心，可以大幅降低誤報(bào)告警數(shù)量。全時空分析行為分析不再是孤立的針對每個獨(dú)立事件，而是采用全時空分析方法，連接起過去（歷史基線）、現(xiàn)在（正在發(fā)生的事件）、未來（預(yù)測的趨勢），也連接起個體、群組、部門、相似職能的行為模式。通過結(jié)合豐富的上下文，安全團(tuán)隊(duì)可以從多源異構(gòu)數(shù)據(jù)中以多視角、多維度對用戶和實(shí)體的行為進(jìn)行全方位分析

26、，發(fā)現(xiàn)異常。機(jī)器學(xué)習(xí)驅(qū)動行為分析大量的采用統(tǒng)計(jì)分析、時序分析等基本數(shù)據(jù)分析技術(shù)， 以及非監(jiān)督學(xué)習(xí)、有監(jiān)督學(xué)習(xí)、深度學(xué)習(xí)等高級分析技術(shù)。通過機(jī)器學(xué)習(xí)技術(shù)，可以從行為數(shù)據(jù)中捕捉人類無法感知、無法認(rèn)知的細(xì)微之處，找到潛藏在表象之下異常之處。同時機(jī)器學(xué)習(xí)驅(qū)動的行為分析，避免了人工設(shè)置閾值的困難和無效。異常檢測行為分析的目的，是發(fā)現(xiàn)異常，從正常用戶中發(fā)現(xiàn)異常的惡意用戶，從用戶的正常行為中發(fā)現(xiàn)異常的惡意行為?？偨Y(jié)新范式破局的五個方面，就是在全時空的上下文中聚焦用戶和實(shí)體，利用機(jī)器學(xué)習(xí)驅(qū)動方法對行為進(jìn)行分析，從而發(fā)現(xiàn)異常。（三）UEBA 的定義與演進(jìn)Gartner 對UEBA 的定義是“UEBA 提供畫像及

27、基于各種分析方法的異常檢測，通常是基本分析方法（利用簽名的規(guī)則、模式匹配、簡單統(tǒng)計(jì)、閾值等）和高級分析方法（監(jiān)督和無監(jiān)督的機(jī)器學(xué)習(xí)等），用打包分析來評估用戶和其他實(shí)體（主機(jī)、應(yīng)用程序、網(wǎng)絡(luò)、數(shù)據(jù)庫等），發(fā)現(xiàn)與用戶或?qū)嶓w標(biāo)準(zhǔn)畫像或行為相異常的活動所相關(guān)的潛在事件。這些活動包括受信內(nèi)部或第三方人員對系統(tǒng)的異常訪問（用戶異常），或外部攻擊者繞過安全控制措施的入侵（異常用戶）”14。Gartner 認(rèn)為 UEBA 是可以改變游戲規(guī)則的一種預(yù)測性工具，其特點(diǎn)是將注意力集中在最高風(fēng)險(xiǎn)的領(lǐng)域，從而讓安全團(tuán)隊(duì)可以主動管理網(wǎng)絡(luò)信息安全。UEBA 可以識別歷來無法基于日志或網(wǎng)絡(luò)的解決方案識別的異常，是對安全信息與

28、事件管理（SIEM）的有效補(bǔ)充。雖然經(jīng)過多年的驗(yàn)證，SIEM 已成為行業(yè)中一種有價(jià)值的必要技術(shù)， 但是SIEM 尚未具備帳戶級可見性，因此安全團(tuán)隊(duì)無法根據(jù)需要快速檢測、響應(yīng)和控制15。作為現(xiàn)代化 SIEM 演進(jìn)的方向，如圖 3 所示，SIEM、UEBA、安全編排自動化響應(yīng)（SOAR）將會走向融合。圖 3 SIEM、UEBA、SOAR 的融合趨勢14 2019 Market Guide for User and Entity Behavior Analytics，Gartner，201915 2019 Market Guide for User and Entity Behavior Analy

29、tics，Gartner，2019如圖 4 展示 UEBA 的發(fā)展歷程。由于身份和訪問管理（IAM）無法提供全面的數(shù)據(jù)分析等原因，UEBA 的前身用戶行為分析（UBA）應(yīng)運(yùn)而生。隨后，來自于用戶側(cè)強(qiáng)勁的需求不斷推動 UEBA 市場持續(xù)快速增長，復(fù)合年增長率達(dá)到了 48%。圖 4 UEBA 的發(fā)展現(xiàn)狀如表 1 所示，市場上參與 UEBA 的廠商也逐漸增多，從早期獨(dú)立的純UEBA 廠商，到主流 SIEM 廠商、網(wǎng)絡(luò)流量分析（NTA）廠商也開始引入U(xiǎn)EBA 能力特性。表 1 海外市場上的主流 UEBA 廠商分類（四）UEBA 的價(jià)值通過對比安全新舊范式，可以看到 UEBA 具有明顯的獨(dú)特價(jià)值。UEB

