【摘要】在入侵防御领域,运用数据分析的方法保护数据的技术其实没有什么新的东西,比如防火墙-分析数据包的内容以及其他的元数据,如IP地址,从增长的数据条目中检测和阻断攻击者;防病毒软件不断的扫描文件系统,通过检查比特流代码和其他一些特征来标记文件是否被感染。

与防火墙和防病毒软件不同,用户行为检测或者UBA聚焦于用户正在发生的行为:应用启动、网络连接活动、最关键的文件访问(当文件或邮件被访问的时候,谁访问的,在文件上做了什么以及操作的频率)。

UBA技术检索那些可以表征不常见或者异常动作的行为模式,不管这些操作具体是来自黑客、内部人员、甚至是恶意软件或其他进程,UBA并不阻止黑客或者内部威胁进入你的系统,但它可以迅速标记这些行为,让损失最小化。

UBA是SIEM的近亲(Security and Information Event Management),SIEM历来专注于分析防火墙捕获的事件、OS和其他系统的日志,从而发现并标记一些有趣的关联的目的,通常是通过一些预定义的规则来发现,举个例子,几个登录失败的事件可能会匹配到另一个网络日志中流量的增加,SIEM可能会认为这是一个黑客入侵系统并删除数据的信号。

我们很快就会看到,如果把注意力全部放在边界系统和OS日志上而不是目标数据本身,就非常容易漏掉内部人员滥用访问权限的情况,同时也容易漏掉黑客活动,因为一旦黑客进入到系统内,他们便非常善于伪装成普通用户,。这就是UBA的由来,对系统事件关注相对少,而对特定用户活动关注较多,UBA可以学习用户的行为模式,当黑客的行为与合法用户出现不同时立即标记目标。

Garter对UBA有一个更加传统的定义:

User Behavior Analytics (UBA) [is] where the sources are variable (often logs feature prominently, of course), but the analysis is focused on users, user accounts, user identities — and not on, say, IP addresses or hosts. Some form of SIEM and DLP post-processing where the primary source data is SIEM and/or DLP outputs and enhanced user identity data as well as algorithms characterize these tools. So, these tools may collect logs and context data themselves or from a SIEM and utilize various analytic algorithms to create new insight from that data.

为什么需要UBA

要理解UBA的产生根源,你需要先想一想当前数据安全分析方法的短板,对于任何一个过去两年内在入侵防御一线的人员来说,黑客好像总是能拿到前门的钥匙。

在斯诺登或者维基解密的案例中,黑客貌似可以逐字获取到前门钥匙,这是因为他们早就已经潜伏在内部了。在目标的突破上,黑客通过远程登录盗取或推测用户密码,在近期一些安全事件中,攻击者通过*** 邮件诱骗员工下载恶意软件。

防御来自合法用户的攻击并不是基于边界的安全防御的一部分,黑客很容易到达边界然后进入到内部系统,他们通过合法的公共端口(email, web, 登录),然后像正常用户一样访问,一旦进入,黑客会熟练的应用那些还没有被防病毒软件标记的恶意软件,有时候他们还会使用合法的系统管理软件来连接他们自己的网络。

事实上,对于一个只监控系统活动的IT管理员来说,通过检查应用的访问,登录的名字等-黑客看起来也只像是另一个普通用户罢了。这就是为什么你需要UBA!

面向边界的网络安全技术通常是寻找在错误的地点进行的不寻常的活动,而新一代的黑客总能想办法绕开这一点,通过访问未授权网络端口或者通过可信的软件等。

边界防御的硬伤

我们知道,那些参与大规模入侵行动的黑客往往善于悄无声息的进入并撤离数据中心,但是他们究竟是如何撤离的?黑客入侵的技术通常有两个步骤:通过公共的接入点接入,然后插入一些难以被雷达监测到的恶意软件,这种组合早就已经被证明是非常有效的手段。黑客手段的一些底层细节有时非常难复杂,这里简单介绍一些技术。

