Loading [MathJax]/jax/output/CommonHTML/config.js
前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
圈层
工具
发布
首页
学习
活动
专区
圈层
工具
MCP广场
社区首页 >专栏 >抵御“内鬼”! 腾讯安全中心集成UEBA能力解决内部安全威胁

抵御“内鬼”! 腾讯安全中心集成UEBA能力解决内部安全威胁

作者头像
腾讯云安全
发布于 2021-08-17 02:10:26
发布于 2021-08-17 02:10:26
3.1K0
举报

日渐频发的网络安全事件,时刻警示着各类企业加强外部安全防线的同时,也不应忽视内部安全威胁。诸如不规范操作、越级权限访问、企业内部网络攻击以及内部人员恶意破坏等,都让企业网络安全危机四伏。为帮助企业更好的应对内部威胁,腾讯安全运营中心(SOC)推出了UEBA分析能力,以帮助客户高效、准确、及时的检测风险,从而提升自身安全防护能力,有效降低内部威胁影响。

01

内部威胁让企业网络安全危机四伏

据2019年调查数据显示,全球企业因信息安全事件损失超过百亿,而其中超过60%的损失是由内部问题引起。在全球爆发的重大网络安全事件中,大多数也是由员工违规或无意操作引发敏感数据外泄、身份被冒用等内部威胁而导致。且相对于外部入侵来说,往往首先入侵、控制内部某台设备,再从内部发起攻击。其威胁危害性更大,也更加隐蔽,难以防范应对,内部安全威胁已经成为了一个亟待解决的安全问题。

而UEBA (User and Entity Behavior Analytics,用户实体行为分析)作为目前异常发现的重要分析技术日益受到关注。它结合办公、生产日志,第三方安全产品告警(如hids,nta等),专注于分析用户和设备的风险。通过对用户和设备的风险检测和行为分析,它能够及时、准确的感知内部安全状况。

随着网络攻击手段的不断进化,一个典型的安全场景如,外部攻击者通过社工手段攻陷内部办公机或者拿到合法帐号和登录凭据,从而伪装成正常用户去登录,访问内部资源,查看敏感信息,再把敏感数据通过邮件、微信、网盘等工具外发出去,已经不是天方夜谭。而在传统的防御体系下,由于缺乏对内网异常行为的感知,导致攻击者进入内网之后就防御失效,全程无感知,从而有可能为企业带来不可估计的损失。UEBA旨在解决内部设备或账号被控之后,对风险的检测和监控问题。它主张从账号和设备的风险行为出发,通过对内网横向移动的检测,最终达到及早防范数据泄露的效果。

02

六大产品优势,打造内部威胁告警利器

UEBA用户实体行为分析,集中关注账号异常、设备异常、横向移动和数据安全四个安全场景,自建规则分析引擎、画像检测引擎、机器学习检测引擎对全网海量安全告警数据进行快速分析。为网络中的实体行为构建基线,再根据基线检测用户或实体偏离“正常”模式的高风险操作,从而检测网络中的安全短板或疑似攻击行为。这一能力还针对企业实际运营需求和痛点“对症下药”,具备六大产品优势,以帮助客户更及时、准确地应对风险,有效提升工作效率和告警准确率:

1、充分利用已购安全设备,让专业的设备做专业的事情

腾讯安全UEBA能够充分利用客户已购的,有针对性的安全产品进行告警,同时分析出其中的高价值告警。具体操作层面上,UEBA将系统分为“用户”和“实体”两个维度,将海量告警分散到各个用户和实体之下,简单直观地看到任一用户设备上的病毒、访问恶意域名、下载恶意文件等行为,或某服务器上存在某个漏洞,是否有扫描内网的行为。将每一条告警绑定到一个用户、一台设备,极大地方便了安全运维人员研判风险。

