论文部分内容阅读
UEBA即User and Entity Behavior Analytics,中文为用户个体行为分析,这一类型的技术于2015年兴起,关注企业中人员个体与IT系统的交互行为,通过对这些行为的分析发现潜在的安全问题。
UEBA对数据获取可以通过客户端、服务端、网络这三者之一来实现,随着公有云的不断应用,服务端数据已经很难提供完整的用户行为了,网络端又面临网络加密、数据难以理解、无法回放的问题,客户端的数据抓取和检测正在成为UEBA主要发展方向。
现在,大型企业内部非常重视安全管控,大量投资安全技术,分析的方法和层面选择众多,哪方面最有帮助和具备创新性,成为安全管理的核心。在日常安全工作中,对于外部安全威胁以防范为主,对于内部安全问题,以分析响应为主。很多外部安全问题的根源,也是来自内部的违规操作。越来越多的企业发现,检查人的相关信息比检查机器日志更容易发现问题。
随着IaaS、PaaS、SaaS等技术的不断普及,云化和分布式已经是所有大型企业IT系统演进的关键字,这时各种应用日志水平参差不齐,应用系统使用交叉频繁,企业终端处几乎成为一个唯一真正可靠的行为获取之处。相对于服务端日志和网络抓包,客户端日志可以有效获取非加密的行为日志、访问的数据内容。基于终端的数据分析产品和安全产品,正逐渐成为这个云时代的最可靠的选择。
大数据技术的出现,为分析类产品带来无与伦比的冲击,它不但能分析更大规模的数据,而且也能从收集更多数据的思路来执行分析工作。UEBA产品可以收集足够的数据,并在服务端进行数据的过滤分析,基本不依赖客户端的分析能力。后期在拥有丰富元数据的情况下,可以通过不断调整和优化分析模型,真正实现基于大数据的分析。
机器学习在分析领域属于革命性的技术,随着机器学习技术不断平民化,UEBA系统需要在合适的时机切入机器学习领域,真正解决分析系统需要知识的问题,机器学习帮助UEBA系统自动发现知识。
UEBA是一种分析系统,既然是分析系统,就无可避免要和安全领域分析系统的基石类产品SIEM/SOC之间进行比较,其实UEBA的确也和SIEM/SOC算是一种亲戚关系,大部分情况下,UEBA产品都与SIEM/SOC集成在一起的。SPLUNK作为SIEM强有力的厂商之一,收购了一家UEBA公司并作为其SIEM解决方案的一部分。UEBA与SIEM最大的不同是:UEBA是垂直领域的分析者,SIEM是安全领域的通用分析平台。UEBA提供端到端的分析,从数据获取到数据分析,从数据梳理到数据模型构建,从得出结论到还原场景,自成整套体系,提供用户行为跟踪分析的最佳实践,从用户分析的角度来说非常完整并且直接有效。SIEM提供的通用分析模型当前大多面向机器数据,很少特别关注人的行为,对大数据技术应用较为迟缓,数据采集方面也缺乏合适的数据,数据的可读性和数据质量也非常差。
UEBA记录了人产生和操作的数据,并且能够进行实际场景还原,这些都是EPP产品不具备的,同时EPP产品的分析能力也是非常薄弱的。但EPP产品具备很多UEBA产品不具备的保护能力和监控能力。
UEBA关注人和数据之间的互动,是以人为核心的,由于人操作数据速度和能力不是特别快,因此有条件记录所有的数据情况。DLP专注于数据本身,并对数据转移情况和数据是否敏感特别关注,多数DLP还特别关注数据的加密和保护。UEBA记录大量的上下文信息,能比DLP更好判断用户数据使用场景,因此UEBA可以和DLP自身告警结合起来,解读DLP告警场景,从而防止DLP误报。
UEBA和上网行为管理之间,相似的只有名字,UEBA关注的是员工工作行为、数据使用情况,上网行为管理关注用户非工作行为。UEBA对行为的记录分析粒度远高于上网行为管理,能处理的数据类型也大大多于上网行为管理,更加适合提升安全和效率水平。
上海艺赛旗软件股份有限公司成立于2011年,已获得通鼎互联注资,并于2016年8月成功登陆新三板。它是一家专业从事用户行为分析软件产品研发与技术服务的高新技术企业、上海市双软企业,已形成华东为中心、上海为总部、南京设立研发中心的服务体系,分别在北京、广州、深圳、成都、武汉设立分支机构,业务辐射全国,并在海外已有成功案例。目前行业涉足移动通信、电力、金融、政府和服务业,至今已服务过国内外多家企业。
公司主要战略和技术方向为UEBA用户实体行为分析,业务范围包括为客户提供企业内部数据跨平台整合、云安全管理、大数据安全分析、用户行为收集分析、应用操作录屏审计、客服行为可视化质检。以UEBA为核心的产品与技术,形成了客服可视化质检、云桌面安全审计、金融柜面交易监控、安全大数据、运维及开发管理五套解决方案。