攻其不备:弱口令,*** ,SQL注入

口令爆破依然是黑客最有效的入侵方式,因为人们总是倾向于选择简答的密码,比如名字的一部分或者一串简单的数字序列,或者甚至使用安装软件时的初始口令。近些年来黑客已经很擅长通过发送一封邮件诱导用户点击从而邀请他们进入系统,完全不需要破解口令,也即*** 邮件攻击。*** 邮件是一种经过伪装的电子邮件,通常看起来是从一个合法的源头发出的,黑客也会使用一些公司官方的logo以让*** 邮件看起来更加真实。黑客们清楚大部分企业的员工对于URL底层的技术支持并不是非常了解,所以很容易让他们相信伪造的发件人地址。举个列子,很多用户都会相信jon@fed3x.com来自FedEx的员工,因为这个地址看起来很像是那个合法的域名fedex.com。一旦上钩,员工会点击邮件中的链接或者附件,之后恶意软件就启动了,任务完成,黑客就这么进来了。

第三种黑客的常用手段是SQL注入,它和*** 的相似之处再用他们都是使用公共的接入点,这里就是web网站,在SQL注入过程中,攻击者利用网站对用户输入内容校验缺失的漏洞进行攻击,原理很简单,当一个用户输入一些文档到网页表单时,往往会触发一个到SQL服务器查询相应记录的请求,但是如果输入的内容没有经过合适的校验,黑客就有可能会插入一些恶意的SQL代码,这些恶意代码会给他们提供落脚点,让黑客可以一步一步启动shell或者进入os命令行。

神不知鬼不觉:APT 与C&C

一旦黑客进来,下一步便是安装可以提供基础管理能力的恶意软件,通常至少包含文件上传下载,简单的命令行和目录搜索功能,比如我们熟知的RATs(remote administration tool)或者应用更广泛的C&C,这些恶意软件可以让黑客从他们自己的网络直接访问到。上述过程其实没什么新意,这种做法从第一代***

网络出现时就有,真正的创新在于黑客已经可以把C&C恶意软件与整体隐蔽性相结合,其结果就是所谓的高级持续性威胁或者APT。

黑客将RAT的逻辑插入Windows的必备DLL中,此时他们依然保持隐蔽,一旦DLL被激活,黑客就可以发送命令并接受结果,不仅如此,RAT可以与中央控制服务器通信,通常都是通过合法的域名标准的HTTP或者HTTPS协议进行的。黑客甚至可以连接一个仿冒的DNS服务器,用以将RAT命令隐藏在特殊的DNS协议中-也就是Anthem公司入侵的案例。

黑客入侵事件统计

Verizon

数据入侵调查报告(Verizon Data Breach Investigation Report, DBIR)是一个统计黑客事件的重要来源,下图是他们做过的其中一个统计,统计近几年来被黑客入侵的那些组织发现他们被入侵所用的时间长度。

第一个坏消息是,上图的时间单位是月,第二个是整体趋势在变得更坏而不是更好。在Verizon的报告中,2012年大约70%的入侵事件要耗费数月才能被发现。

UBA的分析策略

Gartner

将UBA软件划分为两个大类:依赖罐式分析规则标记异常行为的产品,和基于动态规则或自定义模型分析的产品。举个例子,在罐式规则的产品中,管理员可能会定义,如果一个敏感文件在周末的凌晨0点到5点被访问则强制弹出一个告警;而在纯动态规则的场景下,潜层的UBA引擎会决定什么样的行为是正常的,并且检测到落到正常范围之外的活动,换句话说,UBA引擎在构建他自己的内部规则。

很显然,在UBA产品中,上述两种策略都占有一席之地,但还是注意一点,单纯依靠罐式规则分析的UBA软件还需要一支对黑客行为有着强大直觉的IT全安管理员队伍,然而没有多少IT安全人员有这种巫师一样的能力。

