作為一種高級(jí)網(wǎng)絡(luò)威脅檢測(cè)手段，用戶與實(shí)體行為分析(UEBA)最近風(fēng)頭正勁。UEBA解決方案利用機(jī)器學(xué)習(xí)來(lái)使威脅浮出水面，很多案例中遠(yuǎn)快于傳統(tǒng)的安全信息和事件管理(SIEM)系統(tǒng)或其他解決方案。它們以極高的準(zhǔn)確率命中異常事件。

如果以上描述讓你聯(lián)想起別的分析工具，那不是巧合。用戶行為分析作為一種安全特定的應(yīng)用，與所有智能業(yè)務(wù)分析采用的基本原則是一致的。

UEBA的工作原理是？功效是？

首先，UEBA解決方案收集網(wǎng)絡(luò)多個(gè)節(jié)點(diǎn)產(chǎn)生的信息。最好的解決方案會(huì)從網(wǎng)絡(luò)設(shè)備、系統(tǒng)、應(yīng)用、數(shù)據(jù)庫(kù)和用戶處收集數(shù)據(jù)。利用這些數(shù)據(jù)，UEBA可以創(chuàng)建一條基線以確定各種不同情況下的正常狀態(tài)是什么。

一旦基準(zhǔn)線建立，UEBA解決方案會(huì)跟進(jìn)聚合數(shù)據(jù)，尋找被認(rèn)為是非正常的模式。這一確定過(guò)程僅評(píng)估新事件在上下文環(huán)境中是否不正常，以及不正常的程度有多深，并排序事件的重要性及可能的業(yè)務(wù)影響。用戶行為分析管理員也可以創(chuàng)建自定義規(guī)則來(lái)定制解決方案，以便更貼合公司及其特定服務(wù)、數(shù)據(jù)和過(guò)程的需求。

需要理解的一個(gè)重要原則是，UEBA解決的，更多的是異常行為而非一般的基礎(chǔ)設(shè)施事件。這種專門的方法，幫助解決公司企業(yè)如今面對(duì)的一些最為棘手的問(wèn)題：

確定有效特權(quán)賬戶是否被盜用

使內(nèi)部威脅浮出水面

確定系統(tǒng)或應(yīng)用是否被攻破

UEBA主要功能：廠商解決方案中需要注意的地方

很多廠商已經(jīng)開(kāi)始宣稱自己的產(chǎn)品中加入了UEBA功能，這里面自然有那么一小部分是可以稱之為真正的UEBA提供商的。這些真正的UEBA提供商的產(chǎn)品，全都以一種相似的方式運(yùn)行。基本上，它們?nèi)冀⒃谀硞€(gè)平臺(tái)之上，有核心引擎運(yùn)行合適的分析算法，從已有源處納入數(shù)據(jù)反饋并進(jìn)行分析，然后在用戶面板上輸出分析結(jié)果。這些產(chǎn)品的目標(biāo)，是為信息安全和IT從業(yè)人員提供可操作的信息以解決威脅。

目前，大多數(shù)此類工具并不直接響應(yīng)威脅本身，而是為安全操作員提供確定是否采取行動(dòng)的判斷依據(jù)，以及安排響應(yīng)行為的能力。如今可用的平臺(tái)，很有可能在明年內(nèi)繼續(xù)走在集成防火墻、終端和其他網(wǎng)絡(luò)節(jié)點(diǎn)以實(shí)現(xiàn)自動(dòng)化響應(yīng)的路上。

安全分析算法是控制這些平臺(tái)的“秘密武器”。在評(píng)估UEBA平臺(tái)的時(shí)候，安全從業(yè)人士應(yīng)該詢問(wèn)清楚這些算法運(yùn)行的具體細(xì)節(jié)。很多廠商都會(huì)聲明這是他們的知識(shí)產(chǎn)權(quán)。不過(guò)，如果廠商有內(nèi)部威脅模型，不妨問(wèn)一下該模型是否基于特定事件或流信息，比如登錄信息和以設(shè)定閾值從設(shè)備、應(yīng)用和主機(jī)發(fā)起的數(shù)據(jù)訪問(wèn)。如果是，那么這很有可能不是機(jī)器學(xué)習(xí)，而是預(yù)先配置的關(guān)聯(lián)規(guī)則。可以采用這種簡(jiǎn)單的方法來(lái)判定廠商僅僅是在營(yíng)銷機(jī)器學(xué)習(xí)概念，還是真的在解決方案中引入了機(jī)器學(xué)習(xí)。其他可以區(qū)分UEBA產(chǎn)品的重要差異包括：

支持?jǐn)?shù)據(jù)源：這是工具集成的數(shù)據(jù)類型，包括支持的格式(逗號(hào)分隔值(CSV)、電子表格、數(shù)據(jù)庫(kù)等等)，以及日志文件類型(源自主機(jī)、應(yīng)用、路由器、防火墻、VPN、文件系統(tǒng)，甚或Hadoop之類的大數(shù)據(jù)解決方案)。問(wèn)清楚這些是內(nèi)置的已有集成，還是需要專業(yè)服務(wù)來(lái)構(gòu)建。了解UEBA解決方案是只收集基本事件和流數(shù)據(jù)，還是能捕捉更多的細(xì)節(jié)。如果是前者，那可能會(huì)有關(guān)鍵用戶、系統(tǒng)和應(yīng)用數(shù)據(jù)被遺漏，因?yàn)椋懿恍业兀罩竞土鞑⒉豢偸前谢顒?dòng)。最后，考慮是否能從平臺(tái)的用戶界面直接配置這些數(shù)據(jù)源。

