在企業(yè)云上安全中，除了服務(wù)器內(nèi)部漏洞風(fēng)險(xiǎn)和DDOS攻擊等外部攻擊風(fēng)險(xiǎn)外，還有一種風(fēng)險(xiǎn)是內(nèi)部用戶風(fēng)險(xiǎn)，由于這類風(fēng)險(xiǎn)往往是由內(nèi)部用戶的異常操作造成的，且內(nèi)部用戶的操作在安全檢測(cè)中天然擁有高可靠性，因此具有極高的隱蔽性，在真正發(fā)生安全事件后往往引起巨大危險(xiǎn)。

騰訊云安全運(yùn)營(yíng)中心中帶有的UBA模塊，即用戶行為分析模塊，在云上安全中可幫助企業(yè)做好用戶安全的管理，該模塊主要基于騰訊云用戶在控制臺(tái)的相關(guān)操作記錄以及使用云進(jìn)行自動(dòng)化操作的相關(guān)記錄，進(jìn)行用戶安全性分析，并提示運(yùn)維人員及時(shí)處理相關(guān)風(fēng)險(xiǎn)。

由于云后臺(tái)只是粗略記錄了用戶相關(guān)操作的事件類型，因此無(wú)法僅通過用戶的單條操作記錄進(jìn)行風(fēng)險(xiǎn)判定，只有在某些層面上的統(tǒng)計(jì)量才具有一定意義。UBA模塊正是在這種背景下，提出了基于風(fēng)險(xiǎn)場(chǎng)景的用戶安全檢測(cè)機(jī)制。下面我們將圍繞用戶安全檢測(cè)機(jī)制的三大模塊及其應(yīng)用場(chǎng)景，為大家介紹如何利用云原生SOC降低內(nèi)部用戶操作風(fēng)險(xiǎn)。

檢測(cè)機(jī)制由三個(gè)模塊構(gòu)成：用戶身份識(shí)別模塊、檢測(cè)閾值生成模塊以及場(chǎng)景檢測(cè)模塊。

一、用戶身份識(shí)別模塊

在實(shí)際工作中，不同子用戶擔(dān)任的角色不一樣，涉及的權(quán)限與工作量也必然不一樣，為了方便用戶自查以及后續(xù)模塊的利用，需要對(duì)用戶進(jìn)行身份的識(shí)別。目前，一個(gè)用戶的身份由四個(gè)身份因子組成，分別為：是否高風(fēng)險(xiǎn)、是否api、是否人類以及操作密度。具體含義如下所示：

是否高風(fēng)險(xiǎn)：該用戶在14天內(nèi)的操作記錄是否涉及高風(fēng)險(xiǎn)權(quán)限(用戶權(quán)限提升、資產(chǎn)高風(fēng)險(xiǎn)權(quán)限修改)

是否api：該用戶在14天內(nèi)的操作記錄是否存在規(guī)律性

是否人類：該用戶除去規(guī)律性操作外是否存在其他操作

操作密度：該用戶7天內(nèi)的操作密度。由7天內(nèi)每天操作記錄總數(shù)的四分位數(shù)得出，具體規(guī)則如下所示：

根據(jù)得到的用戶各身份因子，可以得到用戶的具體身份，規(guī)則如下所示：

在獲取用戶身份后，管理員可以審核用戶身份是否符合預(yù)期，并及時(shí)處理不符合預(yù)期的用戶。其中high_risk_api_ops和high_risk_ops用戶在一天記錄量低于200的情況下進(jìn)行了高風(fēng)險(xiǎn)操作，需要核查是否安全。

二、檢測(cè)閾值生成模塊

閾值即一個(gè)用戶在某個(gè)場(chǎng)景下統(tǒng)計(jì)量的預(yù)期最大值，但是不同身份的用戶的預(yù)期值是不一樣的，例如一個(gè)運(yùn)維用戶和一個(gè)普通觀察用戶的預(yù)期值不一樣，運(yùn)維用戶根據(jù)工作量和負(fù)責(zé)事務(wù)的不同預(yù)期最大值也不一樣。因此閾值生成模塊的目的是根據(jù)該用戶歷史的數(shù)據(jù)以及用戶身份自動(dòng)生成用戶在每個(gè)場(chǎng)景下的檢測(cè)閾值。

本模塊在閾值生成中遵循一個(gè)假設(shè)，即用戶的操作數(shù)量符合正態(tài)分布，并按照置信度及一定的規(guī)則取合適的值作為最終的檢測(cè)閾值，具體的生成規(guī)則如下所示：

（一）用戶權(quán)限提升

（二）資產(chǎn)高風(fēng)險(xiǎn)權(quán)限修改

（三）用戶權(quán)限遍歷

三、場(chǎng)景檢測(cè)模塊

目前uba模塊已有的風(fēng)險(xiǎn)場(chǎng)景有以下四種：用戶權(quán)限提升、資產(chǎn)高風(fēng)險(xiǎn)權(quán)限修改、用戶權(quán)限遍歷、新用戶高危操作。

（一）用戶權(quán)限提升

該類場(chǎng)景聚焦于權(quán)限提升類的操作事件，例如綁定某一策略到特定用戶。這一類操作事件在實(shí)際工作中基本由運(yùn)維人員操作產(chǎn)生且大多是經(jīng)由主賬號(hào)操作產(chǎn)生。若一個(gè)子賬號(hào)在短期內(nèi)進(jìn)行的權(quán)限提升類操作次數(shù)異常，則該用戶可能被盜號(hào)或操作行為不當(dāng)，均需告知用戶及時(shí)排查處理。

