数字经济时代的到来,也伴随着日益严峻的网络威胁。相对于外部入侵,内部威胁危害性更大,也更加隐蔽,难以防范应对。据2019年调查数据显示,全球企业因信息安全事件损失超过百亿,而其中超过60%的损失是由内部问题引起的。在全球爆发的重大网络安全事件,大多数也是由员工违规或无意操作引发敏感数据外泄、身份被冒用等内部威胁而导致。且相对于外部入侵来说,往往首先入侵、控制内部某台设备,再从内部发起攻击。其威胁危害性更大,也更加隐蔽,难以防范应对,内部安全威胁已经成为了一个亟待解决的安全问题。
为帮助企业更好的应对内部威胁,腾讯安全运营中心(SOC)推出了UEBA分析能力,基于账号异常、设备异常、横向移动和数据安全四大安全场景,帮助客户高效、准确、及时的检测风险,从而提升自身内部安全防护能力,有效降低内部威胁影响。
UEBA (User and Entity Behavior Analytics,用户实体行为分析)作为目前异常发现的重要分析技术日益受到关注。它结合办公、生产日志,第三方安全产品告警(如hids,nta等),专注于分析用户和设备的风险。通过对用户和设备的风险检测和行为分析,它能够及时、准确的感知内部安全状况。
而UEBA能力作为腾讯安全运营中心(SOC)的关键子系统,通过自建规则分析引擎、画像检测引擎、机器学习检测引擎,对全网海量安全告警数据进行快速分析。为网络中的实体行为构建基线,再根据基线检测用户或实体偏离“正常”模式的高风险操作,从而检测网络中的安全短板或疑似攻击行为,帮助企业降低内部威胁风险。
在UEBA能力的支持下,腾讯安全运营中心(SOC)识别发现内部网络安全威胁、增强网络安全事件可见程度、降低网络安全团队管理成本等方面等能力大大加强。例如当员工因为误点钓鱼网站、简单口令被破解等导致丢失登录帐号密码,或设备存在安全漏洞被入侵者控制,从而导致黑客利用漏洞对内网进行一系列的横向渗透活动时。UEBA可以记录、分析此类帐号异常情况,并根据该帐号的可疑行为进行分析后及时告警;同时可以对终端用户或实体访问敏感数据的情况进行分析,在企业发生信息泄露事件之前及时发现威胁、消除风险。
不仅如此,UEBA能力还可以帮助安全运维人员从海量日志中抽丝剥茧,高效处理海量告警,进行更细粒度的威胁检测,从而降低管理难度,提高告警准确率,有效降低网络安全团队管理成本。
总体来讲,腾讯安全运营中心(SOC)的UEBA能力目前已经具备六大产品优势:
第一,充分利用客户已购的,有针对性的安全产品进行告警,同时分析出其中的高价值告警,为每一条告警绑定到一个用户、一台设备,方便安全运维人员研判;
第二,着重针对用户和实体进行评分,并构建起一套软关联、数据驱动搭建的评分框架,从而高效处理海量告警,去除误报影响;
第三,提供“智能时间线”运营方式,通过将用户、账号、资产和应用上发生的各类异常和活动,以发生时间先后关系串联起来,做持续的用户与实体异常行为检测;
第四,基于规则构建了全面的高频横向移动规则,将用户从登录到登出的全部风险行为关联起来,实现精确描述恶意威胁横向移动场景;
第五,通过规则分析引擎、画像检测引擎、机器学习检测引擎,支持多种类型的检测问题;
第六,构建用户实体画像系统,存储丰富的数据指标,帮助安全运维人员快速研判风险。
在可以预见的将来,UEBA必将成为企业网络安全防护的核心技术,在降低内部安全威胁风险等方面发挥重要作用。作为产业互联网安全领导品牌的腾讯安全,将继续发挥自身的技术实力和实践经验,持续探索更加健全的网络安全解决方案,助力企业应对内外部网络安全威胁挑战,为数字经济安全和高质量发展保驾护航。