無論是企業內部資安、還是物聯網資安防禦,近來不少資安廠商不約而同提到「使用者與實體設備行為分析」(User and Entity Behavior Analytics,UEBA)這個概念。網路安全供應商Forcepoint也預估,2018年將有更多資安長(CISO)會將導入UEBA作為優先項目,但UEBA和傳統的資安防護解決方案有何不同?
什麼是UEBA?
UEBA一詞最早由市場研究機構Gartner在2015年提出,強調以使用者為核心,分析其與電腦、應用程式與網路等「實體」之間的關聯性,透過機器學習判斷正常行為的標準範圍,可以更有效率且精準地找出異常行為。
「資安不只是建城牆,需要的是使用者為中心的安全防護。」Forcepoint北亞區技術總監莊添發解釋,過去的資安防禦機制,多是分析防毒軟體、入侵防禦系統(IPS)的日誌和紀錄,只處理單一的資安事件,但UEBA則是可串連人或裝置在不同時間的行為模式,再用機器學習分辨出哪些屬於高風險行為、哪些是正常業務流程。 透過UEBA也解決了以下三件事:
篩選出真正的高風險行為、降低警告次數
莊添發說明,雖然企業過去有資料外洩防護系統(DLP),但若單純以資料為中心,需要很多單位處理這些資料、要投入調查的人力也很多,因此藉由UEBA把所有行為關聯起來,如開始看求職網站、編輯履歷表、電腦多了很多加密程式、曾試圖把資安防護軟體關掉等,綜合評分後便能找出真正高風險的人。
企業無線網路供應商Aruba台灣區資深技術經理陳清淵也舉例,如果發現某企業董事長凌晨三點存取資料庫,可能是因為帳號被盜,但也可能只是臨時想查資料,因此必須根據風險高低做出不同反應。「像防火牆的安全標準就是條列式,對和不對很絕對,不過用UEBA,在發現行為可疑後,可以持續監測、待分數達到一定程度再做反應。」陳清淵表示。
串聯門禁系統,揪出企業內賊
「內賊是最難防禦的,」莊添發說明,目前已有很多安全防禦機制能夠偵測和阻擋駭客使用的惡意工具,但內賊用的是公司IP環境,是合法授權使用的管道和設備,很難防禦,因此過去只分析網路流量、封包、攻擊模式,對企業防內賊是沒幫助的。
莊添發舉例,過去曾遇過企業有機密文件外流,但當事人可能會說這件事是駭客做的、電腦被入侵,不過他們以使用者行為為核心,將資安事件和門禁系統串在一起,找出這個人是否曾在詭異的時間進公司、存取哪些資料、透過什麼管道傳出去等,就能知道當事人是不小心違規、電腦被駭客入侵或是惡意將資料外流。
用物聯網裝置監控
而過去難以用帳密控制資訊存取的物聯網裝置,透過UEBA也能有效監測出裝置是否遭入侵。
陳清淵以Aruba的智慧醫院案例為例,聯網血壓器測完血壓後,會將數據透過無線網路傳到閘道器(gateway),而UEBA的機器學習模式,會先將裝置分組(如監控攝影機和工廠感測器),比較該設備數據和同組標準是否異常,例如,數據傳輸目的地改變、檔案封包突然變大等;綜合評估各種面向判斷風險等級,再給予相應的行動,低風險的話會先告警,高風險則是直接阻斷連線。