譯者 | 張增斌

審校 | 孫淑娟 梁策

下面是一個詳細(xì)分析，說明為什么匿名用戶數(shù)據(jù)在這種情況下不能提供必要的見解。

用戶和實體行為分析 (UEBA) 工具通過查找異常數(shù)據(jù)來支持網(wǎng)絡(luò)安全策略。這些工具為用戶、設(shè)備和網(wǎng)絡(luò)建立基線使用，然后標(biāo)記網(wǎng)絡(luò)安全團隊與這些規(guī)范的重大偏差。人們對用戶行為分析如何降低網(wǎng)絡(luò)攻擊風(fēng)險非常感興趣。一項市場分析顯示，2022年 UEBA 行業(yè)的價值為12億美元。同時，研究人員認(rèn)為,到2026年將會達(dá)到42億美元。

為了隱私而推動匿名用戶數(shù)據(jù)可能會阻礙這種方式增長。當(dāng)使用該技術(shù)的公司決策者認(rèn)為它可以縮小潛在問題的范圍時，用戶和實體行為分析的效果是最好的。但是，匿名的 UEBA 數(shù)據(jù)將會限制可以查明問題的趨勢。

下面我們來詳細(xì)分析為什么匿名信息不適合UEBA 平臺。

1. 缺乏必要的特殊性

監(jiān)控用戶行為用于發(fā)現(xiàn)異常情況的概念并不新鮮。比如你的信用卡或借記卡可能因為被提供商標(biāo)記了幾次異?；顒雍蠖痪芙^。這可能因為你在旅行時買了一些東西，而沒讓銀行知曉你在旅行。也可能你使用該付款方式通常只是支付小額產(chǎn)品但卻嘗試了購買高價商品。

匿名數(shù)據(jù)不允許建立必要的聯(lián)系，例如識別卡所有者并聯(lián)系他們以確定購買是否合法。

Ryan Stolte 是 Bay Dynamics的首席技術(shù)官。他承認(rèn)用戶行為分析可能會引起隱私問題，并且應(yīng)該就該這個問題進行討論。他解釋說：“這絕對是每個人都應(yīng)該進行的對話。我們進行行為分析的原因是為了這個人。我們代表每個人去分析你，然后在你行為表現(xiàn)得不像自己時告訴你?！?/p>

這并不意味著公司會密切關(guān)注每個人所做的一切。但是，UEBA系統(tǒng)可能會標(biāo)記每個人任何奇怪的行為。

2.阻止內(nèi)部威脅的難度增加

2022年的一項研究表明，內(nèi)部威脅將在兩年內(nèi)增加44%。同樣研究還表明，受影響的組織每年平均需花費1540萬美元來解決相關(guān)問題。

由于現(xiàn)在公司之間的聯(lián)系越來越緊密，內(nèi)部威脅的日益突出也是一個問題。從能源到食品飲料的各個行業(yè)都利用連通性來改善運營。但是，懷有惡意的員工可能會嚴(yán)重阻礙公司的工作流程。

不過，重要的是要記住，當(dāng)人們沒有惡意時，內(nèi)部威脅也會出現(xiàn)。他們可能由于疲倦、粗心或缺乏適當(dāng)?shù)呐嘤?xùn)而犯錯，這可能導(dǎo)致或加劇網(wǎng)絡(luò)安全問題。

然而，如果公司領(lǐng)導(dǎo)者只有匿名的UEBA數(shù)據(jù)，他們將更難以獲得有助于他們緩解此問題的各種詳細(xì)信息。例如，是否存在某個人或團隊反復(fù)犯錯誤而構(gòu)成安全威脅的情況?如果匿名數(shù)據(jù)阻止將數(shù)據(jù)鏈接回特定的人，就不可能縮小結(jié)果范圍以降低風(fēng)險。

