什麼是 UEBA?

使用者和實體行為分析 (UEBA) 透過識別非典型的可疑行為來幫助降低風險。

學習目標

閱讀本文後,您將能夠:

  • 定義「UEBA」
  • 理解 UEBA 的工作方式
  • 確定 UEBA 的主要使用案例和優勢

複製文章連結

什麼是 UEBA?

使用者和實體行為分析 (UEBA) 是一組網路安全功能,其利用資料分析和機器學習 (ML) 來偵測使用者、裝置和其他實體的異常、潛在危險行為。該詞彙由 Gartner 於 2015 年創造,擴展了使用者行為分析 (UBA) 的概念,新增了裝置和實體的行為,這些裝置和實體的範圍涵蓋伺服器、路由器、智慧型手機和物聯網 (IoT) 裝置等等。

UEBA 確定典型的使用者和裝置行為,識別與該行為的偏差,並根據偏差的安全風險對其進行評分。例如,一名員工通常可能會在太平洋時間每天早上 8:00 從三藩市登入雲端電子郵件。如果這名員工在幾個小時後從倫敦登入客戶資料庫,並開始下載大量敏感和專有資訊,UEBA 會將其識別為異常和潛在的高風險行為。

透過審查全方位的行為並發現與典型行為的差異,UEBA 可以在組織的威脅追蹤和風險管理工作中發揮至關重要的作用。UEBA 可以增強現有的安全功能,支援 Zero Trust 安全模型,並協助組織保持對法規要求的合規性。

UEBA 如何運作?

UEBA 功能首先透過查看大量資料來建立典型使用者和裝置行為的基準,例如:

  • 使用者活動:登入嘗試、檔案存取、應用程式使用和系統命令
  • 網路流量:例如來源和目的地 IP 位址、連接埠和通訊協定
  • 驗證資料:登入成功和失敗

這些資料可以來自各種平台或工具,包括:安全 Web 閘道Zero Trust 網路存取服務、資料丟失預防 (DLP) 服務、防火牆路由器VPN身分識別和存取管理 (IAM) 解決方案、入侵偵測和預防系統 (IDPS)、防毒軟體、驗證資料庫以及其他來源。這些安全服務和解決方案可能是安全存取服務邊緣 (SASE)安全服務邊緣 (SSE) 平台的一部分。

ML 功能從不斷擷取的資料中學習,並隨著時間的推移完善行為基準。(Cloudflare 使用類似的方法進行機器人管理,衡量 Web 應用程式上的典型行為,然後將新互動與該基準進行比較以識別機器人。)

在收集和分析資料時,UEBA 模型可以偵測任何偏離正常模式或組織安全性原則的行為。例如,這些功能會注意到使用者是否在非典型時間從與正常位置不同的位置登入。此行為可能表明員工的憑證已被盜。

當 UEBA 功能識別到任何異常或可疑行為時,它們會根據該行為給組織帶來的風險指派使用者風險評分。在工作日期間數次登入失敗可能會導致低分——這有可能是使用者忘記了密碼。但其他行為異常可能是帳戶入侵、違反公司原則或資料外洩的訊號。可能引發 UEBA 相關風險緩解動作的風險行為範例包括:

  • 不可能的旅行:指使用者短時間內在兩個不同位置登入,而這段時間並不足以讓使用者在實際上從其中一個位置移動到另一個位置(例如,紐約的員工「Alice」等登入到其組織的薪資系統,但幾分鐘後從雪梨登入到他們的雲端生產力套件)
  • 資料丟失預防 (DLP) 違規:指機密商業資訊、個人識別資訊 (PII) 或其他敏感性資料移動處理不當的情況(例如,如果員工將公司專有資料上傳到第三方 AI 聊天機器人)
  • 使用有風險的裝置:例如遠端員工使用沒有更新至最新作業系統的筆記型電腦,或者使用存在未修補漏洞的路由器