30、A 可以給安全團(tuán)隊(duì)帶來獨(dú)特的視角和能力，即通過行為層面的數(shù)據(jù)源以及各種高級分析，增強(qiáng)現(xiàn)有安全工具能力，提高風(fēng)險(xiǎn)可視性， 彌補(bǔ)了安全運(yùn)營中長久以來缺失的、極度有價(jià)值的視角，并提高了現(xiàn)有安全工具的投資回報(bào)率。UEBA 比現(xiàn)有的分散工具具有更大的風(fēng)險(xiǎn)可視性，尤其是經(jīng)過評分排序的威脅線索減少了噪音和誤報(bào)告警。通過直觀的點(diǎn)擊式界面訪問上下文和原始事件，從而加速了事件調(diào)查和根本原因分析，縮短了調(diào)查時間，降低了事件調(diào)查人數(shù)以及與雇用外部顧問相關(guān)的成本。在增加現(xiàn)有安全投資的回報(bào)方面，UEBA 主要通過以下方式實(shí)現(xiàn)：安全信息和事件管理（SIEM）系統(tǒng)、惡意軟件威脅檢測工具端點(diǎn)檢測響應(yīng)（EDR）和端點(diǎn)平臺保護(hù)（E

31、PP），以及數(shù)據(jù)泄漏防護(hù)（DLP）技術(shù)自動確定威脅和風(fēng)險(xiǎn)的優(yōu)先級。通過無監(jiān)督的機(jī)器學(xué)習(xí)來自動化、大規(guī)模的正常和異常行為的統(tǒng)計(jì)測量，從而降低了運(yùn)營成本， 實(shí)現(xiàn)無需管理復(fù)雜的基于閾值、規(guī)則或策略的環(huán)境。表 2 各種安全技術(shù)和范式對比UEBA/行為分析IDS/AV/WAFTI/威脅情報(bào)適用數(shù)據(jù)源可應(yīng)用場景攻防對抗無滯后效應(yīng)未知攻擊環(huán)境自適應(yīng)如表 2 所示，UEBA 的價(jià)值主要體現(xiàn)在：發(fā)現(xiàn)未知UEBA 可以幫助安全團(tuán)隊(duì)發(fā)現(xiàn)網(wǎng)絡(luò)中隱藏的、或未知威脅，包括外部攻擊和內(nèi)部威脅；可以自適應(yīng)動態(tài)的環(huán)境變化和業(yè)務(wù)變化；通過異常評分的定量分析，分析全部事件，無需硬編碼的閾值，即使表面看起來細(xì)微的、慢速的、潛伏的行為

32、，也可能被檢測出來。增強(qiáng)安全可見UEBA 可以監(jiān)控所有賬號，無論是特權(quán)管理員、內(nèi)部員工、供應(yīng)商員工、合作伙伴等；利用行為路徑分析，貫穿從邊界到核心資產(chǎn)的全流程，擴(kuò)展了對關(guān)鍵數(shù)據(jù)等資產(chǎn)的保護(hù)；對用戶離線、機(jī)器移動到公司網(wǎng)絡(luò)外等情況，均增強(qiáng)了保護(hù)；準(zhǔn)確檢測橫向移動行為， 無論來自內(nèi)部還是外部，都可能可以在敏感數(shù)據(jù)泄露之前發(fā)現(xiàn)端倪， 從而阻止損害發(fā)生；可以降低威脅檢測和數(shù)據(jù)保護(hù)計(jì)劃的總體成本和復(fù)雜性，同時顯著降低風(fēng)險(xiǎn)以及對組織產(chǎn)生的實(shí)際威脅。提升能效UEBA 無需設(shè)定閾值，讓安全團(tuán)隊(duì)更有效率。引入全時空上下文， 結(jié)合歷史基線和群組對比，將告警呈現(xiàn)在完整的全時空上下文中， 無需安全團(tuán)隊(duì)浪費(fèi)時間手動關(guān)聯(lián)

33、，降低驗(yàn)證、調(diào)查、響應(yīng)的時間； 當(dāng)攻擊發(fā)生時，分析引擎可以連接起事件、實(shí)體、異常等，安全人員可以看清全貌，快速進(jìn)行驗(yàn)證和事故響應(yīng)；促使安全團(tuán)隊(duì)聚焦在真實(shí)風(fēng)險(xiǎn)和確切威脅，提升威脅檢測的效率。降低成本UEBA 通過聚合異常，相比 SIEM、DLP 等工具，大量降低總體告警量和誤報(bào)告警量，從而降低安全運(yùn)營工作負(fù)載，提升投資回報(bào)率（ROI）；通過縮短檢測時間、增加準(zhǔn)確性，降低安全管理成本和復(fù)雜性，降低安全運(yùn)營成本；無監(jiān)督、半監(jiān)督機(jī)器學(xué)習(xí)讓安全分析可以自動化構(gòu)建行為基線，無需復(fù)雜的閾值設(shè)置、規(guī)則策略定制，緩解人員短缺問題；通過追蹤溯源及取證，簡化事故調(diào)查和根因分析， 縮短調(diào)查時間，降低每事故耗費(fèi)的調(diào)查工

34、時，以及外部咨詢開銷；通過自動化進(jìn)行威脅及風(fēng)險(xiǎn)排序定級，提升已有安全投資(包括SIEM、EDR、DLP 等)的價(jià)值回報(bào)。總之，UEBA 的價(jià)值主要體現(xiàn)在發(fā)現(xiàn)未知、增強(qiáng)安全可見、提升能效、降低成本。二、架構(gòu)與技術(shù)UEBA 是一個完整的系統(tǒng)，涉及到算法、工程等檢測部分，以及用戶實(shí)體風(fēng)險(xiǎn)評分排序、調(diào)查等用戶交互、反饋。從架構(gòu)上來看， UEBA 系統(tǒng)包含三個層次，分別是數(shù)據(jù)中心層、算法分析層、場景應(yīng)用層。其中，算法分析層一般運(yùn)行在實(shí)時流處理、近線增量處理、離線批量處理的大數(shù)據(jù)計(jì)算平臺之上。典型的完整 UEBA 架構(gòu)如圖 5 所示。圖 5 典型的 UEBA 系統(tǒng)架構(gòu)該平臺運(yùn)行著傳統(tǒng)的規(guī)則引擎、關(guān)聯(lián)引擎，

