什麼是行為分析?
開始使用 OpenText™ ArcSight™ 情報
ArcSight 智慧使您的安全團隊能夠先發制人地抵禦難以捉摸的攻擊。借助來自行為分析的上下文相關見解,分析師可以快速放大在與複雜威脅(如內部威脅和高級持續性威脅 (APT))的鬥爭中真正重要的內容。
瞭解更多資訊行為分析
為什麼要收集行為數據?
數據創建在過去十年中呈爆炸式增長,預計將繼續呈指數級增長,如下圖所示。該圖表預測,到 2025 年,全球數據領域將存在約 160 ZB 的數據。ZB 很難可視化,因為它太大了。但是,如果我們用一公里表示每個位元組,則 1 ZB 將等於 3,333,333,333,333 次往返太陽。據估計,只有 15% 的創建資料將被存儲,但這仍然是大量的數據。
儲存行為數據存在一些重大挑戰:
- 某些生成的數據可能很難捕獲和存儲。這主要是由於數據工程的局限性。
- 由於創建的數據量很大,數據存儲是一個挑戰。
- 以經濟高效且易於訪問的方式存儲數據。目前,僅存儲創建的數據的一小部分。
行為數據主要是通過人們與軟體或伺服器的交互來捕獲的。交互的一個範例是將數據上傳到網站或在網站上選擇產品。這些事件存儲在本地裝置上的資料庫中,或者更常見的是存儲在公司擁有的伺服器上,以及日期和時間戳,以便於訪問。
整個行業都是圍繞著收集數據並利用這些數據而建立的。以下是一些您可能不熟悉的資料收集範例:
- 企業硬體用途:已經創建了高級軟體程式,使企業能夠跟蹤其員工如何使用公司硬體(如計算機、印表機和伺服器)的行為分析,並具有令人驚訝的細節水準。該軟體通常用於檢測可能表明員工或駭客的欺詐或惡意行為的可疑行為。
- 網站會話:您知道您今天訪問的每個網站如何通知您它使用 cookie 來為您提供卓越的體驗嗎?如果您將其翻譯成外行術語,這對許多網站來說意味著他們將記錄您的瀏覽會話,以分析您的行為以找到他們可以優化網站設計的地方。因此,下次您看到正在瀏覽的網站上彈出該通知時,只需知道稍後可能會有人觀看您的瀏覽會話。
- 生物測定學:隨著物聯網成為主流(想想智慧手錶),心率、體溫和步數等生物識別資訊變得越來越容易收集。此外,越來越多的人對出於健康或血統目的的DNA測試感興趣。然後,這些DNA數據和生物識別技術可用於訓練行為機器學習模型,以提高為個人獲取見解的能力。
- 睡眠應用:許多應用程式的創建旨在通過跟蹤睡眠週期並在您處於慢波睡眠階段時喚醒您來改善個人的睡眠(祝您好運),讓您醒來時感覺更神清氣爽。這些應用程式使用智能手機收集加速度計數據或雜訊數據,或兩者兼而有之。收集的數據可以存儲在您的智能手機或公司伺服器上,具體取決於應用程式創建者的條款和條件。
如何在網路安全中使用行為分析
從歷史上看,網路安全僅使用規則驅動的框架來檢測潛在的網路威脅。例如,如果在半夜下載了大量數據。此操作可能會觸發規則衝突,從而向安全團隊發出警報。如今,這種基於規則的方法仍然是分層分析安全方法的重要組成部分;但是,聰明的駭客可以避免觸發這些系統中設置的許多規則,並且很難找到以惡意方式行事的員工(也稱為內部威脅)。行為分析通過使用複雜的機器學習演算法來分析整個企業的使用者和實體數據,並識別可能表明存在安全漏洞的意外行為,從而實現以人為本的防禦。
在網路安全中,行為分析通常被稱為使用者和實體行為分析或 UEBA。UEBA 越來越受歡迎,因為它可以篩選組織的大部分數據,為安全分析師開發高品質的潛在客戶進行評估,從而節省大量時間和金錢。UEBA還可以減少安全分析師的數量,從而減輕公司參與競爭激烈的安全人才爭奪戰的壓力。
行為分析在安全領域的最大應用之一是檢測內部威脅。內部威脅是來自組織員工的攻擊,其動機是金錢利益或對公司的報復。由於員工已經可以訪問他們在工作中使用的敏感資訊,因此不需要駭客攻擊即可從公司竊取該資訊。因此,通常不會觸發安全規則。但是,行為分析可用於識別安全團隊並提醒員工表現出的異常行為。
行為分析在安全領域的另一個常見應用是檢測高級持續性威脅 (APT)。當駭客長時間訪問組織的伺服器時,就會發生APT。使用傳統方法特別難以檢測這些攻擊,因為APT被有意識地設計為避免觸發通用規則,以確保其訪問的持久性。然而,行為分析能夠檢測 APT,因為它們的演算法監控 APT 會表現出的異常活動。
UEBA軟體的最後一個非常常見的應用是檢測零日攻擊。零日攻擊是以前未使用過的新攻擊,因此不會編寫任何規則來檢測它們。由於行為分析使用以前的行為數據來評估不正常的情況,因此通常可以檢測到這些新的攻擊,因為它們通常使用新的可執行檔和方法,這些可執行檔和方法非常規,以破壞公司的安全性。
行為分析和物聯網
物聯網或物聯網是指連接到互聯網和/或其他設備以創建連接設備網路的週邊設備網路。物聯網在過去十年中經歷了顯著增長,這在許多行業中都可以看到,包括製造業、供應鏈和消費品。其中許多物聯網設備收集行為數據,並使用該數據執行分析,以獲得見解或適當的操作。
