什么是用户行为分析(UBA)?使用用户行为分析进行数字身份保护

简介: 用户行为分析(UBA)利用数据分析和机器学习,通过建立用户行为基线检测异常,有效识别潜在安全威胁。与传统基于规则的安全工具不同,UBA能减少误报、提高检测精度,尤其擅长发现内部威胁和缓慢攻击。UBA通过动态阈值和实时监控,帮助组织快速响应异常行为,保护敏感数据。例如,AD360结合UBA功能,可实时监控用户活动,及时发现并阻止异常操作,如恶意文件访问或权限滥用,确保网络安全。

一、什么是用户行为分析(UBA)

用户行为分析(UBA)是一种用于检测用户行为模式异常以发现网络内威胁的技术。UBA 解决方案使用数据分析和机器学习(ML)算法来创建特定于每个用户的基线行为,它们可以检测与此基线的偏差,从而有助于在早期阶段检测潜在的安全威胁。

但是,UBA与传统的安全解决方案到底有何不同?

二、传统安全解决方案的局限性

误报掩盖了真正的威胁:传统的安全工具会用大量错误标记的安全警报轰炸管理员,因为它们采用基于规则的威胁检测技术,而 UBA 解决方案采用基于 ML 的技术来有效和准确地检测异常。这使得使用传统安全解决方案很难发现真正表明可能遭受真正攻击的信息,尽管组织保持其边界安全并仔细审查内部人员和外部人员的一举一动,但大多数管理员在大量误报中错过了妥协的迹象。

无法检测异常:传统安全解决方案使用的审核技术无法准确检测异常用户行为。警报阈值是主观的,并且每个网络都是独一无二的,而且它们会随时间而变化,因此不能依赖警报来发现威胁,尤其是缓慢的攻击。您可以使用机器学习来检测偏差,而无需设置任何阈值,机器学习会分析一段时间内的用户行为,并发现任何轻微的用户异常。

三、UBA提供什么

效率:提高检测速度,帮助分析安全事件的影响并快速响应。

精确性:超越简单的规则,利用基于机器学习的技术,在早期阶段准确检测缓慢和有针对性的攻击。

减少误报:由于误报警报是延迟违规检测的干扰源,因此特定于组织中每个用户的唯一警报阈值变得非常重要,UBA 根据每个用户的活动级别计算其阈值,而不是对所有用户使用一揽子阈值。

更好的威胁检测:传统的安全解决方案无法分析用户行为,也无法检测此行为中的异常情况。因此,当员工处理敏感数据时,很难知道他们只是在做自己的工作还是恶意的,UBA 解决方案依靠用户的基线活动来识别指向潜在攻击的异常用户行为。

四、用户行为分析(UBA)在工作中的应用

虽然现有的安全解决方案使用静态阈值来区分正常和不正常,但 UBA 解决方案使用分析方法(数据分析和机器学习的组合)根据实际用户行为实现动态阈值。

UBA 收集有关整个组织中的用户在较长时间内所做的事情的信息,然后创建特定于每个用户的“正常”活动的基线。每当偏离既定基线时,UBA 解决方案都会认为此异常并提醒管理员。

UBA解决方案的基石是行为难以模仿的前提,因此,当外部实体试图闯入网络时,很容易被发现。

UBA 工作方式的各个阶段:

在较长的时间内收集有关用户的信息。
对特定于每个用户的正常活动的基线进行建模。
根据实际用户行为定义唯一阈值。
找出与常态的偏差。
通知有关安保人员。
根据最新数据不断更新阈值。

实现 UBA 的身份保护的工具
AD360 实时Active Directory更改监控软件,它并不止于审核域控制器,它更进一步,整合了 UBA 以更有效地检测内部威胁。其内置的 UBA 引擎可帮助管理员:

监控流氓用户

让我们来看一个用例:假设一个心怀不满的员工离开了组织,想要窃取关键的财务信息。员工复印了 200 份包含公司财务数据的文件,由于用户通常每天访问大约 10 个文档,因此此行为是异常的。UBA 解决方案会识别此异常行为,并向管理员触发警报。

没有 UBA 功能的传统安全无法建立正常用户活动的基线来发现异常,并且不会将这种级别的文件访问视为奇怪。但是,这是一个明显的情况,即用户的活动异常,需要管理员注意。

检查被盗用的帐户
心怀不满的员工想使用同事的凭据窃取重要信息,在同事回家一天后,攻击者尝试从同事的计算机登录,以避免标记来自错误计算机的登录事件。在多次错误地猜测同事的密码后,攻击者成功输入了正确的密码并登录。

在计算了同事过去几个月的典型登录时间后,UBA 解决方案检测到异常登录时间。使用 UBA,不仅可以检测到异常登录时间,还会发出警报并立即发送给管理员。

检测成员服务器上的异常进程
员工在浏览互联网时安装了恶意应用程序,然后,他们连接到具有管理员权限的服务器以执行管理任务,UBA 解决方案在服务器上检测到此新操作并触发警报,更快地检测攻击使管理员能够减轻其影响。

检测权限滥用
AD360的UBA模块可检测特权用户的异常用户行为,以保护敏感数据。例如,如果特权用户尝试访问关键文件或文件夹并执行异常大量的文件修改,AD360将标记此事件并发送有关可能威胁的警报。

发现用户错误造成的安全威胁

如果用户不小心打开了漏洞门或错误地损坏了数据,AD360的UBA引擎可以立即发现这种异常情况。假设某个用户意外授予了组织中每个人访问敏感文件的权限,将检测异常数量的文件活动并触发警报。然后,管理员可以查看为什么此文件突然被访问了这么多次,并检测数据泄露。

执行风险评估
管理员可以通过过滤连接到最多资产的用户以及过度活跃的帐户来识别网络中的薄弱环节。AD360提供风险评估报告,用于监控这些易受攻击的帐户。例如,您可以通过在风险评估报告中运行查询来找出哪些帐户的活动计数最高(例如,文件活动高)。
微信截图_20241112143549.png

AD360 身份和访问管理(IAM)解决方案,用于管理用户身份、管理对资源的访问、实施安全性和确保合规性。允许用户快速访问所需资源,同时建立严格的访问控制,从集中式控制台确保本地Active Directory、Exchange Server和云应用程序的安全性,从而帮助您简化IT环境中的IAM。

相关文章
|
7月前
|
机器学习/深度学习 分布式计算 大数据
阿里云 EMR Serverless Spark 在微财机器学习场景下的应用
面对机器学习场景下的训练瓶颈,微财选择基于阿里云 EMR Serverless Spark 建立数据平台。通过 EMR Serverless Spark,微财突破了单机训练使用的数据规模瓶颈,大幅提升了训练效率,解决了存算分离架构下 Shuffle 稳定性和性能困扰,为智能风控等业务提供了强有力的技术支撑。
320 15
|
7月前
|
监控 数据可视化 搜索推荐
营销人必看:复盘工具选对,效率直接翻倍
营销活动的结束并非任务的终点,而是优化的起点。复盘作为营销闭环中的关键环节,旨在总结经验、发现问题,并为后续策略提供数据支撑和方向指引。本文系统解析了如何高效完成有价值的复盘,涵盖目标回顾、数据拆解、策略优化及团队协作等方面,助力营销能力持续升级。通过明确复盘的核心价值(数据沉淀、策略校准、团队共识),避免常见误区,确保复盘真正推动营销进化,构建可持续的增长飞轮。
355 12
|
SQL 运维 监控
ARMS全链路监控
【8月更文挑战第22天】
473 3
|
10月前
|
存储 算法 C语言
【趣学C语言和数据结构100例】16-20
本文精选了五个C语言编程问题,涵盖数组操作、字符串处理等基础领域。包括查找二维数组中的鞍点、折半查找法、统计文章中字符数量、电文解密及字符串连接。每个问题都附有详细的代码实现与分析,旨在帮助读者理解算法逻辑,提升编程技巧。通过这些实践,不仅能锻炼编程能力,还能加深对数据结构和算法的理解,为未来的学习和工作打下坚实基础。
116 4
|
存储 Linux 虚拟化
超详细!VMware虚拟机迁移操作教程
为VMware虚拟机迁移提供从0到1的详尽操作指导
878 0
超详细!VMware虚拟机迁移操作教程
|
6月前
|
安全
一文看懂网络文化经营许可证
一文看懂网络文化经营许可证
366 3
|
12月前
|
机器学习/深度学习 人工智能 算法框架/工具
使用Python实现深度学习模型:智能家电控制与优化
使用Python实现深度学习模型:智能家电控制与优化
355 22
使用Python实现深度学习模型:智能家电控制与优化
|
IDE 测试技术 开发工具
从零开始:使用 Playwright 脚本录制实现自动化测试
Playwright提供了一种便捷的脚本录制功能,类似于Selenium IDE。通过运行`playwright codegen`命令,你可以启动一个浏览器并记录你的操作,生成Python或异步代码。在示例中,展示了如何录制登录百度的过程,生成的代码可以直接用于自动化测试。Playwright Inspector允许你编辑和转换测试代码,支持生成Pytest格式的测试用例,方便Python开发者使用。这个功能使Playwright成为强大的Web自动化测试工具。
|
监控 API 开发工具
ARMS性能分析
【8月更文挑战第22天】
287 4
|
存储 SQL 关系型数据库
关系型数据库和非关系型数据库的区别和选择方法?
【8月更文挑战第17天】关系型数据库和非关系型数据库的区别和选择方法?
843 0