基于以上需求，用戶權(quán)限提升場(chǎng)景的檢測(cè)邏輯如下：

在上述檢測(cè)邏輯中，將主賬號(hào)和子賬號(hào)區(qū)分，對(duì)于主賬號(hào)的風(fēng)險(xiǎn)評(píng)分更加寬松。

（二）資產(chǎn)高風(fēng)險(xiǎn)權(quán)限修改

該類場(chǎng)景聚焦于資產(chǎn)高風(fēng)險(xiǎn)權(quán)限修改類的操作事件，例如修改安全組規(guī)則。這一類操作事件在實(shí)際工作中基本由運(yùn)維人員操作產(chǎn)生，但是可能存在運(yùn)維人員為了方便工作，為自己的子賬號(hào)提權(quán)后也進(jìn)行了該類操作。由于目前未對(duì)子賬號(hào)身份作進(jìn)一步劃分，因此未對(duì)這類子賬號(hào)做特殊處理。這類場(chǎng)景與用戶權(quán)限提升場(chǎng)景的檢測(cè)邏輯類似，如下所示：

因?yàn)樵谀承I(yè)務(wù)場(chǎng)景中，可能存在需要周期性修改規(guī)則的需求，因此在上述檢測(cè)邏輯中，利用了時(shí)間序列異常檢測(cè)算法進(jìn)行了中間處理，目的為排除這種周期性的影響。

（三）用戶權(quán)限遍歷

該類場(chǎng)景聚焦于用戶在單位時(shí)間內(nèi)涉及的操作事件種類數(shù)。結(jié)合歷史數(shù)據(jù)以及實(shí)際工作需求來看，一個(gè)行為正常的子賬號(hào)在單位時(shí)間內(nèi)操作事件的種類必然不會(huì)太多，若子賬號(hào)在一定時(shí)間段內(nèi)執(zhí)行的操作種類數(shù)超過預(yù)警值，則可以說明該類用戶存在試探性操作的可能性，可能是對(duì)業(yè)務(wù)不熟悉或者黑客入侵。

基于以上需求，用戶權(quán)限遍歷的場(chǎng)景檢測(cè)邏輯如下所示：

(四）新用戶高危操作

該類場(chǎng)景關(guān)注的是用戶在被創(chuàng)建后的一小時(shí)內(nèi)是否存在風(fēng)險(xiǎn)。在實(shí)際工作環(huán)境中，一個(gè)低風(fēng)險(xiǎn)的新用戶在被創(chuàng)建后一般不會(huì)進(jìn)行大量高風(fēng)險(xiǎn)操作，而是會(huì)較小心的查看一些數(shù)據(jù)，例如查看服務(wù)器流量情況，這類操作本身就是低風(fēng)險(xiǎn)的，而且涉及的事件類型也比較固定。因此，首先對(duì)所有的事件類型進(jìn)行粗略的風(fēng)險(xiǎn)評(píng)估，抽取其中高風(fēng)險(xiǎn)的事件類型，然后重點(diǎn)關(guān)注用戶新入后的操作記錄中涉及這些高風(fēng)險(xiǎn)事件類型的操作。若高危操作過多，則該新用戶可能為誤操作或?yàn)楹诳蛣?chuàng)建。

基于以上需求，新用戶高危操作的場(chǎng)景檢測(cè)邏輯如下所示：

四、實(shí)際案例解析

在UBA模塊正式上線運(yùn)行后，騰訊云安全運(yùn)營(yíng)中心也陸續(xù)接到了一些客戶關(guān)于告警的反饋，其中來自某互聯(lián)網(wǎng)公司的反饋引起了安全人員的注意。該客戶反饋其名下一個(gè)子用戶存在用戶權(quán)限遍歷告警，還在UBA概覽頁(yè)的登錄來源地圖中發(fā)現(xiàn)了來自境外的登陸信息。

在排查用戶權(quán)限遍歷告警中，我們發(fā)現(xiàn)該子用戶當(dāng)天進(jìn)行了大量的存儲(chǔ)桶相關(guān)操作以及一些權(quán)限檢查操作，因操作種類數(shù)超過了場(chǎng)景檢測(cè)閾值，因此進(jìn)行了相應(yīng)告警。之后又分析了用戶操作行為日志中來自境外的操作記錄，發(fā)現(xiàn)這些操作記錄均屬于API調(diào)用。調(diào)查到這里，安全人員發(fā)現(xiàn)了該事件的嚴(yán)重性，在與相關(guān)人員溝通后，確認(rèn)到該子用戶的SecretKey已經(jīng)泄漏，客戶確認(rèn)該子用戶操作與以往不符，隨即進(jìn)行了一系列響應(yīng)和補(bǔ)救措施，防止更嚴(yán)重的安全事件發(fā)生。在確定風(fēng)險(xiǎn)來源后，除了刪除已經(jīng)泄漏的SecretKey外，在安全人員的建議下，該用戶還開啟了安全運(yùn)營(yíng)中心的泄漏檢測(cè)模塊，防止以后類似的事情發(fā)生。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。