UEBA-Insider Threat Detection内部人员风险检测-2024企业信息安全实践.pdf

UEBA

2024企业信息安全峰会大会以“直面信息安全挑战，创造最佳实践”为主题，聚焦企业信息安全技术与实践等热点话题，致力于推进企业信息安全体系建设，加强企业信息安全管理，助推企业信息安全生态圈的健康发展。

InsiderThreatDetection

云纷（上海）信息科技有限公司

算法工程师

王诗涵

2024企业信息安全峰会大会以“直面信息安全挑战，创造最佳实践”为主题，聚焦企业信息安全技术与实践等热点话题，致力于推进企业信息安全体系建设，加强企业信息安全管理，助推企业信息安全生态圈的健康发展。

无知的内部人员疏忽的内部人员

这些人员拥有重要的公司信息访问权限，通常对潜在的安全威胁缺乏认知，或者仅

但这些信息已被外界攻破。由于系统由外为了提高工作效率而绕过安全协议。这些

部监控，这些员工通常对攻击一无所知员工最容易受到社会工程学攻击。

2024企业信息安全峰会大会以“直面信息安全挑战，创造最佳实践”为主题，聚焦企业信息安全技术与实践等热点话题，致力于推进企业信息安全体系建设，加强企业信息安全管理，助推企业信息安全生态圈的健康发展。

内部威胁人员类型

恶意的内部人员

专业的内部威胁人员

故意窃取数据或破坏公司网络的内部人员，

故意利用公司网络漏洞窃取重要商业机密，

例如在最后一天工作时删除公司数据的员

并出售这些信息。

工。

WHATISUEBA？

•UserEntityBehaviorAnalystics用户实体行为分

析

•由Gartner于2017年提出

•通过机器学习，统计学方法寻找人类/实体的行为

规律

2024企业信息安全峰会大会以“直面信息安全挑战，创造最佳实践”为主题，聚焦企业信息安全技术与实践等热点话题，致力于推进企业信息安全体系建设，加强企业信息安全管理，助推企业信息安全生态圈的健康发展。

•提取可能导致威胁的异常行为，从而发觉内部威胁

，攻击等

•甚至包括一些成熟的SIEM厂商，也在他们的产品

中开发了UEBA模块

•UEBA这个词更偏向于一种技术而不再是特指某个

产品或某类产品

常见运用场景

•常见UEBA场景包括：内部威胁、高级网络威胁、云安全和欺诈等场景；其中最常见用例是检测恶意内部人

员和渗透到组织中的外部攻击者（失陷内部人员）

2024企业信息安全峰会大会以“直面信息安全挑战，创造最佳实践”为主题，聚焦企业信息安全技术与实践等热点话题，致力于推进企业信息安全体系建设，加强企业信息安全管理，助推企业信息安全生态圈的健康发展。

内部威胁网络威胁云安全欺诈

•恶意人员•高级持续威胁•异常数据分享•支付欺诈

•数据泄露•检测帐户泄露•特权滥用•零售欺诈

•特权滥用•失陷设备检测•数据泄露•顾客欺诈

•员工风险监控强化•数据窥探•违反访问策略•异常交易

•自动化风险管理

UEBAvsSIEM,andothersecuritytools

SIEM/UEBAConvergence