什么是UEBA？派拉軟件的“暗能力”！

什么是UEBA？

UEBA全稱“User and Entity Behavior Analytics”，即用戶實體行為分析。其前身是 UBA（User Behavior Analytics，用戶行為分析）。

Gartner于2014年提出了UBA市場定義。后來，Gartner認為實體行為從某種程度上關(guān)聯(lián)了用戶行為，關(guān)注實體行為分析可以更準確地識別威脅。因此，于2015年將UBA正式更名為UEBA，主要聚焦于“賬號盜用(異常用戶)”和“合法的人做不合法的事(用戶異常)” 兩方面。

Gartner 對 UEBA 的完整定義是“提供畫像及基于各種分析方法的異常檢測，通常是基本分析方法（利用簽名的規(guī)則、模式匹配、簡單統(tǒng)計、閾值等）和高級分析方法（監(jiān)督和無監(jiān)督的機器學(xué)習等），用打包分析來評估用戶和其他實體（設(shè)備、主機、應(yīng)用程序、網(wǎng)絡(luò)、數(shù)據(jù)庫等），發(fā)現(xiàn)與用戶或?qū)嶓w標準畫像或行為相異常的活動所相關(guān)的潛在事件。

這些活動包括受信內(nèi)部或第三方人員對系統(tǒng)的異常訪問（用戶異常），或外部攻擊者繞過安全控制措施的入侵（異常用戶）。

通俗理解， UEBA就是以大量數(shù)據(jù)收集為基礎(chǔ)，對網(wǎng)絡(luò)中用戶和實體（機器、設(shè)備、應(yīng)用程序、服務(wù)等）的典型和非典型行為進行建模。

并通過定義此類基線，或結(jié)合機器學(xué)習實體行為基線，生成正?；顒踊鶞?，使用大數(shù)據(jù)和機器學(xué)習算法來實時監(jiān)測分析評估用戶和實體行為偏差，進而判定正常行為或異常行為，達到識別潛在安全威脅和異常情況，并及時告警。

UEBA技術(shù)產(chǎn)生的背景可以追溯到信息安全領(lǐng)域中對于內(nèi)部威脅的關(guān)注和亟需應(yīng)對的需求。

由于傳統(tǒng)安全防御方法主要是針對外部攻擊進行防御，如入侵檢測、防火墻等技術(shù)。而這些產(chǎn)品、技術(shù)、方案又都基本采取已知特征進行規(guī)則匹配來進行分析和檢測。

這樣的安全防護，一方面，忽略了內(nèi)部威脅同樣會帶來巨大風險和影響；另一方面，隨著威脅越來越復(fù)雜和隱蔽，傳統(tǒng)基于規(guī)則的安全監(jiān)控方法變得不夠靈活和準確，存在安全可見性盲區(qū)，有嚴重的滯后效應(yīng)、無力檢測未知攻擊、容易被繞過，難以適應(yīng)網(wǎng)絡(luò)現(xiàn)實和快速變化的企業(yè)內(nèi)外部安全環(huán)境等問題。

于是，UEBA技術(shù)順勢而生！它是一種全新的安全防御方法，不區(qū)分內(nèi)部還是外部，而是對訪問的所有用戶和實體或正常、或異常行為進行分析。

而什么是正常行為，什么是異常行為更多是通過大數(shù)據(jù)、算法與機器學(xué)習，不斷對用戶與實體行為基線建模，分析識別出與基線不一致的異常行為，并進行實時警報。

