腾讯御见UEBA

引子：腾讯御见UEBA（用户实体行为分析）面向政企办公安全、数据安全治理、员工行为管理，使用一系列分析方法（统计学习、机器学习等高级分析方法）通过分析用户实体（用户、应用、设备、主机等）相关行为日志构建用户实体画像（静态画像、动态画像），然后基于用户实体画像进行**风险检测、风险分析、风险评估，**最终识别内部风险用户和风险实体。御见UEBA是单独的解决方案或产品，也可以作为一种高级分析能力或模块嵌入到御见SOC中。目前我们御见UEBA产品最新版本已经发布，本文会结合最新版本对御见UEBA进行简单介绍。

一、背景

2019 verizon数据泄露调查报告指出，34%的数据泄露涉及企业内部人员。内部人员对企业构成了特殊的威胁，传统安全产品无法检测，因为他们有权限访问内部系统，通常能够绕过安全措施，从而给安全团队造成安全盲点。大多数网络安全专家都认为，企业网络安全系统中最薄弱的环节是其员工。据网络安全咨询公司CrowdStrike研究发现，百分之五到百分之十的员工会点击钓鱼邮件，点击钓鱼邮件受害者的计算机将自动运行恶意程序并被完全控制，攻击者进而通过合法的身份账号做数据窃取等不法操作而不被发现。内部威胁，内部人员风险对企业安全尤其重要。

攻击变得越来越复杂，传统安全解决方案大多基于规则的单点检测，往往检测不到或发现更多未知威胁。针对越来越复杂的攻击，需要打破单点检测引入行为分析等高级分析方法。

在SANS研究所最近的一项调查中，受访者确定了安全组织的三大优先事项：更好的调查功能，更多具有调查能力的人员进行运营和发现数据与信息的能力。运营压力大运营人力不足是最常见的安全运营中心（SOC）挑战。

企业面临的安全挑战主要有以下几个方面：

**1. 内部威胁对企业安全尤其重要；2.****攻击越来越复杂；3.**运营人力不足。

UEBA解决方案从多个来源接收数据并所有数据源关联在一起，使用统计学习、机器学习等高级分析方法，对用户和实体正常行为建模，识别偏离正常行为的风险用户和风险实体，实体包括应用，主机，设备等。最后通过风险打分的形式将风险高的用户实体优先呈现给运营人员，而不会被大量告警淹没。UEBA的机器学习等高级分析方法通过行为建模进行自我调整，发现未知风险。 

二、UEBA现状及发展趋势

用户和实体行为分析（UEBA）是企业安全性中增长最快的领域之一，据Gartner称，其年复合增长率为48％。

Gartner 2019年“Market Guide for User and Entity Behavior Analytics”指出:

① 用户和实体行为分析技术已经被大中型企业在一系列使用案例中的使用所证明。

Gartner主要从3个维度定义UEBA（场景，分析方法，数据源），如下图所示：

数据：UEBA采集多源数据，例如事件日志，用户上下文数据，网络流量等等；关联更多的数据能更好刻画用户实体的行为活动，能更好的通过分析方法识别未知风险。

场景：UEBA需要清楚的定义检测或解决的场景，明确每个场景输出才能体现产品价值。

分析方法：多种分析方法，从传统的基于规则到UEBA采用的一系列分析方法包括规则、统计学习、有监督、无监督、深度学习、GAN等高级分析方法。

② UEBA可以是一种解决方案的单独产品，也可以作为UEBA特性嵌入到其他安全产品中。未来UEBA将以提供高级分析能力或模块的方式逐渐嵌入到SIEM等安全产品中。

如“Technology Insight for the Modern SIEM”中所述，在2018年和2019年迄今为止，我们看到SIEM工具和UEBA工具之间的界限越来越模糊。 SIEM借助UEBA在分析方面变得更好，并且可以提供检测复杂的场景。 同时，UEBA供应商将重点放在更好的数据管理和可操作性上，这使它们更接近SIEM。

