什么是UEBA？派拉软件的“暗能力”！

什么是UEBA？

UEBA全称“User and Entity Behavior Analytics”，即用户实体行为分析。其前身是 UBA（User Behavior Analytics，用户行为分析）。

Gartner于2014年提出了UBA市场定义。后来，Gartner认为实体行为从某种程度上关联了用户行为，关注实体行为分析可以更准确地识别威胁。因此，于2015年将UBA正式更名为UEBA，主要聚焦于“账号盗用(异常用户)”和“合法的人做不合法的事(用户异常)” 两方面。

Gartner 对 UEBA 的完整定义是“提供画像及基于各种分析方法的异常检测，通常是基本分析方法（利用签名的规则、模式匹配、简单统计、阈值等）和高级分析方法（监督和无监督的机器学习等），用打包分析来评估用户和其他实体（设备、主机、应用程序、网络、数据库等），发现与用户或实体标准画像或行为相异常的活动所相关的潜在事件。

这些活动包括受信内部或第三方人员对系统的异常访问（用户异常），或外部攻击者绕过安全控制措施的入侵（异常用户）。

通俗理解，UEBA就是以大量数据收集为基础，对网络中用户和实体（机器、设备、应用程序、服务等）的典型和非典型行为进行建模。

并通过定义此类基线，或结合机器学习实体行为基线，生成正常活动基准，使用大数据和机器学习算法来实时监测分析评估用户和实体行为偏差，进而判定正常行为或异常行为，达到识别潜在安全威胁和异常情况，并及时告警。

01

UEBA产生的背景

UEBA技术产生的背景可以追溯到信息安全领域中对于内部威胁的关注和亟需应对的需求。

由于传统安全防御方法主要是针对外部攻击进行防御，如入侵检测、防火墙等技术。而这些产品、技术、方案又都基本采取已知特征进行规则匹配来进行分析和检测。

这样的安全防护，一方面，忽略了内部威胁同样会带来巨大风险和影响；另一方面，随着威胁越来越复杂和隐蔽，传统基于规则的安全监控方法变得不够灵活和准确，存在安全可见性盲区，有严重的滞后效应、无力检测未知攻击、容易被绕过，难以适应网络现实和快速变化的企业内外部安全环境等问题。

于是，UEBA技术顺势而生！它是一种全新的安全防御方法，不区分内部还是外部，而是对访问的所有用户和实体或正常、或异常行为进行分析。

而什么是正常行为，什么是异常行为更多是通过大数据、算法与机器学习，不断对用户与实体行为基线建模，分析识别出与基线不一致的异常行为，并进行实时警报。

这就很好地解决了传统基于“已知规则”防御方法的死板与风险识别盲区等问题。

02

什么是“暗能力”？

那为什么说UEBA是派拉软件的“暗能力”呢？在回答这个问题之前，我们先来理解下“暗能力”这个词。

暗能力是吴伯凡老师发明的一个新词。简单来说，暗能力是你做一件事，会培养出其他的能力。

这些能力眼下虽然不能变现，但也许未来某一天，你能凭借这些暗能力，找到新的业务和赛道。

而当你专注于自己的问题越深，你的解决方案就会越丰富，随之而来的暗能力就会越多。

03

UEBA为何是派拉的“暗能力”？

回到派拉软件，众所周知，派拉软件是以数字身份安全起家，并开创国内第一家身份安全原厂商。15年来，派拉软件始终深耕数字身份安全，并在身份安全基础上，不断拓展出更多安全产品与能力。

而这些产品和能力大多都是为了进一步强化对企业数字身份安全的防护，从而巩固企业数字安全。例如派拉软件的特权账号管理系统、多因素认证技术以及本文中的UEBA技术等。

为什么这么说？

我们都知道，企业在进行数字身份安全防护过程中需要对访问身份进行行为分析判断，从而避免出现异常行为账号的登录与访问。

例如，某个人正常的访问路径、终端、时间等一直都是固定的，但突然有一天终端变了、时间点出现较大差异，甚至连访问路径都不一样。这时候，派拉软件IAM系统会启动进一步的强认证，以判定身份的安全可信。

以上只是列举派拉软件在身份安全解决方案中的一个场景能力之一。为了进一步强化身份安全访问、认证和权限管控等防护能力。派拉软件一直在不断打磨其中的算法与策略模型。

而派拉软件以“身份优先”的一体化零信任解决方案的提出，又进一步推动派拉软件在UEBA技术的研发与投入。

目前，派拉软件UEBA技术已经很好地应用到最新IAM系统中，并解决了用户登录风险、机器人访问风险以及账号注册风险。后期还将实现API风险、权限滥用风险、敏感文件访问风险等安全防护能力。

正如派拉软件产品研发总监严益昌所言：“有了UEBA技术的加持，派拉软件统一身份与访问控制管理系统可以更好地应对各种撞库、代理登录、批量登录、非常态登录等登录风险问题；

利用15大维度检测，判断是否为机器人访问，从而杜绝机器人访问风险；采用5种检测逻辑，解决批量注册、虚假注册风险等。此外，在API、权限、敏感文件等安全防护场景中，都将有进一步的提升。

而派拉软件UEBA技术除了应用在IAM产品中，以增强派拉软件在数字身份安全能力，还将进一步部署应用到派拉软件其他安全产品平台中，像是API、SDP、PAM等。

例如，通过将特权账号管理系统（PAM）检测到的异常事件接入到UEBA产品的高级分析引擎中，和其他维度的数据一起做更深层次的特权账号异常事件识别，从而加强PAM产品的安全防护。”

所以，这就是为什么说UEBA是派拉软件的“暗能力”。当然，在追求数字身份安全产品技术研发的漫长道路上，派拉软件也一直不断探索着更多新的技术与解决方案，以加强巩固企业数字身份安全，为快速变化的企业数字化转型安全持续赋能。