35、同時也支持人工智能引擎，如基線及群組分析、異常檢測、集成學(xué)習(xí)風(fēng)險(xiǎn)評分、安全知識圖譜、強(qiáng)化學(xué)習(xí)等 UEBA 核心技術(shù)。（一）基線及群組分析以史為鑒，可以知興替。歷史基線，是行為分析的重要部分， 可以進(jìn)行異常檢測、風(fēng)險(xiǎn)評分等。以人為鑒，可以明得失。通過構(gòu)建群組分析，可以跨越單個用戶、實(shí)體的局限，看到更大的事實(shí)； 通過對比群組，易于異常檢測；通過概率評估可以降低誤報(bào)，提升信噪比；組合基線分析、群組分析，可以構(gòu)成全時空的上下文環(huán)境。如圖 6 所示，展現(xiàn)了幾個人員的歷史基線以及群組分析。圖 6 基線分析與群組分析（二）異常檢測異常檢測關(guān)注發(fā)現(xiàn)統(tǒng)計(jì)指標(biāo)異常、時序異常、序列異常、模式異常等異常信號，采用的技

36、術(shù)包括孤立森林、K 均值聚類、時序分析、異常檢測、變點(diǎn)檢測等傳統(tǒng)機(jī)器學(xué)習(xí)算法。其中，基于孤立森林的異常檢測效果圖如圖 7 所示?，F(xiàn)代的異常檢測也利用深度學(xué)習(xí)技術(shù)， 包括基于變分自編碼器（VAE）的深度表征重建異常檢測、基于循環(huán)神經(jīng)網(wǎng)絡(luò)（RNN）和長短時記憶網(wǎng)絡(luò)（LSTM）的序列深度網(wǎng)絡(luò)異常檢測、圖神經(jīng)網(wǎng)絡(luò)（GNN）的模式異常檢測等。針對標(biāo)記數(shù)據(jù)缺乏的現(xiàn)狀，某些 UEBA 系統(tǒng)能夠采用主動學(xué)習(xí)技術(shù)（Active Learning）、自學(xué)習(xí)（Self Learning），充分發(fā)掘標(biāo)記數(shù)據(jù)和無標(biāo)記數(shù)據(jù)的價(jià)值。圖 7 孤立森林發(fā)現(xiàn)異常點(diǎn)（三）集成學(xué)習(xí)風(fēng)險(xiǎn)評分UEBA 作為一種新范式，把安全運(yùn)維從事件管

37、理轉(zhuǎn)換到用戶、實(shí)體風(fēng)險(xiǎn)，極大的降低工作量、提升效率。其中，實(shí)現(xiàn)轉(zhuǎn)換的關(guān)鍵在于使用集成學(xué)習(xí)進(jìn)行風(fēng)險(xiǎn)評分。如圖 8 所示，風(fēng)險(xiǎn)評分需要綜合各種告警、異常，以及進(jìn)行群組對比分析和歷史趨勢。同時，風(fēng)險(xiǎn)評分技術(shù)中用戶間風(fēng)險(xiǎn)的傳導(dǎo)同樣重要，需要一套類似谷歌搜索使用的網(wǎng)頁排名PageRank 算法的迭代評估機(jī)制。風(fēng)險(xiǎn)評分的好壞，將直接影響到 UEBA 實(shí)施的成效，進(jìn)而直接影響到安全運(yùn)營的效率。圖 8 多種算法進(jìn)行集成學(xué)習(xí)（四）安全知識圖譜知識圖譜已經(jīng)成為人工智能領(lǐng)域的熱點(diǎn)方向，在網(wǎng)絡(luò)安全中同樣也有巨大的應(yīng)用潛力。部分 UEBA 系統(tǒng)已經(jīng)支持一定的安全知識圖譜能力，可以將從事件、告警、異常、訪問中抽取出的實(shí)體

38、及實(shí)體間關(guān)系，構(gòu)建成一張網(wǎng)絡(luò)圖譜，如圖 9 所示。任何一個事件、告警、異常，都可以集成到網(wǎng)絡(luò)圖譜中，直觀、明晰的呈現(xiàn)多層關(guān)系，可以讓分析抵達(dá)更遠(yuǎn)的邊界，觸達(dá)更隱蔽的聯(lián)系，揭露出最細(xì)微的線索。結(jié)合攻擊鏈和知識圖譜的關(guān)系回放，還能夠讓安全分析師近似真實(shí)的復(fù)現(xiàn)攻擊全過程，了解攻擊的路徑與脆弱點(diǎn)，評估潛在的受影響資產(chǎn)，從而更好的進(jìn)行應(yīng)急響應(yīng)與處置。圖 9 安全知識圖譜（五）強(qiáng)化學(xué)習(xí)不同客戶的環(huán)境數(shù)據(jù)源的多元性及差異性，以及用戶對異常風(fēng)險(xiǎn)的定義各有不同， UEBA 需要具有一定的自適應(yīng)性，“入鄉(xiāng)隨俗”輸出更精準(zhǔn)的異常風(fēng)險(xiǎn)。強(qiáng)化學(xué)習(xí)能夠根據(jù)排查結(jié)果自適應(yīng)地調(diào)整正負(fù)權(quán)重反饋給系統(tǒng)，進(jìn)而得到更符合客戶期望的風(fēng)