2、以软关联、数据驱动的方式处理海量、高误报告警

腾讯安全UEBA着重针对用户和实体进行评分,并构建起一套由软关联、数据驱动搭建的评分框架。该框架下,算法首先能够为各类风险事件动态评估价值度,其次能够结合数据历史和整体分布,评估用户和实体的风险概率。从而高效处理海量告警,消除误报影响,让效率和安全得到兼顾。

3、智能时间线运营方式,打造鼠标滚动式的安全运营

腾讯安全UEBA以“活动”+“异常”的双线形式,提供“智能时间线”运营方式。“活动”指没有安全意义的事件,“异常”是针对“活动”单个维度的异常说明。二者结合将用户、账号、资产和应用上发生的各类异常和活动,以发生时间的先后关系串联成一条时间线,做持续的用户与实体异常行为检测。

4、关注内部威胁,覆盖横向移动场景

内部威胁首先体现在“异常的登录”,其次体现在“内网的横向渗透”,最后落脚在“数据的汇聚和外发”。关于内网横向渗透,同类产品覆盖相对较少。在腾讯安全UEBA中,一方面基于规则构建了全面的高频横向移动规则,例如哈希票据传递的检测等;另一方面,基于用户异常的行为分析,报告其中的风险点,例如异常的时间、不同于往常的地点、不同于群组的密码验证方式登录等,以希望能够全面的感知内网的横移风险。

5、三大检测引擎,高效解决不同场景下面临的问题

腾讯安全UEBA将问题分为3类,并提出了针对性解决方案:

1)行业普遍认可的、多年经验积累下的的基础简单场景,例如“短时间多地登录”、“暴力破解”、“暴力破解成功”、“异常地点登录”等,可以通过规则引擎进行基础检测。

2)需要依赖用户和实体行为习惯进行检测的场景,例如“异常时间登录”、“访问不常用的资源”、“不常用的认证方式”等,可以通过画像检测引擎,降低漏报和误报。

3)需要利用长时间历史数据和复杂分析方法的场景,例如“慢速暴力破解”、“异常的访问频次”、“异常的访问行为”等,可以通过内置多种时间序列检测算法和异常检测算法的机器学习检测引擎进行处理。

6、用户实体画像系统,用丰富数据助力安全运营

腾讯安全UEBA构建了针对用户和实体的画像体系,包括用户的登录、权限变更、数据上传、数据下载等多类行为,形成用户的历史行为习惯画像。同时对行业内普遍关注的域名、外部IP、设备、账号等形成一套丰富的数据指标,作为安全运营的有力依据,让检测的颗粒度更细致。

03

识别内部威胁、降低管理成本

护航企业内部网络安全

在UEBA能力的支持下,腾讯安全运营中心(SOC)识别发现内部网络安全威胁、增强网络安全事件可见程度、降低网络安全团队管理成本等方面等能力大大加强。当员工因误点钓鱼网站、简单口令被破解等原因导致丢失登录帐号密码,或设备因存在安全漏洞被入侵者控制,从而导致攻击者可能利用已控制设备对内网进行一系列的横向渗透活动时。腾讯UEBA可以记录、分析此类帐号异常情况,并根据该帐号的可疑行为进行分析并及时告警。

甚至有入侵者在较短时间内大量访问敏感信息,触发告警时,腾讯安全UEBA也能在被入侵企业尚未发生严重信息泄露事件之前,对终端用户或实体访问敏感数据的情况进行分析,及时发现威胁,消除风险。

不仅如此,UEBA能力还可以帮助安全运维人员从海量日志中抽丝剥茧,高效处理海量告警,进行更细粒度的威胁检测,从而降低管理难度,提高告警准确率,有效降低网络安全团队管理成本。

在可以预见的将来,UEBA必将成为企业网络安全防护的核心技术,在降低内部安全威胁风险等方面发挥重要作用。作为产业互联网安全领导品牌的腾讯安全,也将继续发挥自身的技术实力和实践经验,持续探索更加健全的网络安全解决方案,助力企业应对内外部网络安全威胁挑战,为数字经济安全和高质量发展保驾护航。

关注腾讯云安全获取更多资讯

点右下角「在看」

开始我们的故事

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2021-08-16,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 腾讯云安全 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
暂无评论
推荐阅读
编辑精选文章
换一批
腾讯安全运营中心集成UEBA能力,助力企业保障内部网络安全
数字经济时代的到来,也伴随着日益严峻的网络威胁。相对于外部入侵,内部威胁危害性更大,也更加隐蔽,难以防范应对。据2019年调查数据显示,全球企业因信息安全事件损失超过百亿,而其中超过60%的损失是由内部问题引起的。在全球爆发的重大网络安全事件,大多数也是由员工违规或无意操作引发敏感数据外泄、身份被冒用等内部威胁而导致。且相对于外部入侵来说,往往首先入侵、控制内部某台设备,再从内部发起攻击。其威胁危害性更大,也更加隐蔽,难以防范应对,内部安全威胁已经成为了一个亟待解决的安全问题。
腾讯安全
2021/08/17
2.5K0
腾讯安全运营中心集成UEBA能力,助力企业保障内部网络安全
以“威胁应对”为中心,看企业信息安全能力建设
1.前言 笔者做了多年的安全服务,这几年集中精力在做安全分析类引擎或产品,关于大数据时代信息安全的三点个人看法,作为引言。 (一) 聚焦细分市场,围绕核心竞争力,合作的模式来做平台。 大数据时代数据的采集、存储、分析、呈现等等,很少有一家能完全做的了,通吃也真没必要也没能力,从细分看, 做采集的可能有集成商或服务商A来完成实施工作;做存储的有擅长存储的B来做;做分析层的需要有懂业务、了解安全的服务商C来完成,数据的呈现又是专门的团队或开发商D来做。做自己最擅长的,其他的找合作伙伴,能够最快速的形成整体来满
FB客服
2018/03/22
1K0
以“威胁应对”为中心,看企业信息安全能力建设
日志易UEBA|基于MITRE ATT&CK实现横向移动阶段失陷账户检测
1.1 横向移动阶段中,与账户相关的攻击行为,由于使用的是正常凭证,往往很难察觉。
日志易
2021/09/13
1.3K0
日志易UEBA|基于MITRE ATT&CK实现横向移动阶段失陷账户检测
构建强大SOC:抵御复杂网络威胁的关键之道
SOC是一个容纳网络安全专业人员的设施,负责实时监控和调查安全事件,通过人员、流程和技术的组合来预防、检测和应对网络威胁。
公众号图幻未来
2024/01/22
2910
构建强大SOC:抵御复杂网络威胁的关键之道
网络安全运营能力建设思路:技术能力建设
安全技术能力建设工作并非从零开始,而是以组织基础设施安全建设为基础,围绕组织机构的安全目标,建立与制度流程相配套并保证有效执行的技术和工具集,技术工具建议使用标准的安全产品或平台,也可以是自主开发的组件或工具,技术能力建设需要进行整体规划和实现,且要和组织的业务系统和信息系统等进行衔接。同时,安全技术能力需要保证覆盖组织业务使用的各个场景中的安全需求。根据OWASP提出的Cyber-defense-matrix,将各项安全技术分别映射到不同层次的安全对象中。
FB客服
2021/02/08
3.1K0
安全圈术语全景图
意在提供一个安全厂商产品清单的概况,来开阔安全圈知识广度,文中提到的知识简介和技术框架,仅针对入门用。
于顾而言SASE
2024/03/20
3470
安全圈术语全景图
中国信通院发布“威胁信息蓝皮报告”,解读威胁信息三大落地方向
为了进一步提升广大政企机构的网络安全实战能力,近日中国信息通信研究院安全研究所联合北京微步在线科技有限公司共同研究编制了《2020年网络安全威胁信息研究报告(2021年)》(以下简称“报告”),对网络安全威胁信息的产业发展现状和趋势进行了梳理,并结合行业案例分享了威胁信息的应用落地情况。
科技云报道
2022/04/16
5290
中国信通院发布“威胁信息蓝皮报告”,解读威胁信息三大落地方向
如何深度实现用户与实体行为分析(UEBA)
根据国外权威机构调查,企业85%的数据泄露是来于内部威胁,75%的内部威胁事件并未对外报告,55%的企业认为内部威胁的危害要远远大于外部威胁。
日志易
2021/09/08
1.7K0
如何深度实现用户与实体行为分析(UEBA)
“用云的方式保护云”: 如何利用云原生SOC进行云端检测与响应
下面我们将围绕腾讯云安全运营中心(详情戳:https://cloud.tencent.com/product/soc)这款产品的部分功能,来给大家介绍一下,如何依托云的优势,进行及时的风险检测与响应处置,最终保护客户的云上安全。
腾讯安全
2020/03/20
1.3K0
“用云的方式保护云”: 如何利用云原生SOC进行云端检测与响应
多部委加强整治,腾讯安全帮助企业抵御“挖矿”木马
11月16日,国家发改委举行新闻发布会,重点提及了虚拟货币“挖矿”治理。会上,新闻发言人孟玮明确阐述了虚拟货币“挖矿”的危害,并表示将持续做好虚拟货币“挖矿”全链条治理工作,建立长效机制,严防“死灰复燃”。
腾讯安全
2021/11/18
3.3K0
多部委加强整治,腾讯安全帮助企业抵御“挖矿”木马
产业安全公开课:重保场景下,企业如何高效提升基础安全防护?
近年来,相关政策持续出台带动了各行各业网络安全意识的提升,重保已成为政企单位的要点工作之一。然而,随着互联网新技术的发展,黑产攻击手法也在升级,针对关基设施、重要信息系统运营使用单位、信息密集型企业的网络攻击愈发猖獗,影响重保工作的顺利进行。
腾讯安全
2023/04/11
2.5K0
产业安全公开课:重保场景下,企业如何高效提升基础安全防护?
一文透析腾讯安全威胁情报能力
“信息化时代进程的加快,使得网络安全建设成为国家与企业发展重要支柱。诸如网络入侵、黑客攻击等网络犯罪分子或者敌对势力的非法入侵,严重威胁电信、能源、交通、金融以及国防军事、行政管理等重要领域的基础设施安全。同时,国家也相继出台关于网络安全法律法规,如等保2.0、密码法等,对企业安全建设提出更高要求。”
腾讯安全
2019/11/04
5.9K0
一文透析腾讯安全威胁情报能力
​Microsoft Sentinel (二)实体行为分析配置
UEBA,User and Entity Behavior Analytics,即用户与实体行为分析,主要是以用户和实体为对象,结合规则以及机器学习模型,对用户行为进行分析和异常检测,尽可能快速地感知内部用户的可疑非法行为。
李珣
2022/05/07
4210
​Microsoft Sentinel (二)实体行为分析配置
云与信任——未来安全的战场
最近趁着新年假期,抽出时间对未来的安全行业的发展做出了一些总结。期间玉玉师傅的2022年末总结和《内生安全》给我的印象十分深刻。打算写点东西,所以我就接着《萌新学习零信任》继续给大家梳理一下,咋们安服崽以后会面对的新事物和新一代的安全设备。希望对大家有所帮助,让大家在选择学习什么"新"技术的时候有所参考。
FB客服
2023/02/10
8310
云与信任——未来安全的战场
内部威胁那些事儿(一)
