◆徐飞
基于UEBA的网络安全态势感知技术现状及发展分析
◆徐飞
(公安部户政管理研究中心 北京 100070)
近年来,随着信息技术的快速发展和信息资源重要性的日益凸显,网络安全事件的数量与频率大幅提升,攻击者组织化、目标定向化、技术多样化的攻击行为成为新的趋势。偏重于外部攻击全局预警的态势感知和侧重于内部威胁检测的用户实体行为分析(User and Entity Behavior Analytics,UEBA)衔接,可以高效解决以人、资产、应用为维度的账号安全和数据安全问题。本文总结了基于UEBA的网络安全态势感知技术现状,并从大规模异构平台安全管理角度,对未来的发展方向进行了分析。
网络安全态势感知;UEBA;规则匹配;特征分析;机器学习
党的十八大以来,习近平总书记站在党和国家的全局高度,就网络安全和信息化工作提出了一系列新理念新思想新战略,科学分析了信息化变革给我们带来的机遇和挑战,系统阐述了事关网信事业发展的重大理论和实践问题,明确做出了关于建设网络强国的战略部署。近年来,我国网络安全顶层设计不断完善,《中华人民共和国网络安全法》、《中华人民共和国密码法》、《信息安全技术网络安全等级保护基本要求》等多项法律法规、配套制度及有关标准陆续发布,政府、金融、公安、电信等行业均以“合规性”为目标,正在大力推进网络安全建设。
随着区块链、人工智能、5G、IPv6等新技术快速发展、逐步应用,以高级持续性威胁(Advanced Persistent Threat,APT)、高危零日漏洞利用(0-day)等为代表的新一代攻击渗透技术日新月异;同时,攻击者除了通过技术手段进行“正面”突破外,还会着重搜集人员和管理上的漏洞,从社会工程学角度尝试“绕行”。故此,基于规则匹配和特征分析等被动防御技术构建的传统安全防护体系(如防火墙、入侵检测系统、反病毒软件等)已明显存在不足,亟需提升风险排查、威胁预警、溯源取证、应急处置等主动防御能力。
网络态势是指由各种网络设备的运行状况、网络行为以及用户行为等因素所构成的整个网络的当前状态和变化趋势[1]。网络安全态势感知是指在大规模网络环境中,对能够引起网络态势变化的安全要素进行获取、理解、显示以及未来趋势预测[2]。态势感知最初用于安全态势可衡量、安全指标KPI(Key Performance Indicator)考核,通过安全评估、漏洞等级、安全基线、资产赋值等关键点进行评分,根据地域、资产、风险、业务系统等不同维度进行安全态势展示。
2016年4月19日,习近平总书记在网络安全和信息化工作座谈会上明确指出“全天候全方位感知网络安全态势”。这个要求恰恰对态势感知的建设目标做出了准确描述:“全天候”是时间纬度,贯穿过去、现在和未来;“全方位”是内容维度,要求检测分析分析的对象覆盖面广(至少包括网络流量、终端行为、内容载荷三个方面)、有深度。通过多源异构网络安全数据和事件的获取、理解、分析和评判,客观反映网络中发生的攻防行为,从时间和空间两个维度,从OSI(开放式系统互联通信参考模型)1~7层整体角度从更高层次直观、动态、全面、准确、细粒度地感知各类网络攻击行为,进而提升主动防御能力,这正是态势感知的意义所在[3]。
目前,国内主流的态势感知产品或解决方案从技术实现上看可大体分为基于流量的态势感知、基于SIEM(Security Information Event Management,安全日志事件管理)的态势感知、基于产品集成的态势感知等3种类型。
表1 国内主流态势感知产品或解决方案对比
与忽视采集分析安全监测数据且不主动掌握安全状况的早期网络安全运营模式相比较,通过建设与态势感知相关的系统平台,加强对安全数据的统计汇总和对安全状况信息的主动展示,确实具有较大的积极意义,并且也确实能够揭示一些中长期存在的安全问题,并推动展开优化调整安全策略等解决措施。但这种依赖“监测事件汇聚+大屏展示”的建设导向,即展现宏观的整体安全状态并罗列微观的安全事件信息,缺乏在中观层面对安全信息进行结构化组织与聚合呈现的能力,通常存在“有态无势”“感而不知”“感而不为”等问题[4]。针对复杂多变的敌情,网络安全态势感知亟需由面向掌握宏观态势和安全策略调整的“监测型”向注重高水平威胁对抗和响应行动的“战术型”转变。