39、險(xiǎn)評分。如圖10 所示，UEBA 給出異常信號后，結(jié)合安全管理人員的排查結(jié)果，獲取反饋獎賞或懲罰，通過學(xué)習(xí)進(jìn)行正負(fù)權(quán)重調(diào)整，從而讓整體效果持續(xù)優(yōu)化改進(jìn)。圖 10UEBA 中的強(qiáng)化學(xué)習(xí)（六）其他技術(shù)除了以上 5 個主要關(guān)鍵技術(shù)外，UEBA 一般還使用到了特征工程、會話重組、身份識別。特征工程如何從行為模式中提取合理特征向量？有些特征在不同業(yè)務(wù)系統(tǒng)之間通用，有些特征需要根據(jù)業(yè)務(wù)場景具體分析，涉及到如何合理、高效設(shè)計(jì)指標(biāo)體系，一般需要參考 5W1H 模型（又稱六何法，或6W 分析法，即何人（Who）、何事（What）、何時（When）、何地（Where）、何解（Why）及如何（How）。由這六個疑問

40、詞所組成的問句，均不是是非題，而是需要一個或多個事實(shí)佐證的應(yīng)用題）。會話重組會話對象為每個用戶從會話啟動到終止縫合所有事件，并將這些事件與用戶聯(lián)系起來，即使更改了帳戶、更改了設(shè)備或更改了 IP。通過查找啟動會話的事件，如 Kerberos 或 NTLM 登錄、VPN 事件、應(yīng)用程序登錄、物理打卡記錄等，開啟生成會話；登出、打卡離開、超時或其他信號指示會話結(jié)束。會話的風(fēng)險(xiǎn)得分是分配給會話中每個活動的風(fēng)險(xiǎn)分?jǐn)?shù)的總和。身份識別在識別同一個用戶、實(shí)體過程中，并不是所有環(huán)境中都有集中認(rèn)知管理，同一個用戶、實(shí)體，在不同的系統(tǒng)中的標(biāo)識、用戶名可能不同，需要把這些行為關(guān)聯(lián)到同一個身份標(biāo)示上，才能讓行為畫像、異

41、常檢測更準(zhǔn)確更有效。三、部署實(shí)施（一）聚焦目標(biāo)UEBA 部署實(shí)施的目標(biāo)有很多，例如：組織當(dāng)前最大的安全焦慮是什么？管理層對于企業(yè)安全的最大擔(dān)憂是什么？組織所處行業(yè)的安全環(huán)境如何？最大的安全威脅是什么，是用戶隱私數(shù)據(jù)保護(hù)，還是內(nèi)部安全威脅？安全團(tuán)隊(duì)的使命是什么？安全運(yùn)營的關(guān)鍵績效指標(biāo)是什么？安全負(fù)責(zé)人和安全團(tuán)隊(duì)需要認(rèn)真深入的思考上述問題，并和各利益相關(guān)者緊密溝通，提出自身視角的安全關(guān)切。組織的安全不僅僅是首席信息安全官（CISO）和安全團(tuán)隊(duì)的職責(zé)，需要最高管理層的反饋和資源保障，同時需要把安全放到數(shù)字經(jīng)濟(jì)、業(yè)務(wù)連續(xù)性的視角進(jìn)行全面評估。（二）識別數(shù)據(jù)源與接入數(shù)據(jù)從部署規(guī)劃角度，UEBA 接入的數(shù)

42、據(jù)源主要包括主機(jī)、終端、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、業(yè)務(wù)系統(tǒng)、應(yīng)用系統(tǒng)、物理安全系統(tǒng)等。接入的數(shù)據(jù)格式主要包括日志、網(wǎng)絡(luò)流量兩大類，以及組織內(nèi)各種上下文數(shù)據(jù)。具體來說，為了有效的評估檢測用戶及實(shí)體的行為，可以根據(jù)情況選擇，應(yīng)該包括但不限于虛擬私人網(wǎng)絡(luò)（VPN）日志、高級可持續(xù)威脅防御系統(tǒng)（APT）日志、入侵防御系統(tǒng)（IPS）日志、入侵檢測系統(tǒng)（IDS）日志、WEB 應(yīng)用防護(hù)系統(tǒng)（WAF）日志、網(wǎng)絡(luò)流量分析系統(tǒng)（NTA）日志、深度報(bào)文解析系統(tǒng)（DPI）日志、Windows 主機(jī)日志、Linux 主機(jī)日志、Unix 主機(jī)日志、郵件審計(jì)（Mail Audit）日志、終端檢測與響應(yīng)系統(tǒng)（EDR）日志、應(yīng)用程序

