- 绿盟 - 搞懂ISOP的UEBA能力">绿盟 - 搞懂ISOP的UEBA能力
- 绿盟 - 信息泄露引发的资产失陷与检测分析">绿盟 - 信息泄露引发的资产失陷与检测分析
- 信息泄露的“蝴蝶效应”
- 威胁分析
- 运营防御
- 用户与实体行为分析
- UEBA案例分析
- 参考文献
- 2020, Forrester Security & Risk Conference, Trust Is The Vulnerability:Stopping Insider Threats With Zero Trust
- 【PDF/42P】21.07.17-Gartner Security & Risk Management - Building Incident Response Scenarios for Insider Threats">【PDF/42P】21.07.17-Gartner Security & Risk Management - Building Incident Response Scenarios for Insider Threats
- The Top 10 UEBA Use Cases for Today’s SOCs">The Top 10 UEBA Use Cases for Today’s SOCs
UEBA,User and Entity Behavior Analytics,即用户与实体行为分析,主要是以用户和实体为对象,结合规则以及机器学习模型,对用户行为进行分析和异常检测,尽可能快速地感知内部用户的可疑非法行为。
相较于传统的安全设备分析外部威胁系统例如 SOC/SIEM(Security Operations Center/Security Information Event Management,安全运营中心/安全事件管理),UEBA更加聚焦于“异常用户”(即特权账号被盗用)和“用户异常”(即合法的人做不合法的事),其本身对海量告警信息并不关心。UEBA对企业内部威胁的分析场景更有优势,更侧重于关注用户的行为,可以从另一视角去发现问题。
通常UEBA会与SIEM联动,针对外部数据和内部数据进行统一侦察分析,实现系统的多维度异常检测,对于将会产生的威胁进行及时告警,规避风险。
绿盟 - 搞懂ISOP的UEBA能力
离职员工盗卖原公司源代码获利近八百万被捕、芜湖某互联网租车公司服务器遭前员工篡改导致网络瘫痪……此类的案例不胜枚举。“内鬼”因何如此猖獗?一方面是由于企业内网的薄弱,不难发现很多企业内网除了部署常规安全设备如防火墙、IDS、防病毒、数据库审计、口令密码等之外,基本没有专门的智能化保护措施对核心资源进行有效保护;另一方面,即使企业会根据业务需求制定内部安全策略,以权限的形式指派对应人员进行管理和维护,但着并不能有效防范拥有合法权限的内部用户的异常行为等内部安全威胁问题。
为帮助企业更好的应对内部威胁,绿盟智能安全运营平台ISOP提供的UEBA分析能力,可以帮助客户高效、准确、及时的检测风险,从而提升自身安全防护能力,有效降低内部威胁影响。
ISOP 三大优势能力,5大安全场景打造内部威胁检测利器
绿盟UEBA能力是基于用户行为数据,综合运用大数据技术、基线检测、机器学习等技术,对异常行为建模分析,具备组件化、场景化、实战化的特点。集中关注风险账号、失陷主机、数据泄露、业务风险和内部威胁5大类安全场景检测,结合规则分析引擎、UEBA引擎对全网海量安全告警数据进行快速分析。
- 充分利用企业已有数据,让专业的设备做专业的事情
绿盟ISOP能够结合灵活的数据接入框架快速接入客户企业已有数据,数据接入能力覆盖30+厂商,1000+类日志种类,通过充分利用客户已购的安全设备、业务、终端等各类型数据,有针对性的梳理所需的用户、实体数据,将海量的数据分散到各个用户和实体之下。
- 关注内部威胁,覆盖横向移动场景
