下载掌阅APP,畅读海量书库
立即打开
本节讲述IAM系统的最后一个功能模块——统一审计功能。IAM系统将用户在身份访问管理系统中的登录行为和访问行为完整地记录下来,同时各类系统管理人员在资源中的系统维护操作也被完整地记录下来。IAM系统对关键操作事件进行收集、存储和查询,用于安全分析、合规审计、资源跟踪和问题定位等。审计人员可以随时查看用户是否存在非法、越权操作,及时发现问题并采取措施,将安全隐患排除。对于那些已经发生的问题,管理员可以以回放的方式查看用户的所有操作,追究责任,并将用户对应的资源账号停用,阻止其继续操作。
IAM系统统一审计功能模块如图3-28所示。IAM系统统一审计模块还可以与风控模块进行联动,将审计数据输送给风控模块持续进行风险和信任评估,并根据风险和信任评估结果实时做出风险决策,或阻断操作,或对用户身份进行安全级别更高的身份认证,或直接放行。
图3-28 IAM系统统一审计功能模块
3.3节~3.5节讲述了IAM系统统一的身份管理、身份认证、访问控制等功能模块。对访问主体的身份统一纳管,避免身份不统一带来的管理困难,用户难以追溯以及孤儿账号、僵尸账号带来的安全风险;采用多维度多因素的认证策略对用户身份进行认证,同时对多个信息化资源实现单点登录,避免身份冒用和非法的访问带来的安全风险;从访问控制维度,采用统一鉴权模式,结合多种访问控制模型实现对用户进行细粒度的访问控制管理;以上从各种风险维度对主体访问客体资源时的风险进行事前防御,而审计风控属于对访问行为风险事中和事后的安全把控和追溯,对访问行为的安全部署最后一道防线。
IAM系统主要针对纳管的应用系统以及管理后台的访问日志审计,对访问服务器、数据库、网络设备时的日志审计有专门的日志审计工具,这里不做过多描述。
IAM系统审计功能应遵循全方位审计的理念,对普通用户和各类管理员用户访问IAM系统和纳管的信息化资源进行全面的审计,审计日志需要记录用户的所有操作,需要记录主体、操作、客体、类型、时间、地点、结果等内容。根据不同的维度可以划分为不同的操作日志,如操作日志和登录/登出日志、用户日志和管理员日志、业务系统日志和IAM系统日志等。除此之外,还应对访问的终端环境是否异常、访问时间是否异常、访问行为上下文比较等进行全面审计,也可对接威胁情报数据,对用户实体行为风险进行分析,以便做出相应风险处置决策。IAM系统全方位审计维度表如表3-10所示。
表3-10 IAM系统全方位审计维度表
IAM系统对主体访问资源客体进行详细的全面审计,如主体、操作、客体、类型、时间、地点、结果等内容,并进行报表统计展示。仅仅对主体访问客体资源的行为远远不够,还应该对用户的行为进行安全分析。
对用户行为分析实际上可以理解为对行为主体、客体和行为操作的分类问题,不同类别的访问主体对不同类别的数据进行的各种操作类型,可以从整体上刻画用户行为的特征。对用户行为的时态、主体、客体、操作的众多特征进行选择,实现主客体和操作类型的分类。
首先对众多的特征进行分类。用户行为时态特征刻画了用户行为发生的时间地点和发起行为的终端类型、网络环境等,考虑到用户凭证可能失窃,合法用户也可能在某些情况下发起一些违规、恶意的操作。当前企业信息化资源的开放性和动态性,应将用户行为的起始时间、结束时间、IP地址、物理位置、终端类型来刻画用户行为时态,用户主体的部门、性别、年龄等具体特征作为辅助。
经过特征选择,得到一个用户行为特征,常见用户行为特征如表3-11所示。表中所列用户行为的21个特征,被分成行为时态、行为主体、行为客体、行为操作4个部分,分别经过预处理后,根据一定的算法来提取行为时态特征、行为主体特征、行为客体特征和行为操作特征,把这些特征用某种方式综合起来,可以用来刻画一次用户行为的总体特征。
表3-11 常见用户行为特征
对用户行为特征数据进行采集和汇总后,需要进行行为特征的预处理和自动分析。在进行预处理之前,需要把典型的特征数字化,从而方便计算,如时态特征和操作特征。而主客体特征还包含了很多种类的实体,每个实体都有各种不同的属性,需要在这些属性中提取具有代表性的特征,从而获得用户行为对应的实体集的总体特征。
