發現內部威脅並不容易,有許多行為指標可以説明潛在威脅的來源,但這只是一小步。高效的內部威脅檢測,還需要全面的工具,這些工具可以監控使用者的操作活動,並追蹤哪些內部威脅指標以發現潛在的惡意行為者。
誰是內部人員(Insider)?首先,我們需要定義誰是 Insider。內部人員是可以合法訪問您的關鍵數據和系統的員工或第三方承包商。但是,並非每個內部人員都具有相同等的存取權,因此每個內部人員威脅等級不同。
在發掘潛在內部威脅之前,先理解一下UBA 與UEBA 之間的關係。UBA( User behavior analytics) 使用者行為監視,是一種及早檢測和預防內部威脅最直接的有效做法,識別可疑的使用者行為有助於消除潛在威脅、資訊外洩和違反安全規則的行為。因此,組織將能更好的滿足眾多行業標準的要求,例如 NIST、HIPAA、PCI DSS 等。
但是,要充分利用用戶行為監控,我們需要更好地瞭解其運作原理。我們將解釋什麼是用戶行為分析 (UBA) 和使用者和實體行為分析 (UEBA),以及它們在整個網路安全中扮演什麼角色。 這裡UBA的 Behavior 只有包括操作電腦可以錄到的技術指標(technical indicators),人類行為中的大部分指標是UBA沒辦法評估的。像是北約(NATO)的insider threat 評估,期望找出可能Turn over (變節) 的對象。使用的指標除了技術指標之外,還包含金錢借貸、感情糾紛、不正當關係發展等等,這些電腦UBA工具都愛莫能助。雖然有些工具號稱可以分析行為人所使用的社群媒體發文,都還是遠遠不足以利用成為有效指標。另外一個容易混淆的是金融業的insider,是指內線交易,也有專屬分析交易行為的工具,這些就都不在討論之列。
網路安全中的 UEBA 是追蹤分析,呈現和解釋網路與使用者交互活動的過程。用戶行為監控和分析則可以説明,了解員工如何與系統和數據互動。Gartner 的使用者行為分析(UBA)市場指南中指出,UBA 和 UEBA 都是使用者行為監控和分析(user behavior monitoring and analytics)的主要方法,基於這兩種方法中的任何一種解決方案,都可以監控和分析組織網路中的用戶行為。
但是UBA 和 UEBA 有一些差異,需要探討一下二者之間區別。UBA 解決方案注重監視人類操作行為模式,並應用演算法來檢測這些模式中的異常。它們可以分析事件日誌及使用者活動記錄,以檢測異常活動並識別可能對組織安全構成威脅的行為人。而在全面網路安全措施的策略中,納入用戶行為分析(UBA)對防範Insider Threats最為有效。而UEBA 是一種用於分析使用者和實體(例如,網路設備等)互動行為以及檢測異常的技術。
通常UBA 解決方案僅分析用戶行為活動,而 UEBA 將使用者監控的範圍擴展到由非用戶實體(應用程式、伺服器和設備)所執行的活動。 UEBA 基於機器學習、演算法、統計數據和分析,來觀察和解釋個人和設備如何與資產和關鍵數據互動作用。
UEBA 工具更進一步提供比 UBA 系統更複雜的報告選項,從而實現更全面的威脅檢測。UEBA 通過分析使用者和實體隨時間的行為變化、瞭解上下文和採用進階分析,來應對內部威脅的天生動態變化的性質。 UEBA 解決方案會使用風險評分系統,不一定將所有異常歸類報告為風險。
簡單的區分,UBA看的是人的實際操作活動,例如員工將公司內受管制的文件(從內部網站下載而來)寄給自己在google的私人郵件;而UEBA就像是應用程式和設備發生的事件所呈現的現象:公司內有信被寄到gmail,夾帶附件。當然這些都是多個活動所組成,並不是單一事件可以判斷的。
使用者行為分析發掘潛在威脅的階段
- 蒐集有效的資訊:使用者在端點上活動的記錄,檔案的操作、應用程式執行與通訊、網路活動包含電子郵件,檔案上傳下載、網站連結、 USB 設備的使用、內容分類,以及各個活動的內文,如來源、目的等等。
- 檢測威脅:一旦收集了使用者和實體行為的正常活動資訊,它就能夠進行內部威脅分析。通過分析先前收集的數據,可以為各種類型的使用者角色(普通員工、第三方承包商和安全管理人員、資訊人員)建立活動模式, 根據即時使用者操作檢測威脅。例如,分析每個員工的工作時間,並定義正常的登入和登出時間。如果用戶嘗試在不尋常的時間(例如半夜)登入,系統可以通知安全人員或自動強制登出,確定安全警報的優先順序。根據對用戶行為的分析,建立可疑使用者操作行為清單。
- 建立人員Profile、建立人員行為側寫 (profiling):在心理學上,行為檔案描述了個人或群體的特徵和行為模式。應用在內部威脅檢測中,行為描述檔用來建立周期內的使用者行為基線。由於使用者描述檔案包含一組基準周期內,所收集的特定員工慣用正常操作的數據。當特定使用者的行為發生變化,將其與對等組中其他使用者的典型行為進行比對,並和已知的內部威脅模式進行比較,用以判定是否正常。然而看似正常的員工,可能會花上數年時間才轉變,期間的些微變化恐怕也不容易被發覺。
- 建立早期預警:根據收集的數據、機器學習和統計分析來預測網路安全違規行為。 這需要安全管理人員手動確認行為側寫,以正確匹配告警。雖然使用者持續觸發安全規則(例如,居家上班期間,在非信任地區登入公司伺服器),UBA 系統則會將此類行為標記為正常。但這種操作本身具備資料外洩風險,屬於系統預警範圍。
- 最後的階段是案件調查舉證與證據保全:外洩前就建立內部使用者行為風險評分。內部威脅預測通常基於使用者的行為實況記錄、內部攻擊的操作模式、攻擊的類型模型比對,並且資安團隊分析後排除假警報,以提供人力資源、稽核和法務部門調查數據。
UBA透過行為側寫、異常檢測及早期預警機制這些技術,幫助企業識別並預防潛在風險,提升整體網路安全防護能力。有別於傳統DLP的靜態規則,對異常行為應變能力較弱,對內部威脅著墨少,容易對例外情況產生誤報等。UBA 以使用者行為分析基準,能包括設備、應用程式等的異常活動,提供更全面的風險監控,更能精確的捕捉內部威脅。