UBA

软件的另一个差别在于对潜层数据源头的选择,有些UBA解决方案主要关注网络连接和边界系统的行为(登录、app、事件),另一些UBA则是更关注内部系统中颗粒更细的活动,比如用户在文件和邮件上的操作。

纯粹利用网络连接或者基于系统日志的分析方法有很多缺点,如上文所说,它很难发现那些利用邮件或者注入的方式盗取正常账号进行入侵的行为,除非你有更高级的智能UBA,因为在这种情况下黑客登录或者使用APP的行为不会与普通用户有任何不同。

而那些关注用户在文件和邮件操作行为的UBA软件则会有更高的几率发现攻击者,关键点在于,想要伪装成正常用户的黑客一定会尝试搜索和拷贝带有敏感信息的文件,而这正是抓住他们的关键。

如何判断正常行为

UBA

是基于这样一个想法提出来的,即系统上的用户到底在做什么?他们的活动和访问文件的模式是什么样的。最终,UBA软件起源于一个profile,用来描述每个行为对于一个用户的意义,所以当黑客偷了一个用户的凭证并且访问了他几乎从不访问的资源时,他的行为就会与之前的profile有所不同。为了实现上述想法,UBA就必须可以记录用户的行为,并量化检测到的用户行为。UBA软件必须可以通过训练来定义出用户的正常行为,通常来讲需要考虑一段时间内用户的活动日志,比如文件访问、登录、网络连接等。

UBA

可以使用通用的基于大数据的挖掘算法,如KNN、线性回归、贝叶斯等,但是不管你用的哪种具体算法,目的都是要建立一个行为基线,从而可以预测什么是正常什么是异常。

UBA关注什么

并非所有UBA都采用相同的解决方案,正如上文提到的,仅依赖罐式分析规则和纯粹的基于边界系统的分析引擎对于一个聪明的黑客来说没什么卵用,关注于细粒度的文件和邮件访问的UBA一定会有更好的效果。要牢记一点,文件和邮件一定是这些网络大盗梦寐以求的,在某些情况下这些数据也可以让他们付出代价。

作者:菊花茶

新一代数据安全的制胜法宝-UBA的更多相关文章

  1. 精通Web Analytics 2.0 (9) 第七章:失败更快:爆发测试与实验的能量

    精通Web Analytics 2.0 : 用户中心科学与在线统计艺术 第七章:失败更快:爆发测试与实验的能量 欢迎来到实验和测试这个棒极了的世界! 如果Web拥有一个超越所有其他渠道的巨大优势,它就 ...

  2. Java程序员

    从生存.制胜.发展三个方面入手,为大家展示出程序员求职与工作的一幅3D全景图像.本书中既有在公司中的生存技巧,又有高手达人的进阶策略,既有求职攻略的按图索骥,又有入职后生产环境的破解揭秘. 书中浓缩了 ...

  3. 看2016上半年O2O新风向,太阳终会穿破乌云

    纵观我国的O2O行业发展历程,去年上半年还处于资本的投资热潮,下半年就遭遇到了寒冬的突袭,使得很多才刚刚发芽的O2O企业直接被一阵寒风给吹倒.但同样的,一阵风浪过后才知道在O2O这片战场上谁才是有实力 ...

  4. Android开发权威指南(第2版)新书发布

    <Android 开发权威指南(第二版)>是畅销书<Android开发权威指南>的升级版,内容更新超过80%,是一本全面介绍Android应用开发的专著,拥有45 章精彩内容供 ...

  5. Instagram的技术探索2(转)

    原文:http://www.cnblogs.com/xiekeli/archive/2012/05/28/2520770.html 前一篇翻译了Instagram blog上的一篇文章<What ...

  6. 向安富利(Avnet)学什么?

    这个只做电子元器件分销的企业,居然能数次进入<财富>排行榜.看来,这是一个在供应链上创造价值的高手.在企业竞争已经集中到供应链竞争的今天,安富利的成功之道,无疑具有特别的意义. 2000年 ...

