百家讲坛 | 王诗涵：UEBA的基础知识与实际应用

随着企业数字化转型的深入，面临的网络安全挑战日益增多。过去，我们往往更多地关注于外部安全威胁，如黑客攻击、病毒入侵等。然而，近年来，内部安全威胁逐渐浮出水面，成为企业不可忽视的重大风险。为了有效应对内部安全威胁，企业需要采取一系列措施来加强安全防护。其中，用户实体行为分析（UEBA）作为一种新兴的网络安全技术，正逐渐展现出其独特的价值。

据调查，人为因素在整体安全事件中的占比持续居高不下，近年来始终维持在80%以上。内部威胁，指的是具有内部访问权限的人员（如员工、合同工、供应商等）对组织的安全、系统、数据或业务运营造成的威胁。与外部攻击者不同，内部威胁者具有合法的访问权限，并且对组织的系统和数据有一定的了解，因此他们能够更容易地避开常规的安全防护措施。

内部威胁的类型多样，可分为恶意与非恶意两种。恶意威胁通常涉及数据窃取、系统破坏等蓄意行为；而非恶意威胁则可能源于员工的疏忽大意或对外部攻击的认识不足。

那么，UEBA是如何助力企业应对内部威胁的呢？它通过运用机器学习和统计学方法，深入分析用户或实体的行为模式，从历史数据中学习并建立起正常行为基准。在此基础上，UEBA能够敏锐地捕捉到偏离正常行为模式的异常迹象，这些异常行为往往预示着潜在的内部威胁或攻击。

从组织安全视角来看，安全威胁既包括内部也包括外部。大家可能更熟悉安全信息和事件管理（SIEM），它主要用于检测企业外部的攻击和其他网络安全威胁。而UEBA更侧重于内部威胁，以用户为视角，将离散的安全事件集中到同一个人或实体上。

UEBA并非替代现有安全产品，而是与它们相结合，如与SIEM结合，拓展内部威胁检测能力。它还可以利用端点检测和响应（EDR）、身份和访问管理（IAM）、数据泄密防护（DLP）等工具的告警日志，增强检测能力或进行敏感数据泄露检测，达到企业抗网络威胁能力的最大化。

UEBA vs SIEM及其他安全工具

例如，如果企业部署了DLP，它主要进行管控和告警，但对于白名单行为可能无法有效检测。这时，UEBA可以发挥作用。UEBA的工作流程如下：

数据收集：收集各种日志，如身份认证日志、DLP日志、数据库审计日志、应用程序日志等。日志中需包含时间、用户和行为的详细信息，这些可以作为UEBA的输入数据源。

数据预处理：对收集的数据进行预处理，包括清洗、解析和标准化，确保数据的一致性和准确性。以便后续分析使用。

特征提取：数据预处理后，从数据中提取各种特征，这些特征可以用来描述用户和实体的行为模式。如用户登录次数、是否为工作日、访问的设备类型、地点等。

建立基线：使用机器学习和统计分析等技术，学习历史数据，识别正常行为模式和异常行为模式。基于历史数据训练出模型，建立基线。

异常检测：将新观察到的行为输入模型进行比较，以检测异常行为。

事件响应&分析：检测出异常行为，累加相应用户或实体的风险值并排序，让安全团队更清楚地了解当前内部风险点或用户。

UEBA在企业内部有多个应用场景。大场景可能包括账号安全、数据安全和设备安全。更具体的场景可能包括登录地点、VPN登录频率和时间的异常检测，文件操作行为的异常检测，以及高危命令操作的检测等。

下面举例几个UEBA常见应用场景：

场景一：恶意员工导致的数据泄露

很多企业都非常关心数据泄露问题。我们可以利用DLP日志、文件服务器日志或网盘日志等作为输入数据源，检测用户访问文件的时间是否偏离其基线、文件下载数量是否异常、是否尝试通过不同通道外发同一文件等异常行为。

场景一

场景二：账号被盗导致的系统安全

账号安全也是重要关注点。如果账号被盗，可能对重要业务系统造成危害。我们可以利用堡垒机日志、PAM日志或数据库审计日志等作为输入数据源，检测用户登录服务器的时间是否异常、是否执行高危命令、是否安装不该装的工具、对数据库的操作是否偏离基线等。

