什么是UEBA？

UEBA的原理

从UEBA的概念可以看出，UEBA技术不仅检测人的异常行为，也检测实体的异常行为，我们先通过2个例子来直观地感受一下UEBA的功能。

例如，某企业职员每天的工作时间段是早8点到晚5点，外发的文件数量为几十个，总大小也不超过100MB。但是有一天该职员突然工作到晚上11点，外发文件大小超过100GB，UEBA就会认为这是异常行为，并发出告警信息。如果网络中部署了自动响应与处置类的功能，还可以自动隔离该职员的办公设备，令其无法联网，并锁定该职员的所有账号权限，等待运维人员处理完异常后再重新开放权限。

相较于人的异常行为，实体的异常行为往往并不容易发现，甚至发现了也会被忽略。例如，某企业的服务器对外提供服务，一般凌晨时段的访问请求非常少，但是某天凌晨的访问请求突然增多，且该服务器开始与网络内的其他服务器进行文件传输，这大概率会触发UEBA的告警。如果没有UEBA，由于传统安全设备主要关注网络边界的安全性，所以该服务器的异常行为并不会触发告警，也不会被拦截，这为企业的网络安全埋下了巨大隐患。

UEBA利用人工智能和机器学习算法来检测网络中的用户和实体的异常行为。首先，UEBA收集有关用户和实体活动的数据，通过分析数据来建立用户和实体的行为模式基线。然后，UEBA会持续监控用户和实体行为，并将其当前行为与基线行为进行比较，计算风险评分，确定行为偏差是否可接受。如果风险评分超过一定的阈值，UEBA会实时向用户发出告警。

风险评分是基于威胁的严重和紧急程度等因素评定的，可以帮助运维人员识别最优先处理的威胁，提高威胁的处置效率。例如，用户多次登录失败，可以生成一个较低的风险评分；而用户向外发送超过10GB的文件，且其中很多文件的名称命中了敏感字，这就应该生成一个较高的风险评分。

为了保证生成基线的准确性，UEBA会从尽可能多的来源中获取数据，通常包括：

• 从防火墙、路由器、服务器等设备中获取日志信息。
• 从其他安全解决方案（例如SIEM）或工具中获取相关数据。
• 从访问控制和身份验证系统中获取用户账户及授权等信息。
• 从企业自身的管理系统中获取员工的相关信息。
• 从社交平台和社交软件中获取用户的相关信息。

生成基线后，UEBA在识别内部威胁方面特别有效，而这类威胁往往是很难检测出来的。试想一下，当攻击者获取了企业职员的账户权限，或者企业内部的职员心存恶念，他们都在使用正常的权限去做坏事，完全不借助恶意软件。这怎么能被发现呢？此时就体现了UEBA的价值，因为攻击者或企业职员在实施恶意行为的时候，必然会偏离正常的行为基线。例如，攻击者或企业职员想窃取企业内部的关键数据，那么就要访问高密级的系统或文件，而这个行为在UEBA中可能会被赋予很高的风险评分，当UEBA发现此异常行为后就会立即生成告警。

UEBA的作用

与许多新兴安全技术的产生背景类似，UEBA的兴起主要是因为传统安全产品（例如Web网关、防火墙、入侵检测等）和加密产品（例如VPN）已经不再能够保护企业免受入侵。攻击者不再单纯依靠恶意软件来攻击受害者的网络和设备，而是针对受害者本身实施社会工程和网络钓鱼等手段，欺骗受害者点击恶意链接、下载恶意软件、输入个人账户密码等信息。一旦得手，攻击者就可以堂而皇之地进入受害者所属网络，盗取关键数据，开展一系列的攻击行为，给受害者造成巨大的损失。此时，就体现出了UEBA的作用。它虽然不能阻止攻击者访问关键系统，但是它可以快速发现这些异常行为并发出告警。运维人员基于告警信息快速响应，防止了威胁进一步扩散。如果没有UEBA，运维人员需要分析海量的告警信息，并从中识别出哪些行为或事件会带来真正的风险。

然而，UEBA并不是要取代早期的安全系统或解决方案，而是用来增强网络现有安全能力，覆盖传统安全系统或解决方案无法覆盖的盲点。UEBA的主要作用体现在以下几个方面：

• 识别更广泛的网络威胁：随着用户接入方式和接入设备种类的不断增加，网络攻击的复杂性也在不断增加。UEBA同时关注用户和实体的行为，可以覆盖更广泛的网络威胁。
• 提升网络的安全性：UEBA能够识别传统安全系统或解决方案难以检测的内部威胁和其他风险，降低企业遭受网络攻击的风险，提升网络的安全性。
• 降低企业的成本：通过运用机器学习和人工智能技术，UEBA可以帮助企业节省很多人工分析的工作量，这意味着可以减少一些分析师的人力。然后，企业可以将富余人力转移到其他岗位上，产生更多的价值。

UEBA与UBA对比

UEBA与UBA（User Behavior Analytics，用户行为分析）看起来很像，只是前者比后者多了一个字母“E”。事实上，UEBA的确是由UBA演变而来的，可以理解为是UBA的进化版本。UBA主要检测用户行为，而UEBA增加了对实体的检测，这使得异常行为更容易被发现，威胁识别结果也会更准确。同时，由于UEBA分析的数据更加庞杂，数据量更大，所以产生的分析结果也会更复杂、更详尽。

