UEBA 代表使用者與實體行為分析。過去稱為使用者行為分析,UEBA 是追蹤使用者行為異常的過程,用於識別潛在的網路安全風險或威脅。其構想是針對使用者行為設定大量資料,並使用設定內資料常態的變化,以觸發警示或特定行動,主動抵禦網路攻擊,或在造成過多損害前阻止網路攻擊。
UEBA 如何運作?
UEBA 追蹤組織使用者和實體的行為,以區分正常行為與異常行為。就網路安全而言,使用者或實體可以是任何 IT 系統、業務流程或組織(包括政府)。
UEBA 透過持續審查和分析資料來監控這些使用者和實體,以確定特定活動或行為是否異常,因此可能導致網路攻擊,因此可能具有危險性。
例如,駭客可能會竊取員工的密碼並登入系統。一旦進入系統,駭客的行為方式很可能與使用者過去的行為完全不同,因此會觸發網路威脅警示。
UEBA 透過機器學習、統計分析和進階分析的結合,實現了這種複雜的異常追蹤。通常,UEBA 系統為使用者行為建立一個“基線”,並比較活動與這個基線。
UEBA vs. SIEM:它們有何不同?
安全資訊和事件管理(SIEM)使用儀表板來提供所有安全相關資訊和事件的全面檢視,並在需要時觸發警報。SIEM 平台從各種安全工具和 IT 系統收集並彙總資料,然後分析這些資料。
另一方面,UEBA 系統則運用機器學習來分析使用者行為,因此可以使用這些資訊預測潛在的網路威脅,並傳送即時警示。SIEM 是原始流程,但公司很快就發現,將 UEBA 策略納入 SIEM 能讓 SIEM 更有效地即時監控威脅並迅速回應。這是因為 UEBA 會追蹤和分析使用者行為,而 SIEM 則不會。
UBA 與 UEBA:一樣嗎?
了解使用者行為分析(UBA)與 UEBA 之間的差異,最後要了解為何要加入 “E” 以及加入對象。
“UEBA”中的“E”代表“實體”,來自 2017 年出版的 Gartner 市場指南。這是第一次使用“UEBA”,而不是“UBA”。在此之前,BA 技術的主要重點是資料竊取和詐騙。但公司很快就意識到網路威脅的來源,遠遠不只是使用者,包括受管理與未受管理的端點、雲端與行動應用程式、網路,以及各種外部威脅。Gartner 將這些其他的網路風險來源稱為「實體」。
簡而言之,BA 和 UEBA 並不相同,但兩者關係非常密切。UEBA 是最新版本的 UBA。
UEBA vs. SOAR:哪一個比較好?
安全調度、自動化與回應(SOAR)工具讓組織能夠透過從不同系統和平台收集並集中資料,更快速地回應安全威脅。這樣一來,SOAR 工具就被視作一種為所有網路安全相關資料和活動實現“單一事實來源”的方法。SOAR 系統也可用於自動回應低層級的安全威脅。
雖然 SOAR 強調自動化、資料收集和彙總,但 UEBA 著重於使用者和實體行為的分析。SOAR 可以加快速度,但 UEBA 可以發現 SOAR 無法察覺的異常情況。因此,任何工具或方法都不能比其他工具或方法更好。相反地,它們是互補的,具有不同的優勢,而且可能最適合互相結合使用。
使用 UEBA 的三個理由
UEBA 是監控和限制潛在網路威脅的強大工具。以下是使用 UEBA 的三個主要原因:
- 減少攻擊面
UEBA 通知安全團隊其系統出現漏洞和弱點,因此透過減少整體攻擊面來降低網路攻擊的可能性。
- 提升營運效率
UEBA 可透過自動化和機器學習來識別和驗證威脅,從而減少安全團隊的人工工作量。這讓資安專業人員有更多時間專注於真正的威脅,而不是追逐警示。
- 超能力
「超能力」可能令人驚嘆,但 UEBA 為組織帶來了某些網路安全相關的特殊力量,包括能夠在發生之前偵測潛在的資料外洩,識別被綁架的帳戶,並防止濫用特權。
因此,UEBA,尤其是與其他策略,如 SOAR 的結合,是主動識別和預防網路攻擊,並減少組織暴露於網路威脅的非常有效方式。
