作為一種高級網(wǎng)絡威脅檢測手段，用戶與實體行為分析(UEBA)最近風頭正勁。UEBA解決方案利用機器學習來使威脅浮出水面，很多案例中遠快于傳統(tǒng)的安全信息和事件管理(SIEM)系統(tǒng)或其他解決方案。它們以極高的準確率命中異常事件。

如果以上描述讓你聯(lián)想起別的分析工具，那不是巧合。用戶行為分析作為一種安全特定的應用，與所有智能業(yè)務分析采用的基本原則是一致的。

UEBA的工作原理是？功效是？

首先，UEBA解決方案收集網(wǎng)絡多個節(jié)點產(chǎn)生的信息。最好的解決方案會從網(wǎng)絡設備、系統(tǒng)、應用、數(shù)據(jù)庫和用戶處收集數(shù)據(jù)。利用這些數(shù)據(jù)，UEBA可以創(chuàng)建一條基線以確定各種不同情況下的正常狀態(tài)是什么。

一旦基準線建立，UEBA解決方案會跟進聚合數(shù)據(jù)，尋找被認為是非正常的模式。這一確定過程僅評估新事件在上下文環(huán)境中是否不正常，以及不正常的程度有多深，并排序事件的重要性及可能的業(yè)務影響。用戶行為分析管理員也可以創(chuàng)建自定義規(guī)則來定制解決方案，以便更貼合公司及其特定服務、數(shù)據(jù)和過程的需求。

需要理解的一個重要原則是，UEBA解決的，更多的是異常行為而非一般的基礎設施事件。這種專門的方法，幫助解決公司企業(yè)如今面對的一些最為棘手的問題：

確定有效特權賬戶是否被盜用

使內(nèi)部威脅浮出水面

確定系統(tǒng)或應用是否被攻破

UEBA主要功能：廠商解決方案中需要注意的地方

很多廠商已經(jīng)開始宣稱自己的產(chǎn)品中加入了UEBA功能，這里面自然有那么一小部分是可以稱之為真正的UEBA提供商的。這些真正的UEBA提供商的產(chǎn)品，全都以一種相似的方式運行。基本上，它們?nèi)冀⒃谀硞€平臺之上，有核心引擎運行合適的分析算法，從已有源處納入數(shù)據(jù)反饋并進行分析，然后在用戶面板上輸出分析結果。這些產(chǎn)品的目標，是為信息安全和IT從業(yè)人員提供可操作的信息以解決威脅。

目前，大多數(shù)此類工具并不直接響應威脅本身，而是為安全操作員提供確定是否采取行動的判斷依據(jù)，以及安排響應行為的能力。如今可用的平臺，很有可能在明年內(nèi)繼續(xù)走在集成防火墻、終端和其他網(wǎng)絡節(jié)點以實現(xiàn)自動化響應的路上。

安全分析算法是控制這些平臺的“秘密武器”。在評估UEBA平臺的時候，安全從業(yè)人士應該詢問清楚這些算法運行的具體細節(jié)。很多廠商都會聲明這是他們的知識產(chǎn)權。不過，如果廠商有內(nèi)部威脅模型，不妨問一下該模型是否基于特定事件或流信息，比如登錄信息和以設定閾值從設備、應用和主機發(fā)起的數(shù)據(jù)訪問。如果是，那么這很有可能不是機器學習，而是預先配置的關聯(lián)規(guī)則。可以采用這種簡單的方法來判定廠商僅僅是在營銷機器學習概念，還是真的在解決方案中引入了機器學習。其他可以區(qū)分UEBA產(chǎn)品的重要差異包括：

