數字經濟時代的到來,也伴隨著日益嚴峻的網路威脅。相對於外部入侵,內部威脅危害性更大,也更加隱蔽,難以防範應對。據2019年調查資料顯示,全球企業因資訊保安事件損失超過百億,而其中超過60%的損失是由內部問題引起的。在全球爆發的重大網路安全事件,大多數也是由員工違規或無意操作引發敏感資料外洩、身份被冒用等內部威脅而導致。且相對於外部入侵來說,往往首先入侵、控制內部某臺裝置,再從內部發起攻擊。其威脅危害性更大,也更加隱蔽,難以防範應對,內部安全威脅已經成為了一個亟待解決的安全問題。
為幫助企業更好的應對內部威脅,騰訊安全運營中心(SOC)推出了UEBA分析能力,基於賬號異常、裝置異常、橫向移動和資料安全四大安全場景,幫助客戶高效、準確、及時的檢測風險,從而提升自身內部安全防護能力,有效降低內部威脅影響。
UEBA (User and Entity Behavior Analytics,使用者實體行為分析)作為目前異常發現的重要分析技術日益受到關注。它結合辦公、生產日誌,第三方安全產品告警(如hids,nta等),專注於分析使用者和裝置的風險。透過對使用者和裝置的風險檢測和行為分析,它能夠及時、準確的感知內部安全狀況。
而UEBA能力作為騰訊安全運營中心(SOC)的關鍵子系統,透過自建規則分析引擎、畫像檢測引擎、機器學習檢測引擎,對全網海量安全告警資料進行快速分析。為網路中的實體行為構建基線,再根據基線檢測使用者或實體偏離“正常”模式的高風險操作,從而檢測網路中的安全短板或疑似攻擊行為,幫助企業降低內部威脅風險。
在UEBA能力的支援下,騰訊安全運營中心(SOC)識別發現內部網路安全威脅、增強網路安全事件可見程度、降低網路安全團隊管理成本等方面等能力大大加強。例如當員工因為誤點釣魚網站、簡單口令被破解等導致丟失登入帳號密碼,或裝置存在安全漏洞被入侵者控制,從而導致駭客利用漏洞對內網進行一系列的橫向滲透活動時。UEBA可以記錄、分析此類帳號異常情況,並根據該帳號的可疑行為進行分析後及時告警;同時可以對終端使用者或實體訪問敏感資料的情況進行分析,在企業發生資訊洩露事件之前及時發現威脅、消除風險。
不僅如此,UEBA能力還可以幫助安全運維人員從海量日誌中抽絲剝繭,高效處理海量告警,進行更細粒度的威脅檢測,從而降低管理難度,提高告警準確率,有效降低網路安全團隊管理成本。
總體來講,騰訊安全運營中心(SOC)的UEBA能力目前已經具備六大產品優勢:
第一,充分利用客戶已購的,有針對性的安全產品進行告警,同時分析出其中的高價值告警,為每一條告警繫結到一個使用者、一臺裝置,方便安全運維人員研判;
第二,著重針對使用者和實體進行評分,並構建起一套軟關聯、資料驅動搭建的評分框架,從而高效處理海量告警,去除誤報影響;
第三,提供“智慧時間線”運營方式,透過將使用者、賬號、資產和應用上發生的各類異常和活動,以發生時間先後關係串聯起來,做持續的使用者與實體異常行為檢測;
第四,基於規則構建了全面的高頻橫向移動規則,將使用者從登入到登出的全部風險行為關聯起來,實現精確描述惡意威脅橫向移動場景;
第五,透過規則分析引擎、畫像檢測引擎、機器學習檢測引擎,支援多種型別的檢測問題;
第六,構建使用者實體畫像系統,儲存豐富的資料指標,幫助安全運維人員快速研判風險。
在可以預見的將來,UEBA必將成為企業網路安全防護的核心技術,在降低內部安全威脅風險等方面發揮重要作用。作為產業網際網路安全領導品牌的騰訊安全,將繼續發揮自身的技術實力和實踐經驗,持續探索更加健全的網路安全解決方案,助力企業應對內外部網路安全威脅挑戰,為數字經濟安全和高質量發展保駕護航。