新一代數據安全的制勝法寶-UBA

在入侵防御領域，運用數據分析的方法保護數據的技術其實沒有什么新的東西，比如防火墻-分析數據包的內容以及其他的元數據，如IP地址，從增長的數據條目中檢測和阻斷攻擊者；防病毒軟件不斷的掃描文件系統，通過檢查比特流代碼和其他一些特征來標記文件是否被感染。

與防火墻和防病毒軟件不同，用戶行為檢測或者UBA聚焦于用戶正在發生的行為：應用啟動、網絡連接活動、最關鍵的文件訪問（當文件或郵件被訪問的時候，誰訪問的，在文件上做了什么以及操作的頻率）。

UBA技術檢索那些可以表征不常見或者異常動作的行為模式，不管這些操作具體是來自黑客、內部人員、甚至是惡意軟件或其他進程，UBA并不阻止黑客或者內部威脅進入你的系統，但它可以迅速標記這些行為，讓損失最小化。

UBA是SIEM的近親（Security and Information Event Management），SIEM歷來專注于分析防火墻捕獲的事件、OS和其他系統的日志，從而發現并標記一些有趣的關聯的目的，通常是通過一些預定義的規則來發現，舉個例子，幾個登錄失敗的事件可能會匹配到另一個網絡日志中流量的增加，SIEM可能會認為這是一個黑客入侵系統并刪除數據的信號。

我們很快就會看到，如果把注意力全部放在邊界系統和OS日志上而不是目標數據本身，就非常容易漏掉內部人員濫用訪問權限的情況，同時也容易漏掉黑客活動，因為一旦黑客進入到系統內，他們便非常善于偽裝成普通用戶，。這就是UBA的由來，對系統事件關注相對少，而對特定用戶活動關注較多，UBA可以學習用戶的行為模式，當黑客的行為與合法用戶出現不同時立即標記目標。

Garter對UBA有一個更加傳統的定義：

User Behavior Analytics (UBA) [is] where the sources are variable (often logs feature prominently, of course), but the analysis is focused on users, user accounts, user identities — and not on, say, IP addresses or hosts. Some form of SIEM and DLP post-processing where the primary source data is SIEM and/or DLP outputs and enhanced user identity data as well as algorithms characterize these tools. So, these tools may collect logs and context data themselves or from a SIEM and utilize various analytic algorithms to create new insight from that data.

為什么需要UBA

要理解UBA的產生根源，你需要先想一想當前數據安全分析方法的短板，對于任何一個過去兩年內在入侵防御一線的人員來說，黑客好像總是能拿到前門的鑰匙。

在斯諾登或者維基解密的案例中，黑客貌似可以逐字獲取到前門鑰匙，這是因為他們早就已經潛伏在內部了。在目標的突破上，黑客通過遠程登錄盜取或推測用戶密碼，在近期一些安全事件中，攻擊者通過*** 郵件誘騙員工下載惡意軟件。

防御來自合法用戶的攻擊并不是基于邊界的安全防御的一部分，黑客很容易到達邊界然后進入到內部系統，他們通過合法的公共端口（email, web, 登錄），然后像正常用戶一樣訪問，一旦進入，黑客會熟練的應用那些還沒有被防病毒軟件標記的惡意軟件，有時候他們還會使用合法的系統管理軟件來連接他們自己的網絡。

事實上，對于一個只監控系統活動的IT管理員來說，通過檢查應用的訪問，登錄的名字等-黑客看起來也只像是另一個普通用戶罷了。這就是為什么你需要UBA！

面向邊界的網絡安全技術通常是尋找在錯誤的地點進行的不尋常的活動，而新一代的黑客總能想辦法繞開這一點，通過訪問未授權網絡端口或者通過可信的軟件等。

邊界防御的硬傷

我們知道，那些參與大規模入侵行動的黑客往往善于悄無聲息的進入并撤離數據中心，但是他們究竟是如何撤離的？黑客入侵的技術通常有兩個步驟：通過公共的接入點接入，然后插入一些難以被雷達監測到的惡意軟件，這種組合早就已經被證明是非常有效的手段。黑客手段的一些底層細節有時非常難復雜，這里簡單介紹一些技術。

攻其不備：弱口令，*** ，SQL注入

口令爆破依然是黑客最有效的入侵方式，因為人們總是傾向于選擇簡答的密碼，比如名字的一部分或者一串簡單的數字序列，或者甚至使用安裝軟件時的初始口令。近些年來黑客已經很擅長通過發送一封郵件誘導用戶點擊從而邀請他們進入系統，完全不需要破解口令，也即*** 郵件攻擊。*** 郵件是一種經過偽裝的電子郵件，通常看起來是從一個合法的源頭發出的，黑客也會使用一些公司官方的logo以讓*** 郵件看起來更加真實。黑客們清楚大部分企業的員工對于URL底層的技術支持并不是非常了解，所以很容易讓他們相信偽造的發件人地址。舉個列子，很多用戶都會相信jon@fed3x.com來自FedEx的員工，因為這個地址看起來很像是那個合法的域名fedex.com。一旦上鉤，員工會點擊郵件中的鏈接或者附件，之后惡意軟件就啟動了，任務完成，黑客就這么進來了。