43、接口服務(wù)（API 服務(wù)）訪問日志、上網(wǎng)行為審計(jì)（SWG）日志、數(shù)據(jù)庫審計(jì)日志、統(tǒng)一運(yùn)維管理平臺（USM）日志、堡壘機(jī)日志、微軟系統(tǒng)監(jiān)控（SYSMON） 日志、網(wǎng)絡(luò)防火墻（FW 和NGFW）日志等數(shù)據(jù)。此外，比較有價(jià)值的數(shù)據(jù)源還包括物理安全系統(tǒng)，如門禁打卡日志、飯卡消費(fèi)日志、車庫出入日志、監(jiān)控日志、釘釘考勤記錄等。同時建議接入如威脅情報(bào)數(shù)據(jù)、活動目錄域（AD）日志、身份訪問管理（IAM）數(shù)據(jù)、配置變更管理（CMDB）記錄、人力資源系統(tǒng)（HR）記錄、辦公自動化系統(tǒng)（OA）記錄等。（三）確定部署模式在評估UEBA 方案時，首先需要根據(jù)組織的信息系統(tǒng)架構(gòu)、業(yè)務(wù)數(shù)據(jù)流、數(shù)據(jù)量進(jìn)行審慎評估，比如部分廠商僅

44、提供客戶本地部署， 部分廠商同時還支持云化（比如虛擬化及容器化）部署，以及軟件即服務(wù)（SAAS）化部署。UEBA 系統(tǒng)部署位置和數(shù)據(jù)源的位置，直接影響到UEBA 數(shù)據(jù)集成的速度，對網(wǎng)絡(luò)延時的容忍度較低，數(shù)據(jù)傳輸?shù)膸挸杀就瑯右彩且粋€重要的考慮因素。（四）分析微調(diào)與定制主流的 UEBA 系統(tǒng)會提供一定數(shù)量的內(nèi) 置分析模型 （Pre-Packaged Analytics），開箱即用，可以較好自適應(yīng)常用環(huán)境和典型場景。部署完成后，一般情況下通過 2 到 4 周的時間學(xué)習(xí)構(gòu)建基線，即可開始有效運(yùn)作。但是每個組織都有自己的業(yè)務(wù)特征，采用的信息技術(shù)存在差異， 行為數(shù)據(jù)存在一些細(xì)微甚至較大的差異，需要進(jìn)行一

45、些微調(diào)，比如增加一些特征或調(diào)整權(quán)重?？梢愿鶕?jù)業(yè)務(wù)領(lǐng)域知識，多嘗試一些可能有效的特征、算法，通過持續(xù)的權(quán)重微調(diào)，讓重要有效的凸顯出來。（五）迭代優(yōu)化與SIEM 實(shí)施類似，UEBA 實(shí)施也是一個迭代優(yōu)化、持續(xù)改進(jìn)的過程，是數(shù)據(jù)科學(xué)在安全領(lǐng)域的應(yīng)用，需要遵循 PDCA 循環(huán)。UEBA 還需要持續(xù)的探索不同的數(shù)據(jù)源、不同的數(shù)據(jù)特征、不同的檢測算法， 以更好的提升異常檢測性能，改進(jìn)威脅檢測響應(yīng)的能力和效率。如圖 11 所示，根據(jù)新業(yè)務(wù)場景的需求分析，可能需要接入新數(shù)據(jù) 、探索新特征工程、測試新算法、進(jìn)行反饋調(diào)優(yōu)，以便滿足項(xiàng)目的安全分析檢測需求。圖 11 UEBA 分析改進(jìn)與迭代調(diào)優(yōu)循環(huán)流程四、最佳實(shí)踐（

46、一）專職團(tuán)隊(duì)專注于協(xié)調(diào)和部署的項(xiàng)目團(tuán)隊(duì)，是成功的基礎(chǔ)。安全運(yùn)營首要因素始終是人，建議 UEBA 實(shí)施需要有專職團(tuán)隊(duì)負(fù)責(zé)，確保團(tuán)隊(duì)人員擁有專業(yè)技能和素養(yǎng)，熟悉安全攻防，擁有數(shù)據(jù)分析、機(jī)器學(xué)習(xí)算法等知識，最好能組建多種技能配合協(xié)調(diào)的多樣性團(tuán)隊(duì)。（二）專注于用例開發(fā)Gartner 客戶報(bào)告顯示，需要花三到六個月的時間才能完整啟動UEBA 計(jì)劃，調(diào)整和交付部署的用例，并從一小部分定義良好的用例和一組有限的數(shù)據(jù)開始，為更長的項(xiàng)目時間表做好準(zhǔn)備。16安全團(tuán)隊(duì)?wèi)?yīng)該基于組織所屬行業(yè)特點(diǎn)、業(yè)務(wù)風(fēng)險(xiǎn)視角，專注于用例開發(fā)，建議重點(diǎn)關(guān)注如特權(quán)賬號行為、少見及可疑的網(wǎng)絡(luò)活動、異常的訪問模式、異常的通信流量、隧道傳輸?shù)取?/p>

47、由于UEBA 的典型用例部署生效需要 2 至 4 周不等，分析案例應(yīng)該保持持續(xù)的迭代改進(jìn)。（三）法律合規(guī)性一方面，UEBA 項(xiàng)目的規(guī)劃、立項(xiàng)、測試、運(yùn)營過程，需要法務(wù)部門的支持與協(xié)助。數(shù)據(jù)源的采集與分析處理過程，應(yīng)確保合規(guī)。為確保數(shù)據(jù)收集、分析的法律合規(guī)性，在項(xiàng)目實(shí)施前期，法務(wù)部門16 2019 Market Guide for User and Entity Behavior Analytics，Gartner，2019應(yīng)當(dāng)介入，明確數(shù)據(jù)收集范圍、數(shù)據(jù)屬性、數(shù)據(jù)留存周期，確保數(shù)據(jù)分析過程都符合相關(guān)法律和監(jiān)管規(guī)則，并正確反映到用戶協(xié)議、使用條款、雇員保密協(xié)議等法律文件中。另一方面，應(yīng)做好細(xì)粒度

