网康首席架构师： 如何利用UBA技术解决内部威胁问题

今天，如果我们谈起威胁这个词，大家感悟比较深的还是外部威胁，比如黑客DDOS攻击、APT 攻击等等，却忽略对企业伤害更加大内部威胁。事实上，据2013年美国的CERT调查显示53%的企业认为内部威胁的危害要远大于外部威胁; 2014年Spectorsoft的调查报告指出75%的内部威胁事件没有对外报告出来; 2015年的FortScale调查也反馈85%的数据泄露是来于内部威胁。

内部威胁VS外部威胁

这些数据都证实了内部威胁已经不可忽略，并且成为网络安全事件头号“通缉犯”。那为什么我们很少听到内部威胁引发的安全事件呢?也许用一个词解释比较合理 “家丑不可外扬”，但这绝不代表没有。事实上，内部人员相对外部攻击更容易接近重要信息或系统，并且内部人员也会有更大动力或倾向利用他们的职权去让自己 获得利益，正所谓“祸起萧墙”，攻破堡垒往往都是“自己人”。

那么到底何为内部威胁呢?简单说，内部威胁就是指现在或前雇员、承包商、合作伙伴等通过他们的信任而有意、无意或误用方式来对公司或组织的员工、客户、资产、信誉或利益产生伤 害。不管哪种形式内部威胁都和产生此类威胁的人相关，因此要解决好内部威胁，发现“坏人”是解决内部威胁的主要手段。

内部威胁类型

解决内部威胁，传统技术存在先天不足

问 题1： 报警数量多，误报率高。我们知道传统解决内部威胁一般都是通过SOC或SIEM和DLP产品等来解决，类似SIEM和SOC这样产品都是针对“安全事件” 的管理和分析的工具，会产生大量的告警数据。但是在特殊客户场景下，很多告警都是无效的，结果就演变成天天在喊“狼来了”，大部分时间狼都没来。但是，如 果狼真的来了，也可能就忽略了。

问题2：操作复杂，投入成本高。对当前企业来说安全的 投入难点实际往往不在安全产品的购买，往往是缺少有高级安全经验的人。企业想要能够使用好SIEM和DLP产品很困难，需要拥有大批具备高级安全经验的 人，投入也是很大。因此每当发生安全事件，需要投入不少安全人员和时间才能解决。

应对内部威胁需要全新技术手段——UBA

这 里先简单介绍一下UBA是什么。根据2015年Gartner的定义来看，UBA用户行为分析是帮助企业或组织发现内部威胁，目标攻击和金融欺诈。但在 2016年Gartner提出了UEBA(User and Entity Behavior Analytics)独立市场，定位解决企业内部威胁和目标攻击。

从Garnter定 义可以看出UBA的市场正在被看好，发展也比较快，并且在安全上提出了独立UEBA市场。利用UBA技术解决内部威胁是一种新的手段方法， 该技术发展到今天已经具备了能够对非结构化数据进行分析能力，拥有一定的预测能力，已经开始应用到内部威胁和目标攻击防护中去，而不再仅仅局限于调查分析 了。

UBA技术到底是如何实现的?从下图UBA基本数据处理过程可以看出，UBA以用户上下文的组件为核心实现驱动或关联数据enrich、行为分析和异常检测等功能。

UBA基本数据处理逻辑框架图

首 先，数据enrich需要用到用户上下文的信息，比如从VPN登陆后，访问内部业务的一条日志，会被丰富成具体是哪个员工通过哪个账号，使用了哪个终端， 从什么位置，并且通过什么IP地址访问了什么业务系统等，其中员工名称、位置、终端名称和业务系统等都是通过上下文信息获得。

其次，丰富后的行为信息会被关联分组或行为分析，而行为分析常见的就是基线分析和Peer Group分析等。最后都会进入到异常检测部件，根据一些规则或数据分析模型来生成异常行为事件。再按照人的维度将异常行为事件进入到风险引擎计算出人的异常风险。

当 然要做好UBA或者UEBA产品，不只是构建一套基本处理框架，还有不少的技术要点或者技术上的坑是不得不解决的。第一点需要获取多类型数据，如果说解决 内部威胁针对单一类型数据或者设备去做UBA，非常片面，价值点低。第二点不仅要集成结构化数据还能集成非结构数据。比如身份系统信息、个人身体健康记录 等，而这些数据往往是对用户上下文组件做数据支撑。最后，元数据获取。例如终端，不能仅仅是一些病毒漏洞或系统基本信息，还需要能够将进程、驱动、网络访 问等涉及行为信息手段都需要能够捕获。

应对内部威胁，UBA技术先天性优势从何而来?看UBA技术魂魄与血肉

UBA 技术魂魄就是Context上下文。实际上UEBA产品已经能够对用户、终端、文件、应用和其他实体构建上下文的接口。例如用户的角色是工程师还是销售、 职位是经理还是VP，职时间，直接领导、离职状态、身体健康状况等都是用户的Context。当然相关对象的上下文可以形成关联关系，比如从用户上下文可 以关联到终端上下文。对于上下文构建不仅是需要通过用户配置和对接其他系统来获取，更需要通过机器学习构建上下文。比如说职位信息可能变化不大可以认为接 近静态信息，但是对于系统进程信息、文件敏感等级信息都是需要根据数据来动态变化的。

如果说UBA技术魂魄是上下文，那么内部异常行为事件或者规则就是UBA产品的血和肉。对于客 户而言，UBA产品体现价值在于产生内部威胁的异常行为事件。而异常行为事件或规则的制定，则驱动Context上下文部件构建什么样上下文信息。关于异 常行为规则的制定，简单的方式是基于各种类别内部数据进行针对性定义。以VPN接入举例，简单的异常行为就是账号登陆失败连续多次，稍微复杂点就是与上次 登陆设备相同，但本次登陆失败，还要和上下文信息明显有关，就是本次登录成功的设备，之前从来都是失败的，这些异常行为背后可能是账号是否已经泄露，或者 设备被别人持有或者控制，或者被别人暴力破解成功等。总结起来就是，内部威胁的异常行为的提出基本都是来自于安全经验和客户环境和场景的驱动。

基 于这样技术优势，UBA在应对内部威胁时，存在两点明显优势。优势1：操作简易化，找到“坏的人”，UBA产品是长时间持续对人的异常行为进行记录和分 析，上报高质量的异常行为，大大削减了告警的数量，让人能够关注到重点，减少误报率。优势2：高质量的异常行为， UBA产品却是直接提供以“人”视角给出判定，让一般安全管理员就可以快速的定位“坏”人背后的行为，并较容易确定其产生异常行为的证据。

写 在最后，UBA技术采用最大的技术理念就是上下文感知，而上下文感知是采用信息的共性和关联特性，进行持续性学习的方式，更接近人脑的方式，记录和分析一 些信息面。UBA定位是人，回答的问题是：这个用户行为异常吗?而不是“这事异常事件吗”，这是一种解决内部威胁全新技术手段，能够帮助用户及早发现可疑 行为，为信息安全专业人员指明方向，从而确定是否有安全问题需要引起注意。