在企业云上安全中,除了服务器内部漏洞风险和DDOS攻击等外部攻击风险外,还有一种风险是内部用户风险,由于这类风险往往是由内部用户的异常操作造成的,且内部用户的操作在安全检测中天然拥有高可靠性,因此具有极高的隐蔽性,在真正发生安全事件后往往引起巨大危险。
腾讯云安全运营中心中带有的UBA模块,即用户行为分析模块,在云上安全中可帮助企业做好用户安全的管理,该模块主要基于腾讯云用户在控制台的相关操作记录以及使用云进行自动化操作的相关记录,进行用户安全性分析,并提示运维人员及时处理相关风险。
由于云后台只是粗略记录了用户相关操作的事件类型,因此无法仅通过用户的单条操作记录进行风险判定,只有在某些层面上的统计量才具有一定意义。UBA模块正是在这种背景下,提出了基于风险场景的用户安全检测机制。下面我们将围绕用户安全检测机制的三大模块及其应用场景,为大家介绍如何利用云原生SOC降低内部用户操作风险。
检测机制由三个模块构成:用户身份识别模块、检测阈值生成模块以及场景检测模块。
一、用户身份识别模块
在实际工作中,不同子用户担任的角色不一样,涉及的权限与工作量也必然不一样,为了方便用户自查以及后续模块的利用,需要对用户进行身份的识别。目前,一个用户的身份由四个身份因子组成,分别为:是否高风险、是否api、是否人类以及操作密度。具体含义如下所示:
是否高风险:该用户在14天内的操作记录是否涉及高风险权限(用户权限提升、资产高风险权限修改)
是否api:该用户在14天内的操作记录是否存在规律性
是否人类:该用户除去规律性操作外是否存在其他操作
操作密度:该用户7天内的操作密度。由7天内每天操作记录总数的四分位数得出,具体规则如下所示:
根据得到的用户各身份因子,可以得到用户的具体身份,规则如下所示:
在获取用户身份后,管理员可以审核用户身份是否符合预期,并及时处理不符合预期的用户。