合作伙伴關(guān)系：合作伙伴關(guān)系廣泛的廠商，往往會(huì)提供工具可靠性和集成度的評(píng)估。

建立基準(zhǔn)線的耗時(shí)：這與工具建立基準(zhǔn)線是以完全自動(dòng)化的動(dòng)態(tài)方式，還是需要人工干預(yù)有關(guān)。一些平臺(tái)僅靠幾天的歷史記錄就做出決策；其他則可能需要幾周甚至一個(gè)月。經(jīng)驗(yàn)告訴我們，記錄時(shí)間跨度越長(zhǎng)越有可能提供更準(zhǔn)確的基線——因?yàn)榭梢詫⒓竟?jié)性變動(dòng)納入考慮范圍。不過(guò)，有些平臺(tái)計(jì)算能力更強(qiáng)，可以運(yùn)行多個(gè)高級(jí)算法，在動(dòng)態(tài)學(xué)習(xí)上表現(xiàn)更好，而且可以改善準(zhǔn)確浮出威脅的能力。

結(jié)果輸出時(shí)間(TTR)：也就是首次整合后，解決方案開(kāi)始產(chǎn)出可行性威脅結(jié)果的耗時(shí)。 在這方面上并沒(méi)有明顯的指標(biāo)：結(jié)果的清晰定義，是遵循初始配置和基線，輸出關(guān)于異常行為的先前未知的情報(bào)。此外，有些解決方案宣稱能做到實(shí)時(shí)輸出結(jié)果——此時(shí)一定要讓廠商給出所謂‘實(shí)時(shí)’的明確定義，問(wèn)他們是否能提供相應(yīng)的檢測(cè)方法。

面板靈活性：了解UEBA平臺(tái)的設(shè)計(jì)假定，弄清楚面板操作員能否支持安全分析師、經(jīng)理或其他不那么高端的用戶。很多UEBA工具可被定制為提供詳細(xì)的或高管級(jí)的報(bào)告。

平臺(tái)交付：了解平臺(tái)交付方式。大多數(shù)廠商通常會(huì)提供產(chǎn)品的本地部署版本(僅軟件或設(shè)備)。很多廠商還提供云版本。云產(chǎn)品的一個(gè)主要挑戰(zhàn)是，UEBA平臺(tái)需要與很多數(shù)據(jù)源緊密集成，而這些數(shù)據(jù)源通常被公司企業(yè)認(rèn)為是自營(yíng)的或敏感的(例如：財(cái)務(wù)數(shù)據(jù)反饋、人力資源系統(tǒng)、醫(yī)療記錄等等)，并不愿意將這些數(shù)據(jù)暴露在云端。唯一的例外是，如果UEBA平臺(tái)廠商能以加密信道確保企業(yè)和云端的通信安全，那就沒(méi)問(wèn)題。未來(lái)幾年，敏感數(shù)據(jù)將會(huì)逐漸遷移到云端，因此，UEBA的云交付或許會(huì)是更受歡迎的選擇。

UEBA最佳實(shí)踐：怎樣獲取最優(yōu)化結(jié)果

從UEBA工具獲取最優(yōu)化結(jié)果的基本最佳實(shí)踐包括：

在選擇UEBA解決方案時(shí)，將外部和內(nèi)部威脅都考慮在內(nèi)。

尋找主打公司重要領(lǐng)域分析能力的解決方案，比如內(nèi)部威脅和失竊憑證。選擇能完全浮出威脅的解決方案，比如盜取知識(shí)產(chǎn)權(quán)并用電子郵件發(fā)送出去的內(nèi)部人士。很多UEBA平臺(tái)都缺乏這種疾病功能。

慎重考慮哪些團(tuán)隊(duì)成員可以訪問(wèn)平臺(tái)，哪些人員可以看到警報(bào)。

別以為標(biāo)準(zhǔn)賬戶無(wú)害。很多攻擊都會(huì)創(chuàng)建瀑布效果，通過(guò)逐步攻擊資產(chǎn)最終獲得特權(quán)賬戶的控制權(quán)，或者從無(wú)特權(quán)賬戶升級(jí)。

UEBA平臺(tái)非常有前景。在不遠(yuǎn)的將來(lái)，可以預(yù)期用戶行為分析平臺(tái)會(huì)更直接地集成到基礎(chǔ)設(shè)施中，并進(jìn)行自動(dòng)化響應(yīng)。我們已經(jīng)在見(jiàn)證防火墻和其他網(wǎng)絡(luò)設(shè)備被配置為納入用戶行為分析驅(qū)動(dòng)的情報(bào)并立即創(chuàng)建新的流量規(guī)則，在安全人才注意到之前就將入侵威脅擋在門外。