发帖
雷达卡
UEBA 解决方案使用不同的方法,结合人工智能和机器学习、高级分析、数据丰富和数据科学的变体来有效对抗高级威胁。UEBA 解决方案将所有数据源组合在一起进行分析并自动综合结果。分析师获得的信息量较少但保真度较高,而不是淹没在警报中。
具有用户和实体行为分析 (UEBA) 的安全信息和事件管理 (SIEM) 平台的主要优势之一是能够解决安全用例,而无需成为数据科学家。
但这并不意味着UEBA的崛起将带来数据科学家的衰落。
该平台掩盖了“做数据科学”的潜在复杂性,以便安全运营中心 (SOC) 人员可以专注于保护企业免受攻击。从数据科学的角度理解 UEBA 可以更彻底地利用 SIEM 平台。
数据科学和 UEBA
使用遗留关联规则的传统安全工具几乎没有检测能力来区分某人的明显授权行为何时具有恶意意图。
静态关联规则的固有局限性已将 IT 安全和管理解决方案转向机器学习。这种 UEBA 方法通过利用大量可用的操作和安全日志数据以及数据丰富来识别恶意活动,从而实现广泛的用例威胁检测。通过数据科学家的广泛工作和进步,这一切都成为可能。了解 UEBA 如何分析数据以提供风险警报使公司能够验证或取消威胁。
使用统计分析进行异常检测
UEBA 可以采用无监督学习方法来分析用户的正常行为,以便对偏差发出警报——这是对抗内部威胁时的一项关键能力。与监督学习方法相比,使用无监督学习技术是因为与已知内部威胁相关的数据量很少或不存在。基于统计和概率分析的无监督学习是实现的主要技术手段欧巴.
统计分析的使用有助于 UEBA 解决方案描述事件的正常性。从剖析直方图或聚类分析确定的高概率事件被认为是良性的。低概率的外围事件是异常的并且与安全事件相关。统计和概率分析是 UEBA 识别正常行为的基础 - 以及揭示内部人员异常和潜在恶意行为的偏差。
网络智能的上下文信息推导
上下文信息由网络用户和实体的标记属性和属性组成。这些信息对于帮助校准异常事件的风险以及对警报的分类和审查至关重要。这对于通过服务帐户缓解威胁特别有用。
服务帐户用于资产和权限管理,因此其更高级别的权限使其对恶意内部人员很有价值;然而,在大型 IT 环境中很少跟踪服务帐户。数据科学可以通过分析活动目录 (AD) 中的文本数据或根据行为线索对账户进行分类来找到未知的服务账户。通过这种方式,数据科学有助于揭示恶意内部人员使用的这种潜在风险向量。
用于误报控制的元学习
误报会浪费时间并导致时间有限的安全分析师疲劳。有些指标比其他指标更准确,统计强度较弱的指标容易出现误报。数据科学的元学习允许 UEBA 系统自动从自己的行为中学习,以提高其检测性能。例如,一种方法是通过数据驱动的调整来帮助调整最初的专家分配分数。评分调整检查整个人群和用户历史记录中的警报触发和频率。
数据科学驱动的 UEBA 阻止前三大安全威胁
这些数据科学衍生功能(用于误报控制的元学习、用于网络智能的上下文信息推导以及使用统计分析进行异常检测)为组织提供了一种面向未来的解决方案,用于寻找异常而不是有限的、预先确定的未知攻击。 - 确定的活动集。UEBA 是有效解决三大安全威胁的唯一方法:用户凭据泄露、特权用户泄露和执行资产监控。
受损的用户凭据——用户帐户凭据是合法访问的关键,而被盗凭据是数据泄露的头号载体,根据Verizon 2018 年数据泄露调查报告. 传统安全工具无法检测和识别未经授权的访问,从而允许攻击者访问敏感数据或内部资源。
特权用户妥协——特权用户有权访问高价值资源,例如敏感数据库、用户权限管理系统或身份验证系统。当黑客获得特权用户凭据时,攻击可以直接针对这些高价值资产而不受惩罚。UEBA 解决方案应监控离职员工或承包商的可疑活动,并识别处理敏感数据或过度暴露于敏感数据的人为错误。
高管资产监控——每年有数亿美元通过网络邮件计划驱动的电汇被盗,这些计划诱使公司高管批准这些转账。访问 CEO 或 CFO 的笔记本电脑等执行计算资产可能会为黑客提供有关敏感收益、并购、预算规划、产品和服务规划或竞争信息的数据。一个有效的 UEBA 解决方案必须能够自动构建资产和行为模型,以识别执行系统并监控它们是否存在异常访问和使用。
相关帖子DA内容精选
|
提升卡
置顶卡
沉默卡
变色卡
抢沙发
千斤顶
显身卡
京公网安备 11010802022788号
