譯者 | 張增斌

審校 | 孫淑娟 梁策

下面是一個詳細分析，說明為什么匿名用戶數據在這種情況下不能提供必要的見解。

用戶和實體行為分析 (UEBA) 工具通過查找異常數據來支持網絡安全策略。這些工具為用戶、設備和網絡建立基線使用，然后標記網絡安全團隊與這些規范的重大偏差。人們對用戶行為分析如何降低網絡攻擊風險非常感興趣。一項市場分析顯示，2022年 UEBA 行業的價值為12億美元。同時，研究人員認為,到2026年將會達到42億美元。

為了隱私而推動匿名用戶數據可能會阻礙這種方式增長。當使用該技術的公司決策者認為它可以縮小潛在問題的范圍時，用戶和實體行為分析的效果是最好的。但是，匿名的 UEBA 數據將會限制可以查明問題的趨勢。

下面我們來詳細分析為什么匿名信息不適合UEBA 平臺。

1. 缺乏必要的特殊性

監控用戶行為用于發現異常情況的概念并不新鮮。比如你的信用卡或借記卡可能因為被提供商標記了幾次異?；顒雍蠖痪芙^。這可能因為你在旅行時買了一些東西，而沒讓銀行知曉你在旅行。也可能你使用該付款方式通常只是支付小額產品但卻嘗試了購買高價商品。

匿名數據不允許建立必要的聯系，例如識別卡所有者并聯系他們以確定購買是否合法。

Ryan Stolte 是 Bay Dynamics的首席技術官。他承認用戶行為分析可能會引起隱私問題，并且應該就該這個問題進行討論。他解釋說：“這絕對是每個人都應該進行的對話。我們進行行為分析的原因是為了這個人。我們代表每個人去分析你，然后在你行為表現得不像自己時告訴你?！?/p>

這并不意味著公司會密切關注每個人所做的一切。但是，UEBA系統可能會標記每個人任何奇怪的行為。

2.阻止內部威脅的難度增加

2022年的一項研究表明，內部威脅將在兩年內增加44%。同樣研究還表明，受影響的組織每年平均需花費1540萬美元來解決相關問題。

由于現在公司之間的聯系越來越緊密，內部威脅的日益突出也是一個問題。從能源到食品飲料的各個行業都利用連通性來改善運營。但是，懷有惡意的員工可能會嚴重阻礙公司的工作流程。

不過，重要的是要記住，當人們沒有惡意時，內部威脅也會出現。他們可能由于疲倦、粗心或缺乏適當的培訓而犯錯，這可能導致或加劇網絡安全問題。

然而，如果公司領導者只有匿名的UEBA數據，他們將更難以獲得有助于他們緩解此問題的各種詳細信息。例如，是否存在某個人或團隊反復犯錯誤而構成安全威脅的情況?如果匿名數據阻止將數據鏈接回特定的人，就不可能縮小結果范圍以降低風險。

3.無法在需要時采取紀律處分

UEBA工具可幫助網絡安全團隊檢測某人的行為何時超過危險活動的門檻。

Christian Wimpelmann是Code42公司的訪問管理人員。他討論了用戶行為分析如何幫助公司避免危險結果。

Wimpelmann說：“無論是惡意的還是無意的，異常數據訪問和異常數據遍歷網絡或應用程序，往往是員工做了不該做的事情或數據最終出現更大問題的前兆——在受害組織之外。”

與只允許員工在現場工作的公司相比，允許遠程工作的公司可能會處理更多的數據保護問題。一項研究表明，52%的受訪者認為，在遠程工作時處理數據時，他們可以避免承擔更多數據風險。

甚至有網絡犯罪分子招募員工在其組織內部部署勒索軟件的案例。一名網絡安全負責人曾被招募參與一次網絡攻擊，他把勒索軟件帶入公司的網絡，分到了100萬美元贖金中的四成。

然而，使用匿名數據只能說明部分情況。它可能會揭示員工在網絡內進行有不尋?；顒?。但是，它不會精準顯示所涉及的人員。然后，組織的網絡安全團隊只知道存在安全問題，但無法準確鎖定具體責任人。

4. 使用UEBA維護訪問權限的限制

如果員工獲得的信息超出工作所需的信息，公司的網絡攻擊風險也會增加。理想的情況是，當一個人擁有適當的訪問級別，并且不會遇到難以履行職責的困難。

一些網絡安全專家主張將用戶行為分析與身份驗證措施相結合，以更好地保護組織。一個帶有UEBA的產品可以跟蹤每個人相關的 250多個屬性。然后分配一些相關的風險評分。如果有人反復嘗試在網絡中執行不尋常的活動，他們的風險評分可能會較高。

公司領導可以調整高風險評分者的應對方式，比如暫時將他們從帳戶中鎖定，直到IT部門的人可以進一步調查此事。

但是，如果一家公司只有匿名 UEBA 數據，則無法使用該信息來阻止特權濫用。它可以使用行為數據，從更廣泛的意義上發現其他潛在問題，例如，是否有人試圖從不尋常的位置訪問工作場所資源。但是，如果不將識別信息與該行為聯系起來，網絡安全團隊就無法獲得他們需要的信息來確定誰在濫用基于身份的特權。

匿名 UEBA 數據無法提供有意義的回報

本文概述了在數據完全或大部分是匿名時，為什么網絡安全團隊不應該對用戶和實體行為分析抱有很高的期望。 了解異常網絡活動是一個好的開始，但如果IT 專業人員無法將這些信息與特定個人聯系在一起，那么就幾乎不可能準確界定問題范圍。

相反，公司的領導應該與員工就隱私影響進行坦誠的討論。如果他們不想深談 UEBA 的細節，至少應該向員工講明不要一直想當然地認為在工作場所網絡上所做的事情都不受監控。

原文標題：??4 Challenges of Using Anonymous User Data for UEBA??，作者：Shannon Flynn