IDP登录集成UEBA能力¶
最后更新:2021-12-01
1. 场景介绍¶
1.1. 现状分析¶
1.1.1. 业务环境变化,企业面临更多安全挑战¶
随着各行业信息化的快速发展,应用场景多元化,业务应用会出现在多个访问域中甚至互联网上,服务的用户也不再局限于传统的某个区域的内网中。面对遍布全国甚至全球的员工,供应商,客户等多种用户角色,如何确保用户身份安全,遇到了新的安全挑战。
1.1.2. MFA强身份认证不足¶
MFA强身份认证,是通过密码、手势码、手机短信,USB Key,指纹,面部特征等多个因素进行组合验证,可以大幅提高认证的准确性。但也存在很多不足,第一,每个认证因素的伪造成本不高,随着认证因素使用的次数不断增多,泄露的概率也不断增高。第二,认证过程比较繁琐,严重影响用户体验,降低使用者的工作效率。尤其对于2C的场景中,会直接降低客户粘性,增加获客难度。
1.1.3. 传统风控规则受限, 无法精准灵活识别异常风险¶
传统风险控制大多是依赖于规则进行检测,在检测引擎中预置了多种固定规则、依据专家经验人为设定规则阈值来筛选风险,这种规则由于很难适配到所有用户上,尤其是面对来自不同地域的员工和客户,通常会导致误报率高、同时真正风险的命中率很低的情况,对于某些特殊用户(如经常加班、出差)进行频繁告警带来很多困扰,而有经验的攻击者,又可以轻易避开规则,无法灵活识别异常风险,以致于很难达到设计的安全目的。
1.1.4. 风险识别范畴受限, 导致管理四角的出现¶
只将系统的使用人纳入风险管理的范畴,会导致很多管理死角的出现。
第一,对于未获得身份,有可能存在攻击行为的终端设备(如某一台PC、手机,甚至只是一个IP)并不计入风险识别维度中。
第二,行为异常的应用服务器,若已被攻击者控制,也会被用作挖矿或者用来实施进一步恶意攻击行为,也不计入到风险识别维度中。
1.2. 解决办法¶
IDaaS中在登录时引入UBEA功能,对用户登录行为进行分析追踪,根据用户一定时间段内(三十天内或以上)的常用访问时间段、常用IP、常用设备、常用登录位置建立个性化用户画像,通过多维度关联分析,行为建模,异常分析能够实现精准识别异常风险。每一次账户登录都会对登录的特征值和用户画像数据做对比,检测到异常风险时,根据异常情况不同采取“开启二次认证”、“锁定”等措施并进行实时告警。
UEBA(User and Entity Behavior Analytics),即用户与实体(如终端,路由器)行为分析,是一种高级网络安全威胁动态分析检测技术。
2. 使用流程¶
2.1. UEBA服务部署¶
请联系IDaaS项目交付团队进行UEBA服务部署(需要合同中包含此服务能力)。
2.2. IDaaS中UEBA配置¶
先以管理员登录IDaaS平台,依次点击设置->安全设置->UEBA配置。
UEBA配置分为两部分:UEBA服务器配置与风险策略配置。
2.2.1. UEBA服务器配置¶
参数说明:
服务器地址:服务器地址的格式为http://xxxx:5000,其中xxxx为部署UEBA服务的地址。
APP key/App secret:由UEBA服务提供,获取方式有两种,一种是数据库获取,一种是调用接口获取, 具体请联系部署安装UEBA的运维同学。
是否启用:可开启/关闭 UEBA服务,若开启后,在管理员的概览页会出现“安全评估”板块,如下图
2.2.2. 风险策略配置¶
风险策略配置包括:系统风险策略配置,账户风险策略配置与告警配置。
2.2.2.1. 系统风险策略配置¶
此部分主要针对系统风险进行参数设置。
失败基线容忍值: 用于容忍实时数据误差导致小幅度超过基线数据的情况. 当每分钟的失败次数<失败基线容忍值+失败基线, 不会触发风险报警
阻断时长: 系统发生撞库攻击或判断有安全风险时,系统会根据设置的阻断时长,对异常风险IP进行阻断。阻断时长最小值为1, 单位为分钟
2.2.2.2. 账户风险策略配置¶
此部分主要针对账号异常风险进行策略配置. 设置账户异常评分和对应的策略配置。主要包括开启双因素认证,锁定账号。锁定账号包括临时锁定账号和永久锁定账号。
系统默认个人安全评分低于35分,对策采取锁定账号;
个人安全评分低于80分,对策开启双因素认证。分值的大小,管理员可以进行修改。两条账户风险策略的评分值不能相同。
说明:账户安全评分的评定方式是基于个人登录用户画像,偏离用户画像的行为习惯越多,评分越低。当命中多条策略时,会优先执行条件分数低的策略。
2.2.2.3. 告警配置¶
此部分针对当系统发生异常安全风险和账户出现登录异常时,会触发系统安全反馈的方式与内容。
系统风险告警需要设置通知管理员,管理员可以添加需要告警通知的管理员。管理员的接收方式可以选择邮件或者短信。
