UEBA案例分析系列之检测失陷凭证

概述

近日万豪透漏其公司再次遭遇大规模数据泄露，可能涉及520万名客户的详细信息。此次事件攻击者使用万豪特许经营酒店两名员工的登录凭证进行数据访问。

利用合法凭证访问企业资源已成为攻击者规避边界防护等安全措施的重要手段。2019年Verizon发布的《数据泄露调查报告》对各行业数据泄露事件中泄露数据类型进行统计，其中教育行业、技术科学服务行业、制造业的凭证泄露事件占数据泄露事件比例最高，分别为53%、50%、49%。在多数情况下，攻击者采用钓鱼邮件、社会工程学、恶意软件等手段窃取企业员工的凭证。一旦攻击者获得了这些凭证，就可以冒充具有合法访问权限的用户，进行内部侦查、提升特权等操作以获取有价值的数据（例如电子邮件、知识产权、财务信息等），并在很长一段时间内安全的潜伏在网络中。实际上，超过75％的攻击需要几周甚至更长时间才能被检测出。

攻击链映射

利用合法凭证的攻击通常涉及多个步骤，在攻击链中具体涉及到的活动如图所示。监测攻击链中每一项活动需要使用不同的安全技术和不同的条件集，这可能导致大量的告警及误报。而且通常企业存在IT运维孤岛，一些由员工自己上报的可能是攻击线索（例如，光标自己移动了一点、摄像头自发开启并关闭、CPU使用率突增或死机）的信息被搁置，导致威胁的持续驻留。

攻击者和合法用户的目标差距

攻击者在网络驻留的目标和员工的工作目标差距甚大，但他们通常使用相同的系统并执行相同的操作。员工在企业网络中因工作职责不同具有不同的访问权限及凭证，负责系统和应用运维的员工具有查看并修改系统配置的权限，负责研发的员工具有查看及修改源码的权限，有些员工甚至拥有更敏感数据的访问权限能够查看客户信息、商业数据、健康信息等。而为了方便企业办公，所有员工都在一个网络环境下进行通信办公。

大多数的网络安全专家认为，员工是企业网络安全系统中最薄弱的一环。网络安全咨询公司CrowdStrike的Dmitri Alperovitch表示，研究表明有5%到10%的员工会点击几乎所有的邮件。而钓鱼邮件一经点击，就可能会在主机中自动运行恶意程序，使攻击者能够控制员工主机，而这些恶意程序往往不会使系统产生明显的变化。

攻击者的目标是使自己伪装成合法员工并长期驻留在网络中。攻击者尝试查找入侵用户的访问权限及其和其他员工的工作交互。 如果 入侵用户 访问的系统和应用恰好是攻击者的目标，则攻击者会窃取其关心的数据，如电子邮件、网络拓扑、源代码等。如果入侵用户的访问不能满足攻击者的目标，则攻击者会在网络内横向移动以寻找其真正的猎物。
传统方式失效

大多数遭遇入侵的企业或政府组织采用的传统防护手段具有如下弊端：

采用传统的统计技术，设置检测基线，一旦检测基线被攻击者猜出，就会导致方法失效。此外，内部员工职位变动或工作需要引起的行为变化将会引起大量误报，加剧告警噪音，加重分析负担。

一旦以合法凭证进入网络后，攻击者即可毫无忌惮的扫描、访问网络内重要资产。传统检测方法缺乏对用户在网络内的实时行为跟踪分析，无法及时发现攻击者在网络内部的异常行为。

传统的单点安全防护手段，以单一维度进行威胁行为检测，存在管控孤岛，多源数据无法有效关联，缺乏整体视角的安全风险监控，如绕过防火墙的访问检测（后文有详细介绍）等。

选择正确的数据

当前许多企业采用大数据解决方案，收集和分析网络系统及基础安全设施产生的大量数据。虽然采集并分析数据十分重要，但如果失去聚焦点和上下文信息，就会演变为安全噪声污染。在检测利用合法凭证进入网络环境的攻击时，很多采集数据是无帮助的。因此检测此类攻击时，要假定敌已在内，主要关注以下四类数据：
普通用户认证活动数据或行为数据。包括VPN、域控制器日志、轻量级目录访问协议日志、应用日志、单点登录数据以及某些Windows（Kerberos）和Unix日志。了解用户的正常行为能够帮助更容易地发现攻击者行为。

业务数据能够为用户行为提供上下文信息，包括用户是谁、在和谁通信以及在访问什么系统。此外，活动目录中的相关业务联系信息能够有效帮助响应小组在第一时间联系问题责任人，以对异常活动进行快速响应。