场景二

场景三：离职员工引起的数据泄露

很多企业还关心离职员工是否会带走数据。我们可以利用DLP日志、EDR日志或重要业务系统的审计日志等作为输入数据源，学习用户历史工作时间基线，如工作时长是否突然变化、是否有访问招聘网站的行为、是否频繁大量访问文件等异常行为。

目前来说，UEBA真正落地仍面临挑战。首先是内部威胁数据源缺失，很多企业尚未充分利用传统安全解决方案，缺乏数据基础、检测体系、专家知识等相关条件。

其次是用户行为视角缺失，传统解决方案如SIEM以事件为视角进行分析，缺乏以用户为中心的分析。

最后是大数据算法能力缺失，许多企业的安全团队可能对算法不够熟悉，而算法团队则可能缺乏对安全领域的深入了解。

因此，如何有效结合大数据与算法能力，成为实施UEBA的关键。

大数据方面，数据的采集与清洗是基础。通过各种传感器收集数据，这些数据可能来自安全厂商的标准syslog转发，也可能来自企业内部自研业务应用的审计日志。

由于UEBA的数据来源多种多样，需要通过不同的方式采集数据，并进行清洗和字段标准化。标准化尤为重要，因为它能确保不同系统中的数据字段能够一致，从而便于进行关联分析。在实际操作中，我们发现使用联机分析处理（OLAP）数据库有利于关联分析和计算。

算法方面，以检测用户登录地点异常为例，可以采用基于密度的算法，如基于密度的带噪声的密度聚类算法（DBSCAN）。该算法通过计算数据点的密度来识别异常点。如果某个数据点远离高密度区域，它就被认为是异常的。这种算法能够处理用户在不同地点登录的情况，避免因为用户出差或移动而产生的误报。

算法的好处在于它能够处理复杂的情况，而不仅仅是基于简单的规则。例如，如果用户一直在上海登录，突然在深圳登录，算法能够识别出这是异常行为，当用户在频繁在多地或某个区域内活动，则算法不会识别异常。而基于规则的方法只能对用户静态的设置常用登录地点，不仅维护成本较高，这对于经常出差或移动的用户来说可能会产生误报。

除了基于密度的算法外，还可以根据具体需求选择其他算法。

例如，如果想要检测文件的下载频率是否异常，可以使用时间序列算法。该算法能够学习用户在不同时间段的下载频率，并设定基线区间。如果新的下载频率超过了这个区间，算法就会判断为异常。但需要注意的是，对于不连续的数据，算法可能会产生误报。因此，在实际应用中，可能需要结合额外的规则判断来减少误报。在时间异常检测领域，可以采用统计方法来识别潜在的安全风险。

大数据与算法

接下来将通过几个实际案例来展示UEBA如何在实际环境中发挥作用。

案例一：账号安全/凭据泄露事件

在企业环境中，VPN账号的安全至关重要。通过UEBA，可以有效检测账号共享或泄露的情况。例如，当某个账号在极短时间内从北京和上海两个相距甚远的地方登录时，将立即产生告警，怀疑该账号可能已被共享。此外，对于经常出差的部门或员工，还可以采用算法来减少误报，确保检测逻辑的准确性和实用性。

案例一

案例二：敏感数据泄露的违规行为

UEBA与DLP的结合可以显著提升整体防护能力。在建设初期，预制一些最佳实践策略或检测逻辑。例如，当某个用户外发数据的频率异常时，我们会进一步分析其行为。在一次实际案例中，我们发现一个用户频繁使用网盘外发数据，尽管企业DLP策略已禁止网盘使用，但由于DLP策略基于字符串匹配，无法及时应对新变种网盘网址，导致部分违规行为未被拦截。通过UEBA，我们发现了这一未知风险，并与DLP相结合，提升了整体防护水平。

案例二

案例三：暴力破解事件复盘

暴力破解是一种隐蔽的攻击模式，其特征是爆破频率低且时间分布分散。传统的检测方式每个事件都是离散的，因此这种特征的暴力破解往往会被归为低风险事件而被忽略。但是UEBA通过累积用户风险值，低风险事件累加最终会形成高风险用户，因此可以定位到被爆破的账号。在某大型零售企业的实际案例中，UEBA通过累积用户风险值，迅速定位了被暴力破解的账号。最后调查出，企业并不存在名为“test”的账号，安全团队进而识别出VPN的风险，并推广了双因子验证以提升账号安全性，并封禁了相关恶意IP，确保了环境安全。

