资源描述
网络安全先进技术与应用发展系列报告 用户实体行为分析技术( UEBA) ( 2020年) 中国信息通信研究院安全研究所 杭州安恒信息技术股份有限公司 2020年 6月 版权声明 本报告 版权属于 中国信息通信研究院安全研究所、杭州安恒信息技术股份有限公司 ,并受法律保护 。 转载、摘编或利用其它方式使用 本 报告 文字或者观点的,应 注明 “ 来源: 中国信息通信研究院安全研究所、杭州安恒信息技术股份有限公司 ” 。违反上述声明者,本 院 将追究其相关法律责任。 目 录 一、安全新范式 . 1 (一)数字化面临的安全挑战 . 2 (二)新范式破局之道 . 7 (三) UEBA的定义与演进 . 10 (四) UEBA的价值 . 13 二、架构与技术 . 17 (一)基线及群组分析 . 17 (二)异常检测 . 18 (三)集成学习风险评分 . 19 (四)安全知识图谱 . 19 (五)强化学习 . 20 (六)其他技术 . 21 三、部署实施 . 23 (一)聚焦目标 . 23 (二)识别数据源与接入数据 . 23 (三)确定部署模式 . 24 (四)分析微调与定制 . 24 (五)迭代优化 . 25 四、最佳实践 . 27 (一)专职团队 . 27 (二)专注于用例开发 . 27 (三)法律合规性 . 27 五、典型应用 案例 . 29 (一)恶意内部人员 . 29 (二)失陷账号 . 30 (三)失陷主机 . 32 (四)数据泄露 . 33 (五)风险定级排序 . 35 (六)业务 API安全 . 36 (七)远程办公安全 . 37 六、行业应用案例 . 38 (一)医疗行业 . 38 (二)金融行业 . 38 (三)能源行业 . 39 (四)政务行业 . 40 七、总结 . 42 关于 . 48 图 目 录 图 1 谁是数据泄漏的受害者? . 3 图 2 安全转向数据科学驱动的新范式 . 8 图 3 SIEM、 UEBA、 SOAR的融合趋势 . 11 图 4 UEBA的发展现状 . 12 图 5 典型的 UEBA系统架构 . 17 图 6 基线分析与群组分析 . 18 图 7 孤立森林发现异常点 . 19 图 8 多种算法进行集成学习 . 20 图 9 安全知识图谱 . 20 图 10 UEBA中的强化学习 . 21 图 11 UEBA分析改进与迭代调优循环流程 . 26 图 12 内 部人员导致的安全威胁 . 29 图 13 内部员工窃取敏感数据场景分析流程图 . 30 图 14 账号失陷是攻击链模型中的转折点 . 31 图 15 主机失陷是病毒爆发、勒索软件的前奏 . 33 图 16 数据泄漏中的攻击移动和数据流 . 34 表 目 录 表 1 海外市场上的主流 UEBA厂商分类 . 13 表 2 各种安全技术和范式对比 . 14 用户实体行为分析技术( UEBA)( 2020 年) 1 一、安全新范式 全球数字化浪潮下,各类信息化 成果持续融入亿万大众的生活,也深刻改变着信息技术环境。一方面,以云计算、大数据、物联网、移动互联网等为代表的新技术得到快速应用;另一方面,传统能源、电力、交通等行业平台联入网络,成为关键信息基础设施的有机组成;与此同时, 5G通信、人工智能、区块链等更多颠覆式创新科技已经来到。 以云计算为例,当前,云计算正处于快速发展阶段,技术产业创新不断涌现。其中,产业方面,企业上云成为趋势,云管理服务、智能云、边缘云等市场开始兴起;自 2017年起,中国公有云市场持续保持高速增长,零售、制造和金融等行业用户对于公有云的接受程度越来越高,公有云在传统行业的渗透率持续提升 1,云服务在当年的采用率已经达到 70%2。 而随着万物互联的到来,边缘计算和物联网( IoT)也蓬勃发展。到 2021年,边缘托管容器数量将达到 7亿,企业数据中心之外的工作负载占比 50%,到 2022 年,物联网( IoT)设备数量将达到 146亿,增强现实( AR)和虚拟现实( VR)的使用量将增长 12倍, 2017至 2022年,业务移动流量将每年增加 42%, 53%网络安全攻击导致的损失将超过 50万美元。 3 1 中国公有云发展调查报告 (2018 年 ) ,中国信息通信研究院, 2018 年 8 月 2 云计算发展白皮书 (2019年 ) ,中国信息通信研究院, 2019年 7月 3 2020全球网络趋势报告,思科, 2020 用户实体行为分析技术( UEBA)( 2020 年) 2 普华永道和微软中国在 2019年四季度,联合进行了一次现代化云办公解决方 案调研。