什么是 UEBA？

什么是 UEBA？

用户和实体行为分析 (UEBA) 是一组网络安全功能，其利用数据分析和机器学习 (ML) 来检测用户、设备和其他实体的异常、潜在危险行为。该术语由 Gartner 于 2015 年创造，扩展了用户行为分析 (UBA) 的概念，添加了设备和实体的行为，这些设备和实体的范围涵盖服务器、路由器、智能手机和物联网 (IoT) 设备等等。

UEBA 确定典型的用户和设备行为，识别与该行为的偏差，并根据偏差的安全风险对其进行评分。例如，一名员工通常可能会在太平洋时间每天早上 8:00 从旧金山登录云电子邮件。如果这名员工在几个小时后从伦敦登录客户数据库，并开始下载大量敏感和专有信息，UEBA 会将其识别为异常和潜在的高风险行为。

通过审查全方位的行为并发现与典型行为的差异，UEBA 可以在组织的威胁追踪和风险管理工作中发挥至关重要的作用。UEBA 可以增强现有的安全功能，支持 Zero Trust 安全模型，并帮助组织保持对法规要求的合规性。

UEBA 如何工作？

UEBA 功能首先通过查看大量数据来建立典型用户和设备行为的基线，例如：

• 用户活动：登录尝试、文件访问、应用程序使用和系统命令
• 网络流量：例如源和目的地 IP 地址、端口和协议
• 身份验证数据：登录成功和失败

这些数据可以来自各种平台或工具，包括：安全 Web 网关、Zero Trust 网络访问服务、数据丢失防护 (DLP) 服务、防火墙、路由器、VPN、身份和访问管理 (IAM) 解决方案、入侵检测和预防系统 (IDPS)、防病毒软件、身份验证数据库以及其他来源。这些安全服务和解决方案可能是安全访问服务边缘 (SASE) 和安全服务边缘 (SSE) 平台的一部分。

ML 功能从不断摄取的数据中学习，并随着时间的推移完善行为基线。（Cloudflare 使用类似的方法进行机器人管理，衡量 Web 应用程序上的典型行为，然后将新交互与该基线进行比较以识别机器人。）

在收集和分析数据时，UEBA 模型可以检测任何偏离正常模式或组织安全策略的行为。例如，这些功能会注意到用户是否在非典型时间从与正常位置不同的位置登录。此行为可能表明员工的凭证已被盗。

当 UEBA 功能识别到任何异常或可疑行为时，它们会根据该行为给组织带来的风险分配用户风险评分。在工作日期间数次登入失败可能会导致低分——这有可能是用户忘记了密码。但其他行为异常可能是帐户入侵、违反公司政策或数据泄露的信号。可能引发 UEBA 相关风险缓解行动的风险行为示例包括：

• 不可能的旅行：指用户短时间内在两个不同位置登录，而这段时间并不足以让用户在物理上从其中一个位置移动到另一个位置（例如，纽约的员工“Alice”登录到其组织的薪资系统，但几分钟后从悉尼登录到他们的云生产力套件）
• 数据丢失防护 (DLP) 违规：指机密商业信息、个人可识别信息 (PII) 或其他敏感数据移动处理不当的情况（例如，如果员工将公司专有数据上传到第三方 AI 聊天机器人）
• 使用有风险的设备：例如远程员工使用没有更新至最新操作系统的笔记本电脑，或者使用存在未修补漏洞的路由器

UEBA 用例

UEBA 可以支持多种战术和战略用例。

• Zero Trust 安全：Zero Trust 是一种 IT 安全模型，可验证尝试访问企业网络上的应用程序或数据的每个人和设备的身份。UEBA 功能可以补充 Zero Trust 网络访问 (ZTNA) 解决方案，或者成为 Zero Trust 网络访问 (ZTNA) 解决方案的组成部分。借助 UEBA 功能，安全团队可以查看谁正在访问网络、他们正在使用哪些设备以及用户和设备是否违反了任何策略。团队可以根据请求的背景信息以及对请求是否符合典型用户行为的评估来授予访问权限。
• 遭入侵端点：攻击者可能会找到渗透移动设备或 IoT 设备的方法，这些设备的保护程度通常低于企业服务器或应用程序。通过监控设备行为，UEBA 可以在攻击者深入企业网络之前发现遭入侵的设备。
• 内部威胁：行为分析可以帮助识别恶意内部人员，例如试图攻击公司网络或窃取敏感数据的用户。同时，UEBA 可以帮助确定用户的凭证或设备何时遭到泄露：例如，通过网络钓鱼攻击或设备盗窃。即使使用了合法凭证，UEBA 也可以发现非典型行为。
• 监管合规性：组织可以实施 UEBA 来帮助保持对标准或法规的合规性，例如管理金融服务或医疗保健组织的 IT 安全和数据隐私的法规。通过识别偏离既定策略或规范的用户和设备行为，UEBA 可以在组织违反关键规则和法规之前发现问题。

