引子：腾讯御见UEBA（用户实体行为分析）面向政企办公安全、数据安全治理、员工行为管理，使用一系列分析方法（统计学习、机器学习等高级分析方法）通过分析用户实体（用户、应用、设备、主机等）相关行为日志构建用户实体画像（静态画像、动态画像），然后基于用户实体画像进行风险检测、风险分析、风险评估，最终识别内部风险用户和风险实体。御见UEBA是单独的解决方案或产品，也可以作为一种高级分析能力或模块嵌入到御见SOC中。目前我们御见UEBA产品最新版本已经发布，上一篇文章我们结合UEBA背后的技术行了简单介绍，本文将对UEBA内部风险相关场景进行介绍，有兴趣欢迎交流。

1. Gartner对UEBA场景的分析

Gartner认为UEBA随着新的场景出现，主要的一些场景也正在巩固稳定。UEBA解决方案可以支持多种场景。Gartner认为UEBA一些场景，包括监控未授权数据的访问和移动，可疑的权限用户行为，恶意的或未授权的员工行为。UEBA还监控不正常的云资源访问和使用，并且支持对现有的一些产品做更好的检测，例如CASB和IAM。除此之外，UEBA解决方案有时候还能被用作分析一些典型的非网络安全的场景，例如欺诈或者员工监控。

Gartner描述了5大类主要的场景：

1）恶意内部员工

这类场景主要监控员工和外部合作方是否存在异常、恶意或滥用行为。此类场景不会监控分析服务账号或者其他非人为实体，并不面向检测高级威胁，目的只是识别从事恶意活动的内部人员。

本质上，恶意内部威胁是有意损坏公司或组织利益的受信任用户。因为用户恶意的意图不好评估，所以需要从日志中抽取上下文进行行为分析。

2）失陷内部员工和高级威胁

这类场景是指一旦攻击者渗透到组织中并在内部横向移动，就可以快速检测和分析恶意活动。众所周知，高级持续性威胁（APT）和未知威胁（例如0-day攻击）很难被发现，并且通常藏在合法用户或服务帐户之后。这些威胁通常具有复杂的模式，或者其恶意行为还没有被发现过。这使它们难以通过简单的分析（例如模式匹配，阈值或相关规则）进行检测。

但是这些高级威胁中的许多威胁会使得资产的行为与正常行为不同，通常会利用毫无戒心的用户和身份，即受害内部人员。UEBA技术提供一种方法来检测这些威胁，提高信噪比，合并和减少警报量，对剩余警报进行优先级排序以及促进有效的响应和调查。

3）数据外泄

这类场景检测组织中数据的泄漏。此场景通常通过异常检测和高级分析来增强DLP或数据访问管理系统，从而提高其信噪比减少告警量， 并优先处理剩余的告警。

对于其他情况，它们倾向于与网络流量（例如，Web代理）和终端数据集成，并更多地依赖它们，因为对这些数据源的分析可以阐明数据渗漏活动，数据泄露检测用于捕获威胁组织的内部人员和外部黑客。

4）身份和权限访问管理

这类场景主要监控访问权限和分析用户行为，以识别特权或异常访问。这适用于所有类型的用户和帐户，包括特权用户和服务帐户。组织还可以使用UEBA来清理休眠帐户和用户不必要的权限。

5）事件优先级

这类场景的目标是帮助组织确定生成的警报的优先级，并提供有关应优先处理哪些事的指导。 在这种情况下，UEBA引擎不仅会使用基线模型和威胁模型，而且通常会使用组织的结构信息（例如，资产的关键性以及人员的角色和访问级别）来丰富基准和威胁模型。

2. UEBA内部风险

从Gartner对UEBA主要场景的分析能看出，UEBA主要关注的典型场景是恶意员工风险、失陷员工风险、账号权限管理、数据泄露、告警优先级等，主要是企业内部风险。御见UEBA一方面覆盖这些典型的UEBA场景；另一方面针对客户业务、梳理应用接口、监控应用运行状态，保障客户环境账号安全、办公安全、数据安全和业务安全。下面主要对UEBA主要的场景内部风险进行简单介绍。

1）内部风险定义

内部风险主要是企业内部用户引起的安全风险。内部用户包括：在职员工；离职员工；合作方；供应商等等。主要通过行为分析识别违规用户，失陷用户，恶意用户等等。

恶意用户：对于恶意的内部人员，用户通常是有目的的行为，知道本身的行为可能会对企业造成损害。

违规用户：企业内部员工可能会出现的一些有意无意的违规行为，也可能对企业造成一定的损害，例如存在账号共享、违规操作等等。

失陷用户：企业内部员工可能由于钓鱼邮件或所属设备失陷等导致凭证外泄，攻击者会通过合法的凭证在企业内部做恶意活动而很难被发现。

2）内部风险原因：

下面列了部分可能引起内部风险的原因。

* 内部员工相关岗位有不适当的访问权限：

* 内部员工转岗等情况没有因为更换角色而及时撤销权限；

* 离职员工仍然能远程访问敏感应用或服务器。

* 内部员工对敏感数据有高权限，但是有恶意企图。

* 企业内部敏感数据越来越多：财务报告；客户数据；产品或技术文档；员工数据等。

* 办公全球化增加了数据外泄可能，内部员工的办公地点不局限在本地，能更容易在任何时候任何地点通过VPN,智能网关等工具访问企业内部敏感数据。

* 操作不规范如员工之间共用凭证等行为，也会给企业带来一定的隐患。

3）UEBA内部风险场景

御见UEBA内置了多种风险场景，例如：账号风险、研发凭证外泄风险、离职员工权限风险、内部数据窃取、研发数据泄露风险、内部业务运行风险，下面对这些场景进行简单介绍。

