网络安全先进技术与应用发展系列报告 用户实体行为分析技术(UEBA) (2020 年) 中国信息通信研究院安全研究所 杭州安恒信息技术股份有限公司 2020 年 6 月 版 权声 明 本报告版权属于中国信息通信研究院安全研究所、杭 州安恒信息技术股份有限公司,并受法律保护。转载、摘 编或利用其它方式使用本报告文字或者观点的,应注明“来 源:中国信息通信研究院安全研究所、杭州安恒信息技术 股份有限公司”。违反上述声明者,本院将追究其相关法律 责任。 目 录 一、安全新范式 .................................................. 1 (一)数字化面临的安全挑战 ...................................... 2 (二)新范式破局之道 ............................................ 7 (三)UEBA 的定义与演进......................................... 10 (四)UEBA 的价值............................................... 13 二、架构与技术 ................................................. 17 (一)基线及群组分析 ........................................... 17 (二)异常检测 ................................................. 18 (三)集成学习风险评分 ......................................... 19 (四)安全知识图谱 ............................................. 19 (五)强化学习 ................................................. 20 (六)其他技术 ................................................. 21 三、部署实施 ................................................... 23 (一)聚焦目标 ................................................. 23 (二)识别数据源与接入数据 ..................................... 23 (三)确定部署模式 ............................................. 24 (四)分析微调与定制 ........................................... 24 (五)迭代优化 ................................................. 25 四、最佳实践 ................................................... 27 (一)专职团队 ................................................. 27 (二)专注于用例开发 ........................................... 27 (三)法律合规性 ............................................... 27 五、典型应用案例 ............................................... 29 (一)恶意内部人员 ............................................. 29 (二)失陷账号 ................................................. 30 (三)失陷主机 ................................................. 32 (四)数据泄露 ................................................. 33 (五)风险定级排序 ............................................. 35 (六)业务 API 安全 ............................................. 36 (七)远程办公安全 ............................................. 37 六、行业应用案例 ............................................... 38 (一)医疗行业 ................................................. 38 (二)金融行业 ................................................. 38 (三)能源行业 ................................................. 39 (四)政务行业 ................................................. 40 七、总结 ....................................................... 42 关于 ........................................................... 48 图 目 录 图1 谁是数据泄漏的受害者?..................................... 3 图2 安全转向数据科学驱动的新范式............................... 8 图3 SIEM、UEBA、SOAR 的融合趋势 ............................... 11 图4 UEBA 的发展现状 ........................................... 12 图5 典型的 UEBA 系统架构....................................... 17 图6 基线分析与群组分析........................................ 18 图7 孤立森林发现异常点........................................ 19 图8 多种算法进行集成学习...................................... 20 图9 安全知识图谱.............................................. 20 图 10 UEBA 中的强化学习 ........................................ 21 图 11 UEBA 分析改进与迭代调优循环流程 .......................... 26 图 12 内部人员导致的安全威胁................................... 29 图 13 内部员工窃取敏感数据场景分析流程图....................... 30 图 14 账号失陷是攻击链模型中的转折点........................... 31 图 15 主机失陷是病毒爆发、勒索软件的前奏....................... 33 图 16 数据泄漏中的攻击移动和数据流............................. 34 表 目 录 表1 海外市场上的主流 UEBA 厂商分类 ............................. 13 表2 各种安全技术和范式对比.................................... 14 用户实体行为分析技术(UEBA) (2020 年) 一、安全新范式 全球数字化浪潮下,各类信息化成果持续融入亿万大众的生活, 也深刻改变着信息技术环境。一方面,以云计算、大数据、物联网、 移动互联网等为代表的新技术得到快速应用;另一方面,传统能源、 电力、交通等行业平台联入网络,成为关键信息基础设施的有机组 成;与此同时,5G 通信、人工智能、区块链等更多颠覆式创新科技 已经来到。 以云计算为例,当前,云计算正处于快速发展阶段,技术产业 创新不断涌现。其中,产业方面,企业上云成为趋势,云管理服务、 智能云、边缘云等市场开始兴起;自 2017 年起,中国公有云市场持 续保持高速增长,零售、制造和金融等行业用户对于公有云的接受 程度越来越高,公有云在传统行业的渗透率持续提升1,云服务在当 年的采用率已经达到 70%2。 而随着万物互联的到来,边缘计算和物联网(IoT)也蓬勃发展。 到 2021 年,边缘托管容器数量将达到 7 亿,企业数据中心之外的工 作负载占比 50%,到 2022 年,物联网(IoT)设备数量将达到 146 亿,增强现实(AR)和虚拟现实(VR)的使用量将增长 12 倍,2017 至 2022 年,业务移动流量将每年增加 42%,53%网络安全攻击导致的 损失将超过 50 万美元。3 1 2 3 中国公有云发展调查报告 (2018 年) ,中国信息通信研究院,2018 年 8 月 云计算发展白皮书 (2019 年) ,中国信息通信研究院,2019 年 7 月 2020 全球网络趋势报告,思科,2020 1 用户实体行为分析技术(UEBA) (2020 年) 普华永道和微软中国在 2019 年四季度,联合进行了一次现代化 云办公解决方案调研。调研结果发现 81%企业员工在工作中需要在移 动设备上使用办公软件,100%企业高管需要使用移动设备进行办公, 24%调研对象反映他们每日工作中有超过 30%的任务需使用移动设备 在非办公场所完成(比如家中、咖啡厅、机场、火车上、酒店等场 所)。预计到 2020 年将有 100 亿台移动设备投入使用,而移动技术 的普及正在从根本上改变人们的思考、工作、行动和互动方式。公 司已广泛接受自带设备(BYOD)策略,允许或鼓励员工使用其个人 移动设备(如手机、平板电脑和笔记本电脑)

pdf文档 信通院 网络安全先进技术与应用发展系列报告用户实体行为分析技术-UEBA-2020年

文档预览
中文文档 50 页 50 下载 1000 浏览 0 评论 0 收藏 3.0分
温馨提示:本文档共50页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
信通院 网络安全先进技术与应用发展系列报告用户实体行为分析技术-UEBA-2020年 第 1 页 信通院 网络安全先进技术与应用发展系列报告用户实体行为分析技术-UEBA-2020年 第 2 页 信通院 网络安全先进技术与应用发展系列报告用户实体行为分析技术-UEBA-2020年 第 3 页
下载文档到电脑,方便使用
本文档由 路人甲 于 2022-05-11 13:28:48上传分享
站内资源均来自网友分享或网络收集整理,若无意中侵犯到您的权利,敬请联系我们微信(点击查看客服),我们将及时删除相关资源。