调研结果发现 81%企业员工在工作中需要在移动设备上使用办公软件, 100%企业高管需要使用移动设备进行办公,24%调研对象反映他们每日工作中有超过 30%的任务需使用移动设备在非办公场所完成(比如家中、咖啡厅、机场、火车上、酒店等场所)。预计到 2020 年将有 100 亿台移动设备投入使用,而移动技术的普及正在从根本上改变人们的思考、工作、行动和互动方式。公司已广泛接受自带设备( BYOD)策略,允许或鼓励员工使用其个人移动设备(如手机、平板电脑和笔记本电脑)访问企业数据和系统 4。 2020年春季一场突如其来的 新冠病毒全球大流行,更是让远程办公、移动办公进入了公众视线。 如前所述,数字新时代正在加速全面到来,网络环境变得更加多元、人员变得更复杂、接入方式多种多样,网络边界逐渐模糊甚至消失,同时伴随着企业数据的激增。发展与安全,已成为深度融合、不可分离的一体之两面。在数字化浪潮的背景下,网络信息安全必须应需而变、应时而变、应势而变。 (一)数字化面临的安全挑战 凡有收益,必有代价。数字资产的巨大价值同样被网络犯罪组织所垂涎。 2018年流行的挖矿病毒、勒索软件等安全威胁均以可直接给网络犯罪分子带来经济收益为典型特征, 垃圾邮件攻击、移动4 现代化云办公解决方案中国市场白皮书,普华永道和微 软中国, 2020 用户实体行为分析技术( UEBA)( 2020 年) 3 安全威胁也处于不断上升趋势。数字化转型促进组织的业务发展的同时,也带来了重大的网络安全挑战。越来越多的敏感数字信息遭受网络攻击被窃取,网络和系统平台被暴露或被操纵,数字资产的保密性、可用性、完整性遭受挑战。网络威胁的影响遍及医疗保健、金融、零售等各行各业,未能采取适当的安全保护举措可能给组织带来巨大的财务和声誉损失。 来源: 2019 Data Breach Investigations Report, Verizon 图 1 谁是数据泄漏的受害者? 根据 Verizon发布的 2019数据泄 露调查报告,如图 1所示,公共部门、医疗组织、金融机构是数据泄漏的主要受害者,同时大量的数据泄漏事件也波及到了中小型组织 5。部分原因可能是由于领先组织的安全能力提升,导致一些直接攻击向供应链间接攻击转变。随着最终用户和消费者的安全意识、隐私意识越来越强,对安全事件越来越敏感,每个组织面临的安全事件成本压力也愈加突出。 根据 Ponemon Institute的报告,基于一项涉及 12个国家、 383个公司的调查,在 2016年的数据泄漏的平均代价是 400万美金,相比 2013年增长了 29%。 2018年,在美国数据泄漏的 平均代价已经达5 2019 Data Breach Investigations Report, Verizon, 2019 用户实体行为分析技术( UEBA)( 2020 年) 4 到了 790 万美金,全世界范围内,每 7 分钟就有一起合规性告警事件发生。 6IBM Security在 2019年度数据泄露成本调研报告中对2018年 7月至 2019年 4月期间的全球 16个国家和地区的 17个行业的 507 家公司发生的数据泄露事件进行了调查。调查结果显示,数据泄露事件的全球平均成本为 392万美元,平均泄露 25575条记录,每条记录的平均成本为 150 美元,检测和控制数据泄露事件的时间为 279天。 7 随着网络犯罪集团的增加和国家隐蔽网络活动的激增,网络攻击在数量和复杂性方面都在增长。网络攻击 技术不断升级,网络犯罪分子也在不断提升专业攻击技术,意图突破安全防线,例如,采用非常规文件扩展名、“无文件”组件、数字签名技术、微软 HTML应用程序( MSHTA)等新技术,躲避安全防护系统的检测与查杀,更好地攻击入侵目标系统。 同时,攻击者也采用了新策略。根据赛门铁克的一份报告, 2018年供应链攻击增长了 78%。据分析 LotL策略( Living-off-the-Land攻击,指的是借助系统中已存在的应用程序或工具完成攻击)已成为攻击者最重要的攻击方式之一,旨在协助网络犯罪分子进行复杂攻击时尽量隐藏攻击行为。 LotL技术允许攻击者隐藏在合法进程中,相关攻击事件呈爆发趋势。例如, 2018年恶意 PowerShell脚本的使用增加了十倍。赛门铁克每月阻止 11.5万个恶意 PowerShell脚本,6 2018 Cost of a Data Breach Study, Ponemon Institute LLC, 2018 7 2019年度数据泄露成本调研报告, IBM, 2019
展开阅读全文