  7. Instagram的技术架构

    http://blogread.cn/it/article/5497 Instagram 被 Facebook 以10亿美金收购.团队规模:13 人.而在被Facebook收购前的一个月,整个团队才7 ...

  8. MySQL被Oracle并购后的409个日日夜夜

    2009年4月20日,Oracle并购了Sun,这也意味着MySQL归属到甲骨文的旗下.四百多天过去了,究竟这场并购结局如何?请看本文. 去年对Sun的收购,让甲骨文顺利的将一个潜在的对手MySQL收 ...

  9. 优秀团队建设--美国式团队(ppt)

    美国式团队 一.团队精神 团队精神反映一个人的素养.一个人的能力,一个人与别人合作的精神和能力.一个团队是个有机的总体,作为个人,仅仅有全然融入到这个有机总体之中,才干最大限度地体现自己的价值. 团队 ...

随机推荐

  1. 期末考试(正解:三分单峰函数 me~)

    好久没有水过杂题了! 今天lsc终于刚过了三道考试题来水杂题了! 期末考试 首先一看还是一脸mb(这是正常现象,毕竟我不像一些大神可以一眼出正解)然后我就被颓了标签,知道是三分单峰函数,但是自己实在是 ...

  2. .NET手撸绘制TypeScript类图——上篇

    .NET手撸绘制TypeScript类图--上篇 近年来随着交互界面的精细化,TypeScript越来越流行,前端的设计也越来复杂,而类图正是用简单的箭头和方块,反映对象与对象之间关系/依赖的好方式. ...

  3. beacon帧字段结构最全总结(三)——VHT字段总结

    VHT Capabilities 802.11ac作为IEEE 无线技术的新标准,它借鉴了802.11n的各种优点并进一步优化,除了最明显的高吞吐特点外,不仅可以很好地兼容802.11a/n的设备,同 ...

  4. 易初大数据 2019年10月20日 spss习题 王庆超

    一.选择题 1.有关spss数据字典的说法,正确的是:D A.SPSS数据集的数据字典可以复制到其他数据集中 B.SPSS数据集的数据字典是不能复制的 C.SPSS的数据字典可以通过“复制”和“黏贴” ...

  5. 使用AForge录制视频

    使用AForge录制视频,基于Winform开发 (一)首先导入AForge包 需要先导入 using AForge.Video;using AForge.Video.FFMPEG; 两个工具包 (二 ...

  6. python函数的基本语法<一>

    函数: 一次定义,多次调用,函数可以变相看成变量函数的阶段: 1.定义阶段 2调用阶段 形参和实参: 定义阶段的参数叫形参,调用阶段的参数叫实参 函数的几种基本用法: #多变量 def test(na ...

  7. Windows终端利器Cmder

    在IT这一行,大部分情况下都是推荐大家使用Linux或者类Unix操作系统去编程,Linux作为一代优秀的操作系统,已经人尽皆知,在IT行业已经成为核心.有条件的大佬都选择了使用mac编程,最优秀的莫 ...

  8. 每天3分钟操作系统修炼秘籍(14):IO操作和DMA、RDMA

    点我查看秘籍连载 I/O操作和DMA.RDMA 用户进程想要执行IO操作时(例如想要读磁盘数据.向磁盘写数据.读键盘的输入等等),由于用户进程工作在用户模式下,它没有执行这些操作的权限,只能通过发起对 ...

  9. 010.Kubernetes二进制部署kube-controller-manager

    一 部署高可用kube-controller-manager 1.1 高可用kube-controller-manager介绍 本实验部署一个三实例 kube-controller-manager 的 ...

  10. Go语言Hello world(GOPATH和Go Module版)

    本文是「vangoleo的Go语言学习笔记」系列文章之一. 官网: http://www.vangoleo.com/go/go-hello-world-02/ 往期回顾: Go语言入门-你好,Go语言 ...