48、的訪問控制，進(jìn)行合適的網(wǎng)絡(luò)隔離， 控制數(shù)據(jù)傳播范圍，進(jìn)行全面的內(nèi)部操作審計(jì)，保持持續(xù)監(jiān)控，防止數(shù)據(jù)泄漏、權(quán)限濫用。五、典型應(yīng)用案例（一）惡意內(nèi)部人員根據(jù)Haystax 于 2019 年發(fā)布的網(wǎng)絡(luò)內(nèi)部安全威脅報(bào)告，如圖 12 所示，內(nèi)部威脅是造成數(shù)據(jù)泄露的第二大原因。往往因?yàn)榉鞘跈?quán)訪問、雇員和外包員工工作失誤等原因，導(dǎo)致“合法用戶”可以非法訪問特定的業(yè)務(wù)和數(shù)據(jù)資源，造成組織內(nèi)部數(shù)據(jù)泄漏。17從本質(zhì)上講， 惡意內(nèi)部威脅來自具有試圖對雇主施加損害等惡意意圖的可信用戶。由于難以評估惡意意圖，需要分析數(shù)據(jù)中難以獲取的上下文行為信息。圖 12 內(nèi)部人員導(dǎo)致的安全威脅內(nèi)部人員竊取敏感數(shù)據(jù)是企業(yè)典型的內(nèi)部威脅

49、場景。由于內(nèi)部人員具備企業(yè)數(shù)據(jù)資產(chǎn)的合法訪問權(quán)限，且通常了解企業(yè)敏感數(shù)據(jù)的存放位置，因此通過傳統(tǒng)的行為審計(jì)手段無法檢測該類行為。但是利用UEBA 技術(shù)，選取敏感數(shù)據(jù)訪問相關(guān)的特征，構(gòu)建企業(yè)員工和系統(tǒng)創(chuàng)建正常的活動基線、用戶畫像，可以通過基線構(gòu)建模型用于判斷是否存在內(nèi)部人員竊取敏感數(shù)據(jù)行為。17 2019 INSIDER THREAT REPORT，Haystax，2019針對此類場景，UEBA 解決方案通過治理組織的數(shù)據(jù)庫日志、回話日志、用戶訪問日志以及訪問全流量等信息，生成敏感數(shù)據(jù)訪問周期、時序、動作、頻繁度等相關(guān)特征，通過時序關(guān)聯(lián)和自學(xué)習(xí)算法生成敏感數(shù)據(jù)被訪問的動態(tài)基線、用戶訪問動態(tài)基線、

50、群體訪問動態(tài)基線。圖 13 內(nèi)部員工竊取敏感數(shù)據(jù)場景分析流程圖利用動態(tài)基線，通過如圖 13 所示流程，可實(shí)現(xiàn)對高頻、越權(quán)、偽造身份、冒用身份、數(shù)據(jù)竊取等多種異常行為的分析和檢測，進(jìn)一步關(guān)聯(lián)敏感數(shù)據(jù)的訪問特征，定位是否存在內(nèi)部人員竊取敏感數(shù)據(jù)行為，保障企業(yè)核心數(shù)據(jù)資產(chǎn)的安全。（二）失陷賬號賬號盜用一直是困擾各種組織的痛點(diǎn)，且涉及到最終用戶的利益和體驗(yàn)，特權(quán)賬號更是黑客瞄準(zhǔn)的攻擊目標(biāo)。如圖 14 所示，攻擊者一旦滲透進(jìn)組織邊界且獲取失陷賬號后，會在組織內(nèi)部網(wǎng)絡(luò)中橫向移動，形成高級持續(xù)性威脅（APT）以及未知或尚無法理解的各種威脅，比如眾所周知的零日攻擊，該類攻擊行為難以發(fā)現(xiàn)，并且通常隱藏在合法用戶

51、或服務(wù)帳戶的面紗之下。圖 14 賬號失陷是攻擊鏈模型中的轉(zhuǎn)折點(diǎn)傳統(tǒng)范式難以對付該類攻擊，同時難以跟隨攻擊者的技術(shù)升級。該類威脅通常有一個復(fù)雜的作戰(zhàn)模式如攻擊鏈，而且會長期留存， 其中大部分行為尚未被認(rèn)定為惡意行為，通過簡單的分析如模式匹配、閾值或關(guān)聯(lián)規(guī)則均難以檢測。然而，許多高級威脅會使得用戶和資產(chǎn)行為方式與平時不同， 如失陷賬號。針對此類場景，UEBA 通過對正常行為和人員進(jìn)行抽象歸納，利用大數(shù)據(jù)技術(shù)生成個體行為畫像和群體行為畫像。在此基礎(chǔ)上，對比賬戶的活動是否存在異常行為，如頻繁登錄和退出、訪問歷史未訪問過的信息系統(tǒng)或數(shù)據(jù)資產(chǎn)、異常時間地點(diǎn)登錄等，并對比分析賬戶的活動是否偏離個人行為畫像和

