用戶和實體行為分析(UEBA)技術，是網(wǎng)絡安全工具市場新成員，旨在提供防火墻和入侵預防系統(tǒng)(IPS)等傳統(tǒng)網(wǎng)絡安全工具所不具備的功能。有了UEBA，公司企業(yè)不僅僅能從網(wǎng)絡流量和反惡意軟件掃描獲悉入侵指標(IoC)，還能深入理解用戶行為。

[[207186]]

UEBA系統(tǒng)可識別不同類型的異常用戶行為，這些異常用戶行為可被視作威脅及入侵指標。下面是UEBA技術可幫檢測到的7類安全風險。

1. 緩慢少量攻擊

壞人、外部人和內部人都知道，傳統(tǒng)安全工具基于基本閾值起效。他們清楚，只要做同樣的事情超過“X”次，就會觸發(fā)警報。于是，他們降低攻擊速度和規(guī)模，以便保持低調，避免被偵測到。此種做法的一個例子，可以參考每天僅一次，通過郵件滲漏少量信用卡號。UEBA可檢測到此種模式，并將之識別為需加以調查的重復性行為。

2. 共謀

UEBA可幫助發(fā)現(xiàn)緊密合作突然改變行為模式的一組人員。比如說，一組人決定打劫客戶記錄謀私利，但知道安全措施在監(jiān)視。于是，每個成員分走一部分記錄，通過郵件發(fā)送到自己的個人賬戶上。UEBA不僅會找出用戶行為的突然改變，還會標出這是該組人員內部統(tǒng)一的改變，然后標記整組。

3. 在噪音中隱身

每個員工都有一個角色，須按角色需求執(zhí)行特定動作。比如說，小王在負責打印抵押單的團隊。小趙在同一家公司，擔任退休計劃財務顧問，卻在2周時間里打印了2張抵押單。雖然打印抵押單對小王、小王的團隊和整個公司而言，都是很平常的一件事;對小趙及其團隊成員來說就太異常了。UEBA可從人群中鑒別出此類行為異常人員，讓安全團隊啟動調查過程，在無需審查其他人的情況下進行針對性調查。

4. 持續(xù)滲漏嘗試

如果滲漏敏感數(shù)據(jù)的嘗試受阻，攻擊者往往就會嘗試另一種方法以繞過安全系統(tǒng)。比如說，小張試圖將敏感數(shù)據(jù)用郵件發(fā)到自己的個人賬戶，但被封了。他繼續(xù)嘗試上傳文件到他個人網(wǎng)站的云存儲中，也被封堵了。然后，他試圖將文件拷貝到U盤中，再次遭遇U盤端口不可用的封禁狀態(tài)。于是，他點擊了“打印”按鈕——成功了!UEBA技術能將所有這些行為都拼起來，小張最終會在自己的工作臺位迎來調查人員的到訪。

5. 好奇風險

有些人就是控制不住哪扇門都想推開看看。其中很多人僅僅是好奇，或者就是想碰碰底線而已，但現(xiàn)實就是，這些人往往就是面對明知不應該打開的文件，還忍不住手癢點開的那些。他們會訪問那些被封禁的網(wǎng)站，不斷嘗試，以為沒人真的在監(jiān)視。這些雇員就是網(wǎng)絡釣魚攻擊最用以得手的入口點。UEBA能發(fā)現(xiàn)這些閑極無聊的人，向他們警示這些危險行為。

6. 離職員工

UEBA能發(fā)現(xiàn)正打算離職的員工在行為上的改變，可使安全團隊在這些人提交辭職報告之前就發(fā)現(xiàn)他們。這很重要!因為員工離職，往往會造成敏感數(shù)據(jù)隨之外泄。因為UEBA能看出表征員工離職意愿的行為改變，這些員工就能在數(shù)據(jù)流出公司大門之前被發(fā)現(xiàn)。

7. 長期潛伏者

與百無聊賴的手癢人士不同，這些人才是真的壞心眼。在尋找金礦的時候，他們會梳理文件系統(tǒng)，試圖登錄能發(fā)現(xiàn)的任何什么東西。這些人目標遠大，不達目的不罷休，除非找到價值巨大的敏感數(shù)據(jù)——或者，被UEBA發(fā)現(xiàn)，否則他們會一直游弋在公司系統(tǒng)中。