当前位置: 首页 > 科技观察

UEBA实践:CISO内部威胁管理指南

时间:2023-03-13 23:05:57 科技观察

智慧城市建设正在推动我国生产模式的变革。随着经济的数字化和政府的数字化,数据和网络已经成为我们政府和企业不可或缺的一部分。合资企业、跨境贸易、多供应商全球合作模式的变化不断增加关键数字和实物资产被攻击的风险。同时,全球合作需要满足不同国家当地安全法规的要求。这些复杂的因素都指向同一个结果:业务部门面临的内部威胁正在急剧增加。内部威胁网络安全事件层出不穷,但企业仍难以重视。企业往往想当然地认为攻击者来自外部,但实际上,超过一半的安全攻击是由内部员工造成的,或者是居心叵测的恶意人员造成的,或者是员工粗心的失误造成的。受信任员工的内部威胁有可能导致重大财务损失和随之而来的信誉损失。企业的主要安全防御措施(如防火墙、访问控制、智能物联网监控设备等)通常是针对不受信任的外部攻击者而设置的,从而让受信任的员工或承包商有机可乘。同时,内部员工了解组织的防御措施,并且在发生恶意活动时可以轻松绕过它们。为了对抗这种机会主义行为并有效解决内部威胁,应该进行情境感知、高级行为异常检测和基于时间序列分析的取证。斯诺登网络安全事件作为典型的全球内部威胁事件,促使许多单位和企业反思是否还会发生此类事件。所有有价值的信息都是一种诱惑,都可能被内部威胁侵入。虽然企业敏感数据被盗或损坏可能不会像斯诺登事件那样造成严重的国家安全隐患,但仍会对企业造成重大损失。什么是内部威胁?内部威胁是指对企业资产具有合法访问权限的用户利用该权限对企业造成危害的行为。内部威胁不一定是公司的现有员工,它可能是前雇员、承包商或有权访问系统或数据的合作伙伴。内部威胁不同于凭据泄露引起的攻击,在后者中,外部攻击者使用窃取的有效帐户凭据来冒充合法用户来访问网络。内部威胁通常是用户采取的主观行为,他们可能知道自己违反规定,甚至违法。内部威胁可能来自:心怀不满的员工-分享敏感信息以谋取私利或报复。恶意员工-故意滥用对网络、系统或数据的访问权限以造成伤害。受感染的员工——无意中将系统暴露给攻击者或恶意软件(例如点击带有恶意软件的电子邮件,使攻击者能够窃取访问凭证)。第三方(承包商、合作伙伴和客户)-可信任访问敏感数据并提出与上述相同类型的威胁。在大多数情况下,这些用户可能拥有不合理的访问权限。例如,在很多企业单位,当员工调动工作或职责变动时,其原有的系统访问权限不会被撤销,从而使用户的权限不断增加。随着时间的推移,这些用户可以积累大量的权限。这种现象使资深员工更容易获得对系统的未授权访问。此外,不完整的离职交接流程和权限恢复也会让离职员工仍然可以远程访问敏感的应用程序或服务器。简而言之,潜在恶意内部人员的数量通常比大多数CISO想象的要大得多,也更难识别。恶意内部人员暴露的敏感数据正在迅速增长。不乏财务报告数据(提前获悉,从而进行公司股票的非法交易)、客户数据(对竞争对手有价值)、产品或技术文档(对竞争对手也有价值)、员工数据等。这些原本存储在不同系统(如备份、基线、开发/测试、报告等)的数据正在被整合并用于非法活动。例如:销售经理在加入竞争对手之前复制当前客户和销售渠道。一位工程师决定创办一家初创公司与他的雇主竞争,并在离开前复制了产品计划和设计文件。一位IT经理查看报告日期之前的季度收益数据,打算非法买卖其公司的股票。一名科学家复制了数千份设计和技术文件以出售到国外(2012年,陶氏化学公司的一名科学家因此被判处五年徒刑)。情报机构的承包商下载了大量内部程序数据以泄露给媒体。……内部威胁的动机攻击背后总是有多种因素,具体动机可分为以下四种。经济利益:经济利益是大多数内部违规行为的主要因素,可能很小(例如,门卫在电子商务平台上出售笔记本电脑以赚取快速现金)或很大(例如,下级员工的个人身份信息以获取快速现金)在暗网上销售)。