互联网行业网络安全先进技术与应用发展系列报告：用户实体行为分析技术（UEBA）（2020年）

网络安全先进技术与应用发展系列报告 用户实体行为分析技术（UEBA） （2020年） 中国信息通信研究院安全研究所 杭州安恒信息技术股份有限公司 2020年6月 版权声明 本报告版权属于中国信息通信研究院安全研究所、杭州安恒信息技术股份有限公司，并受法律保护。转载、摘编或利用其它方式使用本报告文字或者观点的，应注明“来源：中国信息通信研究院安全研究所、杭州安恒信息技术股份有限公司”。违反上述声明者，本院将追究其相关法律责任。 qRsPoMnPxPtQsMpMtOmQpP6MdN9PpNqQpNqQjMmMqOeRoPuNbRnPpOvPnRoQvPqQsQ 目 录 一、安全新范式 .................................................. 1 （一）数字化面临的安全挑战 ...................................... 2 （二）新范式破局之道 ............................................ 7 （三）UEBA的定义与演进 ......................................... 10 （四）UEBA的价值 ............................................... 13 二、架构与技术 ................................................. 17 （一）基线及群组分析 ........................................... 17 （二）异常检测 ................................................. 18 （三）集成学习风险评分 ......................................... 19 （四）安全知识图谱 ............................................. 19 （五）强化学习 ................................................. 20 （六）其他技术 ................................................. 21 三、部署实施 ................................................... 23 （一）聚焦目标 ................................................. 23 （二）识别数据源与接入数据 ..................................... 23 （三）确定部署模式 ............................................. 24 （四）分析微调与定制 ........................................... 24 （五）迭代优化 ................................................. 25 四、最佳实践 ................................................... 27 （一）专职团队 ................................................. 27 （二）专注于用例开发 ........................................... 27 （三）法律合规性 ............................................... 27 五、典型应用案例 ............................................... 29 （一）恶意内部人员 ............................................. 29 （二）失陷账号 ................................................. 30 （三）失陷主机 ................................................. 32 （四）数据泄露 ................................................. 33 （五）风险定级排序 ............................................. 35 （六）业务API安全 ............................................. 36 （七）远程办公安全 ............................................. 37 六、行业应用案例 ............................................... 38 （一）医疗行业 ................................................. 38 （二）金融行业 ................................................. 38 （三）能源行业 ................................................. 39 （四）政务行业 ................................................. 40 七、总结 ....................................................... 42 关于 ........................................................... 48 图 目 录 图1 谁是数据泄漏的受害者？ ..................................... 3 图2 安全转向数据科学驱动的新范式 ............................... 8 图3 SIEM、UEBA、SOAR的融合趋势 ............................... 11 图4 UEBA的发展现状 ........................................... 12 图5 典型的UEBA系统架构 ....................................... 17 图6 基线分析与群组分析 ........................................ 18 图7 孤立森林发现异常点 ........................................ 19 图8 多种算法进行集成学习 ...................................... 20 图9 安全知识图谱 .............................................. 20 图10 UEBA中的强化学习 ........................................ 21 图11 UEBA分析改进与迭代调优循环流程 .......................... 26 图12 内部人员导致的安全威胁 ................................... 29 图13 内部员工窃取敏感数据场景分析流程图 ....................... 30 图14 账号失陷是攻击链模型中的转折点 ........................... 31 图15 主机失陷是病毒爆发、勒索软件的前奏 ....................... 33 图16 数据泄漏中的攻击移动和数据流 ............................. 34 表 目 录 表1 海外市场上的主流UEBA厂商分类 ............................. 13 表2 各种安全技术和范式对比 .................................... 14 用户实体行为分析技术（UEBA）（2020年） 1 一、安全新范式 全球数字化浪潮下，各类信息化成果持续融入亿万大众的生活，也深刻改变着信息技术环境。一方面，以云计算、大数据、物联网、移动互联网等为代表的新技术得到快速应用；另一方面，传统能源、电力、交通等行业平台联入网络，成为关键信息基础设施的有机组成；与此同时，5G通信、人工智能、区块链等更多颠覆式创新科技已经来到。 以云计算为例，当前，云计算正处于快速发展阶段，技术产业创新不断涌现。其中，产业方面，企业上云成为趋势，云管理服务、智能云、边缘云等市场开始兴起；自2017年起，中国公有云市场持续保持高速增长，零售、制造和金融等行业用户对于公有云的接受程度越来越高，公有云在传统行业的渗透率持续提升1，云服务在当年的采用率已经达到70%2。 而随着万物互联的到来，边缘计算和物联网（IoT）也蓬勃发展。到2021年，边缘托管容器数量将达到7亿，企业数据中心之外的工作负载占比50%，到2022年，物联网（IoT）设备数量将达到146亿，增强现实（AR）和虚拟现实（VR）的使用量将增长12倍，2017至2022年，业务移动流量将每年增加42%，53%网络安全攻击导致的损失将超过50万美元。3 1 中国公有云发展调查报告 (2018 年) ，中国信息通信研究院，2018 年 8 月 2 云计算发展白皮书 (2019年) ，中国信息通信研究院，2019年7月 3 2020全球网络趋势报告，思科，2020 用户实体行为分析技术（UEBA）（2020年） 2 普华永道和微软中国在2019年四季度，联合进行了一次现代化云办公解决方案调研。调研结果发现81%企业员工在工作中需要在移动设备上使用办公软件，100%企业高管需要使用移动设备进行办公，24%调研对象反映他们每日工作中有超过30%的任务需使用移动设备在非办公场所完成（比如家中、咖啡厅、机场、火车上、酒店等场所）。预计到2020年将有100亿台移动设备投入使用，而移动技术的普及正在从根本上改变人们的思考、工作、行动和互动方式。公司已广泛接受自带设备（BYOD）策略，允许或鼓励员工使用其个人移动设备（如手机、平板电脑和笔记本电脑）访问企业数据和系统4。 2020年春季一场突如其来的新冠病毒全球大流行，更是让远程办公、移动办公进入了公众视线。 如前所述，数字新时代正在加速全面到来，网络环境变得更加多元、人员变得更复杂、接入方式多种多样，网络边界逐渐模糊甚至消失，同时伴随着企业数据的激增。发展与安全，已成为深度融合、不可分离的一体之两面。在数字化浪潮的背景下，网络信息安全必须应需而变、应时而变、应势而变。 （一）数字化面临的安全挑战 凡有收益，必有代价。数字资产的巨大价值同样被网络犯罪组织所垂涎。2018年流行的挖矿病毒、勒索软件等安全威胁均以可直接给网络犯罪分子带来经济收益为典型特征，垃圾邮件攻击、移动 4 现代化云办公解决方案中国市场白皮书，普华永道和微软中国，2020 用户实体行为分析技术（UEBA）（2020年） 3 安全威胁也处