用戶和實體(tǐ)行爲分(fēn)析(UEBA)技術,是網絡安全工(gōng)具市場新成員(yuán),旨在提供防火(huǒ)牆和入侵預防系統(IPS)等傳統網絡安全工(gōng)具所不具備的功能。有了UEBA,公司企業不僅僅能從網絡流量和反惡意軟件掃描獲悉入侵指标(IoC),還能深入理解用戶行爲。
UEBA系統可識别不同類型的異常用戶行爲,這些異常用戶行爲可被視作威脅及入侵指标。下(xià)面是UEBA技術可幫檢測到的7類安全風險。
1. 緩慢(màn)少量攻擊
壞人、外(wài)部人和内部人都知(zhī)道,傳統安全工(gōng)具基于基本阈值起效。他們清楚,隻要做同樣的事情超過“X”次,就會觸發警報。于是,他們降低攻擊速度和規模,以便保持低調,避免被偵測到。此種做法的一(yī)個例子,可以參考每天僅一(yī)次,通過郵件滲漏少量信用卡号。UEBA可檢測到此種模式,并将之識别爲需加以調查的重複性行爲。
2. 共謀
UEBA可幫助發現緊密合作突然改變行爲模式的一(yī)組人員(yuán)。比如說,一(yī)組人決定打劫客戶記錄謀私利,但知(zhī)道安全措施在監視。于是,每個成員(yuán)分(fēn)走一(yī)部分(fēn)記錄,通過郵件發送到自己的個人賬戶上。UEBA不僅會找出用戶行爲的突然改變,還會标出這是該組人員(yuán)内部統一(yī)的改變,然後标記整組。
3. 在噪音中(zhōng)隐身
每個員(yuán)工(gōng)都有一(yī)個角色,須按角色需求執行特定動作。比如說,小(xiǎo)王在負責打印抵押單的團隊。小(xiǎo)趙在同一(yī)家公司,擔任退休計劃财務顧問,卻在2周時間裏打印了2張抵押單。雖然打印抵押單對小(xiǎo)王、小(xiǎo)王的團隊和整個公司而言,都是很平常的一(yī)件事;對小(xiǎo)趙及其團隊成員(yuán)來說就太異常了。UEBA可從人群中(zhōng)鑒别出此類行爲異常人員(yuán),讓安全團隊啓動調查過程,在無需審查其他人的情況下(xià)進行針對性調查。
4. 持續滲漏嘗試
如果滲漏敏感數據的嘗試受阻,攻擊者往往就會嘗試另一(yī)種方法以繞過安全系統。比如說,小(xiǎo)張試圖将敏感數據用郵件發到自己的個人賬戶,但被封了。他繼續嘗試上傳文件到他個人網站的雲存儲中(zhōng),也被封堵了。然後,他試圖将文件拷貝到U盤中(zhōng),再次遭遇U盤端口不可用的封禁狀态。于是,他點擊了“打印”按鈕——成功了!UEBA技術能将所有這些行爲都拼起來,小(xiǎo)張最終會在自己的工(gōng)作台位迎來調查人員(yuán)的到訪。
5. 好奇風險
有些人就是控制不住哪扇門都想推開(kāi)看看。其中(zhōng)很多人僅僅是好奇,或者就是想碰碰底線而已,但現實就是,這些人往往就是面對明知(zhī)不應該打開(kāi)的文件,還忍不住手癢點開(kāi)的那些。他們會訪問那些被封禁的網站,不斷嘗試,以爲沒人真的在監視。這些雇員(yuán)就是網絡釣魚攻擊最用以得手的入口點。UEBA能發現這些閑極無聊的人,向他們警示這些危險行爲。
6. 離(lí)職員(yuán)工(gōng)
UEBA能發現正打算離(lí)職的員(yuán)工(gōng)在行爲上的改變,可使安全團隊在這些人提交辭職報告之前就發現他們。這很重要!因爲員(yuán)工(gōng)離(lí)職,往往會造成敏感數據随之外(wài)洩。因爲UEBA能看出表征員(yuán)工(gōng)離(lí)職意願的行爲改變,這些員(yuán)工(gōng)就能在數據流出公司大(dà)門之前被發現。
7. 長期潛伏者
與百無聊賴的手癢人士不同,這些人才是真的壞心眼。在尋找金礦的時候,他們會梳理文件系統,試圖登錄能發現的任何什麽東西。這些人目标遠大(dà),不達目的不罷休,除非找到價值巨大(dà)的敏感數據——或者,被UEBA發現,否則他們會一(yī)直遊弋在公司系統中(zhōng)。
上一(yī)篇:南(nán)非史上最大(dà)數據洩露事件:3000萬公民信息暴露于互聯網上
下(xià)一(yī)篇:卡巴斯基推“全球透明度計劃” 源代碼審查證清白(bái)