這就很好地解決了傳統(tǒng)基于“已知規(guī)則”防御方法的死板與風險識別盲區(qū)等問題。

那為什么說UEBA是派拉軟件的“暗能力”呢？在回答這個問題之前，我們先來理解下“暗能力”這個詞。

暗能力是吳伯凡老師發(fā)明的一個新詞。簡單來說，暗能力是你做一件事，會培養(yǎng)出其他的能力。

這些能力眼下雖然不能變現(xiàn)，但也許未來某一天，你能憑借這些暗能力，找到新的業(yè)務(wù)和賽道。

而當你專注于自己的問題越深，你的解決方案就會越豐富，隨之而來的暗能力就會越多。

回到派拉軟件，眾所周知，派拉軟件是以數(shù)字身份安全起家，并開創(chuàng)國內(nèi)第一家身份安全原廠商。15年來，派拉軟件始終深耕數(shù)字身份安全，并在身份安全基礎(chǔ)上，不斷拓展出更多安全產(chǎn)品與能力。

而這些產(chǎn)品和能力大多都是為了進一步強化對企業(yè)數(shù)字身份安全的防護，從而鞏固企業(yè)數(shù)字安全。例如派拉軟件的特權(quán)賬號管理系統(tǒng)、多因素認證技術(shù)以及本文中的UEBA技術(shù)等。

為什么這么說？

我們都知道，企業(yè)在進行數(shù)字身份安全防護過程中需要對訪問身份進行行為分析判斷，從而避免出現(xiàn)異常行為賬號的登錄與訪問。

例如，某個人正常的訪問路徑、終端、時間等一直都是固定的，但突然有一天終端變了、時間點出現(xiàn)較大差異，甚至連訪問路徑都不一樣。這時候，派拉軟件IAM系統(tǒng)會啟動進一步的強認證，以判定身份的安全可信。

以上只是列舉派拉軟件在身份安全解決方案中的一個場景能力之一。為了進一步強化身份安全訪問、認證和權(quán)限管控等防護能力。派拉軟件一直在不斷打磨其中的算法與策略模型。

而派拉軟件以“身份優(yōu)先”的一體化零信任解決方案的提出，又進一步推動派拉軟件在UEBA技術(shù)的研發(fā)與投入。

目前，派拉軟件UEBA技術(shù)已經(jīng)很好地應(yīng)用到最新IAM系統(tǒng)中，并解決了用戶登錄風險、機器人訪問風險以及賬號注冊風險。后期還將實現(xiàn)API風險、權(quán)限濫用風險、敏感文件訪問風險等安全防護能力。

正如派拉軟件產(chǎn)品研發(fā)總監(jiān)嚴益昌所言：“有了UEBA技術(shù)的加持，派拉軟件統(tǒng)一身份與訪問控制管理系統(tǒng)可以更好地應(yīng)對各種撞庫、代理登錄、批量登錄、非常態(tài)登錄等登錄風險問題；

利用15大維度檢測，判斷是否為機器人訪問，從而杜絕機器人訪問風險；采用5種檢測邏輯，解決批量注冊、虛假注冊風險等。此外，在API、權(quán)限、敏感文件等安全防護場景中，都將有進一步的提升。

而派拉軟件UEBA技術(shù)除了應(yīng)用在IAM產(chǎn)品中，以增強派拉軟件在數(shù)字身份安全能力，還將進一步部署應(yīng)用到派拉軟件其他安全產(chǎn)品平臺中，像是API、SDP、PAM等。

例如，通過將特權(quán)賬號管理系統(tǒng)（PAM）檢測到的異常事件接入到UEBA產(chǎn)品的高級分析引擎中，和其他維度的數(shù)據(jù)一起做更深層次的特權(quán)賬號異常事件識別，從而加強PAM產(chǎn)品的安全防護。”

所以，這就是為什么說UEBA是派拉軟件的“暗能力”。當然，在追求數(shù)字身份安全產(chǎn)品技術(shù)研發(fā)的漫長道路上，派拉軟件也一直不斷探索著更多新的技術(shù)與解決方案，以加強鞏固企業(yè)數(shù)字身份安全，為快速變化的企業(yè)數(shù)字化轉(zhuǎn)型安全持續(xù)賦能。

PS:想要詳細了解派拉軟件UEBA技術(shù)在各大風險中的實際安全應(yīng)用場景與防護能力，記得關(guān)注我們，后續(xù)為你繼續(xù)解鎖！