UEBA用户行为分析怎么发现内鬼

wen 网络安全 2

本文目录导读:

UEBA用户行为分析怎么发现内鬼

  1. 核心原理:构建基线,发现异常
  2. 四个发现内鬼的核心场景
  3. 如何落地UEBA来抓内鬼?
  4. 给管理者的关键建议

这是一个很有价值的问题,用UEBA(用户与实体行为分析)来发现“内鬼”,本质上就是从海量日志中识别出人类肉眼无法察觉的、偏离正常基线的细微异常

内鬼与外部攻击者有本质区别:他们有合法权限,熟悉内部流程,会刻意隐藏自己的行为,传统的规则(比如误登录5次就告警)对内鬼几乎无效,UEBA通过构建“行为画像”和“基线”来解决这个问题。

以下是UEBA发现“内鬼”的核心原理和具体场景,分为四个关键步骤:

核心原理:构建基线,发现异常

UEBA会为每个用户(包括系统账号、服务账号)和每台设备建立动态的行为基线,这个基线不是固定的,而是通过机器学习持续学习的。

  • 正常基线:某员工A通常工作时间9:00-18:00,在HR系统里查看员工信息,每天访问约100条记录,从不下载文件到U盘。
  • 异常偏离:某天A在凌晨2:00,从VPN登录后,一次性下载了HR系统中5000条员工薪酬记录到本地,并拷贝到U盘。

四个发现内鬼的核心场景

越权与权限滥用

这是最典型的内鬼行为,内鬼会利用合法权限去访问非本职工作范围的数据。

  • UEBA检测点
    • 异常数据访问:某财务人员(按习惯只访问本月报表)突然开始下载过去5年的所有财务流水。
    • 异常系统访问:某普通研发人员,突然尝试访问HR的薪资系统或核心交易数据库,且登录时间在凌晨。
    • 权限跳跃:用户短时间内从一个低权限系统跳转到一个高权限系统,且没有合理的正常流程(如申请单)。
  • UEBA如何判断:它会将“访问范围”、“访问量”、“访问时间”与用户的历史行为基线以及同部门、同职级的“peer group基线”进行对比,发现显著偏离。

数据窃取与泄漏

内鬼最核心的目标是拿走数据,他们会用各种方式逃避监控。

  • UEBA检测点
    • 大量拷贝/下载:在短时间内向U盘、云盘或外部邮箱发送大量文件,UEBA会关注文件数量、文件大小总和、文件类型(如压缩包)
    • 异常打印/截屏:某用户突然打印大量以往从没打印过的敏感文件(如源代码、客户名单)。
    • 异常加密或改名:在非工作时间,用工具将文件大量加密(通过Ransomware手法盗取)或批量重命名(隐藏内容)。
  • UEBA如何判断:它会监测文件操作行为(创建、修改、删除、复制、打印)的速率和目的地,一个只写代码的程序员,突然在凌晨3点将整个项目目录压缩成.rar并发送到gmail.com,这就触发了高风险告警。

异常登录与地理位置

内鬼可能利用窃取的凭证或休眠账号。

  • UEBA检测点
    • 不可能的旅行:同一账号在10分钟内先后在纽约和北京登录。
    • 非工作时间登录:在深夜、周末、节假日,登录公司核心系统(尤其是内鬼常故意选在安保松懈时)。
    • 异常设备/浏览器指纹:用户习惯用公司电脑(固定MAC、固定浏览器),突然从私人手机或未知IP地址登录。
  • UEBA如何判断:通过与用户登录历史、设备指纹、地理位置数据库交叉对比,计算登录事件的“风险分数”,一个从来不登录VPN的员工,突然从国外IP登录,分数会飙升。

横向移动与提权

内鬼一旦进入内网,会逐步扩大权限。

  • UEBA检测点
    • 内部扫描:利用跳板机或普通用户账号,对内网其他服务器进行端口扫描或弱口令爆破(攻击工具行为)。
    • 异常远程桌面:从一个普通开发机,短时间内登录到多个不同的服务器(数据库、文件服务器、域控)。
    • 安装后门工具:在非管理员权限下,尝试运行mimikatzPowerShell Empire等黑客工具。
  • UEBA如何判断:它会将进程创建、网络连接、登录事件关联起来,如果发现一个用户在一台从未访问过的机器上执行了net group "Domain Admins" /add,这基本可以确认是内鬼攻击。

如何落地UEBA来抓内鬼?

光有系统不够,需要一套运营流程

  1. 数据源接入:必须接入关键日志:VPN日志、AD域控日志(登录/注销)、Web代理日志、邮件系统日志、文件服务器日志(文件操作)、DLP(数据防泄漏)日志、HR系统日志(组织结构变动)。数据质量决定了UEBA的准确率
  2. 建立基线阶段:系统需要1-3个月的“学习期”,建立每个用户的画像,过程中需要剔除已知的攻防演练正常但罕见的行为(如员工搬家后登录IP变)。
  3. 调查与定级:UEBA会产生大量低分、中分、高分告警,安全人员(SOC分析师)需要根据以下流程调查:
    • 低分告警:自动忽略或存档。
    • 中分告警:通知用户确认(“你刚才在那个时间做过这件事吗?”)。
    • 高分告警立即冻结账号,启动应急响应,重点核查:行为动机(为了工作?还是未授权的个人利益?)、数据流向(数据被发到了哪里?)。
  4. 人工研判:UEBA是引擎,人是驾驶员,分析师需要结合上下文(用户是否在被裁员列表中?用户是否正处于离职交接期?用户最近是否被上级批评?),这些信息需要从HR系统同步或人工沟通获取。

给管理者的关键建议

  • 不要只看技术指标:UEBA抓到的“异常”可能是员工在帮同事操作、是技术故障,必须结合人员背景调查业务关系
  • 注意隐私合规:监控员工行为需妥善处理隐私问题,通常在公司制度中明确“企业拥有对公司IT资源的监控权”,并定期通报监控范围和目的。
  • 内鬼误报是常态:UEBA的误报率可能在10%-50%之间,核心是要容忍少量误报,同时快速响应真正的内鬼。
  • 教育+威慑:对内鬼最好的防御是让员工知道“所有行为都在监控中,并有AI分析”,很多内鬼在看到公司上UEBA系统后会主动收敛。

总结一句话:UEBA抓内鬼,就是用机器学习的眼睛,盯着每一个“正常”用户身上发生的“反常”瞬间,它不靠单一告警,而是靠行为链条的异常图谱来锁定最有价值的攻击线索。

抱歉,评论功能暂时关闭!