（觀安信息技術股份有限公司，上海 200062）

從近期發(fā)生的安全事件可以觀察到這樣一個趨勢：即安全事件正從傳統(tǒng)的攻防、從針對業(yè)務系統(tǒng)或者主機設備進行攻擊的事件，轉(zhuǎn)向了側(cè)重于針對數(shù)據(jù)泄露、數(shù)據(jù)篡改的事件。進入DT時代，數(shù)據(jù)的價值被大家逐漸認知，同時，數(shù)據(jù)也成為企業(yè)的核心資產(chǎn)。因此，這些年來，針對數(shù)據(jù)的安全事件也層出不窮。2017年發(fā)生的數(shù)字泄漏事件比2016年增長了13%。同時，個人信息的泄露在數(shù)據(jù)泄漏中占的比重非常多，達到49%。在2017年差不多有近100多億條的數(shù)據(jù)造成了泄漏。此外，內(nèi)部安全威脅也在逐漸加劇，CERT調(diào)研顯示53%的企業(yè)認為內(nèi)部威脅遠大于外部威脅。

1 數(shù)據(jù)違規(guī)的生命周期和企業(yè)應對措施

數(shù)據(jù)泄露行為從技術的角度可以分成四個環(huán)節(jié)：探測、橫向移動、數(shù)據(jù)的訪問和收集、數(shù)據(jù)泄露。在每個環(huán)節(jié)都有一些典型的行為特征，比如：探測環(huán)節(jié)的典型特征包括：惡意軟件、賬號被盜；橫向移動環(huán)節(jié)的典型特征包括：平行移動、不正常的登錄；數(shù)據(jù)的訪問和收集環(huán)節(jié)的典型特征包括：大量數(shù)據(jù)訪問、應用賬號濫用；數(shù)據(jù)泄露環(huán)節(jié)的特征包括：不正常的對外連接、突增的網(wǎng)絡流量等。

企業(yè)針對數(shù)據(jù)泄露行為的檢測，可以收集相關安全設備日志或者IT設備的日志，然后利用用戶和實體行為分析（User and Entity Behavior Analytics,UEBA）技術進行數(shù)據(jù)泄露風險的分析。比如：利用用戶的一些登陸、登出的行為，發(fā)現(xiàn)帳號是否存在被劫持或者被盜用的風險；或者通過網(wǎng)絡流量的歷史訪問數(shù)據(jù)，建立動態(tài)的基線，從而發(fā)現(xiàn)當前流量是否有異常。

2 UEBA的價值與核心理念

UEBA是指用戶和實體的行為分析，比較適合敏感數(shù)據(jù)泄露的分析。可以利用一系列的基礎分析手段和高級分析手段來提供用戶行為模型和異常偵測。根據(jù)Gartner的預測：“2020年之前，會有25%的SIEM廠商會通過收購、合作、自主開發(fā)來增加UEBA的功能?！庇^安信息也提供了基于數(shù)據(jù)訪問分析的UEBA解決方案。

UEBA為什么這兩年在國內(nèi)得到快速地認可呢？UEBA的核心定位是“人”，即檢測用戶行為是否異常。所以說，它跟傳統(tǒng)的安全手段不太一樣。傳統(tǒng)的安全手段關注安全事件，比如病毒和木馬。UEBA能幫助用戶發(fā)現(xiàn)一些可疑的行為尤其是內(nèi)部可疑行為，能夠為安全人員的行動迅速指明方向。UEBA有兩個優(yōu)勢：①更容易找到存在異常行為的人或者說壞的“人”。UEBA是長時間、持續(xù)性地對用戶的行為進行記錄和分析，通過歷史行為分析來檢測當前的一些操作是否存在異常，這樣就能大大削減告警的數(shù)量，能夠迅速地關注到存在的風險點。②因為是基于“人”的視角判定，所以可以更直接地讓我們的審計人員、安全人員快速地定位到這個“人”的惡意操作行為。

UEBA的技術核心理念，就是上下文感知，是基于對用戶、終端、文件、網(wǎng)絡或者是其它一些實體，來構(gòu)建上下文的聯(lián)系。比如：人的這些基礎的、自然的屬性，包括他的部門、職位、帳號、權限以及其它一些信息，都可以作為分析實體來構(gòu)建上下文內(nèi)容。同時，UEBA的價值在于產(chǎn)生內(nèi)部威脅的異常行為事件。而異常行為事件或規(guī)則的制定，簡單的方式是基于各種類別內(nèi)部數(shù)據(jù)進行針對性定義，是來自于安全經(jīng)驗和客戶環(huán)境和場景的驅(qū)動。

