撰文 / 數聯資安編輯部

回顧2021年台灣國內上市櫃企業至少發生14起重大資安事件！ 這些資安事件裡都存在著利用合法掩護非法的攻擊手法及來自組織內部的威脅。面對越來越難捉摸的外患內憂，許多企業對許多企業組織再度對於UEBA（User and Entity Behavior Analytics）使用者與物件行為分析的議題發出關心與有過高的期待，對於UEBA這帖可以幫助抓內賊又防外敵的良藥，究竟企業該如何著手導入，這次我們帶您來瞭解UEBA的資安科學方法。

什麼是UEBA 使用者與物件行為分析 ? 

UEBA一詞最早由市場研究機構Gartner在2015年提出的概念，UEBA全文為User and Entity Behavior Analytics（使用者與物件行為分析），強調以使用者為核心，分析其與電腦、應用程式與網路等「物件」之間的關聯性，透過機器學習判斷正常行為的標準範圍，有效率且精準地找出異常行為的科學方法，尤其非常合適於現今的資安威脅獵捕，幫助快速準確地找出潛伏在企業網路中的未知攻擊、揪出有歹念的員工以保護企業機密資料與重要資產。

最近陸續有客戶不約而同諮詢我們的顧問團隊：「是否有UEBA解決方案的產品？」、「UEBA是否有用到機器學習、AI技術？」、「UEBA能否發現行為異常就連動防禦」等，顯然許多人UEBA方案有不少期待，但在訪談之後則發現多數的企業資安環境成熟度尚未做好準備，尤其對於最基本必要的「資安訊息與事件紀錄的收集與管理(SIEM)」往往是匱乏及不足的，因此SIEM可視為UEBA的基礎，而UEBA則為SIEM更上一層的進階應用；企業透過SIEM的前端資料處理，將有助於UEBA建立出更可靠的行為分析。

能抓內賊又防外敵的UEBA 成為吸睛焦點

為了對付內外威脅，有預算的企業買了不少資安產品，從閘道到端點、從行為分析到AI、大數據分析，防火牆、防毒、IPS、EDR、DLP等各種工具部署在企業內網中。而近年開始火紅的UEBA又再次吸引眾人的目光，因UEBA結合多項技術不僅能偵測內部不肖員工非法竊取資料，亦能偵測駭客由外對內的各種惡意攻擊，例如加密勒索軟體WannaCrypt在企業內網的橫行。

起先是從使用者行為分析（UBA）技術開始發展，著重在人員的各種上網行為、資料存取行為的監控，然而由於每個人經常持有多種裝置，在筆電、手機、平板上可能都有相同帳號登入社群網站，因此監控裝置也成為必然。除了透過在端點上的代理程式來監控各種行為，UEBA還透過網路流量分析、網路行為分析等非侵入式技術來旁聽網路行為，於是使用者、裝置加上網路行為的分析組成了UEBA。

實現可以抓內賊亦可防外敵UEBA的敲門磚是什麼？該如何善用UEBA提升資安防護效率，在最短的時間發現潛伏的可疑行動？  閱讀完整文章