用户与实体行为分析的能与不能

简介: 本文讲的是用户与实体行为分析的能与不能,用户与实体行为分析(UEBA)已经在过去的几年得到了迅速的发展。最开始它只是用户行为分析,关注与捕捉内部恶意威胁。

本文讲的是 用户与实体行为分析的能与不能,用户与实体行为分析(UEBA)已经在过去的几年得到了迅速的发展。最开始它只是用户行为分析,关注与捕捉内部恶意威胁。之后,从业者和供应商们意识到用户互动只是情况的一部分,服务器和终端的行为对一个更完整的视角来说也是非常重要的。这在分析物联网和工业控制系统环境时尤为正确。

image

今天UEBA已经不再仅仅是一个单点解决方案,它已经被视为从内部威胁,到安全信息事件管理工具,再到网络风险分析和终端保护的重要因素。

通过把UEBA技术同其他数据资源和分析方法结合起来,机构越来越方便在更大的尺度上解决网络风险挑战。比如,他们使用UEBA分析异常用户和机器行为的重叠作为攻击指标,以识别有问题的账户;或者用UEBA确定基于供应商的内部威胁,并且这方面信息和其他的风险智能结合起来,以获得一个360度的第三方风险视角。这一视角可以被安全和供应商风险管理参与方用来减少侵入公司网络和信息的外部威胁。

伴随2018年5月生效的《通用数据保护规则》(GDPR),保护雇员、顾客和股东的私人数据的关注点也会更新。UEBA将被用于检测处理不当的敏感数据,这些没有被妥善处理的数据会导致公司在合规性方面违反通用数据保护条例。这包括了解人们在访问什么、异常访问、异常数据分类水平处理、异常解密和异常电子邮件和云上传的行为模式。

UEBA最有力而又往往被忽视的应用之一,是确定和缓冲粗心用户和有问题的业务流程。

大多数公司的典型安全工具,其事件数据来自于非恶意用户,这些用户要么是粗心大意,要么是由于缺乏一个即遵守安全策略又方便工作的方法。

尽管这些用户和业务流程造成很大的风险,并给安全运营中心(SOC)产生了大量的噪音,但在应对更紧急的恶意威胁时,它们还是经常被“搁置”起来。在如今繁忙的安全环境中,搁置也就意味着“近十年不理会”。

使用UEBA来确定和分析正常的用户和雇员组的重复性非恶意行为模式,是矫正他们的行为,减少风险和降低噪音的第一步。

即使确定正常或不正常的行为模式是UEBA的一项基本能力,它仍然成为整个网络风险分析难题的关键拼图。

当然,UEBA不是“银弹”。管理和减少网络风险需要对资产、损失影响、基于主机的威胁比如恶意软件和勒索软件、漏洞,以及滥用特权而带来的风险,有着全面的理解。但UEBA仍不失是首席信息安全官工具箱中必不可少的组成部分。

原文发布时间为:八月 10, 2017
本文作者:Recco
本文来自云栖社区合作伙伴安全牛,了解相关信息可以关注安全牛。
原文链接:http://www.aqniu.com/learn/27347.html

相关文章
|
机器学习/深度学习 数据处理 对象存储
机器学习平台PAI智能标注之文本标注 Quick Start
智能标注(iTAG)是机器学习平台PAI上一款智能化数据标注平台,支持图像、文本、视频、音频等多种数据类型的标注以及多模态的混合标注。智能标注(iTAG)提供了丰富的标注内容组件和题目组件,您可以直接使用平台预置的标注模板,也可以根据自己的场景自定义模板进行数据标注。本文以文本标注为例快速演示该功能的使用,以供参考。
1652 0
机器学习平台PAI智能标注之文本标注 Quick Start
|
监控 数据可视化
怎么把Logstash 通过 Kibana 可视化监控起来?
怎么把Logstash 通过 Kibana 可视化监控起来?
怎么把Logstash 通过 Kibana 可视化监控起来?
|
机器学习/深度学习 存储 运维
Exabeam的UEBA调研
Exabeam的UEBA调研
1918 0
|
缓存 容灾 架构师
极客时间架构实战营总结
极客时间架构实战营总结
673 0
|
消息中间件 缓存 JavaScript
Nacos+@RefreshScope 为什么配置能动态刷新?
Nacos+@RefreshScope 为什么配置能动态刷新?
|
网络协议 PHP
Wireshark常用过滤器表达式汇总
【7月更文挑战第6天】Wireshark 抓包和显示过滤器用于精确定位网络流量。
|
机器学习/深度学习 数据采集 运维
基于机器学习的用户实体行为分析技术在账号异常检测中的应用
伴随企业业务的不断扩增和电子化发展,企业自身数据和负载数据都开始暴增。然而,作为企业核心资产之一的内部数据,却面临着日益严峻的安全威胁。越来越多以周期长、频率低、隐蔽强为典型特征的非明显攻击绕过传统安全检测方法,对大量数据造成损毁。
|
机器学习/深度学习 算法
【MATLAB】 多元变分模态分解MVMD信号分解算法
【MATLAB】 多元变分模态分解MVMD信号分解算法
1403 0
|
消息中间件 NoSQL JavaScript
领导:谁再用 Redis 实现过期订单关闭,立马滚蛋!
领导:谁再用 Redis 实现过期订单关闭,立马滚蛋!