推动UBA向UEBA进化的一个重要原因就是用户接入方式的变化。随着数字时代的到来，网络环境愈发复杂，网络边界渐渐模糊甚至消失。人们不再单纯通过固定的办公设备接入企业网络，而是经常通过手机、笔记本电脑、云主机等设备进行办公，其中相当一部分还是员工的私人设备，这对企业网络安全的挑战之大可想而知。因此，UEBA不仅要分析用户的行为，还要对用户相关的实体行为进行分析，然后将用户行为数据与实体行为数据相结合，以检测出涵盖用户、设备、IP地址等多因素的复杂攻击。

举个例子，黑客盗取员工的账号后并不急于发动攻击，而是假装成该员工进行一些合法的操作，这时UBA较难发现异常。而且，黑客也不是一次性实施攻击，而是不定期实施攻击，很少有安全设备能够检测出这种频率较低、持续时间较长的攻击。但是，黑客的行为必然和正常的员工行为不一致，相关的实体行为数据也必然和正常数据不一致，UEBA将这些蛛丝马迹收集起来进行分析，就可以更早、更准确地识别出潜在威胁，保护受攻击的企业免遭渗透。

UEBA与SIEM对比

SIEM（Security Information and Event Management，安全信息与事件管理）是一种网络安全技术，通过收集和分析不同来源（主机、应用、安全、网络等）的日志事件及相关数据，提供安全事件的实时监控和管理等功能。SIEM通过安全事件帮助用户识别异常事件，查看安全态势，并在出现异常安全事件和趋势时向用户发出告警信息。UEBA的工作方式与SIEM类似，只不过UEBA通过用户和实体的行为信息来判断是否存在安全威胁。

从原理上看，SIEM与UEBA都使用机器学习和数据分析技术来识别威胁，但是它们识别的威胁类型并不相同。SIEM主要关注安全事件，UEBA则更关注行为模式。此外，SIEM基于规则进行检测，如果攻击者破解了规则，他就可以轻松绕过检测。同时，SIEM的规则主要用于检测实时发生的、不太复杂的威胁，难以检测需要花费数月甚至数年的复杂攻击活动（如APT攻击）。而UEBA主要使用风险评分技术和复杂算法进行检测，这使得UEBA可以识别长时间范围内实施的复杂攻击行为。

近年来，许多SIEM系统都已包含UEBA，通过结合使用这两种技术，用户可以获得更好的安全和检测功能，更有效地检测和防御威胁。

UEBA与NTA对比

NTA（Network Traffic Analysis，网络流量分析）提供了一种便捷的网络监控和分析方法，利用机器学习技术、高级分析和基于规则的检测，NTA可以监控和分析企业网络上的所有通信流量及流量记录。所以，NTA分析的主要是数据包和流，而UEBA分析的主要是日志。

NTA可以查看整个网络中的所有事件，而不仅仅是被记录下来的异常事件，这保证了对攻击行为全方位的覆盖。但NTA无法跟踪本地事件，只能跟踪网络级事件，且NTA无法识别出高级的安全问题。相对的，UEBA支持检测本地事件，也可以检测出隐藏的安全威胁。在实际部署方面，NTA的部署相对容易，而UEBA的部署则更复杂且耗时。

与SIEM一样，具有更复杂安全需求的用户可以同时部署UEBA和NTA，以获得更好的安全和检测功能。

华为如何实现UEBA

华为安全持续聚焦五大根技术，基于流量、文件、事件、漏洞、威胁信息，构建安全关键竞争力。通过SIEM产品的相关技术（含UEBA），对网络流量、资产、安全设备的日志进行收集、监测和分析，为零信任网络提供安全分析与持续运营能力。

• HiSec Insight安全态势感知系统

  华为SIEM产品HiSec Insight入选了2022年Gartner SIEM魔力象限，也是国内唯一入围的厂商。至此，华为成为国内唯一连续两年入围Gartner SIEM魔力象限的厂商。Gartner分析师认为华为的优势如下：

  • 威胁分析能力：威胁分析一直是华为重点投资的领域。其UEBA能力提供了基于对等组的动态检测。其基于机器学习的实体风险排名反映了资产价值、漏洞风险、攻击风险等因素。
  • 丰富的产品生态能力：华为提供网络检测与响应、沙箱、诱捕、UEBA、编排与响应、威胁信息等一系列产品集成能力。
  • 灵活的场景适配能力：华为产品提供多种形态，包括软件、硬件和虚拟化部署，还可以通过华为公有云或私有云进行托管，可按需灵活选择。
• 智能零信任安全解决方案

  智能零信任安全解决方案满足新一代网络安全架构需要的特征，帮助企业在数字化转型过程中解决传统安全架构难以解决的问题，目前已服务于政府、金融、交通等行业客户。智能零信任安全解决方案基于持续验证、动态授权和全局防御的三层架构，实现风险多维度精准评估、动态授权秒级响应、全局威胁自动化闭环处置。

  • 持续验证：持续监测终端设备和用户的安全风险，可监测的终端评估项超过数十类。
  • 动态授权：根据授权主体、客体环境和行为风险动态授权，实现应用、功能、API、数据维度的精细访问控制。
  • 全局防御：打造设备、用户、网络和应用端到端零信任，全网协同防御，威胁秒级处置。