商业利益:知识产权通常是出于商业动机的攻击者的主要目标,因为它们可用于增强企业产品、消除竞争优势或促进不良行为者的商业交易。这种威胁不仅增加了窃取知识产权的一方的竞争力,而且导致受害方的生产力损失和声誉受损。员工报复:由于工作不满、待遇不公、与同事发生矛盾、被视为潜在裁员对象等原因,员工可能产生负面情绪并进行极端报复。种族信仰:政治、宗教和社会信仰也可能成为内部威胁的强大动机。内部威胁对CISO企业安全管理的危害?内部员工拥有对组织数据资产的合法访问权限,并且通常知道敏感的公司数据存储在哪里。因此,安全团队不容易检测到内部威胁。正常活动和潜在的恶意活动可能具有挑战性。PonemonInstitute于2020年发布的《内部威胁成本全球报告》显示,在过去两年中,内部威胁的成本和频率都急剧增加。内部威胁事件的平均成本为1145万美元,比2018年的876万美元增长近31%,威胁事件数量为4,716起,比2018年的3,200起增长47%。内部威胁的成本通常与企业规模成正比。拥有25,001至75,000名员工的大型企业在过去一年中平均花费1,792万美元来解决与内部威胁相关的事件。内部威胁增长最快的行业是零售业(两年内增长38.2%)和金融服务业(两年内增长20.3%)。损失最严重的三个行业是金融服务(1450万美元)、服务(1231万美元)和IT(1230万美元)。内部威胁事件的平均周转时间为77天,只有13%的事件在30天内得到控制。4716起事件中,2962起事件是内部员工或承包商的疏忽操作引起的,1105起事件是由攻击团队或恶意内部员工发起的,649起事件是由于帐户被盗造成的,其中191起事件涉及盗用用户凭证。特权用户。以上数据表明,企业内部威胁依然存在,网络安全威胁难度很大。UEBA技术应对高级内部威胁大多数企业主要购买带有签名认证和规则分析的安全设备来检测和防御外部威胁。在采取反制措施的同时,也需要更加深刻地意识到内部威胁的暗流。在这些看似忠心耿耿、戴着员工证的人中,不乏害群之马。他们通常是一群内部员工、合作伙伴和供应商的合法外衣。从事非法活动的袭击者或知情人。传统的安全防护系统,如FW、SIME、IDS、IPS、漏扫、沙箱等,主要是通过预设规则监测外部威胁,并内置已知攻击特征库、漏洞库等实现拦截。恶意流量,安全攻击拦截。基于规则检测的解决方案解决了大部分外部威胁,但无法捕获内部恶意人员的违规行为。传统的防御措施不会检测到这些有权访问公司数据库、服务器、应用程序/代码和敏感信息(准确地说,具有合法数字ID)的内部员工的行为。众所周知,斯诺登利用美国国家安全局的这种保护机制获取了大量敏感数据。一个成熟的UEBA解决方案应该具备一定的预测能力,可以辅助识别内部人员的恶意行为,如暴力破解、可疑密码重置、账号共享、异常设备或远程登录等。这包括内部员工异常行为检测、网络黑客攻击、文件爬虫和路径识别能力,以及检测恶意内部人员试图访问企业核心业务(如知识产权、敏感信息、客户数据等)的能力。).UEBA解决方案应具备检测敏感的个人身份信息/个人合规信息访问或异常/频繁数据下载的能力,以及因渗透企业打印机、电子邮件系统、云存储或USB设备识别能力而导致的数据泄露行为。同时,为了方便企业管理者的使用,检测模型可以根据企业的风控水平、信息系统重要性、员工类型等调整检测特征权重和风险评分。UEBA解决方案的价值不仅在于基于用户和实体对已知威胁的检测,更在于对未知威胁的检测能力。同时具备前沿的数据处理和机器学习分析技术,旨在为客户解决绕过传统检测的难题。以及对防御系统的威胁。UEBA技术利用机器学习算法自学习和插件扩展学习能力,使用无监督、半监督和监督学习方式不断优化各种模型。