来自上网行为管理、网络操作监控等产品提供的实时网络层用户行为信息。

威胁情报能够将发现的恶意行为与外界事件进行关联。

虽然其他数据也很重要，能够在检测上述攻击链涉及的活动中提供帮助，但在利用行为分析检测伪装合法用户的攻击者时不是最相关的。要选择正确的数据，避免数据噪音，实现高效的分析。
聚焦用户及攻击者行为特征

在企业中，每个员工都有不同的角色、权利和职务，但存在以下共同点：

完成工作任务时需要必要的访问凭证。

移动办公时进行的远程访问，即通过VPN、单点登录门户或其他方式登录基于云或本地托管的应用和系统。

办公使用的移动设备在公司外网使用时通常没有邮件转发或代理服务器的保护。这使得他们更容易成为网络钓鱼或其他社工的目标。

员工具有行为习惯，在一段时间内，用户的访问特征（使用资源、访问位置、访问时间、访问系统、使用身份等）会趋于某种定势。

具有合法凭证的攻击者和常规用户极为相似，唯一不同的就是目标。这能够映射至行为和访问特征中，合法员工根据工作需要进行必要的资源访问及相关操作，在一段时间内能形成趋于一致的行为基线，而攻击者则会为了寻找高价值信息进行内部侦查、横向移动、数据渗出等异常行为。因此，通过对特征及异常行为进行检测，能够有效找出网络中的“潜伏者”。
用例

Equifax是美国三大个人信用评估机构之一，由于遭遇黑客攻击，致使约1.43亿用户的个人重要信息泄漏，公司被处罚7亿美元。在此次攻击中，攻击者首先利用漏洞打入内网并投递恶意载荷以建立根据地。然后利用自定义工具查询并分析公司中数十个数据库，以获取合法账户凭证。在拿到合法凭证后，攻击者利用凭证大肆在网络内横行，逐个分析和破解公司的数据库及存储系统，从而获取公司高价值数据。最后通过隐蔽信道以加密流量的形式将数据传出。

Equifax针对此次事件的检测整整耗费了138天，Equifax仅使用了传统的防护手段，缺乏相关的异常行为分析能力，且仅依靠人工手段进行研判，严重拖缓了整个事件的检测处理时效。如采用UEBA可极大提高检测分析效率，接下来我们探讨如何使用UEBA技术依据攻击链分析解决Equifax遇到的难题。

Ø 在侦查阶段，通过数据库审计日志、系统日志、内部流量数据能够提取用户数据访问、内部端口扫描等行为，基于特征行为统计，可以发现有一批用户存在大量的端口扫描、账户扫描的异常操作；

Ø 在横向扩展阶段，通过内部流量数据和防火墙日志提取通信IP等数据，基于关联分析，能够检出不一致的内部流量数据和防火墙流量数据，从而发现利用隐蔽隧道绕过防火墙破解公司数据库和存储系统的操作行为；

Ø 在数据渗出阶段，利用流量数据进行时序分析，统计一段时间内的通信流量及特征，可以发现一段时间内大量连续的加密小数据包通信，从而发现存在利用隐蔽隧道传输数据的行为。

**UEBA的价值

加速安全调查

使用有监督、无监督和自适应的学习技术自动生成高真实度的实体风险特征，根据用户会话钻取将用户行为及相关特征展现在登入登出时间轴上，通过时间轴能够看到风险数值缓慢变化还是突然增长，同时每个评分都对应有评分原因，使安全团队能够快速进行安全调查。

满足合规性要求

权限管控、安全审计等概念已被写入网络安全等级保护基本要求，UEBA遵循的合规性条例（三级）包括：

安全管理人员细分项人员离岗“应及时终止离岗人员的所有访问权限，……”；
安全计算环境细分项访问控制“…应授予管理用户所需的最小权限，…”；
安全区域边界细分项安全审计“应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计，……”；

同时，UEBA也能满足全球公认的SANS二十大安全审计准则相关项，具体为：

控制12-管理特权的受控使用：CSC 12-1
控制14-持续监控和分析审计日志：CSC 14-5, CSC 14-8
控制16-账户监控和控制：CSC 16-5

更精准的用户行为洞见

使用多种数据源，如流量、日志、第三方告警等，将不同的数据源数据链接在一起，通过关联分析发现更多异常行为，以提供准确的用户行为洞见并呈现有关企业内威胁活动和风险行为的更完整视图。

尽管现在很多企业在增加安全预算，并招聘专职人员负责安全建设及运维，但大规模的数据泄露事件仍在持续发生。企业努力培训员工时刻保持警惕对抗威胁，但对于攻击者来说，有效合法的访问凭证依旧诱人，因此攻击者会想尽一切办法诱使企业员工犯错误。

UEBA能够有效帮助企业找到并根除冒充员工的攻击者。正确的解决方案能够将更复杂的任务交给更初级的安全分析师，释放安全分析负担的同时加快数据分析过程，提供全天候的专家级服务。