① 账号风险

账号风险主要是指由于内部员工账号引起的风险，例如：账号共享，账号失陷，静默账号等等。

账号失陷：攻击者通过钓鱼邮件，暴力破解，漏洞等方式获取用户的凭证，导致用户账号失陷。进而攻击者通过用户合法的账号访问企业内部应用或数据。及时检测识别账号失陷风险能在引起更严重后果之前进行阻止。

账号共享：内部员工将自己访问数据、应用、资产等的凭证，共享给其他并没有访问权限的员工使用，引起账号共享风险。

账号风险的检测，可以提取账号相关画像特征（例如时间戳，位置，IP，设备等等），通过机器学习算法，以识别与特定帐户正常行为的任何偏差，并相应的响应。这有助于根据异常行为模式来检测任何潜在的帐户泄露或劫持情形，例如：对高风险或敏感对象的异常访问，异常的活动数量，短时间内的请求，来自终止的用户帐户的活动或休眠帐户。通过时间序列或行为分析的机器学习模型识别与用户或同类的正常行为不一致的异常，将基于高级安全分析获得风险评分，风险评估。

优点：

* 通过行为分析检测账号未知的行为异常进而识别账号共享，账号失陷，休眠账号等，而不是通过规则、白名单的方面检测已知威胁等。

* 提供了全面的用户账号行为可视化，全局视角审核异常账号，休眠账号等等。

② 权限滥用

权限滥用通过账号、访问等多种数据关联识别高权限访问滥用行为。一般会从IAM或其他账号权限系统提取账号及访问数据，以识别特权用户以及被授予高权限的普通用户。基于这些数据，UEBA可以检测到可疑行为和滥用行为，例如：使用特权账号为普通账号分配特殊或提升的特权，然后对敏感数据访问。这些异常访问同样会体现在不同的IP，设备，位置异常等等。

优点：

* 识别高权限账号，高权限账号行为全面可视。

* 检测高权限账号滥用行为，减少风险。

③ 数据外泄

敏感数据外泄会对企业造成严重的损失，UEBA通过企业内部业务信息或DLP日志获取敏感数据或应用，结合应用访问等数据，监控敏感数据或应用的访问行为，从而识别数据泄露保护企业数据安全。

数据外泄的主要方式有两种，一种通过接口访问拉取敏感数据，另一种本地访问移动copy外发敏感数据。

UEBA针对通过接口访问拉取敏感数据的情况，分析用户访问敏感数据日志，监控用户访问行为，通过机器学习的方法比较历史基线和同类基线，如行为偏离基线，则识别为访问敏感数据异常风险。

UEBA针对本地敏感数据访问移动copy外发等行为，分析DLP日志，确定DLP告警优先级，降低误报，优先重要告警，同时为用户访问行为提供丰富上下文，便于运营人员更快更直接识别到风险，及时做出反馈，减少企业损失。

UEBA提供了可配置的基线建模平台，方便对敏感数据监控任务的配置及及时检测识别。

优点：

* 通过自学习机器学习模型提供数据访问行为基线，识别敏感数据异常访问。

* 通过风险权重风险评分显著减少DLP告警数量，节省调查时间，降低误报。

④ 业务运行风险

对企业来说，业务的正常运行极为重要。UEBA除了监控用户行为，用户访问业务行为以外，还会梳理企业业务接口，全面可视化化业务接口运行情况。而且通过时间序列等机器学习的方法监控业务访问量是否异常，业务访问用户量是否异常，访问失败数异常，接口是否失活等等。使得企业全面了解业务，及时发现业务运行风险，保障业务正常运行。

优点：

* 梳理企业业务，全面可视化业务运行情况。

* 通过时间序列等机器学习模型，实时监控业务运行状况，及时识别业务运行异常。

3. 结论

御见UEBA为了保障企业账号安全、办公安全、数据安全和业务安全，内置覆盖了典型的UEBA场景，一方面全面可视企业内部员工行为、企业业务接口运行状况，另一方面通过机器学习平台基于多源行为数据对用户和应用构建基线，进一步识别未知的行为异常，快速识别发现风险用户及风险应用，为企业内部安全保驾护航。

除了内置的场景以外，客户还可以通过可配置的机器学习平台快速实现特殊业务场景的分析、检测及监控，在运营过程中不断完善丰富UEBA场景。

该账号主要围绕智能化技术如何帮助企业提升网络安全水平展开，内容涉及机器学习、大数据处理等智能化技术在安全领域的实践经验分享，业界领先的产品和前沿趋势的解读分析等。通过分享、交流，推动安全智能的落地、应用。欢迎关注~