UEBA-Insider Threat Detection内部人员风险检测-Joy wang.pdf

1、安世加安世加安世加安世加安世加安世加UEBAInsider Threat Detection云纷（上海）信息科技有限公司算法工程师王诗涵安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加无知的内部人员这些人员拥有重要的公司信息访问权限，但这些信息已被外界攻破。由于系统由外部监控，这些员工通常对攻击一无所知疏忽的内部人员通常对潜在的安全威胁缺乏认知，或者仅为了提高工作效率而绕过安全协议。这些员工最容易受到社会工程学攻击。恶意的内部人员故意窃取数据或破坏公司网络的内部人员，例如在最后一天工作时删除公司数据的员工。专业的内部威胁人员故意利用公司网络漏洞窃取重要商业机密，并出售这

2、些信息。内部威胁人员类型安世加安世加安世加安世加安世加安世加WHAT IS UEBA？User Entity Behavior Analystics 用户实体行为分析由Gartner于2017年提出通过机器学习，统计学方法寻找人类/实体的行为规律提取可能导致威胁的异常行为，从而发觉内部威胁，攻击等甚至包括一些成熟的SIEM厂商，也在他们的产品中开发了UEBA模块UEBA这个词更偏向于一种技术而不再是特指某个产品或某类产品安世加安世加安世加安世加安世加安世加常见运用场景内部威胁恶意人员数据泄露特权滥用员工风险监控强化自动化风险管理云安全异常数据分享特权滥用数据泄露违反访问策略网络威胁高级持续威胁

3、检测帐户泄露失陷设备检测数据窥探 欺诈支付欺诈零售欺诈顾客欺诈异常交易常见UEBA场景包括：内部威胁、高级网络威胁、云安全和欺诈等场景；其中最常见用例是检测恶意内部人员和渗透到组织中的外部攻击者（失陷内部人员）安世加安世加安世加安世加安世加安世加UEBA vs SIEM,and other security toolsUEBA可以与SIEM,EDR,IAM等产品结合补充员工风险监控能力SIEMModern SIEMMore-advanced analytics,such as machine learningMore collection,storage and platform capabi

4、litiesSIEM/UEBA ConvergenceUEBA安世加安世加安世加安世加安世加安世加WHY UEBA？499万美元恶意内部人员攻击造成的平均成本1/3涉及影子数据的泄露事件占比293天识别和遏制涉及凭据泄露事件的 天数IBM2024年数据泄露成本报告.pdf安世加安世加安世加安世加安世加安世加大部分的数据泄露途径都是来自内部出处：IPA2021年关于企业商业机密管理的实况调查https:/www.ipa.go.jp/files/000089191.pdf12.4%6.2%0.0%0.9%0.9%1.8%2.7%2.7%8.0%8.0%19.5%21.1%36.3%商商业机密泄露途

5、径机密泄露途径87.6%由内部不当行为导致的信息泄露8.0%由于网络攻击等导致的信息泄漏企业内部的商业机密泄露途径离职员工、临时员工、在职员工、合作方等数据泄露途径离职员工引起的泄露在职员工等的错误操作或误认导致的泄露在职员工等未严格遵守规定导致的泄露由于网络攻击等导致的对内部网络的侵入引起的泄露在职员工等因金钱动机等而导致的具体泄露由外部人员（不包括离职员工）的进入引起的泄露通过合作伙伴或共同研究机构引起的泄露（第三方）由于合同期满或中途离职的合同员工引起的泄露由于退休员工引起的泄露通过海外分支机构、合作伙伴或合作方引起的泄露由于第三方收到了披露的商业机密而引起的泄露其他安世加安世加安世加安

6、世加安世加安世加内部攻击框架：采用了扎根理论方法（Grounded Theory）。该理论源于社会学领域，通过大量的数据收集、分类和编码，结合各种理论（CMU-MERIT,Pfleeger et al.s Framework,Sarkars Model,etc.）并作对比分析，来开发此框架。催化剂诱发事件Eg:降职/裁员心理状态Eg:生气/不满攻击动机Eg:复仇技能组合Eg:软件开发机会Eg:工作站未锁定观察到的物理行为Eg:攻击同事观察到的网络行为Eg:禁用安全软件历史行为Eg:以往违规行为工作态度Eg:投入性格特征Eg:社交技能问题企业角色Eg:数据库管理员角色类型Eg:员工关系状态Eg: