利用各種技術手段來檢測安全威脅是安全防護體系建設中重要的一部分,尤其是在大數據、人工智能等新技術不斷發展和成熟的當下,各行業所面臨的安全威脅復雜多樣,安全形勢嚴峻。如何高效的檢測到異常和威脅并實時對安全人員發出預警,是安全技術發展的趨勢和方向。
在信息安全技術手段不斷革新的當下,行為判斷/鑒別是重要的發展方向之一。
什么是行為判斷/鑒別
行為判斷/鑒別是指結合產品UBA模型、緩慢泄漏、關聯分析的數據輸出,結合溯源取證能力,綜合鑒別用戶的異常行為,并進行歸類。
行為判斷/鑒別的特點與價值
用戶實體行為分析(UEBA)關聯了用戶活動和用戶相關的應用和終端等相關實體信息,通過構建起人物角色與群組關系進一步定義個體與群組的合法和正常行為。
在檢測過程中,利用人物角色在群體與群體、群體與個體、個體與個體的維度上相互比對分析出遠離合法和正常行為的群體與個體,將異常用戶(失陷賬號)和用戶異常(非法行為)檢測出來,從而達到檢測業務欺詐、敏感數據泄露、內部惡意用戶、有針對性攻擊等高級威脅的目的事件,同時結合溯源取證能力,綜合鑒別用戶的異常行為,并進行歸類。
行為判斷/鑒別模型應用場景
某銀行由于內部人員離職帶走敏感文件,對銀行造成極大損失。
行為判斷/鑒別通過分析成功地幫助銀行檢測到該員工異常活動,登錄到環境并橫向移動以獲取更高級別的訪問權限。所有活動都有一個重點:訪問私有數據或高價值資產,進行大量的拷貝行為。
應用示例
行為判斷/鑒別
提供支持行為判斷/鑒別的分析解決方案幫助客戶實現對異常行為和安全威脅的檢測。實施部署后,可通過對比員工的實時行為和系統設定的基線,判斷是否存在偏差,定為異常行為和安全威脅。
行為判斷/鑒別范圍覆蓋:
員工外發郵件的非公司郵箱的個數和郵件的數量,多次超過該用戶歷史外發郵件的范圍,范圍偏離基線;
員工發送郵件時,多次超過該用戶歷史郵件敏感級別,級別偏離基線;
員工使用U盤等外設拷貝文件時,多次采用非授權外連操作,外連操作次數偏離基線;
員工多次發送郵件的接收人不是部門常用聯系人賬戶,接收人數量偏離基線;
員工外設拷貝文件的次數多次超過其歷史次數,拷貝次數偏離基線;
員工打印文件的次數多次超過其歷史打印次數及范圍,打印次數偏離基線;
通過該員工行為預判趨勢,我們可以清楚地了解員工的異常行為。并通過深入研究用戶詳細信息,快速看到有關該用戶的所有行為操作以及對該用戶預判曲線,通過關聯分析還可以對行為軌跡進行溯源,了解到更多發生的情況。
通過對行為判斷與鑒別方法建模,企業能夠從行為驅動方面完全觸發“高危用戶和資產”告警,同時還可以清楚地將事件組合在一起,以充分了解異常發生的前因后果。