UEBA前身是UBA(User Behavior Analytics,用户行为分析),最早用于购物网站上,通过收集用户搜索关键字,实现用户标签画像,并预测用户购买习惯,推送用户感兴趣的商品。这项技术很快就被应用到网络安全领域,通过建立用户行为基线、进行状态跟踪,在此基础上增加对设备和应用的纳管,监测用户的同时,将与用户互动的资源放到同样重要的位置。
UEBA相较于传统的SOC/SIEM(Security Operations Center/Security Information Event Management,安全运营中心/安全日志事件管理),不关心各种海量告警、不聚焦某条高级事件,而是对“异常用户”(即特权账号被盗用)和“用户异常”(即合法的人做不合法的事)行为具备高命中率,使异常事件的告警更符合业务场景。以设备重启为例,SOC/SIEM会认定为高等级的安全事件并告警,而在UEBA的理解中,先判断重启的用户是谁?此用户在过去的一年内每月固定时间是否都有类似的行为?如果都有,即可不发送告警,仅作记录,误报率大幅降低。安全运营人员有更多的精力去关心真正的安全事件,内部威胁特别是数据泄密在实践中被有效发现。
UEBA侧重于内部威胁检测,态势感知强调的是全局预警,两者有效衔接,可以解决以人、资产、应用为维度的账号安全和数据安全问题。除了考虑网络侧的安全问题,尤其要重视业务侧面临安全威胁的特点,即用户行为是符合访问控制规则的,相关操作都不带有如SQL注入、跨站脚本攻击(XSS)等明显的攻击特征,且存在“低频长周期”的情况,这对基于UEBA的网络安全态势感知关键技术提出了更高的要求。从数据收集到最终决策,基于UEBA的网络安全态势感知包括数据采集、用户画像、判别规则生成和多规则的联合决策等主要功能。
随着科技的进步,自动化生产线在现代工业生产中扮演了越来越重要的角色。本文设计的机电一体化柔性制造实训系统模拟了现代工业产品的自动化生产过程,演示了从原材料出库、经历多道生产工序成为成品入库的整个流程,融合了PLC控制技术、气动驱动技术、电气控制技术、传感器检测技术、工业机器人、数控机床以及网络总线等多方面自动控制技术,展现了现代工业的生产控制模式,为学习者掌握自动化生产线提供了良好的平台[1]。
多源数据异构性是指生成数据的设备和系统之间以及数据类型本身之间的差异[5]。传统SOC/SIEM的数据采集,需要各种日志规格化入库,即每接入不同类型的设备日志时定制syslog的格式,故难以快速实施。以事件等级字段为例,有的安全设备使用标准syslog且定义清晰(0-7),而有的采用私有syslog,定义并不清晰,读懂高等级的日志可能需要厂商的配合。“易采集”的基本要求在于能够快速采集到结构化、非结构化日志,使用全文分布式索引,支持数据格式的动态解析、实时流式分析,实现百度式快速检索,提供通用的API接口等。同时,数据源除了网络流量、安全设备告警、应用系统日志和威胁情报之外,还更关注用户视角,接入门禁刷脸日志(第二代居民身份证识别记录)、VPN日志、HR日志(入职、离职、岗位变动等信息)、OA日志、工单日志等场景数据。
上下文感知就是系统通过自动收集和分析用户的信息,利用上下文信息智能判断用户行为并提供高效率的信息交互,从而实现对用户服务的人性化。上下文感知集中体现了普适计算中以人为服务中心的理念[6]。举例来说,当智能手机的传感器收集到足够的信息(日历、位置、邮件、提醒等),处理器通过对信息融合、建模、推理等方法,判断使用者正在会议室开会,自动设置为震动模式,非重要的电话可选择自动语音留言或拒绝接听。
当上下感知应用在基于UEBA的网络安全态势感知时,通过分析用户是否在常用地点(IP地址)、常用时间(工作时间、非工作时间)登录,从而智能判断是否触发相关告警,这区别于传统的防护策略,即常用地址、常用时间都是基于历史基线建模分析得出,而非配置的。
用户画像,即用户信息的标签化,是通过收集与分析消费者社会属性、行为习惯等主要信息后,抽取用户信息并进行标签化和结构化处理,完美地抽象出一个用户的全貌。用户画像是一个或一类真实用户的虚拟抽象,是基于一系列实际数据的虚拟用户模型[7]。用户画像技术的关键是标签系统的设计与构建,标签分为两类,一是基础数据(包括年龄、地区、性别、职业等信息),二是通过基础数据分析而来的高度提炼的特征标识。
