面對攻擊的灰色地帶 UEBA結合AI大數據第一時間揪出可疑行為

外部攻擊對企業營運衝擊越來越大,面對可疑的入侵行為與蛛絲馬跡,善用UEBA、漏洞檢測及端點偵測與應變機制三者聯防,能在第一時間精準防備,並迅速提供資訊作為營運決策判斷。

發布日期:2022/03/28 撰文:數聯資安編輯部

面對攻擊的灰色地帶,UEBA結合AI大數據第一時間揪出可疑行為

外部攻擊對企業營運衝擊越來越大,面對可疑的入侵行為與蛛絲馬跡,善用UEBA、漏洞檢測及端點偵測與應變機制三者聯防,能在第一時間精準防備,並迅速提供資訊作為營運決策判斷。

就在2月底外電傳出GPU大廠NVIDIA遭駭客入侵,駭客對外宣稱取得該公司1TB的驅動程式原始碼等資料並要求支付贖金,Nvidia隨後證實有員工登入憑證及部分系統資料遭外洩但不影響營運。而日本汽車大廠TOYOTA同時也傳出因外部零件供應商遭入侵,連帶使零件供應管理系統停擺,TOYOTA做出暫停日本境內14家工廠營運一天以進行調查的決定。駭客入侵對企業營運造成越來越直接且巨大的衝擊,上一篇談到使用者與物件行為分析(User and Entity Behavior Analytics, UEBA)的概念以及許多不同的應用情境,包括能抓內賊又防外敵,以下繼續深入介紹UEBA如何與漏洞檢測及端點偵測與應變(Endpoint Detection and Response, EDR)整合,由漏洞檢測在前、UEBA居中以及EDR在後,三者聯防成功實現第一時間精準防備。

  前有漏洞檢測、UEBA居中,後串EDR聯防阻斷未知攻擊

系統漏洞是當前駭客入侵企業組織的主要破口,大部分企業都知道要定期進行漏洞檢測以求第一時間找出高風險處並強化系統安全,但事實上很多企業即使在找出高風險的系統弱點後,仍無法立即決斷該如何處置因應。我們遇到許多企業IT主管,尤其當面對核心系統掃描出高風險弱點但又尚未偵測到攻擊行為時,對於這種灰色地帶多半會先保守採取持續觀測的方式。但問題來了,在人力有限下,該如何有效率地觀測?該取得哪些資訊才足以作為營運決策的判斷依據?

UEBA是從使用者行為分析及裝置異常存取的技術演化而來,早期是企業資料外洩的主要應用方法,不僅能分析不肖員工的資料竊取可疑行為,而今也能應用揪出未知攻擊事件。UEBA是一套方法論,透過企業內不同來源且大量的系統紀錄與存取行為資料中,經過機器學習與AI所建立的企業常態行為量化指標。因此一旦發生攻擊使某些指標出現異常,就能將相關數據分析結果提供管理者協助決策。以製造業來說,當工廠系統環境出現可疑行為,若斷然採取中斷產線營運的決定將造成營運損失,IT主管須承擔極大壓力,但若不斷線,一旦惡意程式引爆大規模感染,損失更難以估算。這時UEBA所產出各項分析結果是提供更可靠的舉證資料並進而幫助決策判斷與指令行動。

以近期最受關注的Apache Log4j (Log4shell)漏洞為例,只要有系統使用Apache Log4j 2.15以下版本,就能讓攻擊者在受害伺服器上遠端執行任意程式碼,甚至操控整台主機。因此在漏洞公布的當下,首要是先透過漏洞檢測全面盤點環境中有哪些系統是存在受影響版本的風險資產,但是由於Log4j的漏洞修正版本接連出現狀況,因此造成修正更新的方法無法立即套用,這時透過UEBA重點觀測這幾台有使用Log4j 2的主機,是否有異常遠端連線存取的行為則不失為一個選擇方法。

通常有權限可遠端連線主機的只有管理者帳號,若是不被授權的帳號可直接被擋下,那若是攻擊者假冒合法使用者的身分登入,UEBA如何發現異常行為?一般正常的管理者遠端登入系統,會進行哪些存取行為、下何種指令等,都已被UEBA記錄並建立一套正常行為的門閥值。若被攻擊者假冒身分登入,進行可疑的操作行為,例如抹除操作的指令,又若嘗試對外連往可疑的網站並試圖下載惡意程式或不明程式,這時UEBA都將立即給予一個超高的數值。一旦這些數值經過加權分析被判定偏離正常值太多,即視為可疑的異常行為,UEBA可立即通報系統管理者,並藉由UEBA串聯EDR、防火牆或資安協作自動應變系統(Security Orchestration, Automation and Response ,SOAR),快速反應將該主機隔離或阻斷連線,自動壓制攻擊發生的可能性,最後手段才是斷開實體網路線路。

  結合大數據分析與AI,UEBA能依照環境風險自動調整門閥值

如上所述,UEBA要發揮作用,需有大量的系統日誌或網路封包分析資料匯入,同時需經過一段時間的資料搜集才能建立正常行為的門閥值或指標參數。過往這類的數值參數很難有一個絕對的標準,問題在於環境不同、應用不一、習慣差異,而透過UEBA的系統方法觀察企業行為的數值是具有大數據分析與AI/ML優化處理,因此也更為可靠精確,UEBA除了記錄多數正常的操作行為,也包括允許可能偶發的人為操作錯誤,同時必須能依照環境風險自動調整,例如在正常狀況下採用標準值,但若發現有高風險的漏洞存在時,UEBA需能自動下調門閥值,採用更嚴格的規則標準。

總結來說要防禦外部入侵,尤其是無前例可循的零時差攻擊,漏洞檢測結合UEBA,能有效聚焦該重點觀測的範圍,並迅速產出分析結果確認異常行為,提供企業更多的營運決策依據。而UEBA再串聯EDR,則能快速自動的大範圍阻擋遏止可疑連線,不只如此還能採樣留存證據。在分秒必爭的攻防之際,UEBA能提供需要更多決策資訊的企業,做出正確判斷。

 

聯繫數聯資安,我們將依據您的需求給予最佳方案
我可以協助您 請勾選需要諮詢的產品
我可以協助您 請填聯絡資料,專人將與您聯繫
聯絡人姓名
電子郵件
聯絡電話
公司名稱
產業別
我可以協助您 請填送出資料,專人將與您聯繫
驗證碼 取得驗證碼