搜狐首页 科技 栀子花开

手机搜狐

SOHU.COM

UBA不容忽视的一环:关注敏感数据

为了克服传统依赖规则的安全解决方案的诸多弊端,如今众多厂商已开始逐渐将UBA整合进解决方案。研究发现,如果将UBA运用于除了网络层和端点层之外的数据本身,尤其是敏感数据,可以大大提高安全检测效果,因此,在纵深防御技术逐渐失效的当下,这将是UBA使用不容忽视的一环。[ 本文系HanSight瀚思编译稿件,如需转载请注明出处!]

传统仅依赖规则来检测违规行为和潜在威胁的安全分析解决方案存在诸多弊端:误报太多,而且无法识别之前未知的威胁模式。为了克服这些不足,如今的安全分析解决方案开始将用户行为分析(UBA)整合进来。

UBA是什么?

众所周知,UBA长期以来就用于安全之外的其他领域:了解客户体验或购买模式,改善广告定位,以及识别欺诈活动。在安全领域,知名调研机构Gartner将UBA定义为:基于机器学习的行为分析、异常检测。UBA可以分析用户活动,并为之确立基线,从而评估什么是某个用户的正常行为与异常行为。除了分析用户外,还可以分析其他实体,比如设备、应用程序和端点设备。

UBA的显著特点是除使用检测可能是威胁的异常用户行为的规则外,还利用机器学习和统计模型。机器学习能够让企业识别之前未知的模式,减少静态规则因无法适应每个用户或变化行为所触发的误报,并且基本上不需要为每个潜在的违规行为定义规则。

关注敏感数据的UBA与其他UBA有什么不同?

目前一些网络网关、安全信息和事件管理(SIEM)和端点安全的解决方案已经开始将UBA整合到自己的威胁检测功能中去。而整合到这些解决方案中的UBA则主要专注于分析来自网络和端点设备的事件和日志,这种方法,除了可以检测透过网络防火墙进入的攻击或者通过扫描网络数据包而暴露的外泄活动外,还可以检测来自端点设备的恶意软件的威胁。

虽然运用于网络层和端点层的UBA对于提供纵深防御机制很有用,但如果对数据本身运用UBA的话,就可以运用额外的上下文,比如数据是从什么地方什么设备来访问的、在同一个会话中访问了什么数据、数据量、类似数据和数据存储区的典型访问模式,以及访问的时间和季节性,当数据是敏感数据时尤其如此。

关于数据本身的信息、敏感程度、数据来源、用户通常如何访问数据和数据存储区,可以提供进一步的指示,帮助用户确定某个活动是不是异常行为,还可以一并分析跨多个相关数据存储区的数据访问,以获得额外的上下文,大大提高检测准确率。

精选