用户行为分析的5个方面用户分析从几个方面 _生活百科

用户分析从几个方面(用户行为分析的5个方面)，小编带你了解更多信息。
网络安全威胁正以一种惊人的速度发展，据Gartner分析，用户行为分析（UBA）市场在2015年后正以48%的年复合增长率急剧增长。因此，如果您对UBA还不熟悉，那么是时候了解一下了。以下内容将带您了解UBA 。

文章插图

1. UBA会为您带来什么？
行为分析最开始应用于营销领域，目的是帮助公司了解和预测消费者的购买模式。如今，行为分析已被广泛用于检测网络安全中的潜在威胁。2018年Verizon数据泄露调查报告揭示了UBA为何如此受欢迎。

28%的数据泄露事件涉及到了内部员工行为。现有的网络安全解决方案主要用于保护企业免受外部网络攻击，而忽略了一部分受信任的群体-公司内部员工。重点放在关注外部威胁上时，内部人员滥用特权的情况往往会被忽视。当攻击者侵入公司内部网络，他们非常善于模仿普通员工的行为，进而利用特权进行一些违规操作。这就是UBA不同于传统安全解决方案的地方，通过关注企业内部用户的行为，UBA可提供一套针对内部威胁的防御机制。
68%的内部用户违规行为需要一个月甚至更长时间才能发现。这种威胁检测的延迟是因为现有安全解决方案会产生大量误报，导致IT安全人员在大量的无关紧要的告警中错过了某些关键告警。设置较低的告警阈值和触发大量含有误报的告警，或配置较高的阈值都会面临潜在的风险，IT安全人员往往倾向于选择前者。UBA解决方案可以在一定程度上减少误报的数量，从而为IT安全人员腾出足够的时间专注于那些真正的网络威胁告警。
2. UBA工作原理

UBA解决方案首先会收集整个公司用户在较长时间内的工作行为。然后，为他们建立一个特定于每个用户的“正常”活动模型。最后，只要有偏离正常活动规范的情况发生，UBA就会及时通知到相关管理员。
现有的网络安全解决方案通常是人为定义的一个静态阈值来区分正常和不正常的用户行为，而UBA解决方案使用的是动态分析方法（数据分析和机器学习相结合），根据用户行为的真实情况去定义不同的动态阈值。
UBA解决方案的秘诀是不同员工行为难以模仿。因此，即使外部攻击者侵入公司内部网络，他们也很难模仿某个真实员工的日常工作行为。

文章插图

通过举例UBA解决方案如何检测现有安全解决方案检测不到的内部用户违规行为，我们可以更好地了解UBA 。以下几个攻击场景可以涵盖安全威胁的整个范围：从内部人员成为攻击者，到攻击者使用泄露的内部特权用户凭据，再到来自外部的攻击行为。
3. UBA vs 文件复制异常指标监控

经典场景

一名心怀不满的员工从公司离职前决定带走一些公司敏感数据，他知道公司重要文档的存储位置，也很聪明地决定只复制其中少数而且最重要的文件，因为他知道复制太多文件可能会超出管理员设置的基于文件活动量的阈值，从而触发告警系统暴露自己。

泄露指标：异常文件活动行为阈值
UBA如何解决该问题？

上述讲到的如果文件活动量较少，传统的安全解决方案很难发现此种用户违规行为，这对企业来说是一项风险很高的内部威胁。但是UBA解决方案可以学习用户过去一段时间的行为，知道用户通常在一天中的特定时间访问多少文件，以及访问什么文件，哪些文件。然后在员工离职的那几天，如果与过去相比，文件活动次数明显增加，UBA会认为这是一项异常的用户行为，因此会实时通知到相关的IT安全人员。