首頁 > 關于我們 > 新聞動態 > 公司新聞

“UEBA之筆”畫出業務系統五大威脅

發布時間 2018-12-11
2018年12月4日,我們為某省會級城市的公安行業用戶交付了安審平臺系統,即合眾安全審計日志分析系統(以下簡稱“LAS系統”)。由于運用UEBA技術為用戶發現了多起數據泄露檢測、內部賬號濫用檢測、規則繞行異常等安全威脅行為,得到了用戶的首肯。
 

合眾LAS系統可以為用戶交付業務威脅畫像的能力,有效提升用戶對于業務系統的異常行為的威脅識別準確度和溯源真正威脅行為的能力,起到重要的平臺作用。


小貼士:詳細內容可以參看《合眾LAS系統運用UEBA技術進行業務威脅畫像的報告》。


UEBA技術(User and Entity Behaviours Analytics)——用戶實體行為分析,是網絡安全領域里發現異常行為是一種重要的能力。很多時候,異常事件多數是一個小概率事件,由于用戶對這類事件的精準度要求高,長期以來缺乏有效的檢測機制作為保障。在傳統檢測機制中,我們過分依賴已知威脅檢測(譬如IDS、IPS、NGIDS、NGIPS、FW、NGFW等)的已知規則來做檢測,檢測引擎里內置規則或經驗,但通過已知規則的機制,規則閾值缺乏靈活性容易引起誤判,準確度不夠。而UEBA手段則是從數據分析的視角去發現關鍵問題,我們從聚焦數據內容本身到內容上下文關系、行為分析等,從單點單條檢測到多維度大數據分析來發現更多更準確的有價值信息。本案中,我們使用了五個業務威脅畫像的能力,幫助用戶準確定位了業務系統的安全威脅,大大提升了用戶的安全防護能力:


【威脅畫像一】:利用離群分析,挖掘行為異常個體 

合眾LAS系統無需對用戶應用系統業務進行任何直接操作的前提下,自動選取一定時間段內的日志數據,對人員的作息時間、工作地點、行為特性(操作頻度及工作熱區時間段)、個人特征(年齡及所屬機構)等多個維度進行離群分析,從而挖掘出存在異常行為的人員,即用戶或賬號,如下圖所示:


圖1:數據驅動離群分析結果展示


【威脅畫像二】:構建行為基線,披露個體疑問行為 

合眾LAS系統會根據用戶自身需求,結合用戶或賬號構建行為基線,譬如,系統可以規定哪些賬號在什么時間內可以訪問業務系統;賬號的訪問權限有哪些等等。我們發現了該用戶的日訪問量突變,從而判定了個體疑問行為。如下圖所示:


圖2:日訪問突變分析結果展示


圖中可以看出,其日訪問量突變趨勢在某一個時間點發生明顯的變化,高出日均值數倍之多。


【威脅畫像三】:基于疑問行為,判定個體異常本質 

本案中,合眾LAS系統提取到了賬戶作息時間的異常行為信息,如下圖所示:


 圖3:作息時間分析結果展示

 


從結果展示可以看出,該用戶或賬號對業務系統的操作行為,主要集中在上午10點左右、晚上7點至8點這兩個時間段內,且非工作時間訪問占比較高。



圖4:異常行為——非工作關系XX查詢占比高分析結果展示

 


從通過對該用戶或賬號進一步分析發現,其行為與本質工作無實際關聯關系,屬于非工作關系的查詢,即在非工作時間突增的訪問量都是和自身業務機構/工作沒有關系的(即越權訪問、疑似數據盜?。?,那么,初步判定該用戶或賬號對業務系統構成一定的業務行為威脅。


【威脅畫像四】:利用關系圖譜,溯源可疑關聯人員 

根據合眾LAS系統提供的關系圖譜功能,可對可疑人員、賬號、用戶進行關聯分析,從多個維度(機構、應用、內容等)分析與其存在關聯的人員。


 圖5:利用LAS提供的關系圖譜功能,還發現關聯人員


【威脅畫像五】:還原日志信息,羅列可疑人員操作 

根據篩選的可疑人員名單,利用LAS的日志搜索對其查詢操作進行了回溯,最終確認其威脅行為。


 圖6:利用LAS系統的日志信息發現所有操作


 

通過上述業務威脅畫像可以看出,某省會級城市的公安行業用戶通過安審平臺的基礎建設,實現了海量應用系統日志的采集、存儲和分析應用,深度挖掘分析、預警等實戰應用,基于大數據技術的成熟運用,及時發現和處理業務系統中的越權訪問、數據盜取等異常操作行為,將海量審計數據真正利用起來,切實解決信息資源使用管理中的安全問題。


合眾LAS系統的核心是基于UEBA技術,通過分析挖掘與“正?!蹦J酱嬖谄畹漠惓P袨?,來檢測具有威脅的用戶和實體,使用機器學習、算法和統計分析等手段來了解何時與已建立的模式存在偏差,通過與自身賬號原行為模型進行比較,結合其他維度的異常行為模型進行分析,發現哪些賬戶可能被黑客盜取控制,還可以對涉及的異常類型,異常情況明細、軌跡分布等信息進行發現,顯示哪些異??赡軐е聺撛诘恼鎸嵧{,是檢測內部用戶的異常行為、分析鑒別威脅的一件利器。合眾LAS系統除了上述交付能力之外,還可以聚合報告和日志中的數據,以及關聯文件、流和數據包信息,在海量日志數據的噪聲中,有效降低安全事件分析的工作量,提高告警的針對性和準確率。通過與SIEM類平臺,譬如SOC和態勢感知平臺的結合,可發揮更多有效價值。

 
參考文獻:

1.https://mp.weixin.qq.com/s/yLiQbpoI6TyOc-R0bUeuqA


2.https://mp.weixin.qq.com/s/OftrYdfSudSP_gPdYa6kmA


3.https://mp.weixin.qq.com/s/oWRkuYfh3TNfV61ssv8rTg


4.https://baike.baidu.com/item/%E7%9B%97%E6%A2%A6%E7%A9%BA%E9%97%B4/31288?fr=aladdin



往期相關閱讀

讓數據可視化變得簡單 —TSOC安全可視化專版正式發布
https://mp.weixin.qq.com/s/oWRkuYfh3TNfV61ssv8rTg


解讀—郭啟全總工關于等保2.0等五項工作內容的重要講話

https://mp.weixin.qq.com/s/OftrYdfSudSP_gPdYa6kmA


開放融合,讓安全數據可視化變得簡單——杭州專項發布會側記

https://mp.weixin.qq.com/s/_1rhIxFgF79eCcT8S9xwkg


安防領域的態勢感知原來是這樣的

https://mp.weixin.qq.com/s/f-LU3aPmOLYN11EQTDvj9g


上一篇 下一篇