在这项研究中跟踪的UEBA产品供应商中，已经有一半还提供了SIEM产品，通常以不同的模块的形式提供它们，以提供更完整的威胁检测技术。

同样，一些SIEM供应商也逐渐将UEBA模块嵌入到SIEM中或提供高级分析功能。

③ 一些买家发现，UEBA的部署需要较多的时间和精力，添加新的或自定义的检测场景可能很艰巨，需要数据科学和分析方面的专业知识。

三、腾讯御见UEBA及产品特性

腾讯御见UEBA（用户实体行为分析）面向政企办公安全、数据安全、员工行为管理，使用一系列分析方法（统计学习、机器学习等高级分析方法）通过分析用户实体（用户、应用、设备、主机等）相关行为日志构建用户实体画像（静态画像、动态画像），然后基于用户实体画像进行风险检测、风险分析、风险评估，最终识别内部风险用户和风险实体。

御见UEBA是单独的解决方案或产品，也可以作为一种高级分析能力或模块嵌入到御见SOC中。御见UEBA提供两种方式：一种是UEBA单独产品；一种是嵌入到御见SOC作为UEBA模块，并给产品提供高级分析能力。

1. 政企办公安全**:** 保障企业办公系统安全，支持企业远程办公风险监测。

2. 数据安全治理**：**构建企业内部数据泄露和业务数据窃取的统一监控平台。

3. 员工行为管理**：**及时发现违规、实陷和恶意员工，构建员工多维度画像，从内部保障企业安全。

违规用户：

① 存在账号共享情况，共享账号带来风险；

② 内部高权限用户进行违规操作，违规退改；

③ 部分用户大量进行敏感查询并泄漏敏感信息。

失陷用户：

① 账号丢失；

② 账号被暴力破解。

恶意用户：

① 用户进行非法高危操作：删除数据、修改业务信息；

② 用户利用逻辑漏洞干扰正常业务；

③ 用户窃取敏感数据信息。

产品特性：

御见UEBA有以下产品特性：

① 人员风险可视，行为可追溯

利用统一的员工身份，全面追踪风险员工行为，刻画人员行为画像（静态画像、动态画像），直观感知人员风险。

② 应用数据打通，发现潜在威胁

移植SOC关联分析安全经验，关联多个应用数据，复原用户完整风险操作，识别更多潜在威胁。

③ 灵活的自定义仪表，满足各类监控需求

支持自定义仪表板，提供丰富的各类风险数据监控。

④ 应用统一安全管控，全局视角

提供全局视角，告别单一应用单独管控，企业所有应用纳入统一安全体系。

⑤ 丰富的安全场景和模型

内置4大类20余种安全场景，覆盖账号安全、办公安全、数据安全和业务安全。

⑥ 自定义机器学习检测框架

系统支持自定义行为基线建模能力。为了缓解UEBA的部署添加新的或自定义的检测场景，需要数据科学和分析方面的专业知识，费时费力的问题，我们提供自定义机器学习检测平台，可以直接拖拽不用编写代码，方便便捷完成基线建模调试及生产环境模型部署。

四、腾讯御见UEBA的产品架构

御见UEBA的产品架构如下图所示：

**用户应用数据采集：**UEBA从多个数据源采集数据供后续关联分析，比如应用访问日志，堡垒机日志，主机风险日志，数据库审计日志等等。

**风险智能检测：**将多源数据输入到风险智能检测引擎进行数据分析，通过统计学习、有监督无监督、异常检测等方法构建单体行为基线、群体行为基线以检测用户应用偏离基线等潜在风险。

用户应用风险输出：通过统计学习、机器学习等一系列分析方法识别应用风险、数据风险、人员风险、计算环境安全风险。

**风险监控调查：**统计各项应用运营指标，企业应用整体运营状况一目了然。持续监控应用运行风险，应用安全心中有数；多种算法规则感知企业应用风险，应用和人员风险全面感知。

===

五、腾讯御见UEBA主要功能

腾讯御见UEBA提供多源数据接入、日志检索、用户实体画像、用户实体风险分析、用户权限梳理、应用业务梳理、用户实体风险评分、仪表盘、AI检测平台等多种功能。

其中核心功能主要有：用户实体画像、用户实体风险分析、用户权限梳理、应用业务梳理、用户实体风险评分等。

特色功能有：AI自定义检测平台（可配置的基线建模平台）

下面结合UEBA产品，进行简单介绍。

御见UEBA会从用户和应用的视角，基于多源日志进行大数据分析，刻画用户实体静态画像和动态画像，并基于画像信息进行风险评估，并利用用户实体的综合风险分排序及风险画像信息、风险评估信息进行进一步运营调查。

