V-UEBA——应对安全威胁的最佳应用实践

发布时间 2018-11-29

随着IT技术飞速发展和网络空间环境的不断变化,APT攻击、挖矿、地下数据交易(包括某些国家级代码武器库泄露)等隐蔽式复杂攻击快速兴起,网络安全呈现后果严重、影响广泛化的趋势。
 



网络威胁的演进

● 1970年是单机年代,米特尼克免费打电话的电话入侵者“飞客phreaker”出现;
● 1980年是局域网年代,第一代病毒Brain和第一代蠕虫Morris开始出现;
● 1990年后,DDoS攻击、各类Bot软件激增,AOL美国在线首次遭到钓鱼攻击代表进入信息窃取时代;
● 2000年,云计算与虚拟化使IT传统边界模糊消失,垃圾广告、间谍软件、0-day攻击、点击敲诈等边界防御不易抵抗的攻击开始流行起来;
●  2010年,随着IT技术飞速发展和网络空间环境的不断变化,APT攻击、挖矿、地下数据交易(包括某些国家级代码武器库泄露)等隐蔽式复杂攻击快速兴起。
2020年即将登场,人们即将看到人工智能AI一步步成为不法黑客手中强大的武器,新的攻击形式和影响将更难以预测。
 
网络安全是人与人的对抗,来自网络的威胁也是和网络技术发展并行的。对应于安全威胁变化,安全防御演进也经过了基于单机的防护--例如防病毒;基于边界的防护--例如访问控制ACL、入侵检测IDS和防护IPS;基于身份的防护--例如身份验证管理IAM、防垃圾邮件SPAM、抗DDoS、审计;基于行为的防护是利用大数据和人工智能AI技术,对网络安全领域的人和各类设备的行为进行细粒度分析,发现异常行为蛛丝马迹并追踪溯源确定原因,进行相应处置和防护。
 
应运而生的行为防护系统——UEBA


UEBA是一种采用高级数据分析方法、面向用户和实体网络行为,进行异常检测和调查的技术,也是安全智能分析切入点。


U:表示用户(User),UEBA不是一般的安全分析,而是以分析用户活动为首要任务和目的的系统;


E:表示实体(Entity),UEBA不仅仅分析用户,还分析主机、设备、应用等等实体对象,它本质上是用户+实体分析;


B:表示行为(Behavior),指UEBA重点聚焦于行为和活动,主要任务是发现有意思的和恶意的行为,不是分析对象的角色、属性和参数,当然分析对象活动需要这些数据,而且是关键的上下文数据;


A:表示分析(Analytics),高级分析(不是简单的规则匹配)能力是UEBA的基因,高级分析技术不一定是机器学习,但不是使用硬编码规则、阈值和平均值。



 UEBA——面向用户与实体行为的检测分析技术,目前在国际上的发展趋势已日益清晰,且已实现大规模的商业化。AI用于网络安全领域的用户实体异常行为分析还是近些年事情,早在2014年Gartner就在发布用户行为分析(UBA)市场界定中认为异常行为分析是智能安全分析的突破口。近年来,国外UEBA技术发展迅速,2018年RSA大会上展示的系统也都不谋而合的采用了统计与机器学习等技术来检测异常行为。
 
UEBA应用广泛  已成为重点行业最佳应用实践


移动应用、工业互联网、物联网等业务常常是云-管-端模式,涉及用户、终端、账号、终端APP、服务端APP、服务主机设备、业务属性、网络传输安全等诸多安全要素,这种环境中业务风险管控常常定位到具体的人、设备、账号、操作等以便采取行动并掌握证据。


基于大数据+人工智能技术的UEBA用户实体行为智能安全分析系统为解决这些棘手问题提供了可能,并在近年得到长足发展。UEBA(User and Entity  Behavior Analytics)解决典型问题包括:


● 员工泄露企业重要数据——由员工引起的泄密事件甚至会影响国际关系,其中最著名的莫过于美国中央情报局(CIA)前雇员斯诺登的间谍案,他不但带走了1.5万至2万份美国政府机密资料,更向全球揭露了美国“棱镜”计划、Xkeyscore计划和美国“核心机密”。


数据泄密无小事,根据调研机构波洛蒙研究所的调查显示,可能导致严重数据泄露的5种内部威胁分别为非响应者、内部人士的疏忽行为、组织员工内外串谋、持久的恶意行为、心怀不满的员工,但这是所有数据泄露事件中代价最高昂且最难检测到的事件。


