什么是UEBA？派拉軟件的“暗能力”！

什么是UEBA？

UEBA全稱(chēng)“User and Entity Behavior Analytics”，即用戶實(shí)體行為分析。其前身是 UBA（User Behavior Analytics，用戶行為分析）。

Gartner于2014年提出了UBA市場(chǎng)定義。后來(lái)，Gartner認(rèn)為實(shí)體行為從某種程度上關(guān)聯(lián)了用戶行為，關(guān)注實(shí)體行為分析可以更準(zhǔn)確地識(shí)別威脅。因此，于2015年將UBA正式更名為UEBA，主要聚焦于“賬號(hào)盜用(異常用戶)”和“合法的人做不合法的事(用戶異常)” 兩方面。

Gartner 對(duì) UEBA 的完整定義是“提供畫(huà)像及基于各種分析方法的異常檢測(cè)，通常是基本分析方法（利用簽名的規(guī)則、模式匹配、簡(jiǎn)單統(tǒng)計(jì)、閾值等）和高級(jí)分析方法（監(jiān)督和無(wú)監(jiān)督的機(jī)器學(xué)習(xí)等），用打包分析來(lái)評(píng)估用戶和其他實(shí)體（設(shè)備、主機(jī)、應(yīng)用程序、網(wǎng)絡(luò)、數(shù)據(jù)庫(kù)等），發(fā)現(xiàn)與用戶或?qū)嶓w標(biāo)準(zhǔn)畫(huà)像或行為相異常的活動(dòng)所相關(guān)的潛在事件。

這些活動(dòng)包括受信內(nèi)部或第三方人員對(duì)系統(tǒng)的異常訪問(wèn)（用戶異常），或外部攻擊者繞過(guò)安全控制措施的入侵（異常用戶）。

通俗理解， UEBA就是以大量數(shù)據(jù)收集為基礎(chǔ)，對(duì)網(wǎng)絡(luò)中用戶和實(shí)體（機(jī)器、設(shè)備、應(yīng)用程序、服務(wù)等）的典型和非典型行為進(jìn)行建模。

并通過(guò)定義此類(lèi)基線，或結(jié)合機(jī)器學(xué)習(xí)實(shí)體行為基線，生成正常活動(dòng)基準(zhǔn)，使用大數(shù)據(jù)和機(jī)器學(xué)習(xí)算法來(lái)實(shí)時(shí)監(jiān)測(cè)分析評(píng)估用戶和實(shí)體行為偏差，進(jìn)而判定正常行為或異常行為，達(dá)到識(shí)別潛在安全威脅和異常情況，并及時(shí)告警。

UEBA技術(shù)產(chǎn)生的背景可以追溯到信息安全領(lǐng)域中對(duì)于內(nèi)部威脅的關(guān)注和亟需應(yīng)對(duì)的需求。

由于傳統(tǒng)安全防御方法主要是針對(duì)外部攻擊進(jìn)行防御，如入侵檢測(cè)、防火墻等技術(shù)。而這些產(chǎn)品、技術(shù)、方案又都基本采取已知特征進(jìn)行規(guī)則匹配來(lái)進(jìn)行分析和檢測(cè)。

這樣的安全防護(hù)，一方面，忽略了內(nèi)部威脅同樣會(huì)帶來(lái)巨大風(fēng)險(xiǎn)和影響；另一方面，隨著威脅越來(lái)越復(fù)雜和隱蔽，傳統(tǒng)基于規(guī)則的安全監(jiān)控方法變得不夠靈活和準(zhǔn)確，存在安全可見(jiàn)性盲區(qū)，有嚴(yán)重的滯后效應(yīng)、無(wú)力檢測(cè)未知攻擊、容易被繞過(guò)，難以適應(yīng)網(wǎng)絡(luò)現(xiàn)實(shí)和快速變化的企業(yè)內(nèi)外部安全環(huán)境等問(wèn)題。

于是，UEBA技術(shù)順勢(shì)而生！它是一種全新的安全防御方法，不區(qū)分內(nèi)部還是外部，而是對(duì)訪問(wèn)的所有用戶和實(shí)體或正常、或異常行為進(jìn)行分析。

而什么是正常行為，什么是異常行為更多是通過(guò)大數(shù)據(jù)、算法與機(jī)器學(xué)習(xí)，不斷對(duì)用戶與實(shí)體行為基線建模，分析識(shí)別出與基線不一致的異常行為，并進(jìn)行實(shí)時(shí)警報(bào)。

這就很好地解決了傳統(tǒng)基于“已知規(guī)則”防御方法的死板與風(fēng)險(xiǎn)識(shí)別盲區(qū)等問(wèn)題。

那為什么說(shuō)UEBA是派拉軟件的“暗能力”呢？在回答這個(gè)問(wèn)題之前，我們先來(lái)理解下“暗能力”這個(gè)詞。

暗能力是吳伯凡老師發(fā)明的一個(gè)新詞。簡(jiǎn)單來(lái)說(shuō)，暗能力是你做一件事，會(huì)培養(yǎng)出其他的能力。

這些能力眼下雖然不能變現(xiàn)，但也許未來(lái)某一天，你能憑借這些暗能力，找到新的業(yè)務(wù)和賽道。

而當(dāng)你專(zhuān)注于自己的問(wèn)題越深，你的解決方案就會(huì)越豐富，隨之而來(lái)的暗能力就會(huì)越多。

回到派拉軟件，眾所周知，派拉軟件是以數(shù)字身份安全起家，并開(kāi)創(chuàng)國(guó)內(nèi)第一家身份安全原廠商。15年來(lái)，派拉軟件始終深耕數(shù)字身份安全，并在身份安全基礎(chǔ)上，不斷拓展出更多安全產(chǎn)品與能力。