52、群體（如部門或項(xiàng)目組等）行為畫像，綜合判斷賬戶疑似被盜用風(fēng)險(xiǎn)評分，幫助安全團(tuán)隊(duì)及時發(fā)現(xiàn)賬號失陷。UEBA 技術(shù)為檢測失陷賬號提供了最佳的安全視角，提高了數(shù)據(jù)的信噪比，可合并和減少告警量，讓安全團(tuán)隊(duì)優(yōu)先處理正在進(jìn)行的威脅，并且促進(jìn)有效的響應(yīng)調(diào)查。同時，UEBA 還可針對已建立的賬號監(jiān)視分析用戶行為，識別過多的特權(quán)或異常訪問權(quán)限，適用于特權(quán)用戶和服務(wù)帳戶等所有類型的用戶和帳戶。使用 UEBA 還可以用來幫助清理帳戶和權(quán)限設(shè)置高于所需權(quán)限的休眠帳戶和用戶權(quán)限。通過 UEBA 的行為分析，身份識別與訪問管理（IAM）和特權(quán)賬號管理（PAM）系統(tǒng)能夠更全面的進(jìn)行訪問主體安全性評估，支持零信任（Zero

53、Trust）網(wǎng)絡(luò)安全架構(gòu)和部署場景。動態(tài)權(quán)限策略控制是零信任的核心能力，而 UEBA 已經(jīng)成為實(shí)現(xiàn)動態(tài)權(quán)限策略控制最有效的方法。（三）失陷主機(jī)失陷主機(jī)是典型的企業(yè)內(nèi)部威脅之一，如圖 15 所示，攻擊者常常通過入侵內(nèi)網(wǎng)服務(wù)器，形成“肉機(jī)”后對企業(yè)網(wǎng)絡(luò)進(jìn)行橫向攻擊?；诖祟悎鼍暗奶匦苑治?，失陷主機(jī)通常包含回鏈宿主機(jī)和內(nèi)網(wǎng)橫向擴(kuò)散兩大重要特征。圖 15 主機(jī)失陷是病毒爆發(fā)、勒索軟件的前奏針對此類場景，UEBA 可構(gòu)建時序異常檢測模型，根據(jù)企業(yè)內(nèi)網(wǎng)主機(jī)或服務(wù)器時序特征的歷史時序波動規(guī)律，以及請求域名、賬戶登錄、流量大小、訪問安全區(qū)頻繁度、鏈接主機(jī)標(biāo)準(zhǔn)差等特征，構(gòu)建單服務(wù)器的動態(tài)行為基線，群體（如業(yè)務(wù)類

54、型、安全域等）服務(wù)器動態(tài)行為基線。利用基線，考慮具體的主機(jī)疑似失陷場景，如僵尸網(wǎng)絡(luò)、勒索病毒、命令控制（C&C 或 C2）等，給出不同模型不同實(shí)體在不同時間段的綜合異常評分，從而檢測失陷主機(jī)，并結(jié)合資產(chǎn)信息，定位到具體的時間段和主機(jī)信息，輔助企業(yè)及時發(fā)現(xiàn)失陷主機(jī)并溯源處理。（四）數(shù)據(jù)泄露數(shù)據(jù)泄露可能給組織的品牌聲譽(yù)帶來嚴(yán)重?fù)p失，導(dǎo)致巨大的公關(guān)壓力，是組織最關(guān)注的安全威脅之一。內(nèi)部員工竊取敏感數(shù)據(jù)是企業(yè)典型的數(shù)據(jù)泄漏場景，由于內(nèi)部員工具備企業(yè)數(shù)據(jù)資產(chǎn)的合法訪問權(quán)限，且通常了解企業(yè)敏感數(shù)據(jù)的存放位置，因此通過傳統(tǒng)的行為審計(jì)手段無法有效檢測該類行為。圖 16 數(shù)據(jù)泄漏中的攻擊移動和數(shù)據(jù)流UEBA 可

55、以增強(qiáng) DLP 系統(tǒng)，使其具有異常檢測和高級行為分析功能。通過對數(shù)據(jù)訪問行為的分析，結(jié)合其他上下文，融入網(wǎng)絡(luò)流量（如 Web 安全代理）和端點(diǎn)數(shù)據(jù)進(jìn)行分析，有助于了解數(shù)據(jù)傳輸活動。組合UEBA 和 DLP，數(shù)據(jù)泄露檢測可以用于捕獲內(nèi)部人員和外部黑客組織。如圖 16 所示，根據(jù)數(shù)據(jù)泄漏的技術(shù)、方法及途徑，選取敏感數(shù)據(jù)訪問相關(guān)的特征，構(gòu)建企業(yè)員工和系統(tǒng)創(chuàng)建正常的活動基線和用戶畫像，判斷是否存在內(nèi)部員工竊取敏感數(shù)據(jù)行為。針對此類場景， UEBA 解決方案通過治理企業(yè)數(shù)據(jù)庫日志、回話日志、用戶訪問日志以及訪問全流量等信息，生成敏感數(shù)據(jù)訪問相關(guān)特征，如訪問周期、時序、動作、頻繁度等，通過時序關(guān)聯(lián)和自學(xué)習(xí)

56、算法生成敏感數(shù)據(jù)庫的被訪問動態(tài)基線、用戶訪問動態(tài)基線、群體訪問動態(tài)基線等多種檢測場景。（五）風(fēng)險(xiǎn)定級排序由于安全團(tuán)隊(duì)人力資源有限，所有組織幾乎都面臨告警過量的問題，難以全面處理各個安全設(shè)備觸發(fā)的安全告警。根據(jù) SANS 2019 事故響應(yīng)調(diào)查報(bào)告，57的受訪者認(rèn)為安全團(tuán)隊(duì)人員短缺和技能短缺是主要障礙。18 如何讓有限寶貴的人力資源投入，帶來最大的安全運(yùn)營收益，成為風(fēng)險(xiǎn)排序定級的價(jià)值所在。UEBA 不僅使用基線和威脅模型，而且也會根據(jù)所有安全解決方案中生成的報(bào)警，構(gòu)建用戶及實(shí)體的行為時間線，進(jìn)行風(fēng)險(xiǎn)聚合。通常也會結(jié)合組織結(jié)構(gòu)、資產(chǎn)關(guān)鍵性、人員角色和訪問級別等進(jìn)行權(quán)重評估，進(jìn)行綜合風(fēng)險(xiǎn)定級并排序，

