ProHoster > بلوق > أخبار الإنترنت > لقد مات سوق UEBA - يحيا UEBA

لقد مات سوق UEBA - يحيا UEBA

لقد مات سوق UEBA - يحيا UEBA

سنقدم اليوم نظرة عامة موجزة عن سوق تحليلات سلوك المستخدم والكيان (UEBA) استنادًا إلى أحدث التطورات. أبحاث جارتنر. يقع سوق UEBA في أسفل "مرحلة خيبة الأمل" وفقًا لدورة Gartner Hype Cycle لتقنيات مواجهة التهديدات، مما يشير إلى نضج التكنولوجيا. لكن مفارقة الوضع تكمن في النمو العام المتزامن للاستثمارات في تقنيات UEBA واختفاء سوق حلول UEBA المستقلة. وتتوقع شركة Gartner أن يصبح UEBA جزءًا من وظائف حلول أمن المعلومات ذات الصلة. من المحتمل أن يتوقف استخدام مصطلح "UEBA" ويتم استبداله باختصار آخر يركز على مجال تطبيق أضيق (على سبيل المثال، "تحليلات سلوك المستخدم")، أو مجال تطبيق مماثل (على سبيل المثال، "تحليلات البيانات")، أو ببساطة يصبح بعض المصطلحات. كلمة طنانة جديدة (على سبيل المثال، يبدو مصطلح "الذكاء الاصطناعي" [AI] مثيرًا للاهتمام، على الرغم من أنه لا معنى له بالنسبة لمصنعي UEBA الحديثين).

ويمكن تلخيص النتائج الرئيسية لدراسة جارتنر على النحو التالي:

  • يتم تأكيد نضج سوق التحليلات السلوكية للمستخدمين والكيانات من خلال حقيقة أن هذه التقنيات تستخدم من قبل قطاع الشركات المتوسطة والكبيرة لحل عدد من مشاكل الأعمال؛
  • تم دمج قدرات تحليلات UEBA في مجموعة واسعة من تقنيات أمن المعلومات ذات الصلة، مثل وسطاء أمان الوصول إلى السحابة (CASBs)، وأنظمة إدارة وإدارة الهوية (IGA) SIEM؛
  • إن الضجيج المحيط ببائعي UEBA والاستخدام غير الصحيح لمصطلح "الذكاء الاصطناعي" يجعل من الصعب على العملاء فهم الفرق الحقيقي بين تقنيات الشركات المصنعة ووظائف الحلول دون إجراء مشروع تجريبي؛
  • يلاحظ العملاء أن وقت التنفيذ والاستخدام اليومي لحلول UEBA يمكن أن يتطلب عمالة كثيفة ويستهلك وقتًا أطول مما وعدت به الشركة المصنعة، حتى عند النظر في نماذج الكشف عن التهديدات الأساسية فقط. قد تكون إضافة حالات استخدام مخصصة أو حافة أمرًا صعبًا للغاية وتتطلب خبرة في علوم البيانات والتحليلات.

توقعات تطوير السوق الاستراتيجية:

  • بحلول عام 2021، سيتوقف سوق أنظمة التحليلات السلوكية للمستخدم والكيان (UEBA) عن الوجود كمنطقة منفصلة وسيتحول نحو حلول أخرى مع وظائف UEBA؛
  • بحلول عام 2020، ستكون 95% من جميع عمليات نشر UEBA جزءًا من نظام أساسي أمني أوسع.

تعريف حلول UEBA

تستخدم حلول UEBA تحليلات مدمجة لتقييم نشاط المستخدمين والكيانات الأخرى (مثل المضيفين والتطبيقات وحركة مرور الشبكة ومخازن البيانات).
فهي تكتشف التهديدات والحوادث المحتملة، والتي تمثل عادةً نشاطًا شاذًا مقارنةً بالملف التعريفي والسلوك القياسي للمستخدمين والكيانات في مجموعات مماثلة على مدار فترة زمنية.

حالات الاستخدام الأكثر شيوعًا في قطاع المؤسسات هي اكتشاف التهديدات والاستجابة لها، بالإضافة إلى الكشف عن التهديدات الداخلية والاستجابة لها (معظمهم من المطلعين المخترقين؛ وأحيانًا مهاجمون داخليون).