在基于UEBA的网络安全态势感知中,使用同类用户横比和历史基线环比的方法来发现异常、定义标签并对权重进行赋值,根据分值来展现高风险前几类人群供安全运营人员来决策。
表2 用户画像标签示例
传统的基于规则匹配的分析技术从多个数据源收集日志,采用由安全专家预先创建的关联规则来实时执行,其能力局限于与系统或应用程序相关的网络信息的联系,如基于源IP和目的IP关系的分析。
随着内部威胁的增加,尤其是人的行为在动态变化时,由安全专家手动定义的规则不再具有适用性,使用传统的方法检测恶意用户行为变得非常困难。例如分析特定账户传输的数据量时,规则通常定义“阈值”大小以确定可疑活动,但在实际场景中阈值取决于不同的用户类型(某业务确需传输大量数据)、传输的时间和频率(单次大量数据传输或多次长周期少量数据传输),静态规则无法解决这种复杂情况。
基于自学习的关联分析被称为机器学习,通过学习用户和资产行为,从个例数据中进行抽象、发现个例背后的规律,对重大偏差产生告警,对规则进行修正,从而对安全事件的发现和预测起指导作用。机器学习包括以下几个方面的功能:
(1)形成统计模型:根据模型设定,统计每个指标的历史情况,根据时间维度、资产维度等生成统计模型;
(2)检测异常点:基于统计模型,在学习过程中实时检测数据和模型匹配情况,识别出异常数据;
(3)预测行为趋势:根据已有模型以及一定算法,预测未来一段时间内统计对象的发展趋势,以对未来的运营做出分析和提出指导意见。
表3 基于规则匹配和机器学习的分析方法对比
就现阶段技术趋势来看,基于机器学习的高级分析方法和基于规则匹配的传统分析技术正在融合,越来越多的基于大数据的安全厂商正在引入UEBA高级分析模块,而基于UEBA的厂商也正在丰富自己的大数据分析平台的建设能力。
长期以来,安全设备内置的威胁检测技术如数据防泄露(Data leakage prevention,DLP)、端点保护平台(Endpoint Protection Platform,EPP)、上网行为管理等多是以特征匹配为手段,即使后来出现的沙箱检测技术,也主要是依赖于专家经验提取已知病毒与攻击的行为特征进行分析,不能适应新类型的威胁或系统行为,对一些高级的未知威胁检测效果更是有限。例如DLP以关键字或模式匹配来识别敏感数据的流向、上网行为管理以是否访问招聘网站或者竞争对手网站来判断员工是否具有离职倾向,但其只关注数据内容、缺乏情景分析,由于观察维度单一导致误报太多,很难真正意义上作为安全分析的决策依据。
基于UEBA的网络安全态势感知则增加了对人员或实体多维度行为的关联分析,从而更准确地定位异常。以病毒检测场景为例,EPP基于已知病毒文件的特征值匹配来查找病毒感染文件,但只要出现任何形式的病毒变种,哪怕是同一个病毒家族的变种,静态的特征值匹配的技术会失效;而终端检测和响应技术(Endpoint Detection & Response,EDR)作为补充和升级,通过对终端上的文件执行和修改、注册表更改、网络连接、可执行程序的运行等行为的实时监控,查找异常或进一步的取证分析,即使遇到病毒变种的情况,因为其相似的行为,也能最终检测出变种,基于终端行为的威胁检测范围更大,覆盖效果更加明显。
回顾近年来网络安全态势感知的发展,无论是传统安全厂商还是新兴创业公司,先期的注意力主要是集中在对未知威胁的检测领域,借助相关产品和技术,用户获得了更低的MTTI(平均检测时间),更快、更准确地检测出攻击和入侵,但这些产品和技术大都没有帮助用户降低MTTR(平均响应时间)。
以笔者参与建设、运维的支撑平台为例,服务器、网络和安全等各类设备近500台(套),承载的应用系统50余个且类型多样(包括信息查询类的页面和接口、视频结构化、人像比对、数据抽取同步等)、部署架构不一(包括物理机、虚拟机、云平台、大数据平台等),受攻击面大、薄弱环节多。同时,参与项目建设、运维的外部人员(包括应用研发单位、系统集成单位、厂商等)较多,安全技术、意识不高,存在一定的失泄密风险。面对如此大规模的异构平台安全管理工作,检测出问题仅是第一步,对问题进行响应则更加重要,即考虑全网整体安全运维,需要将分散的检测能力与响应机制整合起来。
