用戶和實(shí)體行為分析（UEBA）可揭示企業(yè)面臨的隱藏風(fēng)險(xiǎn)。UEBA使用先進(jìn)的數(shù)據(jù)分析技術(shù)篩選來自多個(gè)來源的數(shù)據(jù)流，以尋找攻擊、偵察和數(shù)據(jù)泄露的證據(jù)。在這種情況下，行為分析意味著人和系統(tǒng)或?qū)嶓w的行為。這里的示例包括，如果用戶突然下載大量數(shù)據(jù)，系統(tǒng)突然嘗試連接到通常不與之通信的另一個(gè)系統(tǒng)，或者發(fā)生任何其他異常情況。

UEBA在以下主要領(lǐng)域有多個(gè)用例：

• 網(wǎng)絡(luò)安全
• 網(wǎng)絡(luò)和數(shù)據(jù)中心運(yùn)營
• 管理
• 業(yè)務(wù)運(yùn)營

網(wǎng)絡(luò)安全UEBA用例

1. 檢測橫向攻擊

網(wǎng)絡(luò)日志可以顯示系統(tǒng)試圖聯(lián)系通常不與之通信的其他系統(tǒng)的證據(jù)，這可能表明它已被入侵并被用作對其他系統(tǒng)進(jìn)行橫向攻擊的發(fā)射臺(tái)。

2. 識別被盜賬戶

系統(tǒng)和網(wǎng)絡(luò)日志可以顯示人們或帳戶正在嘗試做他們通常不做和不應(yīng)該做的事情。這可能表明該帳戶的憑據(jù)已被泄露，并且第三方正在使用該帳戶來規(guī)劃功能和漏洞或泄露敏感數(shù)據(jù)。

3. 發(fā)現(xiàn)內(nèi)部威脅

行為分析可以發(fā)現(xiàn)一個(gè)帳戶使用了比平常更高級別的權(quán)限或試圖訪問它通常不與之交互的系統(tǒng)。這些是內(nèi)部人員濫用其帳戶功能的潛在證據(jù)。

4. 檢測木馬賬戶創(chuàng)建

分析可以發(fā)現(xiàn)帳戶創(chuàng)建、刪除或修改活動(dòng)的異常爆發(fā)，例如創(chuàng)建大量系統(tǒng)管理員帳戶或現(xiàn)有帳戶失去某些特定訪問權(quán)限。這種行為可能表明不良行為者正在設(shè)置本地帳戶以執(zhí)行進(jìn)一步的操作。

5. 監(jiān)控賬戶共享政策違規(guī)行為

UEBA systems can spot evidence that users have shared credentials instead of operating only within their own accounts, making compromise by bad actors more likely. UEBA系統(tǒng)可以發(fā)現(xiàn)用戶共享憑據(jù)的證據(jù)，而不是僅在自己的帳戶中操作，從而更有可能被不良行為者破壞。

6. 預(yù)測即將發(fā)生的硬件和軟件故障

異常行為可以指示硬件中當(dāng)前或即將發(fā)生的故障；操作系統(tǒng)；中間件，例如數(shù)據(jù)庫管理系統(tǒng)；應(yīng)用服務(wù)器；和應(yīng)用程序。例如，給定網(wǎng)絡(luò)交換機(jī)端口上越來越多的數(shù)據(jù)傳輸錯(cuò)誤可能表明硬件出現(xiàn)故障或該端口的電纜存在問題。

7. 執(zhí)行根本原因分析

單個(gè)問題有時(shí)會(huì)產(chǎn)生跨多個(gè)系統(tǒng)和功能層的影響。這里需要威脅分析來發(fā)現(xiàn)連接。例如，多個(gè)面向員工和客戶的應(yīng)用程序中分散的事務(wù)失敗，以及在特定Kubernetes集群中運(yùn)行的數(shù)據(jù)庫服務(wù)器和應(yīng)用程序容器的間歇性問題，可能源于它們背后的存儲(chǔ)網(wǎng)絡(luò)的問題。

UEBA可以滿足企業(yè)和云服務(wù)提供商的運(yùn)營需求，可以前瞻性或回顧性地使用它們。他們可以使用UEBA工具來幫助確定在發(fā)生時(shí)沒有明顯聯(lián)系的分散問題的根本原因，或者在失敗后使用它們來查看是否可以更快發(fā)現(xiàn)有問題的跡象，并且可能會(huì)再次發(fā)生。

8. 了解生產(chǎn)力

行為可以為個(gè)人和團(tuán)隊(duì)的生產(chǎn)力提供線索，表明是什么讓某些人或團(tuán)隊(duì)在特定環(huán)境中比其他人更有效率。 9. 了解實(shí)際的團(tuán)隊(duì)結(jié)構(gòu) 行為分析還可以揭示員工之間的溝通模式，這可以產(chǎn)生有用的洞察力，了解哪些員工被其他員工視為領(lǐng)導(dǎo)者、幫助者或?qū)煛?

10. 檢測欺詐交易

銀行和其他金融服務(wù)機(jī)構(gòu)以及電話公司等服務(wù)提供商長期以來一直在使用此類技術(shù)進(jìn)行欺詐檢測。這些系統(tǒng)是UEBA工具使用的分析技術(shù)的一些最早應(yīng)用。在這些情況下，工具專注于異常行為，例如：

• ATM卡或網(wǎng)上銀行的異常使用；
• 意外的信用卡收費(fèi)模式；
• 保險(xiǎn)理賠的異常模式；
• 長途電話收費(fèi)欺詐；
• 以及 機(jī)器人呼叫。

通過關(guān)注人員和系統(tǒng)所做的事情，UEBA工具在越來越多的用例中發(fā)現(xiàn)了有用的信息。人工智能和機(jī)器學(xué)習(xí)的快速發(fā)展只會(huì)擴(kuò)大和深化可用工具的集合，以及它們從分散在時(shí)間、地理和系統(tǒng)中的數(shù)據(jù)中梳理意義的能力。