如何利用UBA技術解決內部威脅問題

　　今天，如果我們談起威脅這個詞，大家感悟比較深的還是外部威脅，比如黑客DDOS攻擊、APT攻擊等等，卻忽略對企業傷害更加大內部威脅。事實上，據2013年美國的CERT調查顯示53%的企業認為內部威脅的危害要遠大于外部威脅; 2014年Spectorsoft的調查報告指出75%的內部威脅事件沒有對外報告出來; 2015年的FortScale調查也反饋85%的數據泄露是來于內部威脅。

　　內部威脅VS外部威脅

　　這些數據都證實了內部威脅已經不可忽略，并且成為網絡安全事件頭號“通緝犯”。那為什么我們很少聽到內部威脅引發的安全事件呢?也許用一個詞解釋比較合理“家丑不可外揚”，但這絕不代表沒有。事實上，內部人員相對外部攻擊更容易接近重要信息或系統，并且內部人員也會有更大動力或傾向利用他們的職權去讓自己獲得利益，正所謂“禍起蕭墻”，攻破堡壘往往都是“自己人”。

　　那么到底何為內部威脅呢?簡單說，內部威脅就是指現在或前雇員、承包商、合作伙伴等通過他們的信任而有意、無意或誤用方式來對公司或組織的員工、客戶、資產、信譽或利益產生傷害。不管哪種形式內部威脅都和產生此類威脅的人相關，因此要解決好內部威脅，發現“壞人”是解決內部威脅的主要手段。

　　內部威脅類型

　　解決內部威脅，傳統技術存在先天不足

　　問題1： 報警數量多，誤報率高。我們知道傳統解決內部威脅一般都是通過SOC或SIEM和DLP產品等來解決，類似SIEM和SOC這樣產品都是針對“安全事件”的管理和分析的工具，會產生大量的告警數據。但是在特殊客戶場景下，很多告警都是無效的，結果就演變成天天在喊“狼來了”，大部分時間狼都沒來。但是，如果狼真的來了，也可能就忽略了。

　　問題2：操作復雜，投入成本高。對當前企業來說安全的投入難點實際往往不在安全產品的購買，往往是缺少有高級安全經驗的人。企業想要能夠使用好SIEM和DLP產品很困難，需要擁有大批具備高級安全經驗的人，投入也是很大。因此每當發生安全事件，需要投入不少安全人員和時間才能解決。

　　應對內部威脅需要全新技術手段——UBA

　　這里先簡單介紹一下UBA是什么。根據2015年Gartner的定義來看，UBA用戶行為分析是幫助企業或組織發現內部威脅，目標攻擊和金融欺詐。但在2016年Gartner提出了UEBA(User and Entity Behavior Analytics)獨立市場，定位解決企業內部威脅和目標攻擊。

　　從Garnter定義可以看出UBA的市場正在被看好，發展也比較快，并且在安全上提出了獨立UEBA市場。利用UBA技術解決內部威脅是一種新的手段方法， 該技術發展到今天已經具備了能夠對非結構化數據進行分析能力，擁有一定的預測能力，已經開始應用到內部威脅和目標攻擊防護中去，而不再僅僅局限于調查分析了。

　　UBA技術到底是如何實現的?從下圖UBA基本數據處理過程可以看出，UBA以用戶上下文的組件為核心實現驅動或關聯數據enrich、行為分析和異常檢測等功能。

　　UBA基本數據處理邏輯框架圖

　　首先，數據enrich需要用到用戶上下文的信息，比如從VPN登陸后，訪問內部業務的一條日志，會被豐富成具體是哪個員工通過哪個賬號，使用了哪個終端，從什么位置，并且通過什么IP地址訪問了什么業務系統等，其中員工名稱、位置、終端名稱和業務系統等都是通過上下文信息獲得。

　　其次，豐富后的行為信息會被關聯分組或行為分析，而行為分析常見的就是基線分析和Peer Group分析等。最后都會進入到異常檢測部件，根據一些規則或數據分析模型來生成異常行為事件。再按照人的維度將異常行為事件進入到風險引擎計算出人的異常風險。

　　當然要做好UBA或者UEBA產品，不只是構建一套基本處理框架，還有不少的技術要點或者技術上的坑是不得不解決的。第一點需要獲取多類型數據，如果說解決內部威脅針對單一類型數據或者設備去做UBA，非常片面，價值點低。第二點不僅要集成結構化數據還能集成非結構數據。比如身份系統信息、個人身體健康記錄等，而這些數據往往是對用戶上下文組件做數據支撐。最后，元數據獲取。例如終端，不能僅僅是一些病毒漏洞或系統基本信息，還需要能夠將進程、驅動、網絡訪問等涉及行為信息手段都需要能夠捕獲。

　　應對內部威脅，UBA技術先天性優勢從何而來?看UBA技術魂魄與血肉

　　UBA技術魂魄就是Context上下文。實際上UEBA產品已經能夠對用戶、終端、文件、應用和其他實體構建上下文的接口。例如用戶的角色是工程師還是銷售、職位是經理還是VP，職時間，直接領導、離職狀態、身體健康狀況等都是用戶的Context。當然相關對象的上下文可以形成關聯關系，比如從用戶上下文可以關聯到終端上下文。對于上下文構建不僅是需要通過用戶配置和對接其他系統來獲取，更需要通過機器學習構建上下文。比如說職位信息可能變化不大可以認為接近靜態信息，但是對于系統進程信息、文件敏感等級信息都是需要根據數據來動態變化的。

　　如果說UBA技術魂魄是上下文，那么內部異常行為事件或者規則就是UBA產品的血和肉。對于客戶而言，UBA產品體現價值在于產生內部威脅的異常行為事件。而異常行為事件或規則的制定，則驅動Context上下文部件構建什么樣上下文信息。關于異常行為規則的制定，簡單的方式是基于各種類別內部數據進行針對性定義。以VPN接入舉例，簡單的異常行為就是賬號登陸失敗連續多次，稍微復雜點就是與上次登陸設備相同，但本次登陸失敗，還要和上下文信息明顯有關，就是本次登錄成功的設備，之前從來都是失敗的，這些異常行為背后可能是賬號是否已經泄露，或者設備被別人持有或者控制，或者被別人暴力破解成功等。總結起來就是，內部威脅的異常行為的提出基本都是來自于安全經驗和客戶環境和場景的驅動。

　　基于這樣技術優勢，UBA在應對內部威脅時，存在兩點明顯優勢。優勢1：操作簡易化，找到“壞的人”，UBA產品是長時間持續對人的異常行為進行記錄和分析，上報高質量的異常行為，大大削減了告警的數量，讓人能夠關注到重點，減少誤報率。優勢2：高質量的異常行為， UBA產品卻是直接提供以“人”視角給出判定，讓一般安全管理員就可以快速的定位“壞”人背后的行為，并較容易確定其產生異常行為的證據。

　　寫在最后，UBA技術采用最大的技術理念就是上下文感知，而上下文感知是采用信息的共性和關聯特性，進行持續性學習的方式，更接近人腦的方式，記錄和分析一些信息面。UBA定位是人，回答的問題是：這個用戶行為異常嗎?而不是“這事異常事件嗎”，這是一種解決內部威脅全新技術手段，能夠幫助用戶及早發現可疑行為，為信息安全專業人員指明方向，從而確定是否有安全問題需要引起注意。