网络安全态势可视化的目的是生成网络安全综合态势图,使网络安全态势感知系统的分析处理数据可视化、态势可视化。网络安全态势可视化是一个层层递进的过程,包括数据转化、图像映射、视图变换3个部分。数据转化是把分析处理后的数据映射为数据表,将数据的相关性以关系表的形式存储;图像映射是把数据表转换为对应图像的结构和图像属性;视图变换是通过坐标位置、缩放比例、图形着色等方面来创建视图,并可通过调控参数,完成对视图变换的控制[8]。目前,绝大多数安全厂商的相关产品界面已非常绚丽,可以将原本碎片化的威胁告警、异常行为告警、资产管理信息等数据结构化,形成3D图表、雷达图、拓扑图、热度图等多种样式。
但安全威胁特别是数据泄漏类安全事件的最终确认、全方位的风险评估以及溯源分析还是要透过对原始日志、事件的分析判定,因此对海量日志、事件的搜索能力以及将搜索的结果转化成图表/仪表盘的能力非常关键。
通过强大的图形分析、内置的基于时间轴的异常人员或实体的行为图谱、异常行为的可视化标示,对安全事件全过程还原,呈现出完整的攻击链条,覆盖攻击的源头、手段、目标、范围等相关信息。对安全运营人员来说,这将极大简化工作量,提高应对各类威胁的技术门槛,丰富有效面对新增威胁的技术手段。
2017年,Gartner提出了安全编排自动化响应(Security Orchestration Automation and Response,SOAR)概念,其定义为“帮助企业和组织收集安全运维团队监控到的各种信息(包括各种安全系统产生的告警),并对这些信息进行事件分析和告警分诊。然后,在标准工作流程的指引下,利用人机结合的方式帮助安全运维人员定义、排序和驱动标准化的事件响应活动”。
为了提高平均响应时间,基于UEBA的网络安全态势感知还需要利用SOAR思想进行联动安全防护。发现疑似安全事件时,实现强制切断连接、病毒消杀、安装漏洞补丁等处置措施,其技术难点在于对不同厂商安全防护设备的兼容。以最有效、最常见安全防护设备防火墙为例,主流厂商包括华为、新华三、深信服、网御星云、Cisco、Juniper等,远程管理接口类型不同(Telnet、SSH、SNMP、HTTP/HTTPS等),ACL(访问控制列表)的命令集也都不一样,需要定制开发才能下发策略。
因此,基于SOAR的联动处置应包括以下几个步骤:
(1)编排策略的预设条件:针对不同资产、事件级别、事件类型来选择联动范围;
(2)设置编排策略的响应手段:针对不同场景、事件级别的安全事件,选择不同的响应手段,一旦事件被触发,则自动执行相应的编排策略;
(3)设置编排策略的执行对象:针对不同响应手段,选择不同的联动设备,同时还可以选择策略生效时间段。
时至今日,通过不断夯实网络安全防护堡垒,加强业务系统健壮性,力求抵御黑客一波又一波的攻击,基于UEBA的网络安全态势感知因其具备多种关键技术能力成为了高效的主动防御手段,实现了对网络安全事件的事后、事中、事前管控。从实际出发,技术最终是被人使用,因此还需要通过加强安全意识培训、组建安全运营团队、完善安全管理制度、构建安全闭环流程等方式方法,才能有效降低网络安全风险。
[1]韩伟红,隋品波,贾焰.大规模网络安全态势分析与预测系统YHSAS[J]. 信息网络安全,2012(8):11-14.
[2]管磊,胡光俊,王专.基于大数据的网络安全态势感知技术研究 [J]. 信息网络安全,2016(9):46-50.
[3]杜嘉薇,周颖,郭荣华,索国伟.网络安全态势感知:提取、理解和预测 [M].北京:机械工业出版社,2018.
[4]Alexander Kott,等.网络空间安全防御与态势感知 [M].黄晟等译.北京:机械工业出版社,2018.
[5]苏小玉,徐奎奎.网络安全态势感知中数据融合算法应用描述[J]. 河北省科学院学报,2020(6):37-44.
[6]张乐媛.基于上下文感知的网络用户行为分析[D].[硕士学位论文].北京:北京邮电大学,2010.
[7]赵刚,姚兴仁.基于用户画像的异常行为检测模型[J]. 信息网络安全,2017(7):18-24.
[8]陶源,黄涛,张墨涵,等.网络安全态势感知关键技术研究及发展趋势分析[J].信息网络安全,2018(8):79-85.