采集出主体访问客体行为的总体特征后,即可对访问行为风险进行分析,行为风险分析既可以采用规则引擎的方式,也可以采用机器学习的方式。
规则引擎由推理引擎发展而来,是一种嵌入在应用程序中的组件,实现了将业务决策从应用程序代码中分离出来,并使用预定义的语义模块编写业务决策。接收数据输入,解释业务规则,并根据业务规则做出业务决策。规则引擎整合了传入系统的事件集合和规则集合,从而去触发一个或多个业务操作。IAM系统管理后台应具备相应的风险规则配置模块,通过业务分析对整个访问过程可能出现的风险操作进行分析并制定相应的规则,主体在访问客体时,规则引擎对该事件进行实时的规则碰撞,进而对用户行为进行风险分析。
机器学习是使用计算机从大量数据中找出潜在的规律,来提取数据中的知识。机器学习能够在不进行详细编程的情况下,将无序的数据转换为有用的信息,从数据中找出规律,从而实现自动计算。常见的机器学习任务包括回归、分类和结构化学习。
常见的行为分析方法包括统计分析法、聚类分析法、关联分析法、决策树法、神经网络法和时序数据挖掘法。
(1)统计分析法是基本的行为分析方法,主要对用户行为分解、归类后进行数量统计,得出某个类型行为的数据总量,并借助这些数据总量分析用户行为的规律。
(2)聚类分析法是一种探索性的分析,在分类聚类过程中,并没有事先设定分类标准,而是基于样本数据自动进行分类。鉴于用户行为数据的复杂性,聚类分析法比统计分析法具有更广的适用范围,也是用户行为分析中最为常用的分析方法之一。
(3)关联分析法是将用户行为习惯和其他行为习惯借助于Apriori等关联规则算法进行关联分析,从而发现不同行为习惯之间的关系和规律,达到对用户行为预测的目的。它可以使用宽度优先、深度优先、数据集划分、采样、增量式更新、约束关联、多层多维关联等数据挖掘中常用的关联规则挖掘算法。
(4)决策树法是利用信息和数据的树状图形向决策人提供后续问题决策辅助。在用户行为分析过程中,涉及用户后续信息行为的预测,这是决策树的典型应用场景。
(5)神经网络法是模拟动物神经网络的特征,进行分布式并行信息处理。建立神经网络模型,经过训练后,可以自动对用户行为进行分析判断,适合处理海量用户行为的自动分析。
(6)时序数据挖掘法引入了时间的概念,从过去的用户行为中学习,找出特征,并预测未来的行为。
使用规则引擎和机器学习技术对用户行为风险分析,根据用户行为是否正常的分析结果,分别计算用户行为的风险值,动态调整用户的信任等级,其最终的目的是要对风险行为进行屏蔽,保障主体访问客体过程的安全。对风险状态的处理策略有以下几种。
(1)风险结果大屏展示。将用户行为风险情况呈现到安全大屏上,秒级更新实时数据,可实时展现主体访问客体资源的风险情况,帮助资产和系统管理员一眼看清当前的用户行为安全状态,实时为企业呈现告警概览并及时响应。
(2)短信邮件通知。对主体访问客体资源的风险通过邮件或短信的方式实时通知资产和系统管理员,以便管理员可以及时对主体的访问做出相应的处置策略。
(3)阻断或权限调整。根据对用户行为风险信任等级评估结果,实行动态的访问控制。遇到风险等级较高的行为时,可对用户的行为进行阻断,或调整权限,限制用户继续访问,实现基于信任等级动态调整访问控制策略。
(4)智能场景认证。根据对用户行为风险信任等级评估结果,实行动态访问控制时,可以有更灵活的处置方式,避免正常用户被误认为风险行为时访问受限,可以采用二次认证的策略进行处置,如风险等级中等时,可以调起中等强度的二次认证(如OTP认证、指纹认证等);在风险等级中高等时,可以调起高等强度的二次认证(人脸识别、USB Key认证等)。
1.UEBA的定义
Gartner对用户和实体行为分析(User and Entity Behavior Analytics,UEBA)的定义是:UEBA提供画像及基于各种分析方法的异常检测,通常是基本分析方法(利用签名的规则、模式匹配、简单统计、阈值等)和高级分析方法(监督和无监督的机器学习等),用打包分析来评估用户和其他实体(主机、应用程序、网络、数据库等),发现与用户或实体标准画像或行为相异常的活动所相关的潜在事件。这些活动包括受信内部或第三方人员对系统的异常访问(用户异常),或者外部攻击者绕过安全控制措施的入侵(异常用户)。
