回顧去年台灣國內上市櫃企業至少發生14起重大資安事件! 這些資安事件裡都存在著利用合法掩護非法的攻擊手法及來自組織內部的威脅。面對越來越難捉摸的外患內憂,許多企業組織再度對於UEBA(User and Entity Behavior Analytics)使用者與物件行為分析的議題發出關心與有過高的期待,對於UEBA這帖可以幫助抓內賊又防外敵的良藥,究竟企業該如何著手導入,以下我們來瞭解UEBA的資安科學方法。
UEBA一詞最早由市場研究機構Gartner在2015年提出的概念,UEBA全文為User and Entity Behavior Analytics(使用者與物件行為分析),強調以使用者為核心,分析其與電腦、應用程式與網路等「物件」之間的關聯性,透過機器學習判斷正常行為的標準範圍,有效率且精準地找出異常行為的科學方法,尤其非常合適於現今的資安威脅獵捕,幫助快速準確地找出潛伏在企業網路中的未知攻擊、揪出有歹念的員工以保護企業機密資料與重要資產。
最近陸續有客戶不約而同諮詢我們的顧問團隊:「是否有UEBA解決方案的產品?」、「UEBA是否有用到機器學習、AI技術?」、「UEBA能否發現行為異常就連動防禦」等,顯然許多人UEBA方案有不少期待,但在訪談之後則發現多數的企業資安環境成熟度尚未做好準備,尤其對於最基本必要的「資安訊息與事件紀錄的收集與管理(SIEM)」往往是匱乏及不足的,因此SIEM可視為UEBA的基礎,而UEBA則為SIEM更上一層的進階應用;企業透過SIEM的前端資料處理,將有助於UEBA建立出更可靠的行為分析。
能抓內賊又防外敵的UEBA 成為吸睛焦點為了對付內外威脅,有預算的企業買了不少資安產品,從閘道到端點、從行為分析到AI、大數據分析,防火牆、防毒、IPS、EDR、DLP等各種工具部署在企業內網中。而近年開始火紅的UEBA又再次吸引眾人的目光,因UEBA結合多項技術不僅能偵測內部不肖員工非法竊取資料,亦能偵測駭客由外對內的各種惡意攻擊,例如加密勒索軟體WannaCrypt在企業內網的橫行。
起先是從使用者行為分析(UBA)技術開始發展,著重在人員的各種上網行為、資料存取行為的監控,然而由於每個人經常持有多種裝置,在筆電、手機、平板上可能都有相同帳號登入社群網站,因此監控裝置也成為必然。除了透過在端點上的代理程式來監控各種行為,UEBA還透過網路流量分析、網路行為分析等非侵入式技術來旁聽網路行為,於是使用者、裝置加上網路行為的分析組成了UEBA。
透過正常行為的監控並從中比對出異常,UEBA能揪出企業內部有權限的不肖員工也能抓出被駭客冒用身份的已淪陷帳號。例如員工離職前夕從檔案伺服器抓取大量資料儲存到外接式硬碟,或是總經理、秘書的電腦遭植入後門程式,在離峰時間每天一點一點複製資料往外傳送。不僅用於防制資料外洩,UEBA也能防止內部系統遭惡意破壞,例如離職員工帳號未能及時註銷,遭有心人士利用登入系統注入惡意程式等。
除了觀測正常使用者或裝置有無異常行為外,UEBA也能觀測內網是否出現固定且有規律地惡意行為,此類行為極有可能是由機器人程式Bot在背後操控。前陣子國內部分券商遭受駭客發動「撞庫」攻擊,即透過Bot不斷用帳密嘗試登入券商系統。
建置UEBA的前提 多種資料來源匯入交叉分析比對UEBA在最近幾年不再以單獨項目出現在Gartner資安排名內,而是成為次世代SIEM平台當中的一部份。因次世代SIEM平台能處理的資料量及資料來源種類比傳統SIEM更多,包括與資安事件相關或非相關資料(如圖),且有能力即時進行資料關聯。再加上採用機器學習與行為側寫分析技術,因此有能力找出被淪陷的合法帳號或特權濫用的異常行為。
▼現今UEBA已納入成為次世代SIEM平台中重要功能
.png)
也因為如此,要建構一個誤判率低、精準有效的UEBA環境,必須能匯入多種來源的系統資料以利進行交叉比對分析,舉凡防火牆、防毒、Email、DNS、AD等系統。同時UEBA也絕非安裝後立即可套用,每家企業隨著產業屬性不同,有不同使用者行為操作模式,這些都需要事先經過完整的日誌搜集、模型建立、決定風險高低等,透過適當的組態設定才能避免產生大量的告警。
而對於想要加強資料安全保護的企業,UEBA可作為資料外洩防護DLP(Data loss prevention)的第二道防線。有鑑於過往DLP防護方案也面臨未知攻擊的狀況,企業很難判定離散及潛行的資料外洩行為,造成企業辛苦導入的DLP方案卻越來越難發揮效果。以實際案例來說,某傳產製造業在台設有業務、工程、研發等部門,工廠位於中國大陸,為了確保產品設計資料的安全,台灣各部門已全面導入Agent-based DLP產品,然而在大陸的員工卻無法強制安裝DLP代理程式;該企業面臨到DLP部署率無法再提升及DLP穿透破口的涵蓋面不足的瓶頸,因此重新評估原有DLP方案策略的投資效益;經過Splunk專家的顧問建議可以從導入Splunk Enterprise Security平台建立企業SIEM系統機制,並進一步透過SIEM的分析技術作為DLP的補強,結果發現許多使用者與物件的行為分析被清楚的可視化揭露,幫助該企業能夠從既有DLP方案擴大到公司的網路邊界跟區段上落實全面防護。令客戶上層滿意的是,原本預期要花費更高的UEBA導入預算跟時間、人力,竟然只要Splunk SIEM與專家顧問的補強下就能夠用更少的經費即可加速達成。
同樣地在防禦外部攻擊上,UEBA也可作為異常偵測工具。例如去年底引爆的Log4j漏洞事件,由於影響層面廣大,許多設備產品都有使用此套件,且攻擊工具很快就被公布,這時如果企業無法即時修補此漏洞,就可以立即在SIEM平台上新增規則持續觀測漏洞,以便快速發現異常。
總而言之,UEBA可以抓內賊亦可防外敵,但前提是需能匯入多種設備資料來源作為分析,若是只單靠防火牆或防毒軟體的日誌,就想仰賴UEBA解決所有難題,恐怕誤會就大了。