用户实体风险评分**：**风险量化评分会经过风险打分，风险合并等多种方式明确需要优先处理的人员和应用，减轻运营人员运营压力。

行为分析首页

用户实体画像**：御见UEBA分析的对象主要包括用户、设备、资产、应用等等，建立用户实体画像库，持续丰富更新用户实体的静态画像和动态画像**。

       用户静态画像                           应用静态画****像

           用户动态画像                         应用动态画像

用户/应用行为风险评估: 综合静态画像和动态画像完整了刻画用户实体，后续可基于画像数据进行风险检测、风险分析、风险评估等等；并以操作行为时间线及风险原因数据下钻举证的形式展现。

      操作行为时间线                       风险评估原因举证

业务/账号梳理: 对客户的业务及账号进行梳理，直观展示应用系统业务接口和当前用户账号使用情况，列举静默账号等风险账号，梳理各接口访问及失活接口等风险状况，发现被安全运营人员忽视的业务接口，了解自身业务攻击面。

         账号梳理                             账号详情

         业务梳理                             业务详情

可配置的基线建模平台：产品集成了可配置的行为基线建模平台用来进行行为基线建模，平台内置了30+种特征提取转换函数、6种统计算子；7种行为基线建模算法；3种策略去误报方法；用户只需要通过简单拖拽的方式即可完成基线建模，无需编写代码。

可配置的基线建模平台的优点：

①清晰明确的向客户展示基线建模过程中所使用的数据、特征、算法、策略等各个模块信息及整个基线建模的流程。

②开放基线建模能力给用户，直接拖拽不用编写代码即可快速完成基线建模。

     场景自定义                            基线建模任务流

六、御见UEBA典型场景

御见UEBA内置了4类20多种典型场景以覆盖账号安全、办公安全、数据安全和业务安全，包括账号风险，离职员工权限风险，内部数据窃取，研发凭证外泄风险，研发数据泄漏风险，研发运维恶意操作等等。

**账号风险：**针对企业员工VPN、OA等办公应用账号被攻击者窃取的风险监控。

离职员工权限风险：针对离职员工仍然具有权限，登录办公应用或业务系统的风险监控。

**内部数据窃取：**针对企业员工对内部OA、HR等系统数据的异常访问和窃取风险监控。

**研发凭证外泄风险：**针对研发运维账号外泄，存在外部异常登录行为的监控。

**研发数据泄漏风险：**针对内部源代码、数据库等研发数据泄漏风险的监控。

研发运维恶意操作：针对研发运维人员的高风险操作检测，以及异常行为预警。

典型场景示例：

1. 用户账号失陷检测

① 内部人员误点钓鱼邮件，泄露账号密码。

② 黑客使用内部账号密码登录OA、营销、财经等多个内部系统，寻找有价值数据，找到数据后尝试大量下载。

③ 御见UEBA通过对内部人员进行行为画像，建立安全基线，检测到多种行为异常，关联分析发现疑似内部人员账号失陷，及时告警。

④ 安全运营人员及时联系员工确认，并封禁该员工权限。

⑤ 安全运营人员借助应用安全中心对该账号行为进行审计，确认涉及的内部系统，查询其他内部系统监控记录，确认最终影响范围。

2. 应用数据泄露检测

① 应用出现逻辑漏洞。

② 黑客通过该暴露的漏洞，大量获取应用数据。

③ 黑客为绕过访问频率限制，控制多个账号去尝试获取数据。

④ 御见UEBA通过应用整体运行监控，发现应用访问量异常、访问用户量异常，同时发现部分用户访问行为异常，及时告警。

⑤ 运营人员根据告警判断出现数据泄露，根据应用安全中心风险检测结果定位到风险接口，协助修复漏洞，防止进一步数据泄露。

⑥ 根据检测得到的多个黑客控制的风险账号的行为记录，以及应用的访问记录和数据访问记录，评估数据泄露规模，进行进一步总结整改。

参考资料：

2019Gartner, Market Guide for User and Entity Behavior Analytics

2019Gartner, Market Trends: UEBA Providers Must Embrace Specialization

2019Verizon, 2019 Data Breach Investigations report

该账号主要围绕智能化技术如何帮助企业提升网络安全水平展开，内容涉及机器学习、大数据处理等智能化技术在安全领域的实践经验分享，业界领先的产品和前沿趋势的解读分析等。通过分享、交流，推动安全智能的落地、应用。欢迎关注~