写在前面 内部威胁区别于外部威胁,攻击者来自于内部用户,因此检测更加困难,危害性却更大。随着企业信息安全机制的建立建全,单纯想从外部Hack进入目标系统的攻击门槛不断提高;内部威胁逐渐增多,并且开始在各大安全报告中崭露头角,引起了国外研究者的高度重视。遗憾的是,国内此类事件曝光率极低,研究重视不够,因此缺乏行之有效的防范措施。 基于近一年的研究调研,我整理出当前内部威胁研究的相关情况,供诸位FB同仁讨论交流,以作抛砖引玉之用。 什么是内部威胁? 2016年4月,某涉密科研单位职员黄某,由于平时工作态度不认真
FB客服
2018/02/08
2K0
内部威胁那些事儿(一)
威胁情报大会直击 | 企业IT部王森:腾讯企业终端安全管理最佳实践
8月29日,2018网络安全分析与情报大会在北京新云南皇冠假日酒店正式开幕,本次大会由国内威胁情报领军企业微步在线主办,十数位来自政府、央企、金融、互联网等一线公司的安全专家将对威胁情报的落地应用进行多点发散的深度剖析,来自国内外顶级安全公司的学者、研究员也将根据全球威胁态势,结合自身业务分享最新溯源对象和研究成果,拓宽网络威胁分析的时间空间跨度,与参会者共同探讨威胁情报应用落地的典型行业、场景和解决方案。 腾讯企业IT部安全运营中心信息安全组组长、高级工程师王森出席本次大会,并在会上发表《腾讯企
腾讯技术工程官方号
2018/08/30
7K6
威胁情报大会直击 | 企业IT部王森:腾讯企业终端安全管理最佳实践
腾讯安全与锐捷网络战略合作,威胁情报能力“被集成”
2月28日,腾讯安全和锐捷网络在北京联合举办“威胁情报”战略合作发布会。双方发布了一款集成了腾讯安全威胁情报的新一代防火墙,并举办战略合作签约仪式。
腾讯安全
2023/03/01
9550
腾讯安全与锐捷网络战略合作,威胁情报能力“被集成”
腾讯安全发布《零信任解决方案白皮书》
不久前,腾讯安全发布「企业级零信任能力图谱」,受到业内人士的广泛关注。图谱从客户视角出发,结合相关零信任标准和国内外零信任最佳实践,针对企业用户如何构建零信任体系,提供具体的能力清单和指导框架,汇聚成通用性的零信任安全能力谱图,旨在帮助企业进行安全能力转型和升级。
腾讯安全
2020/06/01
10.7K0
腾讯安全发布《零信任解决方案白皮书》
安全知识图谱助力内部威胁识别
内部威胁(Insider Threat)是指内部人利用获得的信任做出对授信组织合法利益不得的行为,这些利益包括企业的经济利益、业务运行、对外服务以及授信主体声誉等。内部威胁不仅仅是组织合法成员的有意或无意导致的组织利益损失,还包括一些外部伪装成内部成员的攻击。(内网威胁检测现有的情况),现在内网威胁检测分为网络侧与终端侧,网络侧检查主要全流量,IPS/IDS, 终端侧主要是EDR,蜜罐等,还有现在流行的UEBA,每天会产生大量的告警信息,而对于安全人员来说人工处理这种级别的告警是不现实的,通常一些真实的攻击事件会被淹没在告警中。在日常运维中威胁评估就显得尤为重要。
绿盟科技研究通讯
2019/12/19
3.5K0
安全知识图谱助力内部威胁识别
头豹研究院发布《2022年腾讯安全威胁情报能力中心分析报告》:助力企业掌握安全防御主动权
12月23日,头豹研究院发布了《2022年腾讯安全威胁情报能力中心分析报告》(以下简称《报告》),深度研究了腾讯安全威胁情报能力建设、威胁情报能力应用、威胁情报价值实践方面的现状及成果,从专业视角分析腾讯安全威胁情报能力的技术领先性和应用优势。
腾讯安全
2022/12/26
1.3K0
头豹研究院发布《2022年腾讯安全威胁情报能力中心分析报告》:助力企业掌握安全防御主动权
推荐阅读
相关推荐
腾讯安全运营中心集成UEBA能力,助力企业保障内部网络安全
更多 >
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档