网络安全知识学习|主动防御技术-UEBA和SOAR
近期爆火的Deepseek,引发了人民群众的再一次关注,似乎近年的几个春节,最热的话题都是AI相关,从OpenAI的ChatGPT、能生成视频的SOAR再到今年爆火的Deepseek,无不体现出AI时代的来临。然而Deepseek也因此成为有组织黑客、国家级网军等境外势力紧盯的目标,网络安全也再一次被搬到大众视野。UEBA的全称是User and Entity Behavior Analytics
⭐免责说明⭐文章内容用来个人学习笔记与分享交流使用,来源网络各个角落的知识积累,如有部分理解雷同,纯属巧合
目录
前言
近期爆火的Deepseek,引发了人民群众的再一次关注,似乎近年的几个春节,最热的话题都是AI相关,从OpenAI的ChatGPT、能生成视频的SOAR再到今年爆火的Deepseek,无不体现出AI时代的来临。
然而Deepseek也因此成为有组织黑客、国家级网军等境外势力紧盯的目标,网络安全也再一次被搬到大众视野。
一、主动防御
1.概念
主动防御技术是在威胁发生之前,能够即时感知风险、精准预警、实时构建协同联动防御体系,避免、转移、降低业务风险的一种安全措施。
2.纵深防御
相对来说,纵深防御是一种“被动”防御,核心是“纵深”,它将一系列防御机制分层部署,以保护有价值的数据和信息,攻击者必须突破层层防线才能接触到核心数据资产。
从攻击者视角,往往将体系分为四层,即“边界、内网、主机、数据”,各层部署相应的安全能力。
所以说通过了解纵深防御后,主动采集、主动感知、主动响应才是主动的精髓。
3.关键技术
很显然,主动防御的关键技术是以感知、预警、响应、溯源为核心进行构建,那么也就分为感知技术,预警技术、响应技术、溯源技术。典型例子有:
感知技术:资产测绘、接口安全管控
预警技术:态势感知、UEBA、AI预警技术
响应技术:SOAR、一键处置技术
溯源技术:审计技术、溯源技术
4.行业现状
目前各企业主动防御能力还处于起步阶段,大多数仍然侧重于监控和检测攻击,在攻击已经发生时,采取响应式措施,进行针对性反应;攻击发生后,用于应对和限制攻击造成的损失。
在这种情况下,出现了很多问题,最典型的是
(1)防范未知威胁方面相对较弱;
(2)安全防御能力之间也不能实现有效的信息共享、能力功能、协同工作。
针对这两个问题,业内UEBA和SOAR技术就能很好的解决这两个问题。下面我们来了解一下这两个安全能力。
二、UEBA
1.背景
安全是人和人攻防对抗的游戏,一切的意图都需要通过行为表达,这是安全运营中最重要也最有价值的一块拼图,同时也是传统方式最欠缺的。
传统安全产品、技术、方案,都是基于单次单点的有限信息,运用签名、规则进行非黑即白式的防护控制,可能导致大量的噪声和误报。传统方式无法自动适应攻击者的逃逸绕过,策略升级往往需要长达数月时间,存在严重的滞后效应,对未知攻击甚至无法察觉。
在大数据技术、人工智能技术的驱动下,充分利用”用户行为分析“技术,再加上网络纵深路径上的各种数据,能够从海量的安全数据中识别和发现攻击和恶意行为。
2.定义
UEBA的全称是User and Entity Behavior Analytics,用户和实体行为分析。
Gartner对UEBA的定义是:
UEBA提供画像及基于各种分析方法的异常检测,通常是基本分析方法(利用签名的规则、模式匹配、简单统计、阈值等)和高级分析方法(监督和无监督的机器学习等),用打包分析来评估用户和其他实体(主机、应用程序、网络、数据库等),发现与用户或实体标准画像或行为相异常的活动所相关的潜在事件,这些活动包括受信内部或第三方人员对系统的异常访问(用户异常),或外部攻击者绕过安全控制措施的入侵(异常用户)
同时,Garner认为UEBA是可以改变游戏规则的一种预测性工具,其特点是将注意力集中在最高风险的领域,从而让安全团队可以主动管理网络信息安全。
简单来说,UEBA技术是通过收集大量的数据,利用机器学习和数据分析技术,建立用户和实体行为的基线,形成用户画像,并与系统数据、日志数据做对比,筛选出异常用户行为进行实时告警。
工作原理:UEBA首先通过收集和分析大量数据(如用户活动、网络流量、身份验证数据等),建立典型用户和设备行为的基线,然后利用机器学习算法不断学习这些数据,完善行为基线。当检测到任何偏离正常模式或组织安全策略的行为时,UEBA会生成风险评分,并根据风险级别发出警报。
3.特点价值
(1)行为分析导向
(2)聚焦用户与实体
