UEBA能夠檢測(cè)的七大類安全風(fēng)險(xiǎn)
用戶和實(shí)體行為分析(UEBA)技術(shù),是網(wǎng)絡(luò)安全工具市場(chǎng)新成員,旨在提供防火墻和入侵預(yù)防系統(tǒng)(IPS)等傳統(tǒng)網(wǎng)絡(luò)安全工具所不具備的功能。有了UEBA,公司企業(yè)不僅僅能從網(wǎng)絡(luò)流量和反惡意軟件掃描獲悉入侵指標(biāo)(IoC),還能深入理解用戶行為。
UEBA系統(tǒng)可識(shí)別不同類型的異常用戶行為,這些異常用戶行為可被視作威脅及入侵指標(biāo)。下面是UEBA技術(shù)可幫檢測(cè)到的7類安全風(fēng)險(xiǎn)。
1. 緩慢少量攻擊
壞人、外部人和內(nèi)部人都知道,傳統(tǒng)安全工具基于基本閾值起效。他們清楚,只要做同樣的事情超過“X”次,就會(huì)觸發(fā)警報(bào)。于是,他們降低攻擊速度和規(guī)模,以便保持低調(diào),避免被偵測(cè)到。此種做法的一個(gè)例子,可以參考每天僅一次,通過郵件滲漏少量信用卡號(hào)。UEBA可檢測(cè)到此種模式,并將之識(shí)別為需加以調(diào)查的重復(fù)性行為。
2. 共謀
UEBA可幫助發(fā)現(xiàn)緊密合作突然改變行為模式的一組人員。比如說,一組人決定打劫客戶記錄謀私利,但知道安全措施在監(jiān)視。于是,每個(gè)成員分走一部分記錄,通過郵件發(fā)送到自己的個(gè)人賬戶上。UEBA不僅會(huì)找出用戶行為的突然改變,還會(huì)標(biāo)出這是該組人員內(nèi)部統(tǒng)一的改變,然后標(biāo)記整組。
3. 在噪音中隱身
每個(gè)員工都有一個(gè)角色,須按角色需求執(zhí)行特定動(dòng)作。比如說,小王在負(fù)責(zé)打印抵押?jiǎn)蔚膱F(tuán)隊(duì)。小趙在同一家公司,擔(dān)任退休計(jì)劃財(cái)務(wù)顧問,卻在2周時(shí)間里打印了2張抵押?jiǎn)巍km然打印抵押?jiǎn)螌?duì)小王、小王的團(tuán)隊(duì)和整個(gè)公司而言,都是很平常的一件事;對(duì)小趙及其團(tuán)隊(duì)成員來說就太異常了。UEBA可從人群中鑒別出此類行為異常人員,讓安全團(tuán)隊(duì)啟動(dòng)調(diào)查過程,在無需審查其他人的情況下進(jìn)行針對(duì)性調(diào)查。
4. 持續(xù)滲漏嘗試
如果滲漏敏感數(shù)據(jù)的嘗試受阻,攻擊者往往就會(huì)嘗試另一種方法以繞過安全系統(tǒng)。比如說,小張?jiān)噲D將敏感數(shù)據(jù)用郵件發(fā)到自己的個(gè)人賬戶,但被封了。他繼續(xù)嘗試上傳文件到他個(gè)人網(wǎng)站的云存儲(chǔ)中,也被封堵了。然后,他試圖將文件拷貝到U盤中,再次遭遇U盤端口不可用的封禁狀態(tài)。于是,他點(diǎn)擊了“打印”按鈕——成功了!UEBA技術(shù)能將所有這些行為都拼起來,小張最終會(huì)在自己的工作臺(tái)位迎來調(diào)查人員的到訪。
5. 好奇風(fēng)險(xiǎn)
有些人就是控制不住哪扇門都想推開看看。其中很多人僅僅是好奇,或者就是想碰碰底線而已,但現(xiàn)實(shí)就是,這些人往往就是面對(duì)明知不應(yīng)該打開的文件,還忍不住手癢點(diǎn)開的那些。他們會(huì)訪問那些被封禁的網(wǎng)站,不斷嘗試,以為沒人真的在監(jiān)視。這些雇員就是網(wǎng)絡(luò)釣魚攻擊最用以得手的入口點(diǎn)。UEBA能發(fā)現(xiàn)這些閑極無聊的人,向他們警示這些危險(xiǎn)行為。
6. 離職員工
UEBA能發(fā)現(xiàn)正打算離職的員工在行為上的改變,可使安全團(tuán)隊(duì)在這些人提交辭職報(bào)告之前就發(fā)現(xiàn)他們。這很重要!因?yàn)閱T工離職,往往會(huì)造成敏感數(shù)據(jù)隨之外泄。因?yàn)閁EBA能看出表征員工離職意愿的行為改變,這些員工就能在數(shù)據(jù)流出公司大門之前被發(fā)現(xiàn)。
7. 長(zhǎng)期潛伏者
與百無聊賴的手癢人士不同,這些人才是真的壞心眼。在尋找金礦的時(shí)候,他們會(huì)梳理文件系統(tǒng),試圖登錄能發(fā)現(xiàn)的任何什么東西。這些人目標(biāo)遠(yuǎn)大,不達(dá)目的不罷休,除非找到價(jià)值巨大的敏感數(shù)據(jù)——或者,被UEBA發(fā)現(xiàn),否則他們會(huì)一直游弋在公司系統(tǒng)中。