内部威胁首先体现在“异常的登录”,其次体现在“内网的横线渗透”,最后落脚在“数据的汇聚和外发”。在ISOP平台的UEBA能力中,一方面基于规则构建了高频的横向移动规则,如邮件发送超量检测等,另一方面,基于用户异常的行为分析,检测其中的风险点,例如异常的时间、不同往常的地点、不同于群组的密码验证方式登录等,全面感知内网的横移风险。
- 多种建模分析,高效解决不同场景下面临的安全问题:
绿盟ISOP的UEBA能力将问题分为3类:
- 行业普遍认可的、多年经验积累下的基础简单场景,如异地账号登录、暴力破解场景、新IP登录场景、休眠账号登录、异常时段账号登录等,可以通过关联规则引擎进行实时、高效检测。
- 需要依赖用户和客体行为习惯进行检测的场景,如主机开放新端口、异常时段访问库表、邮件登录IP和次数异常、基线外IP访问、违规访问等。可以通过基线检测有效对比,提升检测精准性。
- 需要长时间的历史数据和机器学习分析的场景,如DNS隐秘信道、离职倾向员工、失陷账号、异常拷贝、打印数据等。对内部员工的日常行为进行画像,并和个人历史行为进行对比发现异常,通过集成基线检测、集群学习检测、阈值统计检测等感知内网威胁。
在ISOP UEBA能力的支持下,ISOP可有效识别发现内部网络安全威胁、增强网络安全事件可见程度、降低网络安全管理团队的成本。当有入侵者在短时间大量访问敏感文件,触发告警时,ISOP能在被入侵企业尚未发生严重信息泄露事件前,对实体访问敏感数据进行安全分析,及时发现威胁,避免风险。
外敌易躲,家贼难防,安全最薄弱的环节还是人,“自己人”在捣乱,通过ISOP的UEBA能力和安全态势感知能力等方式将“内鬼”清查干净,否则后患无穷。
绿盟 - 信息泄露引发的资产失陷与检测分析
据调查,25%的内部安全事件都是由于数据泄露引起的。攻击者利用泄露信息往往可以挖掘出更多用户及企业的敏感信息,而无需采取爆破等特征明显的攻击手段。值得一提的是,这类攻击方式极具隐匿性,基于特征的网络流量以及终端日志安全分析通常难以取得较好的效果。采用用户实体行为分析(UEBA)功能综合网络流量日志、终端日志安全分析,识别异常行为,并关联告警攻击行为,实现威胁事件分析“看得懂”,为帮助用户发现隐匿威胁提供了新的思路。
信息泄露的“蝴蝶效应”
互联网+知识共享时代,网络上充斥着各种信息,容易被恶意的攻击者收集利用。对于个人或企业角度而言,信息的泄露往往会引发“蝴蝶效应”。在发起网络攻击前,攻击者通常会采取社工的方式收集各种信息,进而发起持续性攻击,信息泄露也可能引发多个资产失陷。在某对抗案例中,突破点来自一个风险接口调用。在渗透时,通过代码审计,发现存在一个风险接口。通过此接口频繁调用,获取大量用户密码。这些用户账号信息涉及普通业务范围的访问、运维业务访问以及其他敏感业务信息访问。
威胁分析
除了外部攻击者发起的传统社工之外,对企业资产有直接或间接访问权限的人也可发起攻击,例如员工、承包商、合作伙伴、供应商等。促使攻击事件发生的动机也呈现多样化,如粗心滥用、恶意操作、工作冲突、心理满足、外部诱导等。尤其是内部威胁,更是难以检测。基于此,要进行运营防御,还需要了解系统本身存在的安全缺陷。
- 访问权限未因地制宜:如账号管理,处于不同业务下的人员,其账号应具备不同的权限、不同的访问范围。否则,不当的权限管理和范围分布,如普通账号可以访问某些核心资产,存在隐患。另外,就监测手段而言,与普通人员账号应该区别对待;
- 系统复杂性妥协于业务便利性:多项业务系统存在交互,为了使用的方便,往往存在省略了很多必要的防护措施,这也为系统间的横向移动留下隐患,避免一个失陷横推多个系统;
- 信息共享让位于沟通高效性:为了信息共享,常搭建的共享知识库,如wiki等,其中不乏包含敏感的信息,甚至是以明文的形式存储,一旦泄露,则存在极大风险;敏感信息保存要有安全意识,且一定要有安全保护。
- 全网监控覆盖止步于政策和成本:企业中,各类资产数量众多,对全体用户和资产实体行为进行有力的监控极具挑战。例如,实现对全体用户异地登录、敏感信息访问、多IP邮件接收监控等行为。
攻击者利用这些缺陷,突破系统防护。基于首次的突破,持续隐藏和渗透,可造成较大影响后果。
