亞信安全帶你漲姿勢:網警如何“抓鬼”?先要搞懂UEBA
責編:mhshi |2017-01-17 10:15:14文:亞信安全網絡安全事業部 孫勇
先講兩個有趣的故事:
故事1:某電商平臺發現遭遇拒絕服務攻擊(DDoS),沒過幾天就有人上門推銷“防御”設備。由于時間間隔短,再加上“防御”的設備很針對,推銷者的動機顯然非常可疑,該電商平臺據此認為推銷者很可能就是嫌疑人。
故事2:某搶票網站被“脫庫”,該網站通過樣板對比,最終確定攻擊者是利用現有的“第三方社工庫”進行“撞庫攻擊”。
在這兩起被偵破的案件中,前者是根據犯罪動機來判斷的,后者則分析了犯罪者的攻擊方法,而除此之外,網絡警察還可以通過攻擊路徑溯源,分析并直接定位攻擊者。那么,是不是“抓鬼”的招數僅此而已呢,對那些找不到“作案動機”,或是長期潛伏在企業的“內鬼”就沒有辦法了嗎?非也,更高級、更先進的還有UEBA(用戶與實體行為分析)。
什么是UEBA?
它的前身是用戶行為分析(UBA),最早用于購物網站上,通過收集用戶搜索關鍵字,實現用戶標簽畫像,并預測用戶購買習慣,推送用戶感興趣的商品。而這項技術很快就被移植到網絡安全領域。
2014年,Gartner發布了用戶行為分析(UBA)市場定義,UBA技術目標市場聚焦在安全(竊取數據)和詐騙(利用竊取來的信息)上,幫助組織檢測內部威脅、有針對的攻擊和金融詐騙。但隨著數據竊取事件越來越多,Gartner認為有必要把這部分從詐騙檢測技術中剝離出來,于是在2015年正式更名為用戶實體行為分析(UEBA)。
在安全領域,UBA/UEBA關注的是人而不是物。它通過機器學習來發現高級威脅,實現了自動化的建模,相比于傳統的(安全管理中心)SOC/(安全信息與事件管理)SIEM,其在發現異常用戶行為、用戶異常行為等方面具備了非常高的“命中率”。
聽起來很復雜,但要理解UEBA也很簡單,因為它聚焦于兩點:特權賬號盜用(異常用戶),合法的人做不合法的事(用戶異常)。
安全事件與“狼來了”的故事
在很多企業中部署的SOC/SIEM,會把安全信息、認證事件、反病毒事件、審計事件、入侵事件聚合到數據庫中,在一個地方集中進行重要的安全分析、報告輸出和告警輸出,以便安全人員快速響應。
SOC/SIEM系統會給管理者推送高等級的安全事件并告警,但這些告警類似狼來了的故事,不僅次數非常多而且很多都不是真正的威脅。比如主機重啟、交換機重啟等等,這些都可能讓安全人員誤認為發生了安全事件。但在折騰之后卻發現,狼沒來!
為了解決每次都要上山打狼的麻煩,不關心各種海量告警,不聚焦某條高級事件,UBA加入到SOC/SIEM領域一定是歷史的必然選擇。
UBA/UEBA關注的是人而不是物,所以當發生重啟行為時,首先要做的是判斷重啟的用戶是誰?這個用戶在過去的一年內,每個月在固定時間有過重啟設備的行為嗎?如果都有,那么就不必對著山下大喊“狼來了”! 因此,安全事件的誤報率大幅降低,安全運營人員可以把更多的精力去關心有效的安全事件。
關注人而不是物的這種方法看似極端,但卻可以幫助解決企業面對的一些最為棘手的問題。就比如:確定有效特權賬戶是否被盜用;使內部威脅浮出水面;確定系統或應用是否被攻破。而這些危險組合在一起,UBA/UEBA就可以斬釘截鐵的告訴安全人員,數據泄露攻擊正在發生。
最佳拍檔:安全態勢感知
驚險刺激的好萊塢特工電影,主角往往都會擁有較為出色的特工搭檔或團隊為其增光添彩。接下來就讓我們了解一下UEBA的最佳拍檔:“安全態勢感知”。
其實安全態勢感知在很多年前就有了,但真正將它市場化、規模化和戰略化的卻是“習大大”。總書記在“419”講話中強調:“要樹立正確的網絡安全觀,加快構建關鍵信息基礎設施安全保障體系,全天候全方位感知網絡安全態勢,增強網絡安全防御能力和威懾能力”。
安全態勢感知一詞迅速燃爆安全圈,那么安全態勢感知又是什么,它和SOC/SIEM有何區別,和UBA/UEBA結合起來又能干什么呢?
