张增斌评论|孙书娟梁策下面详细分析一下为什么匿名用户数据在这个案例中没有提供必要的洞察力。用户和实体行为分析(UEBA)工具通过查找异常数据来支持网络安全策略。这些工具为用户、设备和网络建立基准使用情况,然后向网络安全团队标记与这些规范的重大偏差。人们对用户行为分析如何降低网络攻击的风险很感兴趣。市场分析显示UEBA行业的价值在2022年达到12亿美元。与此同时,研究人员认为,到2026年将达到42亿美元。为了保护隐私而推动用户数据匿名化可能会阻碍这一增长。当使用该技术的公司决策者认为它可以缩小潜在问题的范围时,用户和实体行为分析的效果最好。然而,匿名的UEBA数据将限制可以查明问题的趋势。下面详细分析一下为什么匿名信息不适合UEBA平台。1.缺乏必要的特异性监控用户行为以检测异常的概念并不新鲜。例如,您的信用卡或借记卡可能在被提供商多次标记为异常活动后被拒绝。这可能是因为您在旅行时买了东西,却没有让银行知道您正在旅行。也有可能您使用这种支付方式平时只支付小件商品却试图购买高价值的商品。匿名数据不允许建立必要的联系,例如识别持卡人并联系他们以确定购买是否合法。RyanStolte是BayDynamics的首席技术官。他承认用户行为分析可能会引起隐私问题,应该讨论这个问题。“这是绝对每个人都应该进行的对话,”他解释道。“我们进行行为分析的原因是为了这个人。我们代表每个人对你进行分析,并告诉你什么时候你的行为不像你自己。”这并不意味着公司会密切关注每个人所做的一切。但是,UEBA系统可能会标记每个人的任何异常行为。2.阻止内部威胁的难度增加一项2022年的研究表明,内部威胁将在两年内增加44%。同一项研究还表明,受影响的组织每年平均花费1540万美元来解决相关问题。随着公司之间的联系日益紧密,内部威胁的增加也成为一个问题。从能源到食品和饮料,各行各业都使用连接性来改善运营。然而,恶意员工会严重阻碍公司的工作流程。不过,重要的是要记住,当人们没有恶意时,内部威胁就会出现。他们可能会因疲劳、粗心或缺乏适当的培训而犯错,这可能会导致或加剧网络安全问题。但是,如果公司领导者只有匿名的UEBA数据,他们将更难获得有助于缓解此问题的各种详细信息。例如,是否存在单个人或团队反复犯下构成安全威胁的错误的情况?如果匿名数据阻止将数据链接回特定人员,则不可能缩小结果范围以降低风险。3.无法在需要时采取纪律处分UEBA工具可帮助网络安全团队检测某人的行为何时超过危险活动的阈值。ChristianWimpelmann是Code42的访问经理。他讨论了用户行为分析如何帮助公司避免危险结果。“无论是恶意的还是无意的,不寻常的数据访问和跨网络或应用程序的不寻常数据遍历通常是员工做他们不应该做的事情或数据最终导致更大问题的先兆——在受害组织之外,”Wimpelmann说。”与只允许员工在现场工作的公司相比,允许远程工作的公司可能会处理更多的数据保护问题。根据一项研究,52%的受访者认为,他们在远程工作时处理数据时可以避免承担更多的数据风险。甚至有网络犯罪分子招募员工在其组织内部署勒索软件的案例。一名网络安全负责人被招募参与网络攻击,他将勒索软件带入公司网络并获得100万美元赎金中的40%。然而,使用匿名数据只能说明部分情况。它可能会揭示网络内员工的异常活动。但是,它并没有确切显示涉及的人。然后,该组织的网络安全团队只知道存在安全问题,但无法查明责任人。4.使用UEBA维护访问限制如果员工访问的信息超过他们完成工作所需的信息,公司遭受网络攻击的风险也会增加。理想的情况是一个人具有适当级别的访问权限并且在履行职责时不会遇到困难。一些网络安全专家提倡将用户行为分析与身份验证措施相结合,以更好地保护组织。具有UEBA的产品可以跟踪与每个人相关的250多个属性。然后分配一些相关的风险评分。如果有人反复尝试在网络中执行异常活动,则他们的风险评分可能很高。公司领导可以调整处理高风险评分者的方式,例如暂时锁定他们的帐户,直到IT人员可以进一步调查此事。但是,如果一家公司只有匿名的UEBA数据,它就无法使用该信息来阻止特权滥用。它可以使用行为数据来更广泛地发现其他潜在问题,例如是否有人试图从不寻常的位置访问工作场所资源。但是,如果不将识别信息与该行为联系起来,网络安全团队就没有他们需要的信息来确定谁在滥用基于身份的特权。匿名UEBA数据不提供有意义的回报本文概述了当数据完全或大部分匿名时,网络安全团队不应对用户和实体行为分析抱有很高期望的原因。了解异常网络活动是一个好的开始,但如果IT专业人员无法将此信息与特定个人联系起来,则几乎不可能查明问题所在。相反,公司领导者应该与员工就隐私影响进行坦诚的讨论。如果他们不想深入了解UEBA的细节,他们至少应该让员工明白,不要一直假设在工作场所网络上所做的事情没有受到监控。原标题:UEBA使用匿名用户数据的4个挑战,作者:ShannonFlynn
