什么是UEBA?
UEBA全稱“User and Entity Behavior Analytics”,即用戶實體行為分析。其前身是 UBA(User Behavior Analytics,用戶行為分析)。
Gartner于2014年提出了UBA市場定義。后來,Gartner認為實體行為從某種程度上關(guān)聯(lián)了用戶行為,關(guān)注實體行為分析可以更準確地識別威脅。因此,于2015年將UBA正式更名為UEBA,主要聚焦于“賬號盜用(異常用戶)”和“合法的人做不合法的事(用戶異常)” 兩方面。
Gartner 對 UEBA 的完整定義是“提供畫像及基于各種分析方法的異常檢測,通常是基本分析方法(利用簽名的規(guī)則、模式匹配、簡單統(tǒng)計、閾值等)和高級分析方法(監(jiān)督和無監(jiān)督的機器學(xué)習等),用打包分析來評估用戶和其他實體(設(shè)備、主機、應(yīng)用程序、網(wǎng)絡(luò)、數(shù)據(jù)庫等),發(fā)現(xiàn)與用戶或?qū)嶓w標準畫像或行為相異常的活動所相關(guān)的潛在事件。
這些活動包括受信內(nèi)部或第三方人員對系統(tǒng)的異常訪問(用戶異常),或外部攻擊者繞過安全控制措施的入侵(異常用戶)。
通俗理解, UEBA就是以大量數(shù)據(jù)收集為基礎(chǔ),對網(wǎng)絡(luò)中用戶和實體(機器、設(shè)備、應(yīng)用程序、服務(wù)等)的典型和非典型行為進行建模。
并通過定義此類基線,或結(jié)合機器學(xué)習實體行為基線,生成正?;顒踊鶞?,使用大數(shù)據(jù)和機器學(xué)習算法來實時監(jiān)測分析評估用戶和實體行為偏差,進而判定正常行為或異常行為,達到識別潛在安全威脅和異常情況,并及時告警。
UEBA產(chǎn)生的背景
UEBA技術(shù)產(chǎn)生的背景可以追溯到信息安全領(lǐng)域中對于內(nèi)部威脅的關(guān)注和亟需應(yīng)對的需求。
由于傳統(tǒng)安全防御方法主要是針對外部攻擊進行防御,如入侵檢測、防火墻等技術(shù)。而這些產(chǎn)品、技術(shù)、方案又都基本采取已知特征進行規(guī)則匹配來進行分析和檢測。
這樣的安全防護,一方面,忽略了內(nèi)部威脅同樣會帶來巨大風險和影響;另一方面,隨著威脅越來越復(fù)雜和隱蔽,傳統(tǒng)基于規(guī)則的安全監(jiān)控方法變得不夠靈活和準確,存在安全可見性盲區(qū),有嚴重的滯后效應(yīng)、無力檢測未知攻擊、容易被繞過,難以適應(yīng)網(wǎng)絡(luò)現(xiàn)實和快速變化的企業(yè)內(nèi)外部安全環(huán)境等問題。
于是,UEBA技術(shù)順勢而生!它是一種全新的安全防御方法,不區(qū)分內(nèi)部還是外部,而是對訪問的所有用戶和實體或正常、或異常行為進行分析。
而什么是正常行為,什么是異常行為更多是通過大數(shù)據(jù)、算法與機器學(xué)習,不斷對用戶與實體行為基線建模,分析識別出與基線不一致的異常行為,并進行實時警報。
這就很好地解決了傳統(tǒng)基于“已知規(guī)則”防御方法的死板與風險識別盲區(qū)等問題。
什么是“暗能力”?
那為什么說UEBA是派拉軟件的“暗能力”呢?在回答這個問題之前,我們先來理解下“暗能力”這個詞。
暗能力是吳伯凡老師發(fā)明的一個新詞。簡單來說,暗能力是你做一件事,會培養(yǎng)出其他的能力。
這些能力眼下雖然不能變現(xiàn),但也許未來某一天,你能憑借這些暗能力,找到新的業(yè)務(wù)和賽道。
而當你專注于自己的問題越深,你的解決方案就會越豐富,隨之而來的暗能力就會越多。
UEBA為何是派拉的“暗能力”?
