中国信通院：网络安全先进技术与应用发展系列报告-用户实体行为分析技术（附报告）

中国信通院：网络安全先进技术与应用发展系列报告 用户实体行为分析技术

报告目录：

一、安全新范式 1

(一)数字化面临的安全挑战 2
(二)新范式破局之道 7
(三)UEBA 的定义与演进.10
(四)UEBA 的价值.13

二、架构与技术 .17

(一)基线及群组分析 .17
(二)异常检测 .18
(三)集成学习风险评分 .19
(四)安全知识图谱 .19
(五)强化学习 .20
(六)其他技术 .21

三、部署实施 .23

(一)聚焦目标 .23
(二)识别数据源与接入数据 .23
(三)确定部署模式 .24
(四)分析微调与定制 .24
(五)迭代优化 .25

四、最佳实践 .27

(一)专职团队 .27
(二)专注于用例开发 .27
(三)法律合规性 .27

五、典型应用案例 .29

(一)恶意内部人员 .29
(二)失陷账号 .30
(三)失陷主机 .32
(四)数据泄露 .33
(五)风险定级排序 .35
(六)业务 API 安全 .36
(七)远程办公安全 .37

六、行业应用案例 .38

(一)医疗行业 .38
(二)金融行业 .38
(三)能源行业 .39
(四)政务行业 .40

七、总结 .42

报告要点：

全球数字化浪潮下，各类信息化成果持续融入亿万大众的生活， 也深刻改变着信息技术环境。一方面，以云计算、大数据、物联网、 移动互联网等为代表的新技术得到快速应用;另一方面，传统能源、 电力、交通等行业平台联入网络，成为关键信息基础设施的有机组 成;与此同时，5G 通信、人工智能、区块链等更多颠覆式创新科技 已经来到。

以云计算为例，当前，云计算正处于快速发展阶段，技术产业 创新不断涌现。其中，产业方面，企业上云成为趋势，云管理服务、 智能云、边缘云等市场开始兴起;自 2017 年起，中国公有云市场持 续保持高速增长，零售、制造和金融等行业用户对于公有云的接受 程度越来越高，公有云在传统行业的渗透率持续提升1，云服务在当 2 年的采用率已经达到 70% 。

而随着万物互联的到来，边缘计算和物联网(IoT)也蓬勃发展。 到 2021 年，边缘托管容器数量将达到 7 亿，企业数据中心之外的工 作负载占比 50%，到 2022 年，物联网(IoT)设备数量将达到 146 亿，增强现实(AR)和虚拟现实(VR)的使用量将增长 12 倍，2017 至 2022 年，业务移动流量将每年增加 42%，53%网络安全攻击导致的 损失将超过 50 万美元。

普华永道和微软中国在 2019 年四季度，联合进行了一次现代化 云办公解决方案调研。调研结果发现 81%企业员工在工作中需要在移 动设备上使用办公软件，100%企业高管需要使用移动设备进行办公， 24%调研对象反映他们每日工作中有超过 30%的任务需使用移动设备 在非办公场所完成(比如家中、咖啡厅、机场、火车上、酒店等场 所)。预计到 2020 年将有 100 亿台移动设备投入使用，而移动技术 的普及正在从根本上改变人们的思考、工作、行动和互动方式。公 司已广泛接受自带设备(BYOD)策略，允许或鼓励员工使用其个人 移动设备(如手机、平板电脑和笔记本电脑)访问企业数据和系统 。

2020 年春季一场突如其来的新冠病毒全球大流行，更是让远程办公、 移动办公进入了公众视线。 如前所述，数字新时代正在加速全面到来，网络环境变得更加 多元、人员变得更复杂、接入方式多种多样，网络边界逐渐模糊甚 至消失，同时伴随着企业数据的激增。发展与安全，已成为深度融 合、不可分离的一体之两面。在数字化浪潮的背景下，网络信息安 全必须应需而变、应时而变、应势而变。