账号异常会发送异常告警信息,通知用户。用户接收方式,可以选择邮件或者短信。
告警的登录安全分值范围在0~100之间,值越大代表行为越安全,越小则相反。一个参考的建议值范围如下表
值区间 |
风险等级 |
描述 |
|---|---|---|
0到25(不含) |
高 |
建议进行高强度验证或限制高危业务使用权限 |
25(含)到85(含) |
中 |
建议进行简单的二次验证 |
85(含)到100(含) |
低 |
可放过或打标观察 |
2.3. UEBA的功能展示¶
当管理员开启UEBA后,IDaaS中在登录时将增加UEBA检测功能,并在界面上有展示,以及相关的操作。
2.3.1. 概览面中展示“安全评估”板块¶
通过安全评估可对系统整体安全有一个判断,若出现登录异常等情况时,点击“立即查看”可以查看系统安全风险列表,展示当前时间段内的系统风险列表。展示字段主要是风险事件名称,开始时间,结束时间,处理状态和查看详情。
点击“详情”进入到系统风险详情界面。
系统风险详情,展示本次系统风险的类型,风险开始时间和结束时间,平台自动处置阻断清单的查看,建议管理员对策,和记录管理员处置结果。
2.3.2. 菜单栏中增加UEBA与相关功能链接¶
如下图所示
2.3.2.1. 系统安全¶
以列表形式展示当前系统的风险列表,并可进行相关操作。
2.3.2.2. 账户安全¶
以列表形式展示出有异常信息的账户列表,点击“详情”可进行查看。
在详情中,可展示具体的安全分析信息。
用户行为分析:异常情况可在柱形图中查看异常维度,展示当前时间段内账户不同维度的异常次数。比如登录时间异常,异地登录,异常设备登录,异常IP登录,定位账户异常原因。
安全配置信息查看:可分析当前账户的安全配置情况, 比如是否开启双因素认证,是否认证邮箱等。
异常日志信息查看:可查看当前账户的异常日志信息。对异常账户进行追溯,及时查找异常原因,保障账号安全。
2.3.3. 账户安全分说明¶
在概览页中会展示当前IDaaS的安全分,如下图:
当没有安全异常状况时,账户安全为绿色,100分。
当有账户异常登录等状况时,安全评分会降低(周期内异常越多,评分越低)。
点击“立即查看”可进入账户风险列表查看具体信息。
2.4. 登录时UEBA功能说明¶
启用UEBA功能后,在登录时,若UEBA服务监测到有异常,会根据风险策略配置采取相应的措施。
若安全评分低于35分时(系统默认35分,管理员可以修改),系统会对登录账户采取锁定对策,并对异常登录账户发送账户异常登录告警信息。锁定分为临时锁定和永久锁定,临时锁定会设置临时锁定时间,过了临时锁定时间,在保证登录无异常的情况下,可以正常登录到系统。永久锁定,需要联系管理员进行解锁。
并会发送异常告警信息。
若用户安全评分低于80分(系统默认80分,管理员可以修改)高于35分时,系统会对登录异常账户开启双因素认证,并会向登录异常账户发送账户异常登录告警信息。
3. 注意事项¶
1.UEBA开启后对登录性能会有影响,若部署的环境对性能要求高,需要注意下。
2.截止v4.17.10版本,UEBA功能支持绝大部分认证方式,包括内置认证源及外部认证源。
4. 相关资源¶
4.1. 登录异常评分模型说明¶
登录异常评分模型分为3步:
1.建立可信关系对库,建立<账号,地理位置>,<账号,UA>,<账号,IP>,<账号,时间>的可信关系对。可信关系对的建立为如果有多次认证通过的检测方式则为可信,下一次使用可信关系库里的关系对方式进行登录则为正常,不再告警。可信关系对库的维护按照时间轮询的方式进行更新和保存,如果很久没有使用这种方式进行登录,关系对会进行自我消除,如果最近有使用激活则会延续可信对。
2.单点异常检测,单点检测主要是判断是否在可信关系对库里,并且综合考虑业务特征,比如说同时异地登录等。
3.基于聚类的账号异常,异常分对算子如下公式所示,gini代表当前特征的基尼不纯度,物理意义是当前特征的重要程度,假设一个人在很多ip都登录过,那么这个时候基尼不纯度会比较大,当前所使用的ip不一样那么影响因子会比较小。另一个人常年都只使用一个ip登录,那么基尼不纯度比较小,影响因子就比较大,那么他换个IP登录就比较异常,此时异常分就会比较高。distiance为此次登录的次数与以往其他的次数的距离,这里选用的是欧式距离的计算方式。如果和以往的距离相比比较远则证明偏离的基线比较远,因此异常分会比较高。为了用户方便的理解,我们对如下异常分的公式进行去反,则为安全分。
4.2. 账户安全评分说明¶
账号安全评分 = (1 - 异常账号数量/活跃账号数量 ) * 100
活跃账号: 近一个月正常登录系统的用户视为活跃用户。