管理 ( SIEM ) 系统支持监控用户环境中的操作,而UBA技术则通过更有效的异常监控增强了SIEM 。”来源:Gartner 的商业用户分析手册。
UBA 解决方案有助于提供出色的保护,防范使用公司员工凭证的 APT 攻击。但这并不意味着它们是IT安全行业的灵丹妙药。 UBA 解决方案不会取代传统的 SIEM 解决方案,而是对其进行补充,以填补其“盲点”。目前,控制和监控 IT 基础设施的安全工具之间存在严重不平衡。信息安全经理专注于预防攻击,研究已知威胁的工作方式,定义信任级别,从而创建越来越多的访问控制和保护“墙”,然后使用他们定义的模式和规则来检测此类威胁。但即使更多层的保护和管理工具也未能带来预期的效果——最近的数据盗窃案例就证明了这一点。
“用户行为分析 ( UBA ) 正在彻底改变传统的安全和欺诈管理实践,它使企业能够轻松、深入了解用户行为模式并利用它们来检测入侵者和间谍。”来源:Gartner 的商业用户分析手册。
此外,仅基于访问控制、事件管理和用户身份的策略 日本电报数据 根本不可持续。在外包、云计算和BYOD政策的新环境下,确保所需的安全级别将需要大量资源,并对用户的日常工作引入不可接受的限制。过于严格的管理无法同时保证员工良好的安全性和舒适的工作——为了工作,人们需要信任。 UBA 工具给予用户这种自由,同时还允许他们在其中一个用户对公司构成威胁时立即进行干预和响应。
UBA Analytics 的工作原理
在使用公司基础设施时,人们会在系统上留下指纹。他们的行为被记录在日志、审计跟踪、业务应用程序更改日志和许多其他地方,例如安全信息和事件管理 (SIEM) 系统和计划分析和建模 (PAM) 系统。这是已经存在的大量有价值的数据。 UBA 解决方案不需要预定义的关联规则、安装额外的搜索器或代理程序 - 它们只需使用现有数据即可。第一步是收集这些数据。 UBA 解决方案不会添加新的监控层 - 它们只是收集和分析系统中已有的信息。大多数 UBA 工具都会准确记录分析师访问过的数据,因此员工可以确信他们的文件仅用于安全原因。此外,一些UBA 解决方案可以应用数据匿名化。
利用收集到的数据,可以构建一个“标准”、一个“基线”,即确定这些用户的规范行为:他们通常在什么时间活跃、他们使用什么服务、他们究竟如何使用这些服务等。UBA 解决方案使用各种机器学习算法来创建用户档案。