聊聊安全领域UEBA的现状和未来

前段时间，看了Gartner出品的一篇关于UEBA的市场指南报告，深有同感，也来聊聊UEBA的那点事。

什么？还没听说过UEBA？那“用户行为分析（UBA）”、“用户画像”、“千人千面”呢，是否有被这些名字“轰炸”过？

UEBA是关注于行为动作的检测方法，其核心思路在于识别出偏离正常基准的行为，再而反向推导出可能的结果。

其实，UEBA（user and entity behavior analytics）的概念最早也是从营销分析领域移植过来的。安全行业早些时期对威胁的检测大部分依赖于恶意文件Hash值、文件名称、URI、IP地址等静态资源，这也是所谓的“被动防御”阶段。但随着网络技术的普及，威胁的检测速度已经完全跟不上这些特征值的增长速度，另一方面，换个IP地址或者域名，或在恶意文件里加段无意义代码以改变Hash值，逃避检测的手段越来越容易。那么，换一种思路，由于现代的攻击不再仅仅是破坏计算机系统，更多的是从被害主机中获利，在窃取数据的过程中，必然伴随着一些恶意行为（扫描嗅探、暴力破解、非正常的数据传输等等），那么我们不再局限于结果，更多去关注于那些入侵过程中的行为动作呢？就像俗话所说，“常在河边走，哪能不湿鞋”，这就属于一种典型的基于规则的行为分析。由“经常”、“在河边”、“行走”的组合条件，推导出大概率“湿鞋”的结果，但并不是说每次都会“湿鞋”。

图1  UEBA的三大支柱，图片引自Gartner，版权归Gartner所有。[1]

上图为Gartner给出的支撑UEBA的三大支柱

1. 数据

数据包括但不仅限于，安全设备产生的事件和日志、网络流量包、外部威胁情报、企业的基础信息等等。采集数据的质量高低会直接影响分析结果的准确性。这是很简单的道理，输入了大量垃圾数据，即使模型再好，用户案例再丰富，输出的结果也是垃圾，甚至还带有误导性。另外，采集数据不足，不足以支撑分析的模型，也很难产生满意的结果。当然，数据也不是越多越好，UEBA的数据更多会依赖于你期望分析的场景而进行定向选取，更精准的去发现异常痕迹，通常这些数据一般也会与SOC/SIEM的数据重叠。

2. 应用场景

UEBA的应用场景非常丰富，但侧重点会更多地集中在内部安全领域，常见的如账号的异常登录（时间、地点、频率），服务器上用户的违规操作（上传、下载、执行敏感指令），终端上的异常动作（发起内网扫描、异常的DNS查询请求、大流量的文件传输），等等。即使是准确率相对较高的基于规则的分析，一般也会从多个维度，不同的时间周期去进行计算，以免有漏网之鱼。曾经遇到个客户被DLP告警所淹没，只需通过简单的时间与账号的组合分析，我们很快就定位出了一个在半夜12点向网盘上传文件的现象，经过进一步的调查，发现确实为内部员工恶意泄密行为，另一方面，从告警的内容出发，反向可以对DLP的告警规则进行优化，降低了误报率，起到了很好的相互补充的作用。

3. 分析方法

当前的UEBA分析方法和模型，大部分还是基于“规则”建立的，依赖于历史事件、专家经验以及人为设定的阈值，同时也避免不了针对使用环境的不同而调整和优化参数的工作。虽然目前机器学习越来越成熟，而且本身UEBA也非常符合统计学的使用范畴，但是对其使用者和调试者而言，仍然需要丰富的数据科学和专业知识分析经验，具有比较高的门槛，而且对数据量和数据的时间跨度也有一定要求，粗略估算一般少于一个月，不足十万条的数据量（也可能是一百万），很难看得出效果，此时基于规则的分析方法可能更具优势，对于一般使用者而言，更难利用机器学习或者AI再添加自定义或额外的场景。

未来UEBA可能不再作为一个独立的产品，更多的嵌入到其他系统，或与SIEM相融合。

图2  SIEM与UEBA未来在功能上会更加融合，图片引自Gartner，版权归Gartner所有。[1]

Gartner的报告中同时指出，到2021年， UEBA市场将不再作为独立市场而存在，并将转向具有高级分析功能的“现代安全信息和事件管理”（Modern SIEM）系统，或嵌入UEBA功能的其他工具。SIEM在分析方面变得更好，可以提供更复杂的用例，同时，UEBA供应商专注于更好的数据管理和可操作性，这使得他们更接近于SIEM。目前，各大安全厂商也在积极采用并购或自研发的方式，将UEBA的功能嵌入到各自的系统中，UEBA的运用必将极大提升安全事件的检测能力。

UEBA也会为传统的安全行业面对“如何提升业务价值”的问题提供了一种方向，毕竟企业安全最终是为了业务部门而服务，除了解决上层监管的刚需，更显著的保障业务安全，不仅仅局限于基础架构层面的安全问题，企业高层或业务部门也更愿意为更多的安全投入而买单。

UEBA供应商的炒作和“人工智能”一词的滥用使得最终用户很难在没有概念证明的情况下有效地比较供应商的技术和能力。

除了《UEBA市场指南》[1]里面的一些观点，另外非常有意思的一件事，在《2019 年Gartner年度安全项目Top10》中，Gartner并没有专门再提及UEBA，而在Project 3: Detection and response里，有这样一句话“Make sure to thoroughly test any vendor who claims to have artificial intelligence or machine learning capabilities”[2] （确保对那些声称具有人工智能或机器学习功能的供应商进行彻底地测试）。

安全行业作为一种典型的“风险厌恶”行业，对于新技术会更倾向于采取谨慎的态度，但并不表示要落后于时代发展。在经过充分测试和验证的前提下，将新技术不断融入到安全产品和服务之中，才能保证在整个行业中有足够的竞争力。“UEBA”这个单词可能以后听到的次数会越来越少，并不代表它的消亡，而是更多的被融入到其他产品里。

参考链接

1、Gartner《Market Guide for User and Entity Behavior Analytics》，ID: G00361156，Analyst(s): Gorka Sadowski, Jonathan Care, Neil MacDonald, Henrique Teixeira

2、https://www.gartner.com/smarterwithgartner/gartner-top-10-security-projects-for-2019/

声明：本文来自ATLAS Academy，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。