● 勒索软件在企业内外网络中传播无阻——勒索软件、加密劫持以及其他外部威胁是人们广泛热议的安全风险之一,去年“永恒之蓝”勒索软件在全球横行,现在想起来也是心有余悸。作为NSA被泄露的武器库病毒之一,稍稍发力就让全球吃不消了,若泄露出去的病毒全面爆发,那未来全球企业甚至国家的网络数据安全威胁风险系数实难估量。


● 应用权限账号异常——企业内部人员通常有相对稳定的行为模式,像凌晨3点管理员权限账号遭遇远程反复尝试连接行为、员工多次尝试登录其他员工(CEO等)的邮箱等行为,必定属于异常行为,这时候就要考虑账号是否被盗或者员工异常行为。


● 发现僵尸网络——被恶意程序感染的企业主机不单会占用公司宽带,严重时甚至会占用60%~80%的会话数,如有10%的机器中招,企业网络将无法使用。


● 发现高级威胁——上届美国总统大举中牵出来的“希拉里邮件门”事件让网络攻击行为再次引起全球关注,然而在企业的正常运行中,如遇到高级威胁的攻击应该如何应对也成为了一个难题。


针对上述网络安全威胁和用户实际需求,启明星辰自主研发V-UEBA系统对用户和实体(网络、端点、数据存储)进行细粒度异常行为检测和分析,场景涵盖上述领域。
 
V-UEBA:为用户打造的安全智能分析产品


启明星辰自主研发的网络用户实体行为智能安全分析系统(简称:“V-UEBA”)是为用户打造的安全智能分析产品,为用户提供:


多元异构海量安全数据处理


基于大数据计算和存储技术,支持DIKI(D-Data网络流数据,设备日志、Web及应用服务器日志等数据;I-Information企业关联信息例如资产数据、漏洞扫描数据;K-Knowledge安全知识;I-Threat Intelligence威胁情报)数据采集接入,并基于安全分析需要进行数据范式化归一化、过滤清洗、丰富化和标签等加工处理,对部分安全设备告警数据提供语义自动理解识别能力,使数据“干净可用”,保证数据质量。
数据处理能力在超大型客户生产系统中验证稳定运行。
 


高效智能发现能力,准确提供第一线索



V-UEBA利用机器学习深度学习等技术,对用户和实体对象行为建立正常基线和监测对基线的偏离,自动让异常行为浮出水面。提供丰富的检测算法,高级威胁类模型涵盖攻击链Kill-chain各种场景;异常用户类模型涵盖登录异常、文件资源访问异常、账号异常、邮件附件异常、违规运维操作等多种场景。


V-UEBA分析引擎涵盖实时流式、批式、机器学习、全文检索、规则分析、图式分析,对告警提供自动合并和关联,并可持续监测,告警少量精准。
 



更快速的安全事件研判


V-UEBA自动为安全事件提供证据,这些证据经常是一段时间持续监测结果汇总,呈现方式能让分析人员看清随时间流逝此事件相关各种异常行为的发展变化,方便诊断。


还提供用户画像、实体对象画像,集成威胁情报数据,这些背景和上下文信息加速安全事件研判。


此外,提供面向专题的自动化分析功能,能自动关联相关告警和绘制攻击图,一目了然地可视化呈现高危人员和设备、攻击源、攻击路径。
 



高级安全分析能力


V-UEBA提供高级人机交互分析工具-GQIM模型(Goal目标-Question问题-Indicator指征- Metrics度量),让安全分析人员在干净数据上探索数据规律、验证猜测,直觉和经验得到充分发挥。


V-UEBA还提供基于关系图的威胁追踪分析,可辅助分析人员还原攻击路径和串并案。
 

作为中国网络安全领军企业,启明星辰集团始终坚持自主创新精神,践行战略与实践并行新思路,围绕网络安全产业格局变化,加速推动创新技术融合能力突破,整体带动和提升智慧城市、人工智能、工业互联网、关键信息基础设施安全、物联网安全、中小微企业业务安全发展。


网络安全产业任重道远,启明星辰将继续以专业、综合的安全服务能力,全面帮助客户提升安全能力,并以沉静的坚守和持续的创新精神,为中国网络安全贡献力量。