Gartner认为UEBA是可以改变“游戏规则”的一种预测性工具,其特点是将注意力集中在最高风险的领域,从而让安全团队可以主动管理网络信息安全。UEBA可以识别以往无法基于日志或网络的解决方案识别的异常,是对安全信息与事件管理(Security Information and Event Management,SIEM)的有效补充。
UEBA是一种网络安全过程,它注意用户的正常行为。反之,当这些“正常”模式存在偏差时,它会检测到任何异常行为或实例。例如,如果特定用户每天定期下载10 MB的文件,但突然有一天下载了千兆字节的文件,那么系统将能够检测到此异常并立即对其发出警报。
UEBA使用机器学习、算法和统计分析来了解何时与既定模式存在偏差,从而显示出哪些异常可能导致潜在的实际威胁。UEBA还可以汇总报告和日志中的数据,以及分析文件、流和数据包信息。
UEBA不跟踪安全事件或监视设备。相反,它跟踪系统中的所有用户和实体。因此,UEBA专注于内部威胁,如变得无奈的员工、已经受到威胁的员工、已经可以访问系统然后进行针对性攻击和欺诈尝试的人员,以及服务器、应用程序、系统中运行的设备。
2.UEBA的产生原因
随着数字新时代到来,网络环境变得更加多元、人员变得更复杂、接入方式多种多样、网络边界逐渐模糊甚至消失,同时伴随着企业数据的激增。发展与安全已成为深度融合、不可分离的一体之两面。在数字化浪潮的背景下,网络信息安全必须应需而变、应时而变、应势而变。
组织面临的严峻网络安全挑战来自以下4个方面。
(1)越来越多的外部攻击,包括被利益驱动或国家驱动的难以察觉的高级攻击。
(2)心怀恶意的内鬼、疏忽大意的员工、失陷账号与失陷主机导致的各种内部威胁。
(3)数字化基础设施的脆弱性和风险暴露面越来越多,业务需求多变持续加剧的问题。
(4)安全团队人员不足或能力有限,深陷不对称的“安全战争”之中。
挑战催生革新,正是在数字化带来的巨大安全新挑战下,安全新范式应运而生。UEBA就是安全新范式的一个典型体现。
3.UEBA的内容
UEBA对异于标准基线的可疑活动进一步分析,从而可以帮助发现潜在威胁,在企业中最常见的应用是检测恶意内部人员和外部渗透攻击者。
UEBA类技术用于解决以人、资产、数据为维度的内部安全类场景。此类场景往往攻击行为不明显,无成形的方法论,也无显著的规律可以遵循。此外,UEBA所支持的场景都有长、低、慢的特征,即所谓低频长周期的特征,场景支持的复杂性、分析数据的多维度等特性,均对UEBA类产品的关键技术支撑提出了高要求。
UEBA方案对于企业的价值存在3个阶段:一是客观采集人员访问行为,从审计的角度进行统计、展示;二是结合用户角色和行为特征,进行内部用户行为画像;三是结合具体场景,通过算法集合、规则、特征等进行多维度的异常行为监控与风险预警。
有效的UEBA方案,不应过分强调算法,要看具体的应用场景。基线、黑/白名单、特征各有各的适用范围和限制。UEBA作为安全新范式的一个典型体现,其新范式的破局之道主要体现在以下5个方面。
1)行为分析导向
身份权限可能被窃取,但是行为模式难以模仿。内部威胁、外部攻击难以在基于行为的分析中完全隐藏、绕过或逃逸,行为异常成为首要的威胁信号。采集充分的数据和适当的分析,可发现横向移动、数据传输、持续回连等异常行为。
2)聚焦用户与实体
一切威胁都来源于人,一切攻击最终都会必然落在账号、机器、数据资产和应用程序等实体上。通过持续跟踪用户和实体的行为,持续进行风险评估,可以使安全团队最全面地了解内部威胁风险,将日志、告警、事件、异常与用户和实体关联,构建完整的时间线。通过聚焦用户与实体,安全团队可以摆脱告警困扰,聚焦到业务最关注的风险、有的放矢提升安全运营绩效,同时通过聚焦到账号、资产和关键数据,可以大幅降低误报告警数量。
3)全时空分析