第三種黑客的常用手段是SQL注入，它和*** 的相似之處再用他們都是使用公共的接入點，這里就是web網站，在SQL注入過程中，攻擊者利用網站對用戶輸入內容校驗缺失的漏洞進行攻擊，原理很簡單，當一個用戶輸入一些文檔到網頁表單時，往往會觸發一個到SQL服務器查詢相應記錄的請求，但是如果輸入的內容沒有經過合適的校驗，黑客就有可能會插入一些惡意的SQL代碼，這些惡意代碼會給他們提供落腳點，讓黑客可以一步一步啟動shell或者進入os命令行。

神不知鬼不覺：APT 與C&C

一旦黑客進來，下一步便是安裝可以提供基礎管理能力的惡意軟件，通常至少包含文件上傳下載，簡單的命令行和目錄搜索功能，比如我們熟知的RATs(remote administration tool)或者應用更廣泛的C&C，這些惡意軟件可以讓黑客從他們自己的網絡直接訪問到。上述過程其實沒什么新意，這種做法從第一代***

網絡出現時就有，真正的創新在于黑客已經可以把C&C惡意軟件與整體隱蔽性相結合，其結果就是所謂的高級持續性威脅或者APT。

黑客將RAT的邏輯插入Windows的必備DLL中，此時他們依然保持隱蔽，一旦DLL被激活，黑客就可以發送命令并接受結果，不僅如此，RAT可以與中央控制服務器通信，通常都是通過合法的域名標準的HTTP或者HTTPS協議進行的。黑客甚至可以連接一個仿冒的DNS服務器，用以將RAT命令隱藏在特殊的DNS協議中-也就是Anthem公司入侵的案例。

黑客入侵事件統計

Verizon

數據入侵調查報告(Verizon Data Breach Investigation Report, DBIR)是一個統計黑客事件的重要來源，下圖是他們做過的其中一個統計，統計近幾年來被黑客入侵的那些組織發現他們被入侵所用的時間長度。

第一個壞消息是，上圖的時間單位是月，第二個是整體趨勢在變得更壞而不是更好。在Verizon的報告中，2012年大約70%的入侵事件要耗費數月才能被發現。

UBA的分析策略

Gartner

將UBA軟件劃分為兩個大類：依賴罐式分析規則標記異常行為的產品，和基于動態規則或自定義模型分析的產品。舉個例子，在罐式規則的產品中，管理員可能會定義，如果一個敏感文件在周末的凌晨0點到5點被訪問則強制彈出一個告警；而在純動態規則的場景下，潛層的UBA引擎會決定什么樣的行為是正常的，并且檢測到落到正常范圍之外的活動，換句話說，UBA引擎在構建他自己的內部規則。

很顯然，在UBA產品中，上述兩種策略都占有一席之地，但還是注意一點，單純依靠罐式規則分析的UBA軟件還需要一支對黑客行為有著強大直覺的IT全安管理員隊伍，然而沒有多少IT安全人員有這種巫師一樣的能力。

UBA

軟件的另一個差別在于對潛層數據源頭的選擇，有些UBA解決方案主要關注網絡連接和邊界系統的行為（登錄、app、事件），另一些UBA則是更關注內部系統中顆粒更細的活動，比如用戶在文件和郵件上的操作。

純粹利用網絡連接或者基于系統日志的分析方法有很多缺點，如上文所說，它很難發現那些利用郵件或者注入的方式盜取正常賬號進行入侵的行為，除非你有更高級的智能UBA，因為在這種情況下黑客登錄或者使用APP的行為不會與普通用戶有任何不同。

而那些關注用戶在文件和郵件操作行為的UBA軟件則會有更高的幾率發現攻擊者，關鍵點在于，想要偽裝成正常用戶的黑客一定會嘗試搜索和拷貝帶有敏感信息的文件，而這正是抓住他們的關鍵。

如何判斷正常行為

UBA

是基于這樣一個想法提出來的，即系統上的用戶到底在做什么？他們的活動和訪問文件的模式是什么樣的。最終，UBA軟件起源于一個profile，用來描述每個行為對于一個用戶的意義，所以當黑客偷了一個用戶的憑證并且訪問了他幾乎從不訪問的資源時，他的行為就會與之前的profile有所不同。為了實現上述想法，UBA就必須可以記錄用戶的行為，并量化檢測到的用戶行為。UBA軟件必須可以通過訓練來定義出用戶的正常行為，通常來講需要考慮一段時間內用戶的活動日志，比如文件訪問、登錄、網絡連接等。

UBA

可以使用通用的基于大數據的挖掘算法，如KNN、線性回歸、貝葉斯等，但是不管你用的哪種具體算法，目的都是要建立一個行為基線，從而可以預測什么是正常什么是異常。

UBA關注什么

并非所有UBA都采用相同的解決方案，正如上文提到的，僅依賴罐式分析規則和純粹的基于邊界系統的分析引擎對于一個聰明的黑客來說沒什么卵用，關注于細粒度的文件和郵件訪問的UBA一定會有更好的效果。要牢記一點，文件和郵件一定是這些網絡大盜夢寐以求的，在某些情況下這些數據也可以讓他們付出代價。

通用安全 人工智能 機器學習

版權聲明：本文內容由網絡用戶投稿，版權歸原作者所有，本站不擁有其著作權，亦不承擔相應法律責任。如果您發現本站中有涉嫌抄襲或描述失實的內容，請聯系我們jiasou666@gmail.com 處理，核實后本網站將在24小時內刪除侵權內容。