3 觀安的UEBA解決方案

觀安的UEBA整體解決方案的思路，分為四層——數(shù)據(jù)源層、數(shù)據(jù)處理層、分析引擎層、展示層。分析引擎層有兩個特點，第一個特點是基于用戶訪問數(shù)據(jù)自動生成安全基線。比如針對訪問數(shù)據(jù)庫的行為，從誰訪問的、如何訪問、訪問了什么數(shù)據(jù)、同一類型的用戶訪問行為是不是一致、訪問量多少、什么時間訪問等多個維度來構(gòu)建動態(tài)的基線。這比傳統(tǒng)的基于規(guī)則或者基于閾值的檢測大大提升了檢測的準確度。舉例來說，我們一些客戶核心業(yè)務系統(tǒng)中防止數(shù)據(jù)泄漏的做法，是針對一些營業(yè)人員的高頻次訪問客戶詳單這種敏感操作做安全審計，采取了一刀切的審計策略。比如：營業(yè)人員如果一天內(nèi)上千次的查客戶詳單，認為會涉及到數(shù)據(jù)泄露風險。但是每個公司下面各個營業(yè)點或者各個子公司的業(yè)務量是不一樣的，業(yè)務有繁忙和空閑周期，這里面就沒辦法有效的查出真正的“有數(shù)據(jù)泄漏”的點，反而有很多誤報。這里我們可以基于動態(tài)基線，結(jié)合每個人的操作歷史行為、登錄地等特征，再結(jié)合歷史操作的量來對今日的操作行為進行判斷，這樣的一個檢測效果就會比原來檢測的準確率提升很多。

第二個特點是用到機器學習的模型。比如針對敏感數(shù)據(jù)接口調(diào)用，我們可以采用孤立森林算法。采用機器學習的時候，從帳號、IP、時間、接口四個角度，多維度綜合數(shù)據(jù)特征。比如：帳號的角度，可以考慮帳號的類型、賬號登錄次數(shù)、以及帳號接口調(diào)用數(shù)、賬號關聯(lián)系統(tǒng)類型等維度數(shù)據(jù)。IP的角度，可以考慮IP的接口調(diào)用次數(shù)、IP關聯(lián)的接口類型等維度。時間角度可以從訪問時長、訪問的時間是不是工作日、時間間隔等維度?；谶@些維度數(shù)據(jù)，結(jié)合孤立森林算法來進行異常行為檢測。

圖1 案例分析

以一個客戶的實際案例來解釋，從圖1可以看到，敏感數(shù)據(jù)接口的訪問行為中，基于這些維度的數(shù)據(jù)，通過孤立森林算法來判斷是否有異常的行為。最右邊的得分數(shù)值越高，異常概率越高。我們也用了圖示的方式來呈現(xiàn)，左邊的圖中紅色的線代表是置信區(qū)間。在置信區(qū)間內(nèi)訪問的點，代表異常概率相對較低的訪問行為。在置信區(qū)間外的，代表異常概率相對比較高的訪問行為。

基于機器學習分析的方法，我們也對一些典型的場景和一些重點的分析維度做了一些匯總。核心還是基于用戶和數(shù)據(jù)，因為大部分的數(shù)據(jù)泄漏風險還是在用戶和數(shù)據(jù)交匯點。我們在用戶的層面，會關注用戶的身份，包括：賬號、IP信息、使用的軟件等。訪問的數(shù)據(jù)層面，我們就關心訪問的具體數(shù)據(jù)內(nèi)容，包括：執(zhí)行的一些具體的操作、時間、數(shù)據(jù)量、文件類型和大小等。

總結(jié)UEBA在數(shù)據(jù)泄漏分析應用上主要呈現(xiàn)以下特點：

一是對用戶、終端、文件、應用和其他實體構(gòu)建上下文。以用戶上下文為核心實現(xiàn)驅(qū)動或關聯(lián)數(shù)據(jù)，實現(xiàn)行為分析和異常檢測。

二是除了傳統(tǒng)的規(guī)則以外，專門構(gòu)建的機器學習算法可以產(chǎn)生高度可信的結(jié)果，這有助于事件響應和尋找威脅。

三是以部門、個人、資產(chǎn)、資產(chǎn)群等為單位建立多維度行為基線，關聯(lián)用戶與資產(chǎn)的行為，用機器學習算法和預定義規(guī)則找出嚴重偏離基線的異常行為。

四是提供基于用戶的調(diào)查分析工具，全面掌握用戶信息和行為軌跡，讓異常用戶無所遁形。