一切的威胁都来源于人,一切的攻击最终都会必然落在帐号、机器、数据资产和应用程序等实体上。通过持续跟踪用户和实体的行为,持续进行风险评估,可以使安全团队最全面地了解内部威胁风险,将日志、告警、事件、异常与用户和实体关联,构建完整的时间线。通过聚焦用户与实体,安全团队可以摆脱告警疲惫,聚焦到业务最关注的风险、有的放矢,提升安全运营绩效,同时通过以账号、资产和关键数据为中心,可以大幅降低误报告警数量。
(3)全时空分析
(4)机器学习驱动
(5)异常检测
三、SOAR
1.背景
源于网络安全环境的日益负责和威胁的不断演变,企业不得不采用多种安全工具对不同的威胁进行防护。随着时间的更替,工具的数量已经成为限制安全运维团队效率的一环。
然而,网络安全领域面临严重的人才短缺,安全团队面临着巨大的工作压力,需要处理大量的安全警报和时间,容易导致疲劳和错误。
随着自动化技术和编排工具的发展,企业能够更高效的管理数字化转型过程中繁琐的数字化流程。在这种背景下,利用自动化和编排技术,协调各种安全工具和流程,也成为新的趋势。
2.定义
SOAR的全称是Security Orchestration, Automation, and Response,安全编排与自动化响应。
2015年,Gartner首次提出SOAR概念,将其定义为一种对利用机器读取的,有状态的安全数据提供报告、分析和管理的能力资源,为整个运营安全团队提供支持。
随着SOAR市场的逐步成熟,2017年Gartner对SOAR进行了全新的概念升级,将SOAR认为是为安全编排自动化与响应。并定义为:
使组织能够收集不同来源的安全威胁数据和告警的技术,这些技术利用人工与机器的组合来执行时间分析和分类,从而根据标准工作帮助定义、确定优先级并推动标准化时间的响应活动。
工作原理:通过编排和执行安全剧本的方式,完成原来需要多人多系统多界面在线协同才能处置的安全任务,大幅节约响应时间。
3.特点价值
(1)编排
虽然网络安全技术日益丰富,但更多的技术是被单独的运用于解决安全事件,面对愈发复杂的网络攻击,SOAR的运用能够有效的通过编排降低不同技术间转换需耗费的人力、时间成本。
更为重要的是,SOAR是将人和技术都编入业务流程中,创建手动和自动协同的操作的工作流步骤。
SOAR的编排体现的是一种协调和决策的能力,针对复杂的安全事件,通过编排将分析过程中各种复杂性分析流程和处理平台进行组合。
(2)响应
事件响应是SOC操作中非常复杂的部分,理想状态下,它将是一个有效的动态过程,涉及数十种相互关联的技术、IT、业务流程和整个组织的人员。
SOC团队可使用SOAR技术执行连续活动,利用SOAR技术通过智能化编排与响应最大程度的将已有安全技术进行整合,基于编排与自动化前期对事件的分析,更好的提供响应动作。
(3)协同合作
SOAR的协同不仅仅是各个环节的协调,也是机器与人的合作。对于剧本而言,从事件启动编排就开始了,发现、调查、决策、行动,每一个步骤的完成在SOAR的编排与自动化之后都可以自动触发下一个步骤,甚至同时开启另一个步骤。
4.案例
(1)终端变“矿场”
当主机被远程木马植入时,SOAR利用主机安全防护系统、用户实体行为识别等,判断分析出其为木马,能够自动下发EDR文件隔离策略和防火墙流量阻断策略,即时阻断数据泄露风险;同时,联合僵木蠕等系统对木马追踪溯源,找到植入地为钓鱼邮件,并且能够发现办公网中的多个主机都收到过同样的文件。那么再联动漏洞扫描器和EDR对相关资产进行检测与响应。最终将该新型变种木马的文件hash、远控域名、发件邮箱加入威胁情报库,并将相关流量、日志和处置过程通过邮件通知安全管理员进一步应急分析。
(2)钓鱼邮件
当SOAR平台收到钓鱼邮件告警时,就会触发创建剧本。由于这些告警往往缺乏上下文环境,所以SOAR平台的第一个步骤时为所有收件人查询活动目录中收到影响的用户配置信息(包括业务组、标题、位置等),从中收集上下文信息。SOAR平台同时编排一个“剧本”,通过威胁情况数据库信息比对,对告警文件进行信誉检查,并利用威胁评估模型对其进行评估,将结果传送到安全团队,供其审查和操作。
总结
《国家总体安全观》:“网络安全牵一发而动全身,深刻影响政治、经济、文化、社会、军事等各领域安全。没用网络安全就没有国家安全,就没有经济社会稳定运行,广大人民群众利益也难以得到保障。”
从国家标准和行业规划来看,国标《关键信息基础设施安全保护要求》和国务院印发《数字中国建设整体布局规划》等文件都对网络安全防护工作提出了新的要求,意味着网络安全已经成为一个不容忽视,不可或缺的重要领域,值得我们去深入探索。
每日金句:回头看,轻舟已过万重山;向前看,前路漫漫亦灿灿
欢迎加入DeepSeek 技术社区。在这里,你可以找到志同道合的朋友,共同探索AI技术的奥秘。
更多推荐
31
0- 0
已为社区贡献1条内容
所有评论(0)