57、從而明確用戶、實(shí)體、事件或潛在事件應(yīng)該優(yōu)先處理范圍。通過風(fēng)險(xiǎn)定級排序，可以極大的緩解安全團(tuán)隊(duì)人力短缺的現(xiàn)狀。為了構(gòu)建現(xiàn)代化 SIEM（Modern SIEM）能力，安全團(tuán)隊(duì)可以將SIEM、UEBA、安全編排自動化響應(yīng)（SOAR）結(jié)合，進(jìn)行數(shù)據(jù)雙向集成，透過 SOAR 的安全編排，進(jìn)行安全告警的分析和分類，利用人機(jī)結(jié)合的方式對安全事件進(jìn)行定義、劃分優(yōu)先級，建立標(biāo)準(zhǔn)化安全事18 Incident Response (IR) Survey: Its Time for a Change，SANS Institute，2019件的處理工作流，從而達(dá)到一體化安全運(yùn)營，提升安全團(tuán)隊(duì)整體協(xié)同，形成行為異常的檢

58、測與響應(yīng)閉環(huán)。19比如在某市醫(yī)療機(jī)構(gòu)出現(xiàn)勒索病毒事件后，安全團(tuán)隊(duì)需要進(jìn)行應(yīng)急響應(yīng)，可是應(yīng)該從何處著手？等待數(shù)據(jù)被加密收到勒索通知后， 再處理就為時已晚。如果該機(jī)構(gòu)部署了 UEBA，就可以快速分析文件創(chuàng)建、文件讀取、磁盤讀取、磁盤寫入等行為，發(fā)現(xiàn)可疑的病毒感染資產(chǎn)，基于風(fēng)險(xiǎn)進(jìn)行定級排序，對高風(fēng)險(xiǎn)資產(chǎn)優(yōu)先進(jìn)行隔離處理。安全團(tuán)隊(duì)還可以進(jìn)行回溯調(diào)查，明確勒索病毒的傳染源、傳播擴(kuò)散的路徑，有針對性的進(jìn)行網(wǎng)絡(luò)阻斷，遏制勒索病毒的進(jìn)一步爆發(fā)。另一方面，如果該機(jī)構(gòu)一直持續(xù)監(jiān)控這些勒索病毒相關(guān)的行為特征，持續(xù)檢測異常行為，就可能在勒索發(fā)生前及時阻止事件的發(fā)生。（六）業(yè)務(wù) API 安全企業(yè)WEB 業(yè)務(wù)系統(tǒng)通常會提

59、供大量的業(yè)務(wù)應(yīng)用編程接口（API），如登錄 API、數(shù)據(jù)獲取 API、業(yè)務(wù)調(diào)用 API 等，攻擊者通過對具體網(wǎng)站訪問數(shù)據(jù)或請求數(shù)據(jù)進(jìn)行抓包，可獲取企業(yè)業(yè)務(wù) API 入口的大致范圍，通過對這些 API 進(jìn)行惡意調(diào)用，可實(shí)現(xiàn)惡意訪問、數(shù)據(jù)竊取以及其他相關(guān)惡意活動，嚴(yán)重影響企業(yè)的正常業(yè)務(wù)開展。針對此類場景，攻擊者可能利用變換多個不同的請求參數(shù)已達(dá)到惡意調(diào)用 API 的目的。UEBA 通過分析目前常用的 API 組成和使用19 網(wǎng)絡(luò)安全先進(jìn)技術(shù)與應(yīng)用發(fā)展系列白皮書安全編排自動化響應(yīng)，中國信息通信研究院，2018方式，通常包括 API 所對應(yīng)的 URL 請求參數(shù)和請求主體兩部分，通過提取企業(yè)業(yè)務(wù) API

60、 訪問頻率特征、請求者訪問頻率特征、參數(shù)變換標(biāo)準(zhǔn)差、以及請求時間晝夜分布等特征，構(gòu)建 API 請求頻率動態(tài)基線、API 請求時序動態(tài)基線、參數(shù)變換動態(tài)基線等多種檢測場景?；趧討B(tài)基線，實(shí)現(xiàn)檢測對 API 請求量突變異常檢、周期性異常、未知用戶、可疑群體潛伏用戶（某用戶使用大量不同 IP）等異常行為，進(jìn)一步結(jié)合 API 的具體業(yè)務(wù)屬性，實(shí)現(xiàn) WEB 業(yè)務(wù)系統(tǒng) API 異常請求行為檢測，可定位到具體的時間段和業(yè)務(wù)、數(shù)據(jù)信息，輔助企業(yè)及時發(fā)現(xiàn)異常調(diào)用行為，保證整體業(yè)務(wù)和數(shù)據(jù)安全。（七）遠(yuǎn)程辦公安全遠(yuǎn)程辦公可以解決疫情等特殊時期的企業(yè)復(fù)工需要，但是同時也會帶來一些額外的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，促使基于用戶行為分