Gartner 对 UEBA 的定义是“UEBA 提供画像及基于各种分析方法 的异常检测，通常是基本分析方法(利用签名的规则、模式匹配、 简单统计、阈值等)和高级分析方法(监督和无监督的机器学习等)， 用打包分析来评估用户和其他实体(主机、应用程序、网络、数据 库等)，发现与用户或实体标准画像或行为相异常的活动所相关的潜 在事件。这些活动包括受信内部或第三方人员对系统的异常访问(用户异常)，或外部攻击者绕过安全控制措施的入侵(异常用户)” 。

Gartner 认为 UEBA 是可以改变游戏规则的一种预测性工具，其 特点是将注意力集中在最高风险的领域，从而让安全团队可以主动 管理网络信息安全。UEBA 可以识别历来无法基于日志或网络的解决 方案识别的异常，是对安全信息与事件管理(SIEM)的有效补充。 虽然经过多年的验证，SIEM 已成为行业中一种有价值的必要技术， 但是 SIEM 尚未具备帐户级可见性，因此安全团队无法根据需要快速检测、响应和控制 。 作为现代化 SIEM 演进的方向，如图 3 所示，SIEM、UEBA、安全编排自动化响应(SOAR)将会走向融合。

内容精选：

凡有收益，必有代价。数字资产的巨大价值同样被网络犯罪组 织所垂涎。2018 年流行的挖矿病毒、勒索软件等安全威胁均以可直 接给网络犯罪分子带来经济收益为典型特征，垃圾邮件攻击、移动安全威胁也处于不断上升趋势。数字化转型促进组织的业务发展的 同时，也带来了重大的网络安全挑战。越来越多的敏感数字信息遭 受网络攻击被窃取，网络和系统平台被暴露或被操纵，数字资产的 保密性、可用性、完整性遭受挑战。网络威胁的影响遍及医疗保健、 金融、零售等各行各业，未能采取适当的安全保护举措可能给组织 带来巨大的财务和声誉损失。

图 1 谁是数据泄漏的受害者?

artner 认为 UEBA 是可以改变游戏规则的一种预测性工具，其 特点是将注意力集中在最高风险的领域，从而让安全团队可以主动 管理网络信息安全。UEBA 可以识别历来无法基于日志或网络的解决 方案识别的异常，是对安全信息与事件管理(SIEM)的有效补充。 虽然经过多年的验证，SIEM 已成为行业中一种有价值的必要技术， 但是 SIEM 尚未具备帐户级可见性，因此安全团队无法根据需要快速 检测、响应和控制 。
作为现代化 SIEM 演进的方向，如图 3 所示，SIEM、UEBA、安全 编排自动化响应(SOAR)将会走向融合。

图 3 SIEM、UEBA、SOAR 的融合趋势

如图 4 展示 UEBA 的发展历程。由于身份和访问管理(IAM)无 法提供全面的数据分析等原因，UEBA 的前身用户行为分析(UBA)应 运而生。随后，来自于用户侧强劲的需求不断推动 UEBA 市场持续快 速增长，复合年增长率达到了 48%。

与 SIEM 实施类似，UEBA 实施也是一个迭代优化、持续改进的过 程，是数据科学在安全领域的应用，需要遵循 PDCA 循环。UEBA 还需 要持续的探索不同的数据源、不同的数据特征、不同的检测算法， 以更好的提升异常检测性能，改进威胁检测响应的能力和效率。

图 4 UEBA 的发展现状

如图 11 所示，根据新业务场景的需求分析，可能需要接入新数 据 、探索新特征工程、测试新算法、进行反馈调优，以便满足项目 的安全分析检测需求。

图 11 UEBA 分析改进与迭代调优循环流程

数据泄露可能给组织的品牌声誉带来严重损失，导致巨大的公 关压力，是组织最关注的安全威胁之一。内部员工窃取敏感数据是 企业典型的数据泄漏场景，由于内部员工具备企业数据资产的合法访问权限，且通常了解企业敏感数据的存放位置，因此通过传统的 行为审计手段无法有效检测该类行为。

图 16 数据泄漏中的攻击移动和数据流 

本报告PDF版已分享至本站知识星球，欢迎加入查阅和交流。原网站年度VIP联系“dongxizhiku”微信可免费加入。