UEBA使用匿名用户数据的四个挑战

译者 | 张增斌

审校 | 孙淑娟 梁策

下面是使用数据一个详细分析，说明为什么匿名用户数据在这种情况下不能提供必要的匿名见解。

用户和实体行为分析 (UEBA) 工具通过查找异常数据来支持网络安全策略。用户这些工具为用户、挑战设备和网络建立基线使用，使用数据然后标记网络安全团队与这些规范的匿名重大偏差。人们对用户行为分析如何降低网络攻击风险非常感兴趣。用户一项市场分析显示，挑战2022年 UEBA 行业的使用数据价值为12亿美元。同时，匿名研究人员认为,用户到2026年将会达到42亿美元。

为了隐私而推动匿名用户数据可能会阻碍这种方式增长。挑战当使用该技术的使用数据公司决策者认为它可以缩小潜在问题的范围时，用户和实体行为分析的匿名效果是最好的。但是用户，匿名的 UEBA 数据将会限制可以查明问题的趋势。

下面我们来详细分析为什么匿名信息不适合UEBA 平台。

1. 缺乏必要的特殊性

监控用户行为用于发现异常情况的概念并不新鲜。比如你的信用卡或借记卡可能因为被提供商标记了几次异常活动后而被拒绝。免费源码下载这可能因为你在旅行时买了一些东西，而没让银行知晓你在旅行。也可能你使用该付款方式通常只是支付小额产品但却尝试了购买高价商品。

匿名数据不允许建立必要的联系，例如识别卡所有者并联系他们以确定购买是否合法。

Ryan Stolte 是 Bay Dynamics的首席技术官。他承认用户行为分析可能会引起隐私问题，并且应该就该这个问题进行讨论。他解释说：“这绝对是每个人都应该进行的对话。我们进行行为分析的原因是为了这个人。我们代表每个人去分析你，然后在你行为表现得不像自己时告诉你。”

这并不意味着公司会密切关注每个人所做的一切。但是，UEBA系统可能会标记每个人任何奇怪的行为。

2.阻止内部威胁的难度增加

2022年的一项研究表明，内部威胁将在两年内增加44%。同样研究还表明，受影响的源码下载组织每年平均需花费1540万美元来解决相关问题。

由于现在公司之间的联系越来越紧密，内部威胁的日益突出也是一个问题。从能源到食品饮料的各个行业都利用连通性来改善运营。但是，怀有恶意的员工可能会严重阻碍公司的工作流程。

不过，重要的是要记住，当人们没有恶意时，内部威胁也会出现。他们可能由于疲倦、粗心或缺乏适当的培训而犯错，这可能导致或加剧网络安全问题。

然而，如果公司领导者只有匿名的UEBA数据，他们将更难以获得有助于他们缓解此问题的各种详细信息。例如，是否存在某个人或团队反复犯错误而构成安全威胁的情况?如果匿名数据阻止将数据链接回特定的人，网站模板就不可能缩小结果范围以降低风险。

3.无法在需要时采取纪律处分

UEBA工具可帮助网络安全团队检测某人的行为何时超过危险活动的门槛。

Christian Wimpelmann是Code42公司的访问管理人员。他讨论了用户行为分析如何帮助公司避免危险结果。

Wimpelmann说：“无论是恶意的还是无意的，异常数据访问和异常数据遍历网络或应用程序，往往是员工做了不该做的事情或数据最终出现更大问题的前兆——在受害组织之外。”

与只允许员工在现场工作的公司相比，允许远程工作的公司可能会处理更多的数据保护问题。一项研究表明，52%的受访者认为，在远程工作时处理数据时，他们可以避免承担更多数据风险。

甚至有网络犯罪分子招募员工在其组织内部部署勒索软件的案例。一名网络安全负责人曾被招募参与一次网络攻击，他把勒索软件带入公司的网络，分到了100万美元赎金中的四成。

然而，使用匿名数据只能说明部分情况。它可能会揭示员工在网络内进行有不寻常活动。但是，它不会精准显示所涉及的人员。然后，组织的网络安全团队只知道存在安全问题，但无法准确锁定具体责任人。

4. 使用UEBA维护访问权限的限制

如果员工获得的信息超出工作所需的信息，公司的网络攻击风险也会增加。理想的情况是，当一个人拥有适当的访问级别，并且不会遇到难以履行职责的困难。

一些网络安全专家主张将用户行为分析与身份验证措施相结合，以更好地保护组织。一个带有UEBA的产品可以跟踪每个人相关的 250多个属性。然后分配一些相关的风险评分。如果有人反复尝试在网络中执行不寻常的活动，他们的风险评分可能会较高。

公司领导可以调整高风险评分者的应对方式，比如暂时将他们从帐户中锁定，直到IT部门的人可以进一步调查此事。

但是，如果一家公司只有匿名 UEBA 数据，则无法使用该信息来阻止特权滥用。它可以使用行为数据，从更广泛的意义上发现其他潜在问题，例如，是否有人试图从不寻常的位置访问工作场所资源。但是，如果不将识别信息与该行为联系起来，网络安全团队就无法获得他们需要的信息来确定谁在滥用基于身份的特权。

匿名 UEBA 数据无法提供有意义的回报

本文概述了在数据完全或大部分是匿名时，为什么网络安全团队不应该对用户和实体行为分析抱有很高的期望。 了解异常网络活动是一个好的开始，但如果IT 专业人员无法将这些信息与特定个人联系在一起，那么就几乎不可能准确界定问题范围。

相反，公司的领导应该与员工就隐私影响进行坦诚的讨论。如果他们不想深谈 UEBA 的细节，至少应该向员工讲明不要一直想当然地认为在工作场所网络上所做的事情都不受监控。

原文标题：​​4 Challenges of Using Anonymous User Data for UEBA​​，作者：Shannon Flynn