UEBA 使用案例

UEBA 可以支援多種戰術和策略使用案例。

  • Zero Trust 安全:Zero Trust 是一種 IT 安全模型,可驗證嘗試存取企業網路上的應用程式或資料的每個人和裝置的身分。UEBA 功能可以補充 Zero Trust 網路存取 (ZTNA) 解決方案,或者成為 Zero Trust 網路存取 (ZTNA) 解決方案的組成部分。藉助 UEBA 功能,安全團隊可以查看誰正在存取網路、他們正在使用哪些裝置以及使用者和裝置是否違反了任何原則。團隊可以根據請求的背景資訊以及對請求是否符合典型使用者行為的評估來授予存取權限。
  • 遭入侵端點:攻擊者可能會找到滲透行動裝置或 IoT 裝置的方法,這些裝置的保護程度通常低於企業伺服器或應用程式。透過監控裝置行為,UEBA 可以在攻擊者深入企業網路之前發現遭入侵的裝置。
  • 內部人員威脅:行為分析可以幫助識別惡意內部人員,例如試圖攻擊公司網路或竊取敏感性資料的使用者。同時,UEBA 可以協助確定使用者的憑證或裝置何時遭到洩露:例如,透過網路釣魚攻擊或裝置盜竊。即使使用了合法憑證,UEBA 也可以發現非典型行為。
  • 監管合規性:組織可以實施 UEBA 來協助保持對標準或法規的合規性,例如管理金融服務醫療保健組織之 IT 安全和資料隱私的法規。透過識別偏離既定原則或規範的使用者和裝置行為,UEBA 可以在組織違反關鍵規則和法規之前發現問題。

UEBA 有什麼好處?

實作 UEBA 可透過多種方式使組織受益。

  • 降低風險:由於 UEBA 可以應用於連線到網路的任何使用者和裝置,因此即使組織的攻擊面擴大,它也可以幫助降低風險。UEBA 可以分析使用者行為,無論員工是在家、辦公室還是其他地方工作。同時,它還可以監控任何地方裝置的行為:例如,企業資料中心的伺服器和路由器、工廠的 IoT 裝置或醫院的醫療裝置。
  • 改進威脅偵測:UEBA 可以幫助識別和阻止多種類型的威脅,包括內部人員威脅、遭入侵帳戶、暴力密碼破解嘗試分散式拒絕服務 (DDoS) 攻擊等。
  • 減少手動分析的需要:機器學習和自動化功能有助於減少安全營運 (SecOps) 團隊分析記錄資料以識別合法威脅的耗時工作。IT 和安全團隊成員可以專注于其他任務。
  • 持續合規性:UEBA 使組織能夠在問題行為導致大規模洩露之前快速識別問題行為,從而保持合規性。透過持續監控和分析,組織還可以簡化稽核並有可能避免昂貴的大規模補救工作。
  • 降低成本:透過提早識別威脅,組織可以避免高昂的違規成本。

UEBA 有哪些缺點?

儘管實施 UEBA 有許多潛在的好處,但組織也應該意識到可能的缺點。例如:

  • 成本:一些獨立的 UEBA 解決方案對於中小企業來說可能過於昂貴。
  • 複雜性:雖然 ML 和自動化功能減少了對事件記錄進行人工分析的需求,但設定原則和部署警示仍然需要安全分析師的協助。
  • 限制:UEBA 可以識別各種威脅,但它仍應與其他功能整合,以實現更全面、統一的風險管理。

UEBA 如何補充 SIEM

UEBA 功能透過提供以下功能來補充安全資訊和事件管理 (SIEM) 解決方案:

  • 注重使用者:SIEM 分析事件,而 UEBA 檢查使用者和裝置的行為,這可以幫助評估使用者風險並偵測內部人員威脅。
  • 長期威脅追踪:SIEM 即時識別安全事件。UEBA 透過對持續存在的行為進行監控和評分,來識別不斷演變的長期威脅,從而對上述工作進行補充。
  • 持續學習和適應:UEBA 使用行為分析和機器學習來促進長期學習和適應。因此,UEBA 模型可以透過識別新威脅和新興威脅來增強 SIEM 能力,而無需人工干預。

結合使用 SIEM 和 UEBA 功能可以提高對安全性的可見性,並增強組織在保持合規性的同時識別和阻止威脅的能力。一些 SIEM 解決方案納入了 UEBA 功能。

UEBA 與 EDR

UEBA 和端點偵測回應 (EDR) 解決方案有一些相似之處。兩者都監控許多端點,包括桌上型電腦、筆記型電腦、智慧型手機和 IoT 裝置。此外,與 UEBA 一樣,EDR 解決方案也可以使用行為分析和機器學習來偵測非典型的可疑行為。

但是,UEBA 還可以透過分析端點使用者的行為來補充和擴展 EDR 解決方案的功能。

Cloudflare 是否支援 UEBA?

UEBA 是 Cloudflare for Unified Risk Posture 的關鍵元件,這是一個透過單一平台融合 SASE 和 Web 應用程式和 API (WAAP) 安全解決方案的功能套件。

Cloudflare 使企業能夠在不斷擴大的攻擊面中實施自動化、動態的風險態勢評估、交換和執行,同時降低管理複雜性。

進一步瞭解 Cloudflare for Unified Risk Posture