同时可以利用深度学习、自然语言处理等先进技术实现情感学习。检测内部威胁。分析引擎可以为企业内部的每个身份(用户和实体)建立动态基线,通过基线偏差分析,检测和预测内部异常行为。同时,异常检测模型可以结合威胁情报和外部系统产生的告警上下文信息,为每个身份提供整体风险评分,辅助事件的进一步调查。UEBA可以利用机器学习实现快速检测账户变化、行为变化和异常操作,在安全漏洞可能发生前主动预警,帮助企业止损,同时减少企业在诉讼中浪费的时间和金钱,减少公关危机.UEBA技术的关键:从多个来源收集异构数据在常见的内部威胁违规场景中,用户通常以明显异常或企业明确禁止的方式访问系统。回想起来,这些漏洞是显而易见的,但却是成功的,就像陶氏化学公司的科学家访问安全文件服务器的次数是其他人的10倍一样。由于企业内部异常行为的线索存在于不同的信息系统中,难以结合分析,无法及时发现。UEBA可采集多源异构数据,进行关联分析,及时发现异常行为。具体数据源包括:访问日志:VPN、域控制器和Wifi接入点日志可以为风险活动检测提供强有力的线索。认证体系:ActiveDirectory、LDAP(统一身份认证)等服务数据,提供位置、角色等高价值信息。DLP扫描:通过网络提供核心数据泄露的相关检测信息。终端访问:提供有关用户文件活动和系统配置信息的有效上下文。网络访问:NetFlow,作为SIEM和端点检测数据的有力补充。数据库行为数据:数据库日志和数据库防火墙日志数据,为敏感数据访问提供高价值线索。应用行为数据:访问日志、应用操作日志。云平台行为数据:鉴于大部分企业已经将部分业务迁移到云端,相关的用户行为数据可以从云服务或CASB解决方案中获取。U盘存取数据:本地文件拷贝(一般为U盘或USB外存),可提供大量有效数据,特别是与DLP文件扫描数据结合使用等场景。打印服务器:打印服务器日志数据,恶意内部人员可能会打印出表单来绕过网络监控。门禁或其他智能物联网设备:进出办公楼、机房等场所的门禁记录。UEBA技术的关键:选择正确的关键特征来区分恶意活动和日常工作是极具挑战性的。例如,高访问权限的用户在日常工作中需要访问敏感数据,很难区分这些行为是否是恶意的。当高权限用户进行恶意活动时,他们通常会删除或篡改活动日志,伪装成其他用户以掩盖他们的踪迹。内部审计的另一个痛点是被审计的用户经常声称他们是无意的或人为的错误。UEBA技术的关键:选择合适的自适应机器学习模型算法行为基线:为每个用户和系统创建一个正常的活动基线,通过基线建立模型来判断是否存在异常行为或潜在风险。群体画像分析:构建具有相同或相似行为和访问模式的用户群体画像,具有群体内比较分析能力。特权账户分析:在建模和分析过程中应考虑特权账户的存在。例如,管理员通常具有较高的访问权限,可以访问大量敏感数据。这些账户应该单独分析。共享账号分析:共享账号是UEBA分析中需要重点关注的场景。由于共享账户的特殊性,很难识别真正的风险用户,甚至企业也不知道有多少人在使用这些账户。UEBA解决方案应该能够识别共享账户,并通过技术手段,识别使用这些账户的具体人员,并建立特定的风险评分模型来检测这些共享账户的活动。账户被锁分析:账户被锁的原因有良性的和恶意的。对于内部威胁分析,应该能够识别首次尝试登录账户的用户以及可能涉及的相关角色或关联账户。一个好的UEBA解决方案可以识别与帐户锁定相关的异常活动,促使企业安全运营分析师关注企业内潜在的恶意个人。立良策,谋善政。企业和单位可以通过与专业的UEBA解决方案提供商合作,不断加强网络安全建设的顶层设计,合理规划和部署各类安全产品,在内部威胁可能发生前主动预警,帮助企业和单位有效规避内部威胁,帮助满足安全合规性要求,同时提高企业生产力和组织信誉。