首頁 > 關于我們 > 新聞動態 > 產品動態

V-UEBA——應對安全威脅的最佳應用實踐

發布時間 2018-11-29
隨著IT技術飛速發展和網絡空間環境的不斷變化,APT攻擊、挖礦、地下數據交易(包括某些國家級代碼武器庫泄露)等隱蔽式復雜攻擊快速興起,網絡安全呈現后果嚴重、影響廣泛化的趨勢。
 


網絡威脅的演進

● 1970年是單機年代,米特尼克免費打電話的電話入侵者“飛客phreaker”出現;
● 1980年是局域網年代,第一代病毒Brain和第一代蠕蟲Morris開始出現;
● 1990年后,DDoS攻擊、各類Bot軟件激增,AOL美國在線首次遭到釣魚攻擊代表進入信息竊取時代;
● 2000年,云計算與虛擬化使IT傳統邊界模糊消失,垃圾廣告、間諜軟件、0-day攻擊、點擊敲詐等邊界防御不易抵抗的攻擊開始流行起來;
●  2010年,隨著IT技術飛速發展和網絡空間環境的不斷變化,APT攻擊、挖礦、地下數據交易(包括某些國家級代碼武器庫泄露)等隱蔽式復雜攻擊快速興起。
2020年即將登場,人們即將看到人工智能AI一步步成為不法黑客手中強大的武器,新的攻擊形式和影響將更難以預測。
 
網絡安全是人與人的對抗,來自網絡的威脅也是和網絡技術發展并行的。對應于安全威脅變化,安全防御演進也經過了基于單機的防護--例如防病毒;基于邊界的防護--例如訪問控制ACL、入侵檢測IDS和防護IPS;基于身份的防護--例如身份驗證管理IAM、防垃圾郵件SPAM、抗DDoS、審計;基于行為的防護是利用大數據和人工智能AI技術,對網絡安全領域的人和各類設備的行為進行細粒度分析,發現異常行為蛛絲馬跡并追蹤溯源確定原因,進行相應處置和防護。
 
應運而生的行為防護系統——UEBA


UEBA是一種采用高級數據分析方法、面向用戶和實體網絡行為,進行異常檢測和調查的技術,也是安全智能分析切入點。


U:表示用戶(User),UEBA不是一般的安全分析,而是以分析用戶活動為首要任務和目的的系統;


E:表示實體(Entity),UEBA不僅僅分析用戶,還分析主機、設備、應用等等實體對象,它本質上是用戶+實體分析;


B:表示行為(Behavior),指UEBA重點聚焦于行為和活動,主要任務是發現有意思的和惡意的行為,不是分析對象的角色、屬性和參數,當然分析對象活動需要這些數據,而且是關鍵的上下文數據;


A:表示分析(Analytics),高級分析(不是簡單的規則匹配)能力是UEBA的基因,高級分析技術不一定是機器學習,但不是使用硬編碼規則、閾值和平均值。



 UEBA——面向用戶與實體行為的檢測分析技術,目前在國際上的發展趨勢已日益清晰,且已實現大規模的商業化。AI用于網絡安全領域的用戶實體異常行為分析還是近些年事情,早在2014年Gartner就在發布用戶行為分析(UBA)市場界定中認為異常行為分析是智能安全分析的突破口。近年來,國外UEBA技術發展迅速,2018年RSA大會上展示的系統也都不謀而合的采用了統計與機器學習等技術來檢測異常行為。
 
UEBA應用廣泛  已成為重點行業最佳應用實踐


移動應用、工業互聯網、物聯網等業務常常是云-管-端模式,涉及用戶、終端、賬號、終端APP、服務端APP、服務主機設備、業務屬性、網絡傳輸安全等諸多安全要素,這種環境中業務風險管控常常定位到具體的人、設備、賬號、操作等以便采取行動并掌握證據。


基于大數據+人工智能技術的UEBA用戶實體行為智能安全分析系統為解決這些棘手問題提供了可能,并在近年得到長足發展。UEBA(User and Entity  Behavior Analytics)解決典型問題包括:


● 員工泄露企業重要數據——由員工引起的泄密事件甚至會影響國際關系,其中最著名的莫過于美國中央情報局(CIA)前雇員斯諾登的間諜案,他不但帶走了1.5萬至2萬份美國政府機密資料,更向全球揭露了美國“棱鏡”計劃、Xkeyscore計劃和美國“核心機密”。


數據泄密無小事,根據調研機構波洛蒙研究所的調查顯示,可能導致嚴重數據泄露的5種內部威脅分別為非響應者、內部人士的疏忽行為、組織員工內外串謀、持久的惡意行為、心懷不滿的員工,但這是所有數據泄露事件中代價最高昂且最難檢測到的事件。