UEBA对数据获取可以通过客户端、服务端、网络这三者之一来实现,随着公有云的不断应用,服务端数据已经很难提供完整的用户行为了,网络端又面临网络加密、数据难以理解、无法回放的问题,客户端的数据抓取和检测正在成为UEBA主要发展方向。
现在,大型企业内部非常重视安全管控,大量投资安全技术,分析的方法和层面选择众多,哪方面最有帮助和具备创新性,成为安全管理的核心。在日常安全工作中,对于外部安全威胁以防范为主,对于内部安全问题,以分析响应为主。很多外部安全问题的根源,也是来自内部的违规操作。越来越多的企业发现,检查人的相关信息比检查机器日志更容易发现问题。
随着IaaS、PaaS、SaaS等技术的不断普及,云化和分布式已经是所有大型企业IT系统演进的关键字,这时各种应用日志水平参差不齐,应用系统使用交叉频繁,企业终端处几乎成为一个唯一真正可靠的行为获取之处。相对于服务端日志和网络抓包,客户端日志可以有效获取非加密的行为日志、访问的数据内容。基于终端的数据分析产品和安全产品,正逐渐成为这个云时代的最可靠的选择。
大数据技术的出现,为分析类产品带来无与伦比的冲击,它不但能分析更大规模的数据,而且也能从收集更多数据的思路来执行分析工作。UEBA产品可以收集足够的数据,并在服务端进行数据的过滤分析,基本不依赖客户端的分析能力。后期在拥有丰富元数据的情况下,可以通过不断调整和优化分析模型,真正实现基于大数据的分析。
机器学习在分析领域属于革命性的技术,随着机器学习技术不断平民化,UEBA系统需要在合适的时机切入机器学习领域,真正解决分析系统需要知识的问题,机器学习帮助UEBA系统自动发现知识。
UEBA是一种分析系统,既然是分析系统,就无可避免要和安全领域分析系统的基石类产品SIEM/SOC之间进行比较,其实UEBA的确也和SIEM/SOC算是一种亲戚关系,大部分情况下,UEBA产品都与SIEM/SOC集成在一起的。SPLUNK作为SIEM强有力的厂商之一,收购了一家UEBA公司并作为其SIEM解决方案的一部分。UEBA与SIEM最大的不同是:UEBA是垂直领域的分析者,SIEM是安全领域的通用分析平台。UEBA提供端到端的分析,从数据获取到数据分析,从数据梳理到数据模型构建,从得出结论到还原场景,自成整套体系,提供用户行为跟踪分析的最佳实践,从用户分析的角度来说非常完整并且直接有效。SIEM提供的通用分析模型当前大多面向机器数据,很少特别关注人的行为,对大数据技术应用较为迟缓,数据采集方面也缺乏合适的数据,数据的可读性和数据质量也非常差。
UEBA记录了人产生和操作的数据,并且能够进行实际场景还原,这些都是EPP产品不具备的,同时EPP产品的分析能力也是非常薄弱的。但EPP产品具备很多UEBA产品不具备的保护能力和监控能力。
UEBA关注人和数据之间的互动,是以人为核心的,由于人操作数据速度和能力不是特别快,因此有条件记录所有的数据情况。DLP专注于数据本身,并对数据转移情况和数据是否敏感特别关注,多数DLP还特别关注数据的加密和保护。UEBA记录大量的上下文信息,能比DLP更好判断用户数据使用场景,因此UEBA可以和DLP自身告警结合起来,解读DLP告警场景,从而防止DLP误报。
UEBA和上网行为管理之间,相似的只有名字,UEBA关注的是员工工作行为、数据使用情况,上网行为管理关注用户非工作行为。UEBA对行为的记录分析粒度远高于上网行为管理,能处理的数据类型也大大多于上网行为管理,更加适合提升安全和效率水平。
上海艺赛旗软件股份有限公司成立于2011年,已获得通鼎互联注资,并于2016年8月成功登陆新三板。它是一家专业从事用户行为分析软件产品研发与技术服务的高新技术企业、上海市双软企业,已形成华东为中心、上海为总部、南京设立研发中心的服务体系,分别在北京、广州、深圳、成都、武汉设立分支机构,业务辐射全国,并在海外已有成功案例。目前行业涉足移动通信、电力、金融、政府和服务业,至今已服务过国内外多家企业。
公司主要战略和技术方向为UEBA用户实体行为分析,业务范围包括为客户提供企业内部数据跨平台整合、云安全管理、大数据安全分析、用户行为收集分析、应用操作录屏审计、客服行为可视化质检。以UEBA为核心的产品与技术,形成了客服可视化质检、云桌面安全审计、金融柜面交易监控、安全大数据、运维及开发管理五套解决方案。