新一代数据安全的制胜法宝-UBA

在入侵防御领域,运用数据分析的方法保护数据的技术其实没有什么新的东西,比如防火墙-分析数据包的内容以及其他的元数据,如IP地址,从增长的数据条目中检测和阻断攻击者;防病毒软件不断的扫描文件系统,通过检查比特流代码和其他一些特征来标记文件是否被感染。

与防火墙和防病毒软件不同,用户行为检测或者UBA聚焦于用户正在发生的行为:应用启动、网络连接活动、最关键的文件访问(当文件或邮件被访问的时候,谁访问的,在文件上做了什么以及操作的频率)。

UBA技术检索那些可以表征不常见或者异常动作的行为模式,不管这些操作具体是来自黑客、内部人员、甚至是恶意软件或其他进程,UBA并不阻止黑客或者内部威胁进入你的系统,但它可以迅速标记这些行为,让损失最小化。

UBA是SIEM的近亲(Security and Information Event Management),SIEM历来专注于分析防火墙捕获的事件、OS和其他系统的日志,从而发现并标记一些有趣的关联的目的,通常是通过一些预定义的规则来发现,举个例子,几个登录失败的事件可能会匹配到另一个网络日志中流量的增加,SIEM可能会认为这是一个黑客入侵系统并删除数据的信号。

我们很快就会看到,如果把注意力全部放在边界系统和OS日志上而不是目标数据本身,就非常容易漏掉内部人员滥用访问权限的情况,同时也容易漏掉黑客活动,因为一旦黑客进入到系统内,他们便非常善于伪装成普通用户,。这就是UBA的由来,对系统事件关注相对少,而对特定用户活动关注较多,UBA可以学习用户的行为模式,当黑客的行为与合法用户出现不同时立即标记目标。

Garter对UBA有一个更加传统的定义:

User Behavior Analytics (UBA) [is] where the sources are variable (often logs feature prominently, of course), but the analysis is focused on users, user accounts, user identities — and not on, say, IP addresses or hosts. Some form of SIEM and DLP post-processing where the primary source data is SIEM and/or DLP outputs and enhanced user identity data as well as algorithms characterize these tools. So, these tools may collect logs and context data themselves or from a SIEM and utilize various analytic algorithms to create new insight from that data.

为什么需要UBA

要理解UBA的产生根源,你需要先想一想当前数据安全分析方法的短板,对于任何一个过去两年内在入侵防御一线的人员来说,黑客好像总是能拿到前门的钥匙。

在斯诺登或者维基解密的案例中,黑客貌似可以逐字获取到前门钥匙,这是因为他们早就已经潜伏在内部了。在目标的突破上,黑客通过远程登录盗取或推测用户密码,在近期一些安全事件中,攻击者通过*** 邮件诱骗员工下载恶意软件。

防御来自合法用户的攻击并不是基于边界的安全防御的一部分,黑客很容易到达边界然后进入到内部系统,他们通过合法的公共端口(email, web, 登录),然后像正常用户一样访问,一旦进入,黑客会熟练的应用那些还没有被防病毒软件标记的恶意软件,有时候他们还会使用合法的系统管理软件来连接他们自己的网络。

事实上,对于一个只监控系统活动的IT管理员来说,通过检查应用的访问,登录的名字等-黑客看起来也只像是另一个普通用户罢了。这就是为什么你需要UBA!

面向边界的网络安全技术通常是寻找在错误的地点进行的不寻常的活动,而新一代的黑客总能想办法绕开这一点,通过访问未授权网络端口或者通过可信的软件等。

边界防御的硬伤

攻其不备:弱口令,*** ,SQL注入

口令爆破依然是黑客最有效的入侵方式,因为人们总是倾向于选择简答的密码,比如名字的一部分或者一串简单的数字序列,或者甚至使用安装软件时的初始口令。近些年来黑客已经很擅长通过发送一封邮件诱导用户点击从而邀请他们进入系统,完全不需要破解口令,也即*** 邮件攻击。*** 邮件是一种经过伪装的电子邮件,通常看起来是从一个合法的源头发出的,黑客也会使用一些公司官方的logo以让*** 邮件看起来更加真实。黑客们清楚大部分企业的员工对于URL底层的技术支持并不是非常了解,所以很容易让他们相信伪造的发件人地址。举个列子,很多用户都会相信jon@fed3x.com来自FedEx的员工,因为这个地址看起来很像是那个合法的域名fedex.com。一旦上钩,员工会点击邮件中的链接或者附件,之后恶意软件就启动了,任务完成,黑客就这么进来了。

第三种黑客的常用手段是SQL注入,它和*** 的相似之处再用他们都是使用公共的接入点,这里就是web网站,在SQL注入过程中,攻击者利用网站对用户输入内容校验缺失的漏洞进行攻击,原理很简单,当一个用户输入一些文档到网页表单时,往往会触发一个到SQL服务器查询相应记录的请求,但是如果输入的内容没有经过合适的校验,黑客就有可能会插入一些恶意的SQL代码,这些恶意代码会给他们提供落脚点,让黑客可以一步一步启动shell或者进入os命令行。

神不知鬼不觉:APT 与C&C

一旦黑客进来,下一步便是安装可以提供基础管理能力的恶意软件,通常至少包含文件上传下载,简单的命令行和目录搜索功能,比如我们熟知的RATs(remote administration tool)或者应用更广泛的C&C,这些恶意软件可以让黑客从他们自己的网络直接访问到。上述过程其实没什么新意,这种做法从第一代僵尸

