揭秘:员工行为感知就是UEBA吗
日期:2022年04月11日 阅:126
前段时间网上陆续爆出几条“炸圈”的消息:某银行、某新媒体社交平台都疑似使用某网络安全公司出品的“员工行为感知系统”,监测员工的离职倾向,如投递简历情况,以及监测员工利用公司内网聊天、看视频等打开无关工作网站等,该事件迅速升温引发网友广泛争议,这场舆情危机也导致了该网络安全公司市值缩水,并将这款有十多年历史的老产品从网站迅速下架了。
对于事件中提到的员工行为感知等同于数据安全领域的核心技术UEBA吗?接下来,我们就一起揭秘……
员工行为感知是基于上网行为管理产品的一个功能点,上网行为管理虽然此前也曾被吐槽,但尚未引起公众注意,它仍作为一款成熟的产品,多年来被广泛应用。此次引发争议很大原因是因为近期国家颁布的《个人信息保护法》,此次事件是社会对这部法典的积极反响,是民众对个人隐私保护意识的提高表现。
其实,行为分析系统最早出现在2000年初期,作为帮助营销团队分析和预测客户购买模式的工具出现的。行为分析技术随后被应用于网络安全,即用户行为分析(User Behavior Analytics)。Gartner在2014年发布了用户行为分析市场指南,将用户行为分析(UBA)定义为威胁检测和调查技术,通过分析用户活动并结合某种形式的高级分析,例如机器学习、数据科学或类似于AI人工智能的功能,去探测网络的异常活动。
因为上网行为管理产品也是对用户网上行为进行监控和分析的,这就让不少人认为上网行为产品等同UBA。事实如此吗?虽然上网行为管理和UBA都是以用户为核心,但两者的目标和市场定位却有着天壤之别:
1. 监测内容及属性不同
UBA是通过对用户的行为分析来检测和发现网络攻击态势和潜在威胁的,机器学习等AI技术是UBA分析所依赖的主要工具;而上网行为则是对每个具体的个体用户网上行为的追踪,对用户在访问网站的登录情况、发表言论及其它操作做详尽的监控和数据分析。上网行为管理虽然也涉猎一些其它信息,其中包括文件访问,但它并不关注用户所访问网站会带来的威胁隐患。
2. 对数据流向的关注点不同
从数据流动的方向看,上网行为管理主要监测用户在外网社交媒体或网站发布的信息,关注从里向外的单项数据流动;而UBA既需要监测从外网流入内网的数据,发现入侵行为,也需要监测从内网流向外网的数据,发现数据泄漏,即关注双向的数据流动。
3.行为分析技术在分析维度上的升华
因为同是关注用户,Gartner也许是意识到中国市场已有的关于用户行为分析的产品而影响其技术独创性,于是在2017年对UBA的市场指南更新时,将其更名为UEBA(User and Entity Behavior Analytics),增加了Entity,即“实体”这个元素,实体可以是网络中任何相关的元素。
根据Gartner的解释,网络的威胁分析不仅来自用户,还可能来自其它实体。UEBA不仅能够跟踪用户活动,还能跟踪设备、应用程序、服务器以及数据的所有活动。所以,曾经的UBA是一个单维度的行为分析,仅仅关注用户这一个维度,而UEBA则是多维度的行为分析概念,不但分析用户行为数据,而且还将用户行为数据与来自各个实体的行为数据相结合分析。如此可见,UEBA与上网行为管理的差异就不言而喻了。
Gartner将行为分析引入用户之外其它实体的原因是它认识到任何复杂的网络攻击和异常行为都不只是简单依靠单一维度的分析就能检测出来的。用户与设备、应用、数据这些维度即各有特性却又相互关联。若把任何单一维度作为孤立的实体分析对象,而忽略它与其它维度实体的关联关系则将很容易造成大量的误报。下面通过两个例子来说明这种关联关系的重要性:
如果一个用户有多个账号或使用了多台设备,而我们不能把这些账号或设备关联到同一个用户上,而是把这些账户或设备作为多个独立的用户来考虑,那么,即便这个用户的每个账号行为都在正常范围之内,但其综合行为却已可能超出正常范围。比如,一个部门每个用户账号的敏感文件下载量标准都在100个以下,即便通过机器学习对这些账号的文件下载量建立基线,并且每个账号的行为都在正常范围之内,若是一个用户身份登录了多台设备或多个账号,其异常的综合行为也是无法检测出来的。
如果仅是对网络中传输的敏感文件这一单一维度监控和分析,而未将这些文件与其它实体(例如用户、设备等)相关联,单纯从数据(文件)纬度所做的分析结果很可能造成误导,甚至是完全错误的。比如,每个文件不能准确关联到哪个具体的访问用户,即便是文件的访问行为(总数)并没有超出其基线而触发异常,却会因为每个用户个体行为的差异出现异常(其中个别用户行为可能已超出其身份制定的行为基线),而这些却因为缺乏这种关联关系而无法被监测到。因此,如果不能准确构建UEBA各实体之间的关联互动关系,即便再好的机器学习算法也无法达到理想的检测效果。
从UBA到UEBA不仅仅是多重维度的量变,更是一个质变的跨越,但如果这种技术跨越缺乏坚实可靠的基础,终将以失败而告终,这就是为什么绝大多数UEBA的实践不尽如人意。全息网御通过多年聚焦在流动数据安全领域的专注与技术研发,深入分析流动数据在各行各业的业务共性,抽象出以数据为核心,实时关联用户、设备、应用等多个维度的网络全息图,创造性地解决了UEBA实体间关联关系这一核心问题,为UEBA技术在流动数据的监测、预警/告警、溯源、审计中的应用奠定了坚实的基础,并极大提高IT安全运维和事故响应的效率,抓取证据链、追责去责无责,极大提升了业务系统的运行能力,真正赋能数据创造价值。