地  址:江苏省南京市玄武区玄武湖
电  话:4008-888-888
邮  箱:9490489@qq.com
商  务QQ:4163305195
用云的方式保护云:怎么用云原生SOC下降云上内部用户危险?
作者:管理员    发布于:2020-06-25 19:45   文字:【】【】【

用云的方式保护云:怎么用云原生SOC下降云上内部用户危险?


用云的方式保护云:怎么用云原生SOC下降云上内部用户危险? 在企业云上安全中,除了效劳器内部缝隙危险和DDOS攻击等外部攻击危险外,还有一种危险是内部用户危险,因为这类危险往往是由内部用户的异常操作形成的,且内部用户的操作在安全检测中天然具有高可靠性,因此具有极高的隐蔽性,在真正发生安全事情后往往引起巨大风险。

在企业云上安全中,除了效劳器内部缝隙危险和DDOS攻击等外部攻击危险外,还有一种危险是内部用户危险,因为这类危险往往是由内部用户的异常操作形成的,且内部用户的操作在安全检测中天然具有高可靠性,因此具有极高的隐蔽性,在真正发生安全事情后往往引起巨大风险。

腾讯运营中心中带有的UBA模块,即用户行为分析模块,在云上安全中可协助企业做好用户安全的管理,该模块主要基于腾讯云用户在控制台的相关操作记载以及使用云进行主动化操作的相关记载,进行用户安全性分析,并提示运维人员及时处理相关危险。

因为云后台只是大概记载了用户相关操作的工作类型,因此无法仅通过用户的单条操作记载进行危险判定,只有在某些层面上的计算量才具有一定意义。UBA模块正是在这种布景下,提出了基于危险场景的用户安全检测机制。下面我们将围绕用户安全检测机制的三大模块及其运用场景,为我们介绍怎么使用云原生SOC下降内部用户操风格险。

检测机制由三个模块构成:用户身份辨认模块、检测阈值生成模块以及场景检测模块。

一、用户身份辨认模块

在实践工作中,不同子用户担任的人物不一样,触及的权限与工作量也必定不一样,为了便利用户自查以及后续模块的使用,需要对用户进行身份的辨认。现在,一个用户的身份由四个身份因子组成,分别为:是否高危险、是否api、是否人类以及操作密度。详细意义如下所示:

是否高危险:该用户在14天内的操作记载是否触及高危险权限(用户权限提高、财物高危险权限修正)

是否api:该用户在14天内的操作记载是否存在规律性

是否人类:该用户除去规律性操作外是否存在其他操作

操作密度:该用户7天内的操作密度。由7天内每天操作记载总数的四分位数得出,详细规则如下所示:

依据得到的用户各身份因子,可以得到用户的详细身份,规则如下所示:

在获取用户身份后,管理员可以审阅用户身份是否契合预期,并及时处理不契合预期的用户。其间high_risk_api_ops和high_risk_ops用户在一天记载量低于200的状况下进行了高危险操作,需要核查是否安全。

二、检测阈值生成模块

阈值即一个用户在某个场景下计算量的预期最大值,可是不同身份的用户的预期值是不一样的,例如一个运维用户和一个普通观察用户的预期值不一样,运维用户依据工作量和负责事务的不同预期最大值也不一样。因此阈值生成模块的意图是依据该用户前史的数据以及用户身份主动生成用户在每一个场景下的检测阈值。

本模块在阈值生成中遵循一个假设,即用户的操作数量契合正态散布,并依照相信度及一定的规则取适宜的值作为最终的检测阈值,详细的生成规则如下所示:

(一)用户权限提高

(二)财物高危险权限修正

(三)用户权限遍历

三、场景检测模块

现在uba模块已有的危险场景有以下四种:用户权限提高、财物高危险权限修正、用户权限遍历、新用户高危操作。

(一)用户权限提高

该类场景聚焦于权限提高类的操作工作,例如绑定某一策略到特定用户。这一类操作工作在实践工作中根本由运维人员操作发生且大多是经由主账号操作发生。若一个子账号在短时间内进行的权限提高类操作次数异常,则该用户可能被盗号或操作行为不妥,均需奉告用户及时排查办理。

基于以上需求,用户权限提高场景的检测逻辑如下:

在上述检测逻辑中,将主账号和子账号区分,关于主账号的危险评分更加宽松。

(二)财物高危险权限修正

该类场景聚焦于财物高危险权限修正类的操作工作,例如修正安全组规则。这一类操作工作在实践工作中根本由运维人员操作发生,可是可能存在运维人员为了便利工作,为自己的子账号提权后也进行了该类操作。因为现在未对子账号身份作进一步划分,因此未对这类子账号做特殊处理。这类场景与用户权限提高场景的检测逻辑类似,如下所示:

因为在某些事务场景中,可能存在需要周期性修正规则的需求,因此在上述检测逻辑中,使用了时刻序列反常检测算法进行了中心处理,意图为扫除这种周期性的影响。

(三)用户权限遍历

该类场景聚焦于用户在单位时间内触及的操作工作品种数。结合前史数据以及实践工作需求来看,一个行为正常的子账号在单位时间内操作工作的品种必定不会太多,若子账号在一定时刻段内履行的操作品种数超过预警值,则可以说明该类用户存在试探性操作的可能性,多是对事务不熟悉或者黑客入侵。

基于以上需求,用户权限遍历的场景检测逻辑如下所示:

(四)新用户高危操作

该类场景重视的是用户在被创建后的一小时内是否存在危险。在实践工作环境中,一个低危险的新用户在被创建后一般不会进行很多高危险操作,而是会较当心的查看一些数据,例如查看效劳器流量状况,这类操作本身就是低危险的,并且触及的工作类型也比较固定。因此,首要对所有的工作类型进行大概的危险评价,抽取其间高危险的工作类型,然后要点重视用户新入后的操作记载中触及这些高危险工作类型的操作。若高危操作过多,则该新用户可能为误操作或为黑客创建。

基于以上需求,新用户高危操作的场景检测逻辑如下所示:

四、实践事例解析

在UBA模块正式上线运转后,腾讯云安全运营中心也陆续接到了一些客户关于告警的反馈,其间来自某互联网公司的反馈引起了安全人员的留意。该客户反馈其名下一个子用户存在用户权限遍历告警,还在UBA概览页的登录来历地图中发现了来自境外的登陆信息。

在排查用户权限遍历告警中,我们发现该子用户当天进行了很多的存储桶相关操作以及一些权限查看操作,因操作品种数超过了场景检测阈值,因此进行了相应告警。之后又分析了用户操作行为日志中来自境外的操作记载,发现这些操作记载均属于API调用。调查到这里,安全人员发现了该工作的严峻性,在与相关人员交流后,确认到该子用户的SecretKey现已泄漏,客户确认该子用户操作与以往不符,随即进行了一系列响应和补救措施,防止更严峻的安全事情发生。在确定危险来历后,除了删除现已泄漏的SecretKey外,在安全人员的建议下,该用户还开启了安全运营中心的泄漏检测模块,防止今后类似的事情发生。


14:25:00 商场情报 “职业云原生技能论坛(CNTC 2020)”线上论坛行将召开
Copyright © 2002-2020 网页制作流程_美国免费建站平台_网站制作维护_瑞蚁免费建站_免费个人网页制作 版权所有 (网站地图
地址:江苏省南京市玄武区玄武湖 电话:4008-888-888
邮箱:9490489@qq.com QQ:4163305195