UEBA 有哪些好处？

实施 UEBA 可以通过多种方式使组织受益。

• 降低风险：由于 UEBA 可以应用于连接到网络的任何用户和设备，因此即使组织的攻击面扩大，它也可以帮助降低风险。UEBA 可以分析用户行为，无论员工是在家、办公室还是其他地方工作。同时，它还可以监控任何地方设备的行为：例如，企业数据中心的服务器和路由器、工厂的 IoT 设备或医院的医疗设备。
• 改进威胁检测：UEBA 可以帮助识别和阻止多种类型的威胁，包括内部威胁、遭入侵帐户、暴力破解密码尝试、分布式拒绝服务 (DDoS) 攻击等。
• 减少手动分析的需要：机器学习和自动化功能有助于减少安全运营 (SecOps) 团队分析日志数据以识别合法威胁的耗时工作。IT 和安全团队成员可以专注于其他任务。
• 持续合规性：UEBA 使组织能够在问题行为导致大规模泄露之前快速识别问题行为，从而保持合规性。通过持续监控和分析，组织还可以简化审计并有可能避免昂贵的大规模补救工作。
• 降低成本：通过及早识别威胁，组织可以避免泄露造成的高额成本。

UEBA 有哪些缺点？

尽管实施 UEBA 有许多潜在的好处，但组织也应该意识到可能的缺点。例如：

• 成本：一些独立的 UEBA 解决方案对于中小型企业来说可能过于昂贵。
• 复杂性：尽管机器学习和自动化功能减少了对事件日志进行人工分析的需求，但安全分析师仍需进行设置策略和部署警报的工作。
• 限制：UEBA 可以识别各种各样的威胁，但仍应与其他功能集成，以实现更全面、统一的风险管理。

UEBA 如何补充 SIEM

UEBA 功能通过提供以下功能补充安全信息和事件管理 (SIEM) 解决方案：

• 注重用户：SIEM 分析事件，而 UEBA 检查用户和设备的行为，这可以帮助评估用户风险并检测内部威胁。
• 长期威胁跟踪：SIEM 实时识别安全事件。UEBA 通过对持续存在的行为进行监控和评分，来识别不断演变的长期威胁，从而对上述工作进行补充。
• 持续学习和适应：UEBA 使用行为分析和机器学习来促进长期学习和适应。因此，UEBA 模型可以通过识别新威胁和新兴威胁来增强 SIEM 能力，而无需人工干预。

结合使用 SIEM 和 UEBA 功能可以提高对安全性的可见性，并增强组织在保持合规性的同时识别和阻止威胁的能力。一些 SIEM 解决方案纳入了 UEBA 功能。

UEBA 与 EDR

UEBA 和端点检测响应 (EDR) 解决方案有一些相似之处。两者都监控许多端点，包括台式机、笔记本电脑、智能手机和 IoT 设备。此外，与 UEBA 一样，EDR 解决方案也可以使用行为分析和机器学习来检测非典型的可疑行为。

但是，UEBA 还可以通过分析端点用户的行为来补充和扩展 EDR 解决方案的功能。

Cloudflare 是否支持 UEBA？

UEBA 是 Cloudflare for Unified Risk Posture 的关键组件，这是一个通过单一平台融合 SASE 和 Web 应用程序和 API (WAAP) 安全解决方案的功能套件。

Cloudflare 使企业能够在不断扩大的攻击面中实施自动化、动态的风险态势评估、交换和执行，同时降低管理复杂性。

进一步了解 Cloudflare for Unified Risk Posture。