UEBA算是一個新興事物了，2014年之前很少會被提到，但它發(fā)展的速度很快，從國際廠商看，一些領先的UEBA廠商憑借檢測能力上的優(yōu)勢，已經(jīng)在嘗試顛覆原有市場格局，這類產(chǎn)品必將會帶來深遠的影響。但在國內(nèi)看，似乎并沒有引起足夠的重視，并且經(jīng)常聽到一些UEBA是做用戶畫像解決業(yè)務風險的問題，還有UEBA最重要的技術是機器學習等等說法。聽的多了，就忍不住想說說自己看到的、理解的UEBA，畢竟沒有實際在做這樣一個產(chǎn)品，錯誤難免但也希望能給大家一些可供參考的信息。

UEBA的價值

UEBA 已經(jīng)有一些成熟度比較高的產(chǎn)品：Exabeam、Gurucul、Interset、Niara、Securonix、Splunk（2015年收購Caspida）等。

從這些產(chǎn)品看，希望為客戶解決的問題是比較一致的，包括：

• 賬號失陷檢測
• 主機失陷檢測
• 數(shù)據(jù)泄漏檢測
• 內(nèi)部用戶濫用
• 提供事件調(diào)查的上下文

毫無疑問，這些威脅雖然不包括業(yè)務風控相關的擼羊毛、刷單等（至于為什么沒有涉及業(yè)務風險，就是另一個大的技術話題，這里就不涉及了），但都是企業(yè)最關注的風險。并且從最終產(chǎn)品上看，UEBA廠商確實通過技術的繼承和創(chuàng)新是提供了較理想的解決方案，因此在國際市場能夠快速成長就不足為奇了。就如Exabeam創(chuàng)立于2013年，到現(xiàn)在已經(jīng)完成了B輪數(shù)千萬美元的融資，其中的投資方就包括Cisco，不知它最終是否會被Cisco收入囊中，成為另一個強勁的動力引擎？我們下面就以Exabeam為例，了解一下UEBA的相關主要技術點。

UEBA和機器學習

UEBA 在一定程度上屬于數(shù)據(jù)驅(qū)動的安全分析類產(chǎn)品，因此很多人會自然而然的認為機器學習是UEBA中最核心的技術，而廠商從市場營銷宣傳上也是很愿意迎合這樣的想象。不可否認所有的UEBA產(chǎn)品在一定程度上都使用了機器學習（包括監(jiān)督學習和非監(jiān)督學習），但如果說這就是UEBA成功的關鍵，就失之簡單了。
UEBA 能被成功的部署、使用，有效的提升安全運營水平，其前提之一就是更廣泛的數(shù)據(jù)收集，跨越傳統(tǒng)的SIEM／SOC產(chǎn)品，UEBA產(chǎn)品在設計中就考慮了更多數(shù)據(jù)源，除了包括IT系統(tǒng)可能提供的EDR數(shù)據(jù)、AD數(shù)據(jù)以及業(yè)務應用數(shù)據(jù)，同時也包括了很多非IT的數(shù)據(jù)：ERP（相關企業(yè)？）、組織結(jié)構(gòu)、工作職責、差旅等。有更多的數(shù)據(jù)，是其成功的條件之一。
同樣的UEBA廠商也看到了單純的數(shù)據(jù)驅(qū)動不能完成一個完整的產(chǎn)品，如Exabeam ，就倡導并建立了一種數(shù)據(jù)驅(qū)動+專家驅(qū)動的混合系統(tǒng)，在Exabeam看來，單純的數(shù)據(jù)驅(qū)動有下列的問題：

1. 很難有一種情況，在學習之初就能得到需要的所有數(shù)據(jù)，每當有新的數(shù)據(jù)源都需要重新學習，這無疑是不可想象的工程災難；
2. 需要考慮隨時增加新的features這個不可能避免的情況，這樣情況下如何快速部署和開發(fā)？
3. 最后，也是個人認為最重要的，機器學習得到的結(jié)果是黑盒，不能滿足用戶要求進行解釋、說明的需求，這種情況下，最終用戶可能難以進行事件的判別和響應工作。

因此它設計了一個更合理的技術架構(gòu)，如下圖所示（來源：Exabeam）：

這樣一個混合系統(tǒng)，其異常發(fā)現(xiàn)不是只依賴于機器學習，而是同時依靠統(tǒng)計以及特征的方法，一些通過機器學習可以輸出明確結(jié)果的內(nèi)容在這個階段會也會體現(xiàn)出來，如DGA域名發(fā)現(xiàn)等；統(tǒng)計的方法會更經(jīng)常出現(xiàn)，如某用戶賬號第一次訪問一個文件夾、用戶訪問的文件數(shù)量異常等。但這些發(fā)現(xiàn)的異常不會產(chǎn)生直接給客戶的報警，而是成為機器學習使用的原材料：features，在這些features基礎上，再利用機器學習（包括貝葉斯方法），快速的確定不同features組合對應的風險值，而風險值大于一定范圍才會成為需要用戶關注的事件。這種方法，在數(shù)據(jù)和機器學習中間，有一個異常發(fā)現(xiàn)的過程及中間產(chǎn)物，利用專家領域的知識，簡化了機器學習的方面的工作，同時提升了系統(tǒng)靈活性，進而可以快速部署、快速完成學習過程。

就舉某用戶賬號第一次訪問一個文件夾這種情況為例，它就需要同時去看其它features，來判定是否是高風險事件：這個用戶所屬的不同分類中（這里也應該隱藏了一部分機器學習），是否普遍存在這樣的情況；這種訪問新文件夾的概率在用戶組織內(nèi)是高概率事件等。

這樣一種結(jié)合了專家知識、數(shù)據(jù)的力量和機器學習魔法的系統(tǒng)，才能夠針對不同用戶環(huán)境提供對應的風險發(fā)現(xiàn)能力，同時支持彈性、快速的用戶部署。UEBA走到這步應該是一個較成熟的產(chǎn)品了，而機器學習在其中也有了成功的應用，不再是一個探索和嘗試。

UEBA和SIEM

UEBA是數(shù)據(jù)的一個統(tǒng)一匯集點，這個位置原來是屬于SIEM的，那么這兩個產(chǎn)品會產(chǎn)生怎樣的碰撞呢？不同的廠商有不同的路，Splunk通過收購獲得了UEBA產(chǎn)品，就和已有的企業(yè)安全APP組成一個完整的方案進行緊密配合，而Exabeam通過分化更多的功能產(chǎn)品，如日志管理、事件響應，企圖覆蓋原有的SIEM產(chǎn)品市場。無論哪種角度看，一致的是UEBA聚焦在解決客戶重大關切的痛點，利用領先、實用的技術組合方案，使其成為一個顛覆的力量。也許過不了多久，傳統(tǒng)的SIEM就會被安全運營者丟到角落，而UEBA將成為一個新寵，或者說，最終UEBA會結(jié)合SIEM實用化的功能，拋棄賦予SIEM的不現(xiàn)實期望，成為真正意義上的 新一代SIEM，一切靜待歷史的發(fā)展，你我也許都有機會成為這個過程中一個個的小齒輪。

最后，有一點感慨，UEBA、威脅情報是兩個比較新的領域，大家一起看著國內(nèi)外在差不多的起跑線上出發(fā)，但逐漸的，我們落到了后面，現(xiàn)今在我看來都有至少一年的差距了。原因是什么呢，文化、投資、產(chǎn)業(yè)環(huán)境、人？這也許是一個比UEBA產(chǎn)品更有趣的話題。