抵御“内鬼”！ 腾讯安全中心集成UEBA能力解决内部安全威胁

日渐频发的网络安全事件，时刻警示着各类企业加强外部安全防线的同时，也不应忽视内部安全威胁。诸如不规范操作、越级权限访问、企业内部网络攻击以及内部人员恶意破坏等，都让企业网络安全危机四伏。为帮助企业更好的应对内部威胁，腾讯安全运营中心（SOC）推出了UEBA分析能力，以帮助客户高效、准确、及时的检测风险，从而提升自身安全防护能力，有效降低内部威胁影响。

01

内部威胁让企业网络安全危机四伏

据2019年调查数据显示，全球企业因信息安全事件损失超过百亿，而其中超过60%的损失是由内部问题引起。在全球爆发的重大网络安全事件中，大多数也是由员工违规或无意操作引发敏感数据外泄、身份被冒用等内部威胁而导致。且相对于外部入侵来说，往往首先入侵、控制内部某台设备，再从内部发起攻击。其威胁危害性更大，也更加隐蔽，难以防范应对，内部安全威胁已经成为了一个亟待解决的安全问题。

而UEBA （User and Entity Behavior Analytics，用户实体行为分析）作为目前异常发现的重要分析技术日益受到关注。它结合办公、生产日志，第三方安全产品告警（如hids,nta等），专注于分析用户和设备的风险。通过对用户和设备的风险检测和行为分析，它能够及时、准确的感知内部安全状况。

随着网络攻击手段的不断进化，一个典型的安全场景如，外部攻击者通过社工手段攻陷内部办公机或者拿到合法帐号和登录凭据，从而伪装成正常用户去登录，访问内部资源，查看敏感信息，再把敏感数据通过邮件、微信、网盘等工具外发出去，已经不是天方夜谭。而在传统的防御体系下，由于缺乏对内网异常行为的感知，导致攻击者进入内网之后就防御失效，全程无感知，从而有可能为企业带来不可估计的损失。UEBA旨在解决内部设备或账号被控之后，对风险的检测和监控问题。它主张从账号和设备的风险行为出发，通过对内网横向移动的检测，最终达到及早防范数据泄露的效果。

02

六大产品优势，打造内部威胁告警利器

UEBA用户实体行为分析，集中关注账号异常、设备异常、横向移动和数据安全四个安全场景，自建规则分析引擎、画像检测引擎、机器学习检测引擎对全网海量安全告警数据进行快速分析。为网络中的实体行为构建基线，再根据基线检测用户或实体偏离“正常”模式的高风险操作，从而检测网络中的安全短板或疑似攻击行为。这一能力还针对企业实际运营需求和痛点“对症下药”，具备六大产品优势，以帮助客户更及时、准确地应对风险，有效提升工作效率和告警准确率：

1、充分利用已购安全设备，让专业的设备做专业的事情

腾讯安全UEBA能够充分利用客户已购的，有针对性的安全产品进行告警，同时分析出其中的高价值告警。具体操作层面上，UEBA将系统分为“用户”和“实体”两个维度，将海量告警分散到各个用户和实体之下，简单直观地看到任一用户设备上的病毒、访问恶意域名、下载恶意文件等行为，或某服务器上存在某个漏洞，是否有扫描内网的行为。将每一条告警绑定到一个用户、一台设备，极大地方便了安全运维人员研判风险。

2、以软关联、数据驱动的方式处理海量、高误报告警

腾讯安全UEBA着重针对用户和实体进行评分，并构建起一套由软关联、数据驱动搭建的评分框架。该框架下，算法首先能够为各类风险事件动态评估价值度，其次能够结合数据历史和整体分布，评估用户和实体的风险概率。从而高效处理海量告警，消除误报影响，让效率和安全得到兼顾。

3、智能时间线运营方式，打造鼠标滚动式的安全运营

腾讯安全UEBA以“活动”+“异常”的双线形式，提供“智能时间线”运营方式。“活动”指没有安全意义的事件，“异常”是针对“活动”单个维度的异常说明。二者结合将用户、账号、资产和应用上发生的各类异常和活动，以发生时间的先后关系串联成一条时间线，做持续的用户与实体异常行为检测。

4、关注内部威胁，覆盖横向移动场景

内部威胁首先体现在“异常的登录”，其次体现在“内网的横向渗透”，最后落脚在“数据的汇聚和外发”。关于内网横向渗透，同类产品覆盖相对较少。在腾讯安全UEBA中，一方面基于规则构建了全面的高频横向移动规则，例如哈希票据传递的检测等；另一方面，基于用户异常的行为分析，报告其中的风险点，例如异常的时间、不同于往常的地点、不同于群组的密码验证方式登录等，以希望能够全面的感知内网的横移风险。

5、三大检测引擎，高效解决不同场景下面临的问题

腾讯安全UEBA将问题分为3类，并提出了针对性解决方案：

1）行业普遍认可的、多年经验积累下的的基础简单场景，例如“短时间多地登录”、“暴力破解”、“暴力破解成功”、“异常地点登录”等，可以通过规则引擎进行基础检测。

2）需要依赖用户和实体行为习惯进行检测的场景，例如“异常时间登录”、“访问不常用的资源”、“不常用的认证方式”等，可以通过画像检测引擎，降低漏报和误报。

3）需要利用长时间历史数据和复杂分析方法的场景，例如“慢速暴力破解”、“异常的访问频次”、“异常的访问行为”等，可以通过内置多种时间序列检测算法和异常检测算法的机器学习检测引擎进行处理。

6、用户实体画像系统，用丰富数据助力安全运营

腾讯安全UEBA构建了针对用户和实体的画像体系，包括用户的登录、权限变更、数据上传、数据下载等多类行为，形成用户的历史行为习惯画像。同时对行业内普遍关注的域名、外部IP、设备、账号等形成一套丰富的数据指标，作为安全运营的有力依据，让检测的颗粒度更细致。

03

识别内部威胁、降低管理成本

护航企业内部网络安全

在UEBA能力的支持下，腾讯安全运营中心（SOC）识别发现内部网络安全威胁、增强网络安全事件可见程度、降低网络安全团队管理成本等方面等能力大大加强。当员工因误点钓鱼网站、简单口令被破解等原因导致丢失登录帐号密码，或设备因存在安全漏洞被入侵者控制，从而导致攻击者可能利用已控制设备对内网进行一系列的横向渗透活动时。腾讯UEBA可以记录、分析此类帐号异常情况，并根据该帐号的可疑行为进行分析并及时告警。

甚至有入侵者在较短时间内大量访问敏感信息,触发告警时,腾讯安全UEBA也能在被入侵企业尚未发生严重信息泄露事件之前，对终端用户或实体访问敏感数据的情况进行分析，及时发现威胁，消除风险。

不仅如此，UEBA能力还可以帮助安全运维人员从海量日志中抽丝剥茧，高效处理海量告警，进行更细粒度的威胁检测，从而降低管理难度，提高告警准确率，有效降低网络安全团队管理成本。

在可以预见的将来，UEBA必将成为企业网络安全防护的核心技术，在降低内部安全威胁风险等方面发挥重要作用。作为产业互联网安全领导品牌的腾讯安全，也将继续发挥自身的技术实力和实践经验，持续探索更加健全的网络安全解决方案，助力企业应对内外部网络安全威胁挑战，为数字经济安全和高质量发展保驾护航。

关注腾讯云安全获取更多资讯

点右下角「在看」

开始我们的故事