什么是用户和实体行为分析? (UEBA)

用户和实体行为分析(UEBA), 也被称为用户行为分析(UBA), 是收集用户每天产生的网络事件的洞察力的过程吗. 一旦收集和分析,它可以用来 检测受损凭证的使用情况、横向移动和其他恶意行为.

由于来自外部力量的威胁日益增加,Gartner市场指南在用户行为分析中增加了“实体”一词, 而不仅仅是个人用户. 这些外力包括, 但不限于, 路由器, 服务器, 应用程序, 以及其他可能受到威胁的网络设备.

总之, 这些其他类型的行为分析偏离了传统的消费者行为分析,将重点放在系统的行为和用户帐户上.

UEBA如何实现更快的威胁检测

今天的网络收集了无穷无尽的信息, 特别是当用户在ip之间无缝移动时, 资产, 云服务, 移动设备. UBA侧重于用户活动,而不是静态威胁指标, 这意味着它可以检测到没有映射到威胁情报的攻击,并在攻击的早期对恶意行为发出警报.

随着网络变得越来越复杂, 成功渗透企业网络并伪装成内部员工比以往任何时候都要容易, 规避外部防御. 如果攻击者能够渗透到网络中并在那里不被发现, 他们可以反复窃取敏感数据并造成经济损失.

用户行为分析 公开秘密, 攻击者通过发现用户行为中的模式来识别什么是“正常”行为, 这可能是入侵者入侵的证据, 内部威胁, 或者网络上的危险行为.

用户如何 & 实体行为分析工作?

用户和实体行为分析使您能够更轻松地确定潜在威胁是伪装成员工的外部方还是呈现某种风险的实际员工, 无论是由于疏忽还是恶意.

UEBA将网络上的活动连接到特定的用户,而不是IP地址或资产. 这意味着如果用户开始以一种不寻常或不太可能的方式行事, 即使它没有被传统的外围监控工具标记出来, 你可以很快发现这种行为, 确定它是否异常, 如有必要,展开调查.

例如, 被盗凭证是渗透测试人员和现实世界中的犯罪分子使用的常见攻击媒介. 犯罪分子是否通过 钓鱼式攻击, 恶意软件, 关键日志, 甚至是第三方数据泄露, all they need is one correct username 和 password combination to work; once they’re able to login they can silently move within a network undetected.

然而, 一旦攻击者进入, 他们通常开始表现出与正常用户不同的行为方式, 比如在资产之间横向移动. 入侵者在通常被称为“攻击”或“杀伤链”的过程中一步一步地移动,“寻找越来越有趣的目标来突袭和窃取数据.

在一个网络上,什么样的用户行为是正常的,什么样的用户行为是不正常的,这种能力至关重要. 用户行为分析为您提供了识别趋势和轻松发现异常值的数据, 因此,您可以更轻松,更快速地识别和调查潜在的威胁和 打破攻击链.

开始使用用户和实体行为分析

发现趋势并建立联系, 首先,你必须有办法在一个集中的位置收集关键的行为数据, 这样以后就可以用分析工具来解析了. 传统上,用户行为分析是作为一个层添加到现有的 安全信息和事件管理(SIEM) 部署.

用户和实体行为分析是多层分析的一部分, 综合资讯科技及资讯保安策略,防止攻击及调查威胁. 它可以是一种难以置信的强大工具,可以及早发现妥协, 降低风险, 并阻止攻击者窃取组织的数据.

总之

实施用户和实体行为分析对任何组织来说都是必要的,以确保他们免受内部伤害的安全. 近年来,随着物联网(IoT)和更多可能利用网络漏洞的设备的扩展,UEBA呈指数级增长.

无论您是试图定位可疑的内部威胁还是监视特权帐户, UEBA为IT基础设施提供了一条最新的安全防线,使其免受侵入性攻击.