行为分析不再孤立针对每个独立事件,而是采用全时空分析方法,连接过去(历史基线)、现在(正在发生的事件)、未来(预测的趋势),也连接个体、群组、部门、相似职能的行为模式。通过结合丰富的上下文,安全团队可以从多源异构数据中以多视角、多维度对用户和实体的行为进行全方位分析,发现异常。
4)机器学习驱动
行为分析大量地采用统计分析、时序分析等基本数据分析技术,以及非监督学习、有监督学习、深度学习等高级分析技术。通过机器学习技术,可以从行为数据中捕捉人类无法感知、无法认知的细微之处,找到潜藏在表象之下异常之处。同时,机器学习驱动的行为分析,避免了人工设置阈值的困难。
5)异常检测
行为分析的目的是发现异常,从正常用户中发现异常的恶意用户,从用户的正常行为中发现异常的恶意行为。
总结上述新范式破局的5个方面就是,在全时空的上下文中聚焦用户和实体,利用机器学习驱动方法对行为进行分析,从而发现异常。
4.UEBA的价值
通过对比安全新旧范式,可以看到UEBA具有明显的独特价值。UEBA可以给安全团队带来独特的视角和能力,即通过行为层面的数据源以及各种高级分析,增强现有安全工具能力,提高风险可视性,弥补了安全运营中长久以来缺失的极度有价值的视角,并提高了现有安全工具的投资回报率。
UEBA比现有的分散工具具有更大的风险可视性,通过直观的点击式界面访问上下文和原始事件,从而加速了事件调查和根本原因分析,缩短了调查时间,降低了事件调查人数以及与雇用外部顾问相关的成本。
在增加现有安全投资的回报方面,UEBA主要通过以下方式实现:安全信息与事件管理(SIEM)系统、恶意软件威胁检测工具端点检测与响应(Endpoint Detection & Response,EDR)、端点平台保护(Endpoint Protection Platforms,EPP),以及数据泄露防护(Data Leakage Prevention,DLP)技术自动确定威胁和风险的优先级,而UEBA通过无监督的机器学习来进行自动化、大规模的正常和异常行为的统计测量,从而降低了运营成本,实现无须管理复杂的基于阈值、规则或策略的环境。
各种安全技术和方式对比如表3-12所示,UEBA的价值主要体现在以下4点。
表3-12 各种安全技术和方式对比
1)发现未知
UEBA可以帮助安全团队发现网络中隐藏的、未知的威胁,包括外部攻击和内部威胁;可以自适应动态的环境变化和业务变化;通过异常评分的定量分析,分析全部事件,无须硬编码的阈值,即使表面看起来细微的、慢速的、潜伏的行为,也可能被检测出来。
2)增强安全可见
UEBA可以监控所有账号,无论是特权管理员、内部员工,还是供应商员工、合作伙伴等;利用行为路径分析,贯穿从边界到核心资产的全流程,扩展了对关键数据等资产的保护;对用户离线、机器移动到公司网络外等情况,均增强了保护;准确检测横向移动行为,无论来自内部还是外部,都可能在敏感数据泄露之前发现端倪,从而阻止损失发生;可以降低威胁检测和数据保护计划的总体成本和复杂性,同时显著降低风险以及对组织产生的实际威胁。
3)提升能效
UEBA无须设定阈值,让安全团队更有效率。引入全时空上下文,结合历史基线和群组对比,将告警呈现在完整的全时空上下文中,无须安全团队浪费时间手动关联,降低验证、调查、响应的时间;当攻击发生时,分析引擎可以连接事件、实体、异常等,安全人员可以看清全貌,快速进行验证和事故响应;促使安全团队聚焦在真实风险和确切威胁,提升威胁检测的效率。
4)降低成本
UEBA相比SIEM、DLP等工具,大幅降低了总体告警量和误报告警量,从而降低了安全运营工作负载,提升了投资回报率(ROI);通过缩短检测时间、增加了准确性,降低了安全管理成本和复杂性,降低了安全运营成本;无监督、半监督机器学习让安全分析可以自动化构建行为基线,无须复杂的阈值设置、规则策略定制,缓解了人员短缺问题;通过追踪溯源及取证,简化了事故调查和原因分析,缩短了调查时间,降低了每事故耗费的调查工时,以及外部咨询开销;通过自动化进行威胁及风险排序定级,提升了已有安全投资(包括SIEM、EDR、DLP等)的价值回报。
总之,UEBA的价值主要体现在发现未知、增强安全可见、提升能效、降低成本。