运营防御
尽管不存在100%的安全,但基于“People-Assets-Behavior-Mitigate”的防护框架有助于用户完成安全运营闭环。在该框架下,梳理人员资产细粒度信息的同时,还集终端监控、网络流量监控于一体,深入分析用户和实体行为,关联异常行为、威胁事件、用户身份等信息,调研与发现信息泄露及其二次伤害,并及时进行风险处理。
- 人员管理:主要围绕企业员工以及与企业有交互的外界人员。包括人员身份确认,如离职员工是否清理,背景是否检查、账号权限管理。并且需要对雇员以及供应商进行安全意识培训和考核。针对不同的业务、系统、账号、人员,应建立严格的访问控制策略。
- 资产管理:明确资产范围、识别关键数据和服务、资产危害性以及彼此间的关联等。为了使用和分享的方便,往往一些敏感的信息可能记录一些知识库中,而作为共享知识库,缺乏敏感信息审查机制,容易导致敏感信息泄露引起关键资产失陷,危害服务质量。
- 行为分析:复杂高隐匿性威胁具有较少的攻击特征,但仍然存在一些异常的访问痕迹可寻。利用用户实体行为分析的思路,结合制定的访问策略,对行为过程监控,及时发现异常并进行研判。高质量的访问策略需要深度结合客户业务,并且呈现细粒度。否则容易造成真实有效的异常行为淹没在大量的异常行为告警中。
- 缓解措施:基于攻击行为要及时进行处置缓解,处置恶意行为、教育疏忽大意的恶意行为。此外,在攻防演练过程中,按照实战,锻炼应急处置和事故恢复能力,缩短RTO和RPO水平。
用户与实体行为分析
一般来说,不同形式的内部威胁,其共性是用户/资产的行为与其过去,或其对等用户/资产的偏差。此偏差即欺诈或恶意活动。实体的行为,特别是针对用户、设备、系统帐户和特权帐户的恶意攻击行为,即使它们发生的频率很低,但存在的时间很长,可以被挖掘以揭示异常情况,以此可检测高隐匿威胁、内部威胁。
利用用户和实体行为以及其上下文是检测高隐匿威胁、内部威胁的关键。为了检测可疑行为,需要深度结合用户业务,针对每个用户、设备、应用、特权账户、共享服务账户建立持续的、自学习的基线。并针对检测的异常行为进行威胁程度、可信度打分,以便于企业能够每天查看内部威胁,并且可以优先分析Top的威胁,并采取预防措施。
UEBA能力涉及方面众多,其丰富的安全分析能力可以辅助客户尽早识别并处置威胁,降低潜在危害与风险。其典型场景如下图所示。
UEBA案例分析
在接入网络流量、主机终端日志、4A日志、设备告警等全量日志统一格式数据存储模型的基础上,以UEBA为主体,结合攻击识别、预判与研判等能力,可实现日志精细化筛选和关联,快速场景化溯源,方便用户从日志层面的“看见”,到异常行为层面的“看清”,最后深度关联威胁分析,场景化描述攻击事件,让用户“看懂”攻击威胁事件。
例如,某攻击者高频调用信息泄露接口,获取大量账号信息,进而利用获取的账号多次登录不同的敏感系统、知识共享库,进一步获取大量的敏感信息,根据获取的敏感信息,甚至可以直接登录核心业务系统。综合UEBA异常行为与设备远程登录告警深度关联分析,可实现如下场景化描述,定位攻击者行为,并极具有可解释性。参考文献
2020, Forrester Security & Risk Conference, Trust Is The Vulnerability:Stopping Insider Threats With Zero Trust
【PDF/42P】21.07.17-Gartner Security & Risk Management - Building Incident Response Scenarios for Insider Threats
The Top 10 UEBA Use Cases for Today’s SOCs
Exabeam Top 12 Ueba Use Cases Detect Insider Threats And Accelerate Incident Response
若有收获,就点个赞吧
0 人点赞
