浅析UEBA

UEBA算是一个新兴事物了,2014年之前很少会被提到,但它发展的速度很快,从国际厂商看,一些领先的UEBA厂商凭借检测能力上的优势,已经在尝试颠覆原有市场格局,这类产品必将会带来深远的影响。但在国内看,似乎并没有引起足够的重视,并且经常听到一些UEBA是做用户画像解决业务风险的问题,还有UEBA最重要的技术是机器学习等等说法。听的多了,就忍不住想说说自己看到的、理解的UEBA,毕竟没有实际在做这样一个产品,错误难免但也希望能给大家一些可供参考的信息。

UEBA的价值

UEBA 已经有一些成熟度比较高的产品:Exabeam、Gurucul、Interset、Niara、Securonix、Splunk(2015年收购Caspida)等。

从这些产品看,希望为客户解决的问题是比较一致的,包括:

  • 账号失陷检测
  • 主机失陷检测
  • 数据泄漏检测
  • 内部用户滥用
  • 提供事件调查的上下文

毫无疑问,这些威胁虽然不包括业务风控相关的撸羊毛、刷单等(至于为什么没有涉及业务风险,就是另一个大的技术话题,这里就不涉及了),但都是企业最关注的风险。并且从最终产品上看,UEBA厂商确实通过技术的继承和创新是提供了较理想的解决方案,因此在国际市场能够快速成长就不足为奇了。就如Exabeam创立于2013年,到现在已经完成了B轮数千万美元的融资,其中的投资方就包括Cisco,不知它最终是否会被Cisco收入囊中,成为另一个强劲的动力引擎?我们下面就以Exabeam为例,了解一下UEBA的相关主要技术点。

UEBA和机器学习

UEBA 在一定程度上属于数据驱动的安全分析类产品,因此很多人会自然而然的认为机器学习是UEBA中最核心的技术,而厂商从市场营销宣传上也是很愿意迎合这样的想象。不可否认所有的UEBA产品在一定程度上都使用了机器学习(包括监督学习和非监督学习),但如果说这就是UEBA成功的关键,就失之简单了。
UEBA 能被成功的部署、使用,有效的提升安全运营水平,其前提之一就是更广泛的数据收集,跨越传统的SIEM/SOC产品,UEBA产品在设计中就考虑了更多数据源,除了包括IT系统可能提供的EDR数据、AD数据以及业务应用数据,同时也包括了很多非IT的数据:ERP(相关企业?)、组织结构、工作职责、差旅等。有更多的数据,是其成功的条件之一。
同样的UEBA厂商也看到了单纯的数据驱动不能完成一个完整的产品,如Exabeam ,就倡导并建立了一种数据驱动+专家驱动的混合系统,在Exabeam看来,单纯的数据驱动有下列的问题:

  1. 很难有一种情况,在学习之初就能得到需要的所有数据,每当有新的数据源都需要重新学习,这无疑是不可想象的工程灾难;
  2. 需要考虑随时增加新的features这个不可能避免的情况,这样情况下如何快速部署和开发?
  3. 最后,也是个人认为最重要的,机器学习得到的结果是黑盒,不能满足用户要求进行解释、说明的需求,这种情况下,最终用户可能难以进行事件的判别和响应工作。

因此它设计了一个更合理的技术架构,如下图所示(来源:Exabeam):

这样一个混合系统,其异常发现不是只依赖于机器学习,而是同时依靠统计以及特征的方法,一些通过机器学习可以输出明确结果的内容在这个阶段会也会体现出来,如DGA域名发现等;统计的方法会更经常出现,如某用户账号第一次访问一个文件夹、用户访问的文件数量异常等。但这些发现的异常不会产生直接给客户的报警,而是成为机器学习使用的原材料:features,在这些features基础上,再利用机器学习(包括贝叶斯方法),快速的确定不同features组合对应的风险值,而风险值大于一定范围才会成为需要用户关注的事件。这种方法,在数据和机器学习中间,有一个异常发现的过程及中间产物,利用专家领域的知识,简化了机器学习的方面的工作,同时提升了系统灵活性,进而可以快速部署、快速完成学习过程。

就举某用户账号第一次访问一个文件夹这种情况为例,它就需要同时去看其它features,来判定是否是高风险事件:这个用户所属的不同分类中(这里也应该隐藏了一部分机器学习),是否普遍存在这样的情况;这种访问新文件夹的概率在用户组织内是高概率事件等。

这样一种结合了专家知识、数据的力量和机器学习魔法的系统,才能够针对不同用户环境提供对应的风险发现能力,同时支持弹性、快速的用户部署。UEBA走到这步应该是一个较成熟的产品了,而机器学习在其中也有了成功的应用,不再是一个探索和尝试。

UEBA和SIEM

UEBA是数据的一个统一汇集点,这个位置原来是属于SIEM的,那么这两个产品会产生怎样的碰撞呢?不同的厂商有不同的路,Splunk通过收购获得了UEBA产品,就和已有的企业安全APP组成一个完整的方案进行紧密配合,而Exabeam通过分化更多的功能产品,如日志管理、事件响应,企图覆盖原有的SIEM产品市场。无论哪种角度看,一致的是UEBA聚焦在解决客户重大关切的痛点,利用领先、实用的技术组合方案,使其成为一个颠覆的力量。也许过不了多久,传统的SIEM就会被安全运营者丢到角落,而UEBA将成为一个新宠,或者说,最终UEBA会结合SIEM实用化的功能,抛弃赋予SIEM的不现实期望,成为真正意义上的 新一代SIEM,一切静待历史的发展,你我也许都有机会成为这个过程中一个个的小齿轮。

最后,有一点感慨,UEBA、威胁情报是两个比较新的领域,大家一起看着国内外在差不多的起跑线上出发,但逐渐的,我们落到了后面,现今在我看来都有至少一年的差距了。原因是什么呢,文化、投资、产业环境、人?这也许是一个比UEBA产品更有趣的话题。

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 207,113评论 6 481
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 88,644评论 2 381
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 153,340评论 0 344
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 55,449评论 1 279
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 64,445评论 5 374
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,166评论 1 284
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,442评论 3 401
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,105评论 0 261
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 43,601评论 1 300
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,066评论 2 325
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,161评论 1 334
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,792评论 4 323
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,351评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,352评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,584评论 1 261
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 45,618评论 2 355
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,916评论 2 344

推荐阅读更多精彩内容