安全行業中一些觀點認為,安全態勢感知就是通過大數據分析技術、威脅情報來發現外部攻擊、安全威脅,更透徹、更全面的感知企業網絡安全態勢。安全態勢感知具備了多項先進技術,包括易采集、大數據建模、威脅情報、智能協同等,使它優于SOC/SIEM。
目前,多個廠家已發布安全態勢感知產品,其往往具備可視化的大屏,攻擊可視化、安全資產狀態可視化等等。但這個“可視化”的概念卻被扭曲了,好像除了向上級匯報或接受領導參觀之外,就沒有什么其它作用了。
“內外雙修“的新一代UBA
被稱作“NU-SSA”的亞信安全新一代UBA安全態勢感知平臺的功夫“內外雙修”。它通過使用大數據技術、人物畫像、上下文感知、威脅情報、專業運營服務實現內部威脅發現的高命中率,并智能協同安全防護設備進行實時控制,自學習的人物安全基線驅動彈性授權,實現自動化、智能化的事后、事中、事前管控。
UBA側重于內部威脅的發現,安全態勢感知側重于智能協同,兩者有效銜接,目標為內部威脅的有效識別、實時控制,找出公司內部竊取機密信息的“內鬼”。此類安全事件適應于兩種特征,一是異常用戶(賬號盜用),二是用戶異常(合法的人做不合法的事,或做合法的事獲取不正當的利益)。
NU-SSA的技術先進性可以從以下7個方面加以印證:
1.易采集
傳統的SOC/SIEM的采集,需要各種日志規格化入庫,如果有些設備的事件等級定義的不清晰,SOC/SIEM就根本“讀不懂”這些高等級的安全日志。而NU-SSA關注的是用戶視角,除了采集傳統上的日志,還增加了門禁(二代身份證刷卡記錄)、VPN用戶日志、4A/堡壘、HR日志(入職、離職、崗位變動)、OA(賬號)日志、工單日志、威脅情報等日志。
2.大數據分析
基于開源Hadoop架構,包括采集、處理、存儲、分析和展現等相關功能,大致可分為采集層、大數據層以及分析層,架構如下:
在支持預定義場景分析的前提下,NU-SSA還支持“機器學習”,這個逆天的設計讓它既可對用戶行為分析建模,也可根據分析結果豐富知識庫和場景庫,發現個例背后的規律,從而對分析規則的制定及修正,以及安全事件的發現和預測起指導作用。
3.上下文感知context-aware
上下文感知的定義較為深奧,涉及到普適計算的概念還有上下文建模、推理方法。為了幫助理解,我們舉例來說。比如:當智能手機通過位置、周邊聲音、郵件中的會議提醒等信息判斷用戶正在會議室時,會自動設置為震動模式,此時非重要的電話可選擇自動語音留言或拒絕接聽。當上下感知應用在NU-SSA時,系統能夠判斷出用戶在訪問核心數據時是否在正常,這是基于歷史基線建模分析得出。
4.威脅情報
和傳統情報相比,網絡威脅情報是可以付諸行動的,情報又分為戰略、戰術和運營情報,并交付給特定類型情報的團隊。國際大型公司有情報分析師,國內的威脅情報一般是指漏洞庫(已公開的CVE/ CNNVD漏洞、0day漏洞)、惡意URL、惡意域名、惡意樣本庫以及IP信譽庫。
NU-SSA對上述的威脅情報基本都用不上,主要是發現內部人員的違規識別,從5W1H(WHEN-時間、WHERE-地點、WHO-人物、WHAT-對象、HOW動作、WHY-憑據)維度來記錄日志的信息。也就是說,NU-SSA默默的做著大規模排查分析的工作,最終呈現出來的是重要的“嫌犯”和“犯罪事實”,以及兩者之間的聯系。
5.人物畫像
Alan Cooper(交互設計之父)對用戶畫像的定義是真實用戶的虛擬代表,建立在一系列真實用戶數據之上的目標用戶模型,通俗來講就是為所有用戶“打標簽”。在NU-SSA中,通過同類用戶橫比和歷史基線環比的方法來發現異常用戶,打上異常標簽,而這些標簽可能就意味著某些人有了“犯罪前科”。
6.智能協同
NU-SSA和傳統的SOC/SSIM的區別,就是SOC/SSIM最多實現安全分析的告警,NU-SSA可以智能協同安全防護設備,可并根據標簽的權重分值來自動化調度,如發現非常用地點登陸,可調度金庫系統,實現雙人認證,發現疑似盜取客戶資料,實時抓屏錄像,強制切斷連接。
7.彈性授權
一般情況下,用戶的權限都在增加,很少看到降權的情況,這才是人之常情。比如你有一個門禁卡,以前你在辦公室工作,可以刷開所有電梯的樓層,后來你調動到其他科室,你會申請降低門禁的權限嗎?而彈性授權的模式,通過NU-SSA的自學習安全基線,知曉用戶訪問資源信息,并進行自動綁定,用戶訪問不常訪問的資源(角色權限內)NU-SSA可觸發金庫認證。
NU-SSA讓陰謀論破產,內鬼紛紛浮出水面
上面是NU-SSA的七大先進技術特征,它通過大數據技術實現基于內部威脅情報的人員畫像標簽化,實現異常用戶和用戶異常的準確識別,構建自動化的安全防護設備協同,彈性授權模式把內部風險降到最低。
現今各種DDOS攻擊、APT攻擊、物聯網IOT攻擊層出不窮,我們不斷夯實安全防護堡壘,加強內部系統健壯性,力求抵御黑客一波又一波的進攻。但安全最薄弱的環節是人,攻破堡壘的往往都是“自己人”,從希拉里·克林頓、斯諾登、“閨蜜門”,到SWIFT、臺灣泰國的ATM機,都是“自己人”在搗亂。所以說,企業最好能夠通過UBA/UEBA,安全態勢感知等方式將內鬼清查干凈,否則后患無窮。