而這些產(chǎn)品和能力大多都是為了進(jìn)一步強(qiáng)化對(duì)企業(yè)數(shù)字身份安全的防護(hù)，從而鞏固企業(yè)數(shù)字安全。例如派拉軟件的特權(quán)賬號(hào)管理系統(tǒng)、多因素認(rèn)證技術(shù)以及本文中的UEBA技術(shù)等。

為什么這么說(shuō)？

我們都知道，企業(yè)在進(jìn)行數(shù)字身份安全防護(hù)過(guò)程中需要對(duì)訪問(wèn)身份進(jìn)行行為分析判斷，從而避免出現(xiàn)異常行為賬號(hào)的登錄與訪問(wèn)。

例如，某個(gè)人正常的訪問(wèn)路徑、終端、時(shí)間等一直都是固定的，但突然有一天終端變了、時(shí)間點(diǎn)出現(xiàn)較大差異，甚至連訪問(wèn)路徑都不一樣。這時(shí)候，派拉軟件IAM系統(tǒng)會(huì)啟動(dòng)進(jìn)一步的強(qiáng)認(rèn)證，以判定身份的安全可信。

以上只是列舉派拉軟件在身份安全解決方案中的一個(gè)場(chǎng)景能力之一。為了進(jìn)一步強(qiáng)化身份安全訪問(wèn)、認(rèn)證和權(quán)限管控等防護(hù)能力。派拉軟件一直在不斷打磨其中的算法與策略模型。

而派拉軟件以“身份優(yōu)先”的一體化零信任解決方案的提出，又進(jìn)一步推動(dòng)派拉軟件在UEBA技術(shù)的研發(fā)與投入。

目前，派拉軟件UEBA技術(shù)已經(jīng)很好地應(yīng)用到最新IAM系統(tǒng)中，并解決了用戶登錄風(fēng)險(xiǎn)、機(jī)器人訪問(wèn)風(fēng)險(xiǎn)以及賬號(hào)注冊(cè)風(fēng)險(xiǎn)。后期還將實(shí)現(xiàn)API風(fēng)險(xiǎn)、權(quán)限濫用風(fēng)險(xiǎn)、敏感文件訪問(wèn)風(fēng)險(xiǎn)等安全防護(hù)能力。

正如派拉軟件產(chǎn)品研發(fā)總監(jiān)嚴(yán)益昌所言：“有了UEBA技術(shù)的加持，派拉軟件統(tǒng)一身份與訪問(wèn)控制管理系統(tǒng)可以更好地應(yīng)對(duì)各種撞庫(kù)、代理登錄、批量登錄、非常態(tài)登錄等登錄風(fēng)險(xiǎn)問(wèn)題；

利用15大維度檢測(cè)，判斷是否為機(jī)器人訪問(wèn)，從而杜絕機(jī)器人訪問(wèn)風(fēng)險(xiǎn)；采用5種檢測(cè)邏輯，解決批量注冊(cè)、虛假注冊(cè)風(fēng)險(xiǎn)等。此外，在API、權(quán)限、敏感文件等安全防護(hù)場(chǎng)景中，都將有進(jìn)一步的提升。

而派拉軟件UEBA技術(shù)除了應(yīng)用在IAM產(chǎn)品中，以增強(qiáng)派拉軟件在數(shù)字身份安全能力，還將進(jìn)一步部署應(yīng)用到派拉軟件其他安全產(chǎn)品平臺(tái)中，像是API、SDP、PAM等。

例如，通過(guò)將特權(quán)賬號(hào)管理系統(tǒng)（PAM）檢測(cè)到的異常事件接入到UEBA產(chǎn)品的高級(jí)分析引擎中，和其他維度的數(shù)據(jù)一起做更深層次的特權(quán)賬號(hào)異常事件識(shí)別，從而加強(qiáng)PAM產(chǎn)品的安全防護(hù)。”

所以，這就是為什么說(shuō)UEBA是派拉軟件的“暗能力”。當(dāng)然，在追求數(shù)字身份安全產(chǎn)品技術(shù)研發(fā)的漫長(zhǎng)道路上，派拉軟件也一直不斷探索著更多新的技術(shù)與解決方案，以加強(qiáng)鞏固企業(yè)數(shù)字身份安全，為快速變化的企業(yè)數(shù)字化轉(zhuǎn)型安全持續(xù)賦能。

PS:想要詳細(xì)了解派拉軟件UEBA技術(shù)在各大風(fēng)險(xiǎn)中的實(shí)際安全應(yīng)用場(chǎng)景與防護(hù)能力，記得關(guān)注我們，后續(xù)為你繼續(xù)解鎖！