支持數(shù)據(jù)源：這是工具集成的數(shù)據(jù)類型，包括支持的格式(逗號分隔值(CSV)、電子表格、數(shù)據(jù)庫等等)，以及日志文件類型(源自主機、應用、路由器、防火墻、VPN、文件系統(tǒng)，甚或Hadoop之類的大數(shù)據(jù)解決方案)。問清楚這些是內(nèi)置的已有集成，還是需要專業(yè)服務來構建。了解UEBA解決方案是只收集基本事件和流數(shù)據(jù)，還是能捕捉更多的細節(jié)。如果是前者，那可能會有關鍵用戶、系統(tǒng)和應用數(shù)據(jù)被遺漏，因為，很不幸地，日志和流并不總是包含所有活動。最后，考慮是否能從平臺的用戶界面直接配置這些數(shù)據(jù)源。

合作伙伴關系：合作伙伴關系廣泛的廠商，往往會提供工具可靠性和集成度的評估。

建立基準線的耗時：這與工具建立基準線是以完全自動化的動態(tài)方式，還是需要人工干預有關。一些平臺僅靠幾天的歷史記錄就做出決策；其他則可能需要幾周甚至一個月。經(jīng)驗告訴我們，記錄時間跨度越長越有可能提供更準確的基線——因為可以將季節(jié)性變動納入考慮范圍。不過，有些平臺計算能力更強，可以運行多個高級算法，在動態(tài)學習上表現(xiàn)更好，而且可以改善準確浮出威脅的能力。

結果輸出時間(TTR)：也就是首次整合后，解決方案開始產(chǎn)出可行性威脅結果的耗時。 在這方面上并沒有明顯的指標：結果的清晰定義，是遵循初始配置和基線，輸出關于異常行為的先前未知的情報。此外，有些解決方案宣稱能做到實時輸出結果——此時一定要讓廠商給出所謂‘實時’的明確定義，問他們是否能提供相應的檢測方法。

面板靈活性：了解UEBA平臺的設計假定，弄清楚面板操作員能否支持安全分析師、經(jīng)理或其他不那么高端的用戶。很多UEBA工具可被定制為提供詳細的或高管級的報告。

平臺交付：了解平臺交付方式。大多數(shù)廠商通常會提供產(chǎn)品的本地部署版本(僅軟件或設備)。很多廠商還提供云版本。云產(chǎn)品的一個主要挑戰(zhàn)是，UEBA平臺需要與很多數(shù)據(jù)源緊密集成，而這些數(shù)據(jù)源通常被公司企業(yè)認為是自營的或敏感的(例如：財務數(shù)據(jù)反饋、人力資源系統(tǒng)、醫(yī)療記錄等等)，并不愿意將這些數(shù)據(jù)暴露在云端。唯一的例外是，如果UEBA平臺廠商能以加密信道確保企業(yè)和云端的通信安全，那就沒問題。未來幾年，敏感數(shù)據(jù)將會逐漸遷移到云端，因此，UEBA的云交付或許會是更受歡迎的選擇。

UEBA最佳實踐：怎樣獲取最優(yōu)化結果

從UEBA工具獲取最優(yōu)化結果的基本最佳實踐包括：

在選擇UEBA解決方案時，將外部和內(nèi)部威脅都考慮在內(nèi)。

尋找主打公司重要領域分析能力的解決方案，比如內(nèi)部威脅和失竊憑證。選擇能完全浮出威脅的解決方案，比如盜取知識產(chǎn)權并用電子郵件發(fā)送出去的內(nèi)部人士。很多UEBA平臺都缺乏這種疾病功能。

慎重考慮哪些團隊成員可以訪問平臺，哪些人員可以看到警報。

別以為標準賬戶無害。很多攻擊都會創(chuàng)建瀑布效果，通過逐步攻擊資產(chǎn)最終獲得特權賬戶的控制權，或者從無特權賬戶升級。

UEBA平臺非常有前景。在不遠的將來，可以預期用戶行為分析平臺會更直接地集成到基礎設施中，并進行自動化響應。我們已經(jīng)在見證防火墻和其他網(wǎng)絡設備被配置為納入用戶行為分析驅動的情報并立即創(chuàng)建新的流量規(guī)則，在安全人才注意到之前就將入侵威脅擋在門外。