用户和实体行为分析(UEBA)解决方案旨在根据异常行为识别网络安全威胁。一旦解决方案清楚地了解组织的系统如何正常工作,它就可以识别可能表明潜在威胁的偏差。例如,从公司数据库大量异常下载数据可能表明数据泄露正在进行中。
用户和实体行为分析(UEBA)如何工作?
UEBA 解决方案部署到整个组织网络中的设备。在部署后的一段时间内,UEBA 解决方案会监控设备并建立正常使用情况的配置文件。这包括该设备的各种用户的活动。一段时间后,UEBA 有了一个很好的模型来区分什么是正常和异常行为。此时,它可以从学习模式过渡到主动模式。
在活动模式下,UEBA 解决方案会监控各种操作并根据其正常行为模型对其进行评估。如果它观察到异常活动,它可以提醒管理员并可能触发旨在阻止潜在威胁的响应。
例如,组织中的用户通常可能将大部分工作日花在编辑文档和浏览 Internet 上。如果他们的账户突然开始向其他系统发出请求并探索网络,UEBA 解决方案可能会发出警报。虽然这种活动变化可能是良性的,但它也可能表明用户的凭据已被攻击者泄露。如果这是追逐,UEBA 解决方案提供的警告为组织提供了解决问题的机会。
用户和实体行为分析 (UEBA) 的需求
如果攻击者可以访问用户的帐户,他们可能不需要使用恶意软件和类似技术来实现他们的目标。这可能会给一些旨在检测此类恶意内容的安全解决方案带来挑战。
然而,攻击者在实现其目标的过程中很可能会采取偏离规范的行动。例如,如果不访问数据就无法执行数据泄露,勒索软件涉及大量文件操作。UEBA 解决方案可以识别并报告这些异常活动,使组织能够在没有恶意软件或恶意内容的情况下检测到攻击。
欧足联福利
UEBA 为组织的安全运营中心(SOC) 提供了许多好处,包括:
广泛的威胁检测: UEBA 通过寻找与正常行为的偏差来识别威胁。这使它能够识别范围广泛的威胁,包括不使用恶意软件或恶意内容的威胁。
自动分析: UEBA 自动收集和分析大量数据以构建其模型并检测异常事件。这提供了有价值的上下文,而无需安全分析师执行此分析。
提高安全性: UEBA 能够识别内部威胁和其他使用其他安全解决方案更难检测的风险。因此,它降低了组织遭受网络攻击的风险。
UEBA 与 NTA
UEBA 和网络流量分析(NTA)——也称为网络检测和响应(NDR)——都可以识别一些相同的威胁,并且它们都使用类似的技术,例如机器学习和数据分析。但是,它们不是相同的解决方案。例如,NTA 可以提供对组织网络事件的更广泛可见性,而不仅仅是那些被标记为异常的事件。另一方面,UEBA 解决方案提供对受监控设备上本地事件的可见性,而 NTA 仅具有对网络级事件的可见性。
UEBA 与 SIEM
UEBA 和安全信息与事件管理(SIEM) 解决方案都使用机器学习和数据分析来识别威胁。但是,它们是旨在识别不同类型威胁的不同解决方案。
一般来说,SIEM 解决方案更能够识别不太复杂的一次性威胁,并且专注于安全管理。但是,他们可能无法了解更复杂和微妙的攻击活动。另一方面,UEBA 解决方案更侧重于构建用户和设备的配置文件,并寻找与这些配置文件的偏差。这使他们能够识别更微妙的攻击并检测 SIEM 可能遗漏的内部威胁。