用户和实体行为分析(UEBA)可揭示企业面临的隐藏风险。UEBA使用先进的数据分析技术筛选来自多个来源的数据流,以寻找攻击、侦察和数据泄露的证据。在这种情况下,行为分析意味着人和系统或实体的行为。这里的示例包括,如果用户突然下载大量数据,系统突然尝试连接到通常不与之通信的另一个系统,或者发生任何其他异常情况。
UEBA在以下主要领域有多个用例:
- 网络安全
- 网络和数据中心运营
- 管理
- 业务运营
网络安全UEBA用例
1. 检测横向攻击
网络日志可以显示系统试图联系通常不与之通信的其他系统的证据,这可能表明它已被入侵并被用作对其他系统进行横向攻击的发射台。
2. 识别被盗账户
系统和网络日志可以显示人们或帐户正在尝试做他们通常不做和不应该做的事情。这可能表明该帐户的凭据已被泄露,并且第三方正在使用该帐户来规划功能和漏洞或泄露敏感数据。
3. 发现内部威胁
行为分析可以发现一个帐户使用了比平常更高级别的权限或试图访问它通常不与之交互的系统。这些是内部人员滥用其帐户功能的潜在证据。
4. 检测木马账户创建
分析可以发现帐户创建、删除或修改活动的异常爆发,例如创建大量系统管理员帐户或现有帐户失去某些特定访问权限。这种行为可能表明不良行为者正在设置本地帐户以执行进一步的操作。
5. 监控账户共享政策违规行为
UEBA systems can spot evidence that users have shared credentials instead of operating only within their own accounts, making compromise by bad actors more likely. UEBA系统可以发现用户共享凭据的证据,而不是仅在自己的帐户中操作,从而更有可能被不良行为者破坏。
6. 预测即将发生的硬件和软件故障
异常行为可以指示硬件中当前或即将发生的故障;操作系统;中间件,例如数据库管理系统;应用服务器;和应用程序。例如,给定网络交换机端口上越来越多的数据传输错误可能表明硬件出现故障或该端口的电缆存在问题。
7. 执行根本原因分析
单个问题有时会产生跨多个系统和功能层的影响。这里需要威胁分析来发现连接。例如,多个面向员工和客户的应用程序中分散的事务失败,以及在特定Kubernetes集群中运行的数据库服务器和应用程序容器的间歇性问题,可能源于它们背后的存储网络的问题。
UEBA可以满足企业和云服务提供商的运营需求,可以前瞻性或回顾性地使用它们。他们可以使用UEBA工具来帮助确定在发生时没有明显联系的分散问题的根本原因,或者在失败后使用它们来查看是否可以更快发现有问题的迹象,并且可能会再次发生。
8. 了解生产力
行为可以为个人和团队的生产力提供线索,表明是什么让某些人或团队在特定环境中比其他人更有效率。 9. 了解实际的团队结构 行为分析还可以揭示员工之间的沟通模式,这可以产生有用的洞察力,了解哪些员工被其他员工视为领导者、帮助者或导师。
10. 检测欺诈交易
银行和其他金融服务机构以及电话公司等服务提供商长期以来一直在使用此类技术进行欺诈检测。这些系统是UEBA工具使用的分析技术的一些最早应用。在这些情况下,工具专注于异常行为,例如:
- ATM卡或网上银行的异常使用;
- 意外的信用卡收费模式;
- 保险理赔的异常模式;
- 长途电话收费欺诈;
- 以及 机器人呼叫。
通过关注人员和系统所做的事情,UEBA工具在越来越多的用例中发现了有用的信息。人工智能和机器学习的快速发展只会扩大和深化可用工具的集合,以及它们从分散在时间、地理和系统中的数据中梳理意义的能力。