回到派拉軟件,眾所周知,派拉軟件是以數(shù)字身份安全起家,并開創(chuàng)國內(nèi)第一家身份安全原廠商。15年來,派拉軟件始終深耕數(shù)字身份安全,并在身份安全基礎(chǔ)上,不斷拓展出更多安全產(chǎn)品與能力。
而這些產(chǎn)品和能力大多都是為了進一步強化對企業(yè)數(shù)字身份安全的防護,從而鞏固企業(yè)數(shù)字安全。例如派拉軟件的特權(quán)賬號管理系統(tǒng)、多因素認證技術(shù)以及本文中的UEBA技術(shù)等。
為什么這么說?
我們都知道,企業(yè)在進行數(shù)字身份安全防護過程中需要對訪問身份進行行為分析判斷,從而避免出現(xiàn)異常行為賬號的登錄與訪問。
例如,某個人正常的訪問路徑、終端、時間等一直都是固定的,但突然有一天終端變了、時間點出現(xiàn)較大差異,甚至連訪問路徑都不一樣。這時候,派拉軟件IAM系統(tǒng)會啟動進一步的強認證,以判定身份的安全可信。
以上只是列舉派拉軟件在身份安全解決方案中的一個場景能力之一。為了進一步強化身份安全訪問、認證和權(quán)限管控等防護能力。派拉軟件一直在不斷打磨其中的算法與策略模型。
而派拉軟件以“身份優(yōu)先”的一體化零信任解決方案的提出,又進一步推動派拉軟件在UEBA技術(shù)的研發(fā)與投入。
目前,派拉軟件UEBA技術(shù)已經(jīng)很好地應(yīng)用到最新IAM系統(tǒng)中,并解決了用戶登錄風險、機器人訪問風險以及賬號注冊風險。后期還將實現(xiàn)API風險、權(quán)限濫用風險、敏感文件訪問風險等安全防護能力。
正如派拉軟件產(chǎn)品研發(fā)總監(jiān)嚴益昌所言:“有了UEBA技術(shù)的加持,派拉軟件統(tǒng)一身份與訪問控制管理系統(tǒng)可以更好地應(yīng)對各種撞庫、代理登錄、批量登錄、非常態(tài)登錄等登錄風險問題;
利用15大維度檢測,判斷是否為機器人訪問,從而杜絕機器人訪問風險;采用5種檢測邏輯,解決批量注冊、虛假注冊風險等。此外,在API、權(quán)限、敏感文件等安全防護場景中,都將有進一步的提升。
而派拉軟件UEBA技術(shù)除了應(yīng)用在IAM產(chǎn)品中,以增強派拉軟件在數(shù)字身份安全能力,還將進一步部署應(yīng)用到派拉軟件其他安全產(chǎn)品平臺中,像是API、SDP、PAM等。
例如,通過將特權(quán)賬號管理系統(tǒng)(PAM)檢測到的異常事件接入到UEBA產(chǎn)品的高級分析引擎中,和其他維度的數(shù)據(jù)一起做更深層次的特權(quán)賬號異常事件識別,從而加強PAM產(chǎn)品的安全防護。”
所以,這就是為什么說UEBA是派拉軟件的“暗能力”。當然,在追求數(shù)字身份安全產(chǎn)品技術(shù)研發(fā)的漫長道路上,派拉軟件也一直不斷探索著更多新的技術(shù)與解決方案,以加強鞏固企業(yè)數(shù)字身份安全,為快速變化的企業(yè)數(shù)字化轉(zhuǎn)型安全持續(xù)賦能。
PS:想要詳細了解派拉軟件UEBA技術(shù)在各大風險中的實際安全應(yīng)用場景與防護能力,記得關(guān)注我們,后續(xù)為你繼續(xù)解鎖!