案例三

案例四：待离职员工审计

对于即将离职的员工，很多企业会对其过往行为进行审查，确保离职员工在最后的工作阶段没有进行任何违规操作或敏感数据的异常处理。然而，传统的手动审查方式耗时效率低下，且更早的异常行为无法被洞察。通过UEBA，可以快速搜索并展示员工历史的异常行为，方便审查人员快速作出判断。这一功能不仅提高了审查效率，还为企业提供了更全面的安全保障。

案例四

UEBA不是一个随意购买产品或盲目跟从老板指示的过程。相反，它始于对企业自身的深入理解和需求分析。

首先需要清晰地认识到自己的企业规模以及面临的具体安全挑战。比如，如果你的企业拥有关键业务数据，并且这些数据一旦泄露将对业务造成重大影响，那么保护这些数据的安全无疑是一个亟待解决的问题。同样还需要评估企业的IT资产规模及其复杂性，以确定是否有必要实施UEBA。

例如，一个IT资产较少、办公环境简单、尚未部署基本安全解决方案（如VPN、防火墙）的企业，可能并不适合立即采用这种高级安全解决方案。

接下来，基于角色进行评估是至关重要的。这一步骤不仅能帮助安全团队全面了解和管理安全风险，还能确保在后续的实施过程中，每个角色都能明确自己的职责。在评估过程中，可以制作资产登记表，明确各类资产及其责任人，同时梳理内部威胁可能涉及的数据源。

当明确了要解决的具体问题后，就可以开始考虑如何实施UEBA了。

以账号安全为例，需要了解企业内部有哪些数据可用于账号安全分析，并据此选择合适的分析对象。同样，如果目标是数据安全，那么就需要梳理内部可用的数据源，并考虑是否需要增加日志收集等开发工作。

明确内部威胁数据源

在选择UEBA解决方案时，需要从技术能力、功能特性和运营能力三个方面进行考量。

技术能力上，解决方案应具备异常检测和数据处理能力，并能与现有的安全解决方案进行集成。

功能特性上，需要关注解决方案是否支持灵活的风险模型设定、用户视角的风险值累加和排序，以及直观的可视化展示。

运营能力则是确保解决方案能够长期良好运转的关键，这要求运营团队具备足够的安全和数据科学知识。

选择合适的UEBA解决方案

展望未来，随着技术的不断进步和应用场景的持续拓展，UEBA将呈现以下发展趋势：

1.智能化升级

UEBA将更加注重智能化发展，通过采用更先进的机器学习算法和深度学习技术，自动识别不同用户在不同场景下的行为特征，提高检测的准确性和效率。

2.自动化能力增强

在数据处理和整合方面，UEBA将进一步提升其自动化能力。通过自动整合各种数据源，减少人工干预，更高效地处理和分析大量数据，从而更快地发现潜在的安全威胁。同时，随着数据标准的不断完善和积累，UEBA将能够更好地利用这些标准来优化自动化流程，提高整体效益。

3.与其他解决方案的融合

UEBA将与其他安全解决方案进行更深入的融合，以提供更全面的安全保障。例如，与SIEM的结合将能够提升安全事件的响应速度和准确性；与零信任架构和SASE等新型安全架构的融合，则能够构建更加动态和灵活的安全防护体系。此外，UEBA还可以为其他解决方案提供告警参考，增强整体安全性能。

4.更广泛的应用场景

UEBA的应用场景将不断拓展，涵盖更多领域和行业。在云安全方面，UEBA将能够更有效地监测和分析云环境中的用户行为，及时发现潜在的安全风险。同时，在工业和金融等行业，UEBA也将发挥重要作用，帮助这些行业应对日益复杂的安全挑战。

5.大模型安全的发展

随着大模型应用的普及，UEBA将向大模型安全领域发展。企业内部员工在使用大模型时，可能会出现滥用行为或安全风险。UEBA将能够通过对员工行为的监测和分析，及时发现这些潜在问题，并采取相应的措施进行防范和应对。

综上所述，UEBA未来将在智能化、自动化、融合性、应用场景拓展以及大模型安全等方面展现出广阔的发展前景。我们期待着UEBA技术的不断进步和创新，为企业的安全保障提供更加全面和高效的支持。