● 勒索軟件在企業內外網絡中傳播無阻——勒索軟件、加密劫持以及其他外部威脅是人們廣泛熱議的安全風險之一,去年“永恒之藍”勒索軟件在全球橫行,現在想起來也是心有余悸。作為NSA被泄露的武器庫病毒之一,稍稍發力就讓全球吃不消了,若泄露出去的病毒全面爆發,那未來全球企業甚至國家的網絡數據安全威脅風險系數實難估量。


● 應用權限賬號異?!髽I內部人員通常有相對穩定的行為模式,像凌晨3點管理員權限賬號遭遇遠程反復嘗試連接行為、員工多次嘗試登錄其他員工(CEO等)的郵箱等行為,必定屬于異常行為,這時候就要考慮賬號是否被盜或者員工異常行為。


● 發現僵尸網絡——被惡意程序感染的企業主機不單會占用公司寬帶,嚴重時甚至會占用60%~80%的會話數,如有10%的機器中招,企業網絡將無法使用。


● 發現高級威脅——上屆美國總統大舉中牽出來的“希拉里郵件門”事件讓網絡攻擊行為再次引起全球關注,然而在企業的正常運行中,如遇到高級威脅的攻擊應該如何應對也成為了一個難題。


針對上述網絡安全威脅和用戶實際需求,啟明星辰自主研發V-UEBA系統對用戶和實體(網絡、端點、數據存儲)進行細粒度異常行為檢測和分析,場景涵蓋上述領域。
 
V-UEBA:為用戶打造的安全智能分析產品


啟明星辰自主研發的網絡用戶實體行為智能安全分析系統(簡稱:“V-UEBA”)是為用戶打造的安全智能分析產品,為用戶提供:


多元異構海量安全數據處理


基于大數據計算和存儲技術,支持DIKI(D-Data網絡流數據,設備日志、Web及應用服務器日志等數據;I-Information企業關聯信息例如資產數據、漏洞掃描數據;K-Knowledge安全知識;I-Threat Intelligence威脅情報)數據采集接入,并基于安全分析需要進行數據范式化歸一化、過濾清洗、豐富化和標簽等加工處理,對部分安全設備告警數據提供語義自動理解識別能力,使數據“干凈可用”,保證數據質量。
數據處理能力在超大型客戶生產系統中驗證穩定運行。
 

高效智能發現能力,準確提供第一線索



V-UEBA利用機器學習深度學習等技術,對用戶和實體對象行為建立正?;€和監測對基線的偏離,自動讓異常行為浮出水面。提供豐富的檢測算法,高級威脅類模型涵蓋攻擊鏈Kill-chain各種場景;異常用戶類模型涵蓋登錄異常、文件資源訪問異常、賬號異常、郵件附件異常、違規運維操作等多種場景。


V-UEBA分析引擎涵蓋實時流式、批式、機器學習、全文檢索、規則分析、圖式分析,對告警提供自動合并和關聯,并可持續監測,告警少量精準。
 



更快速的安全事件研判


V-UEBA自動為安全事件提供證據,這些證據經常是一段時間持續監測結果匯總,呈現方式能讓分析人員看清隨時間流逝此事件相關各種異常行為的發展變化,方便診斷。


還提供用戶畫像、實體對象畫像,集成威脅情報數據,這些背景和上下文信息加速安全事件研判。


此外,提供面向專題的自動化分析功能,能自動關聯相關告警和繪制攻擊圖,一目了然地可視化呈現高危人員和設備、攻擊源、攻擊路徑。
 



高級安全分析能力


V-UEBA提供高級人機交互分析工具-GQIM模型(Goal目標-Question問題-Indicator指征- Metrics度量),讓安全分析人員在干凈數據上探索數據規律、驗證猜測,直覺和經驗得到充分發揮。


V-UEBA還提供基于關系圖的威脅追蹤分析,可輔助分析人員還原攻擊路徑和串并案。
 

作為中國網絡安全領軍企業,啟明星辰集團始終堅持自主創新精神,踐行戰略與實踐并行新思路,圍繞網絡安全產業格局變化,加速推動創新技術融合能力突破,整體帶動和提升智慧城市、人工智能、工業互聯網、關鍵信息基礎設施安全、物聯網安全、中小微企業業務安全發展。


網絡安全產業任重道遠,啟明星辰將繼續以專業、綜合的安全服務能力,全面幫助客戶提升安全能力,并以沉靜的堅守和持續的創新精神,為中國網絡安全貢獻力量。




上一篇 下一篇