UEBA算是一个新兴事物了,2014年之前很少会被提到,但它发展的速度很快,从国际厂商看,一些领先的UEBA厂商凭借检测能力上的优势,已经在尝试颠覆原有市场格局,这类产品必将会带来深远的影响。但在国内看,似乎并没有引起足够的重视,并且经常听到一些UEBA是做用户画像解决业务风险的问题,还有UEBA最重要的技术是机器学习等等说法。听的多了,就忍不住想说说自己看到的、理解的UEBA,毕竟没有实际在做这样一个产品,错误难免但也希望能给大家一些可供参考的信息。
UEBA的价值
UEBA 已经有一些成熟度比较高的产品:Exabeam、Gurucul、Interset、Niara、Securonix、Splunk(2015年收购Caspida)等。
从这些产品看,希望为客户解决的问题是比较一致的,包括:
- 账号失陷检测
- 主机失陷检测
- 数据泄漏检测
- 内部用户滥用
- 提供事件调查的上下文
毫无疑问,这些威胁虽然不包括业务风控相关的撸羊毛、刷单等(至于为什么没有涉及业务风险,就是另一个大的技术话题,这里就不涉及了),但都是企业最关注的风险。并且从最终产品上看,UEBA厂商确实通过技术的继承和创新是提供了较理想的解决方案,因此在国际市场能够快速成长就不足为奇了。就如Exabeam创立于2013年,到现在已经完成了B轮数千万美元的融资,其中的投资方就包括Cisco,不知它最终是否会被Cisco收入囊中,成为另一个强劲的动力引擎?我们下面就以Exabeam为例,了解一下UEBA的相关主要技术点。
UEBA和机器学习
UEBA 在一定程度上属于数据驱动的安全分析类产品,因此很多人会自然而然的认为机器学习是UEBA中最核心的技术,而厂商从市场营销宣传上也是很愿意迎合这样的想象。不可否认所有的UEBA产品在一定程度上都使用了机器学习(包括监督学习和非监督学习),但如果说这就是UEBA成功的关键,就失之简单了。
UEBA 能被成功的部署、使用,有效的提升安全运营水平,其前提之一就是更广泛的数据收集,跨越传统的SIEM/SOC产品,UEBA产品在设计中就考虑了更多数据源,除了包括IT系统可能提供的EDR数据、AD数据以及业务应用数据,同时也包括了很多非IT的数据:ERP(相关企业?)、组织结构、工作职责、差旅等。有更多的数据,是其成功的条件之一。
同样的UEBA厂商也看到了单纯的数据驱动不能完成一个完整的产品,如Exabeam ,就倡导并建立了一种数据驱动+专家驱动的混合系统,在Exabeam看来,单纯的数据驱动有下列的问题:
- 很难有一种情况,在学习之初就能得到需要的所有数据,每当有新的数据源都需要重新学习,这无疑是不可想象的工程灾难;
- 需要考虑随时增加新的features这个不可能避免的情况,这样情况下如何快速部署和开发?
- 最后,也是个人认为最重要的,机器学习得到的结果是黑盒,不能满足用户要求进行解释、说明的需求,这种情况下,最终用户可能难以进行事件的判别和响应工作。
因此它设计了一个更合理的技术架构,如下图所示(来源:Exabeam):
这样一个混合系统,其异常发现不是只依赖于机器学习,而是同时依靠统计以及特征的方法,一些通过机器学习可以输出明确结果的内容在这个阶段会也会体现出来,如DGA域名发现等;统计的方法会更经常出现,如某用户账号第一次访问一个文件夹、用户访问的文件数量异常等。但这些发现的异常不会产生直接给客户的报警,而是成为机器学习使用的原材料:features,在这些features基础上,再利用机器学习(包括贝叶斯方法),快速的确定不同features组合对应的风险值,而风险值大于一定范围才会成为需要用户关注的事件。这种方法,在数据和机器学习中间,有一个异常发现的过程及中间产物,利用专家领域的知识,简化了机器学习的方面的工作,同时提升了系统灵活性,进而可以快速部署、快速完成学习过程。
就举某用户账号第一次访问一个文件夹这种情况为例,它就需要同时去看其它features,来判定是否是高风险事件:这个用户所属的不同分类中(这里也应该隐藏了一部分机器学习),是否普遍存在这样的情况;这种访问新文件夹的概率在用户组织内是高概率事件等。
这样一种结合了专家知识、数据的力量和机器学习魔法的系统,才能够针对不同用户环境提供对应的风险发现能力,同时支持弹性、快速的用户部署。UEBA走到这步应该是一个较成熟的产品了,而机器学习在其中也有了成功的应用,不再是一个探索和尝试。
UEBA和SIEM
UEBA是数据的一个统一汇集点,这个位置原来是属于SIEM的,那么这两个产品会产生怎样的碰撞呢?不同的厂商有不同的路,Splunk通过收购获得了UEBA产品,就和已有的企业安全APP组成一个完整的方案进行紧密配合,而Exabeam通过分化更多的功能产品,如日志管理、事件响应,企图覆盖原有的SIEM产品市场。无论哪种角度看,一致的是UEBA聚焦在解决客户重大关切的痛点,利用领先、实用的技术组合方案,使其成为一个颠覆的力量。也许过不了多久,传统的SIEM就会被安全运营者丢到角落,而UEBA将成为一个新宠,或者说,最终UEBA会结合SIEM实用化的功能,抛弃赋予SIEM的不现实期望,成为真正意义上的 新一代SIEM,一切静待历史的发展,你我也许都有机会成为这个过程中一个个的小齿轮。
最后,有一点感慨,UEBA、威胁情报是两个比较新的领域,大家一起看着国内外在差不多的起跑线上出发,但逐渐的,我们落到了后面,现今在我看来都有至少一年的差距了。原因是什么呢,文化、投资、产业环境、人?这也许是一个比UEBA产品更有趣的话题。
