什么是匿名用户数据（UEBA 使用匿名用户数据的 4 个挑战）

用户和实体行为分析(UEBA) 工具通过查找异常来支持网络安全策略。这些工具为用户、设备和网络建立基线使用，然后标记网络安全团队与这些规范的重大偏差。人们对用户行为分析如何降低网络攻击风险非常感兴趣。一项市场分析显示， 2022年 UEBA 行业的价值为 12 亿美元。然而，研究人员认为，到 2026 年将达到 42 亿美元。

然而，为了隐私而推动匿名用户数据可能会阻碍这种增长。当使用该技术的公司的决策者可以缩小潜在问题的范围时，用户和实体行为分析的效果最好。匿名的 UEBA 数据将限制可以查明的趋势。下面详细了解为什么匿名信息不适合 UEBA 平台。

1. 缺乏必要的特异性

监控用户行为以发现异常情况的概念并不新鲜。您可能会想起几次在提供商标记奇怪活动后您的信用卡或借记卡被拒绝的情况。也许您在旅行时买了一些东西而没有告诉您的银行旅行。也许您在习惯性地仅使用该付款方式进行小额购买后尝试购买大件商品。

匿名数据不允许建立必要的联系，例如识别卡所有者并联系他们以确定购买是否合法。

Ryan Stolte 是 Bay Dynamics 的首席技术官。他承认用户行为分析可能会引起隐私问题，并且应该就该主题进行讨论。他解释说：“这绝对是每个人都应该进行的对话。我们进行行为分析的原因是代表这个人。我们代表每个人观察你，然后在你表现得不像自己时告诉你。”

这并不意味着公司会密切关注每个人所做的一切。但是，UEBA 系统可能会标记任何奇怪的行为。

2. 阻止内部威胁的难度增加

2022 年的一项研究发现，两年内内部威胁增加了 44% 。同一项研究还表明，受影响的组织每年平均花费 1540 万美元来解决相关问题。

由于现代公司的联系越来越紧密，内部威胁的日益突出也存在问题。从能源到食品和饮料的各个行业都使用连接来改善运营。但是，怀有恶意的员工可能会严重阻碍公司的工作流程。

不过，重要的是要记住，当人们没有恶意时，内部威胁也会出现。他们可能由于疲倦、粗心或缺乏适当的培训而犯错，这可能导致或加剧网络安全问题。

但是，如果公司领导者只有匿名的 UEBA 数据，他们将更难以获得有助于他们缓解此问题的各种详细信息。例如，是否存在某个人或团队反复犯错误而构成安全威胁的情况？如果匿名数据阻止将数据链接回特定的人，就不可能缩小结果范围以降低风险。

3. 无法在需要时采取纪律处分

UEBA 工具可帮助网络安全团队检测某人的行为何时超过危险活动的门槛。Christian Wimpelmann 是 Code42 的身份和访问经理。他讨论了用户行为分析如何帮助公司避免危险结果。

Wimpelmann 说：“无论是恶意的还是无意的，异常数据访问和异常数据遍历网络或应用程序通常是员工做他们不应该做的事情或数据最终出现在受害组织之外的问题更大的地方的前兆。”

与只允许员工在现场工作的公司相比，允许远程工作的公司可能会处理更多的数据保护问题。一项研究发现，52% 的受访者认为，在远程工作时处理数据时，他们可以避免承担更多数据风险。

甚至有网络犯罪分子招募员工在其组织内部部署勒索软件的案例。一位网络安全负责人被要求参与一次攻击，他将获得100 万美元赎金的 40%，因为他将勒索软件带入了他的公司网络。

然而，使用匿名数据只能说明部分情况。它可能会揭示员工在网络内进行有害活动。但是，它不会显示所涉及的确切人员。然后，组织的网络安全团队只知道存在问题，但不知道如何针对负责人。

4. 使用 UEBA 维护访问权限的限制

如果员工获得的信息超出工作所需的信息，公司的网络攻击风险也会增加。理想的情况是当个人具有适当的访问级别并且不会遇到使其难以履行职责的摩擦时。

一些网络安全专家主张将用户行为分析与身份验证措施相结合，以更好地保护组织。一个带有 UEBA 的产品跟踪与每个人相关的250 多个属性。然后它分配一个相关的风险评分。如果有人反复尝试在网络中执行不寻常的活动，他们可能会获得很高的数字。

公司领导可以定制高风险分数的人会发生什么。一种可能性是暂时将他们锁定在他们的帐户之外，直到 IT 部门的人可以进一步调查此事。

但是，如果公司只有匿名 UEBA 数据，则无法使用该信息来阻止特权滥用。它可以使用行为数据从更广泛的意义上发现其他潜在问题，例如是否有人试图从不寻常的位置访问工作场所资源。但是，如果不将识别信息与该行为联系起来，网络安全团队就无法获得他们需要的信息来确定谁在滥用基于身份的特权。

匿名 UEBA 数据无法提供有意义的回报

本概述说明了为什么网络安全团队不应该对用户和实体行为分析抱有很高的期望，如果他们的数据完全或大部分是匿名的。了解异常的网络活动是一个很好的起点。但是，如果 IT 专业人员无法将这些信息与特定个人联系起来，则几乎不可能准确地衡量问题的范围。

相反，公司领导者应该与员工就隐私影响进行坦诚的讨论。如果他们不想深入了解 UEBA 的细节，他们应该澄清一下，员工永远不应该认为他们在工作场所网络上所做的任何事情都不受监控。