這種增長的一個更明顯的消費產品例子是智慧手錶的激增。就在幾年前,智慧手錶還非常罕見,只有面向未來的技術愛好者購買這些設備,但隨著越來越多的公司涉足這個行業,智慧手錶和其他物聯網設備已經變得更加主流。如今,物聯網設備非常普遍,即使是休閒視頻遊戲主播也會佩戴心率監測器,顯示給觀眾看。收集行為資料的面向消費者的IoT應用程式的範例包括:
- 跟蹤生物識別的智慧手錶
- 門鈴攝像頭,用於跟蹤住宅門的交通
- 智慧恒溫器,全天跟蹤溫度偏好
- 智慧語音助手,可在您請求操作時進行學習
企業也在考慮將物聯網與行為分析結合使用,以增強其當前的能力。企業尋求物聯網來改善其運營的主要原因是由於降低成本、更準確的交付估算和卓越的產品護理的承諾。與消費者領域相比,專門收集行為數據的設備較少,但有幾個是:
- 供應鏈: 用於跟蹤工業駕駛員駕駛行為的感測器,以確保符合政策和安全駕駛。
- 醫療保健: 醫院可以使用物聯網設備來識別患者的健康情況 ,並在必要時提醒護士和醫生。
隨著物聯網設備數量的持續增長,行為分析在為消費者和企業提供價值方面將變得越來越重要。
行為分析和大數據
今天生成和存儲的數據量遠遠超過任何其他一代,以至於「大數據」一詞被創造出來。大數據是指數據科學家或統計學家使用使用大量數據的方法。通常,假設數據品質相同,數據越多,分析的有效性就越高。許多更強大的演算法(如神經網路)在少量數據下無效,但在大量數據下變得更加有效。
一些行業比其他行業更接受大數據的概念,一個很好的例子是網站廣告。例如,在 A/B 測試等網路廣告測試中,可以快速收集和分析數據,從而為比較廣告生成有效性指標。由於生成的數據量、數據付費牆或數據監管使得收集和使用實體數據變得困難,許多行業都在努力採用大數據方法。
行為分析非常適合大數據類別,因為行為數據會產生大量數據,通常可以收集數據,並且通常可以為每個用戶進行跟蹤。當您導航到網站並看到有關使用cookie追蹤您的體驗的警告時,它們通常會跟蹤您在網站上的行為,以優化網站設計。如前所述,最豐富的行為數據來源之一是物聯網,以至於整個公司都只專注於從生成的物聯網數據中運行行為分析。
行為分析和機器學習
機器學習是一類演算法,它使用輸入資料(有時是預期數據輸出)來微調模型參數以提高準確性。機器學習對於分析和分類大量數據特別有用,因為演算法可以處理的量比人類大得多。行為分析通常使用機器學習來獲取見解或自動做出決策。
行為分析和機器學習用例的一些範例包括:
- 內部威脅:內部威脅是一個安全問題,與員工通過竊取數據或公司智慧財產權對他們工作的公司採取惡意行動有關。安全程式可以使用機器學習來識別可能指示內部威脅的異常行為。
- 客戶細分:客戶有不同的購買行為,表現出不同的偏好。機器學習可用於細分客戶環境,以確定組織最有價值的客戶。
- 面部情緒檢測:使用複雜的機器學習,將面部識別和分類相結合,這些系統現在可以檢測人們的情緒。
電子商務中的行為分析
亞馬遜成為市場上佔主導地位的電子商務平臺的原因之一是因為它將注意力集中在分析消費者的瀏覽習慣和消費者的購買習慣上,這兩者都被歸類為行為分析。
通過評估消費者的購買習慣,公司可以確定產品促銷和捆綁的最佳機會。由行為分析確定的捆綁包的一個很好的例子是在亞馬遜產品頁面上的初始產品詳細資訊下方。通常,捆綁包包括其他人使用同一產品購買的其他一些物品。購買捆綁包可享受所有產品的輕微折扣。
購買習慣數據還支援使用無監督機器學習方法(如聚類)進行客戶細分。客戶細分有助於公司瞭解人群的一般購買習慣,以更好地確定迎合廣泛人群的方法。
金融行為分析
在國際上,欺詐每年給全球經濟造成數萬億美元的損失。不出所料,金融公司投入了大量資金來捕捉從異常消費者行為中發現的欺詐活動,以降低欺詐造成的成本,併為客戶提供更安全的體驗。
欺詐易是通過使用行為機器學習演算法來建立正常行為來捕獲的,這樣當發生異常交易時,就可以將其標記為可能的欺詐行為。通常,當可能發生欺詐活動時,金融公司會聯繫客戶,以驗證交易是否確實存在欺詐行為。
一個可能表明欺詐的異常行為的例子是,如果消費者在洛杉磯購買咖啡,然後在 20 分鐘後在倫敦購買甜甜圈。不可能走那麼快才能進行兩次購買。另一個例子是,如果消費者在他們從未去過的地方進行了他們以前從未做過的昂貴購買。例如,如果消費者在加拿大居住時,使用其財務憑證在巴西購買 50 張床墊。
立即開始使用行為分析
隨著機器學習演算法的改進,以及數據在數據孤立的行業中變得更加社會化,行為分析將繼續變得更加有用。隨著行為分析機會的增加,企業以合規和尊重的方式使用數據的責任也越來越大。
隨著當今企業面臨的網路威脅不斷增加,必須採取更多的預防措施來保護有價值的數據,並將駭客拒之門外。我們首屈一指的 UEBA SecOps 軟體, ArcSight 智慧,使用行為分析來檢測可能指示惡意操作的異常。它在檢測內部威脅、零日攻擊甚至激進的紅隊攻擊方面有著良好的記錄。邁出保護組織安全的第一步。安排演示 OpenText™ Arcsight™ Intelligence 今天就為 CrowdStrike 服務!