3.無法在需要時采取紀(jì)律處分

UEBA工具可幫助網(wǎng)絡(luò)安全團隊檢測某人的行為何時超過危險活動的門檻。

Christian Wimpelmann是Code42公司的訪問管理人員。他討論了用戶行為分析如何幫助公司避免危險結(jié)果。

Wimpelmann說：“無論是惡意的還是無意的，異常數(shù)據(jù)訪問和異常數(shù)據(jù)遍歷網(wǎng)絡(luò)或應(yīng)用程序，往往是員工做了不該做的事情或數(shù)據(jù)最終出現(xiàn)更大問題的前兆——在受害組織之外?！?/p>

與只允許員工在現(xiàn)場工作的公司相比，允許遠(yuǎn)程工作的公司可能會處理更多的數(shù)據(jù)保護問題。一項研究表明，52%的受訪者認(rèn)為，在遠(yuǎn)程工作時處理數(shù)據(jù)時，他們可以避免承擔(dān)更多數(shù)據(jù)風(fēng)險。

甚至有網(wǎng)絡(luò)犯罪分子招募員工在其組織內(nèi)部部署勒索軟件的案例。一名網(wǎng)絡(luò)安全負(fù)責(zé)人曾被招募參與一次網(wǎng)絡(luò)攻擊，他把勒索軟件帶入公司的網(wǎng)絡(luò)，分到了100萬美元贖金中的四成。

然而，使用匿名數(shù)據(jù)只能說明部分情況。它可能會揭示員工在網(wǎng)絡(luò)內(nèi)進行有不尋常活動。但是，它不會精準(zhǔn)顯示所涉及的人員。然后，組織的網(wǎng)絡(luò)安全團隊只知道存在安全問題，但無法準(zhǔn)確鎖定具體責(zé)任人。

4. 使用UEBA維護訪問權(quán)限的限制

如果員工獲得的信息超出工作所需的信息，公司的網(wǎng)絡(luò)攻擊風(fēng)險也會增加。理想的情況是，當(dāng)一個人擁有適當(dāng)?shù)脑L問級別，并且不會遇到難以履行職責(zé)的困難。

一些網(wǎng)絡(luò)安全專家主張將用戶行為分析與身份驗證措施相結(jié)合，以更好地保護組織。一個帶有UEBA的產(chǎn)品可以跟蹤每個人相關(guān)的 250多個屬性。然后分配一些相關(guān)的風(fēng)險評分。如果有人反復(fù)嘗試在網(wǎng)絡(luò)中執(zhí)行不尋常的活動，他們的風(fēng)險評分可能會較高。

公司領(lǐng)導(dǎo)可以調(diào)整高風(fēng)險評分者的應(yīng)對方式，比如暫時將他們從帳戶中鎖定，直到IT部門的人可以進一步調(diào)查此事。

但是，如果一家公司只有匿名 UEBA 數(shù)據(jù)，則無法使用該信息來阻止特權(quán)濫用。它可以使用行為數(shù)據(jù)，從更廣泛的意義上發(fā)現(xiàn)其他潛在問題，例如，是否有人試圖從不尋常的位置訪問工作場所資源。但是，如果不將識別信息與該行為聯(lián)系起來，網(wǎng)絡(luò)安全團隊就無法獲得他們需要的信息來確定誰在濫用基于身份的特權(quán)。

匿名 UEBA 數(shù)據(jù)無法提供有意義的回報

本文概述了在數(shù)據(jù)完全或大部分是匿名時，為什么網(wǎng)絡(luò)安全團隊不應(yīng)該對用戶和實體行為分析抱有很高的期望。 了解異常網(wǎng)絡(luò)活動是一個好的開始，但如果IT 專業(yè)人員無法將這些信息與特定個人聯(lián)系在一起，那么就幾乎不可能準(zhǔn)確界定問題范圍。

相反，公司的領(lǐng)導(dǎo)應(yīng)該與員工就隱私影響進行坦誠的討論。如果他們不想深談 UEBA 的細(xì)節(jié)，至少應(yīng)該向員工講明不要一直想當(dāng)然地認(rèn)為在工作場所網(wǎng)絡(luò)上所做的事情都不受監(jiān)控。

原文標(biāo)題：??4 Challenges of Using Anonymous User Data for UEBA??，作者：Shannon Flynn