网络出现时就有,真正的创新在于黑客已经可以把C&C恶意软件与整体隐蔽性相结合,其结果就是所谓的高级持续性威胁或者APT。

黑客将RAT的逻辑插入Windows的必备DLL中,此时他们依然保持隐蔽,一旦DLL被激活,黑客就可以发送命令并接受结果,不仅如此,RAT可以与中央控制服务器通信,通常都是通过合法的域名标准的HTTP或者HTTPS协议进行的。黑客甚至可以连接一个仿冒的DNS服务器,用以将RAT命令隐藏在特殊的DNS协议中-也就是Anthem公司入侵的案例。

黑客入侵事件统计

数据入侵调查报告(Verizon Data Breach Investigation Report, DBIR)是一个统计黑客事件的重要来源,下图是他们做过的其中一个统计,统计近几年来被黑客入侵的那些组织发现他们被入侵所用的时间长度。


untitled.png

第一个坏消息是,上图的时间单位是月,第二个是整体趋势在变得更坏而不是更好。在Verizon的报告中,2012年大约70%的入侵事件要耗费数月才能被发现。

UBA的分析策略

Gartner将UBA软件划分为两个大类:依赖罐式分析规则标记异常行为的产品,和基于动态规则或自定义模型分析的产品。举个例子,在罐式规则的产品中,管理员可能会定义,如果一个敏感文件在周末的凌晨0点到5点被访问则强制弹出一个告警;而在纯动态规则的场景下,潜层的UBA引擎会决定什么样的行为是正常的,并且检测到落到正常范围之外的活动,换句话说,UBA引擎在构建他自己的内部规则。

很显然,在UBA产品中,上述两种策略都占有一席之地,但还是注意一点,单纯依靠罐式规则分析的UBA软件还需要一支对黑客行为有着强大直觉的IT全安管理员队伍,然而没有多少IT安全人员有这种巫师一样的能力。

UBA软件的另一个差别在于对潜层数据源头的选择,有些UBA解决方案主要关注网络连接和边界系统的行为(登录、app、事件),另一些UBA则是更关注内部系统中颗粒更细的活动,比如用户在文件和邮件上的操作。

纯粹利用网络连接或者基于系统日志的分析方法有很多缺点,如上文所说,它很难发现那些利用邮件或者注入的方式盗取正常账号进行入侵的行为,除非你有更高级的智能UBA,因为在这种情况下黑客登录或者使用APP的行为不会与普通用户有任何不同。

而那些关注用户在文件和邮件操作行为的UBA软件则会有更高的几率发现攻击者,关键点在于,想要伪装成正常用户的黑客一定会尝试搜索和拷贝带有敏感信息的文件,而这正是抓住他们的关键。

如何判断正常行为

UBA是基于这样一个想法提出来的,即系统上的用户到底在做什么?他们的活动和访问文件的模式是什么样的。最终,UBA软件起源于一个profile,用来描述每个行为对于一个用户的意义,所以当黑客偷了一个用户的凭证并且访问了他几乎从不访问的资源时,他的行为就会与之前的profile有所不同。为了实现上述想法,UBA就必须可以记录用户的行为,并量化检测到的用户行为。UBA软件必须可以通过训练来定义出用户的正常行为,通常来讲需要考虑一段时间内用户的活动日志,比如文件访问、登录、网络连接等。

UBA可以使用通用的基于大数据的挖掘算法,如KNN、线性回归、贝叶斯等,但是不管你用的哪种具体算法,目的都是要建立一个行为基线,从而可以预测什么是正常什么是异常。

UBA关注什么

并非所有UBA都采用相同的解决方案,正如上文提到的,仅依赖罐式分析规则和纯粹的基于边界系统的分析引擎对于一个聪明的黑客来说没什么卵用,关注于细粒度的文件和邮件访问的UBA一定会有更好的效果。要牢记一点,文件和邮件一定是这些网络大盗梦寐以求的,在某些情况下这些数据也可以让他们付出代价。

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 204,684评论 6 478
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 87,143评论 2 381
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 151,214评论 0 337
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,788评论 1 277
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,796评论 5 368
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,665评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,027评论 3 399
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,679评论 0 258
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 41,346评论 1 299
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,664评论 2 321
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,766评论 1 331
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,412评论 4 321
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,015评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,974评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,203评论 1 260
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 45,073评论 2 350
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,501评论 2 343

推荐阅读更多精彩内容

  • 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连...
    不吃土豆的洋芋阅读 3,243评论 0 42
  • 需要原文的可以留下邮箱我给你发,这里的文章少了很多图,懒得网上粘啦 1数据库基础 1.1数据库定义 1)数据库(D...
    极简纯粹_阅读 7,399评论 0 46
  • 1. 爱情这东西,没道理的,有人很抢手,有人没资格,这世界上无论那个人有没有出现,对于爱情,我都无法将就。 没有宽...
    孙小山阅读 998评论 10 10
  • 阳光透过树杈,洒在路边泛着淡淡忧伤的落叶上,一份恬静优雅,行走的尘埃,在日光下,微微颤动。思考了一宿,在人性和欲望...
    Cherry茜阅读 220评论 0 1
  • 这是[175]李美姝365日写作计划第13天的写作内容。 “于情于理,我都确实地知道要照顾长辈要顾及他们。但我总想...
    姜大朱无呓语阅读 337评论 0 0