الاتحاد الأوروبي لكرة القدم مثل قرارو функцией، مدمج في أداة محددة:

  • الحل هو الشركات المصنعة لمنصات UEBA "الخالصة"، بما في ذلك البائعين الذين يبيعون أيضًا حلول SIEM بشكل منفصل. ركز على مجموعة واسعة من مشاكل العمل في التحليلات السلوكية لكل من المستخدمين والكيانات.
  • مضمن – الشركات المصنعة/الأقسام التي تدمج وظائف وتقنيات UEBA في حلولها. تركز عادةً على مجموعة أكثر تحديدًا من مشكلات العمل. في هذه الحالة، يتم استخدام UEBA لتحليل سلوك المستخدمين و/أو الكيانات.

تنظر شركة Gartner إلى UEBA من خلال ثلاثة محاور، بما في ذلك أدوات حل المشكلات والتحليلات ومصادر البيانات (انظر الشكل).

لقد مات سوق UEBA - يحيا UEBA

منصات UEBA "النقية" مقابل UEBA المضمنة

تعتبر شركة Gartner أن منصة UEBA "الخالصة" هي الحلول التي:

  • حل العديد من المشكلات المحددة، مثل مراقبة المستخدمين المميزين أو إخراج البيانات خارج المؤسسة، وليس فقط "مراقبة نشاط المستخدم الشاذ" المجرد؛
  • تنطوي على استخدام التحليلات المعقدة، والتي تعتمد بالضرورة على الأساليب التحليلية الأساسية؛
  • توفير العديد من الخيارات لجمع البيانات، بما في ذلك آليات مصدر البيانات المضمنة ومن أدوات إدارة السجل و/أو بحيرة البيانات و/أو أنظمة SIEM، دون الحاجة الإلزامية لنشر وكلاء منفصلين في البنية التحتية؛
  • يمكن شراؤها ونشرها كحلول مستقلة بدلاً من تضمينها
    تكوين المنتجات الأخرى.

ويقارن الجدول أدناه بين النهجين.

الجدول 1. حلول UEBA "النقية" مقابل الحلول المضمنة

فئة منصات UEBA "النقية". حلول أخرى مع UEBA المدمج
المشكلة التي يتعين حلها تحليل سلوك المستخدم والكيانات. قد يؤدي نقص البيانات إلى تقييد قدرة UEBA على تحليل سلوك المستخدمين أو الكيانات فقط.
المشكلة التي يتعين حلها يعمل على حل مجموعة واسعة من المشاكل متخصص في مجموعة محدودة من المهام
تحليلات اكتشاف الحالات الشاذة باستخدام طرق تحليلية مختلفة - بشكل رئيسي من خلال النماذج الإحصائية والتعلم الآلي، إلى جانب القواعد والتوقيعات. يأتي مزودًا بتحليلات مضمنة لإنشاء ومقارنة نشاط المستخدم والكيان مع الملفات الشخصية الخاصة بهم وزملائهم. يشبه UEBA النقي، ولكن يمكن أن يقتصر التحليل على المستخدمين و/أو الكيانات فقط.
تحليلات قدرات تحليلية متقدمة، لا تقتصر على القواعد فقط. على سبيل المثال، خوارزمية التجميع ذات التجميع الديناميكي للكيانات. يشبه UEBA "الخالص"، ولكن لا يمكن تغيير تجميع الكيانات في بعض نماذج التهديدات المضمنة إلا يدويًا.
تحليلات ربط نشاط وسلوك المستخدمين والكيانات الأخرى (على سبيل المثال، استخدام الشبكات الافتراضية) وتجميع سلوكيات المخاطر الفردية من أجل تحديد النشاط الشاذ. يشبه UEBA النقي، ولكن يمكن أن يقتصر التحليل على المستخدمين و/أو الكيانات فقط.
مصادر البيانات تلقي الأحداث الخاصة بالمستخدمين والكيانات من مصادر البيانات مباشرة من خلال الآليات المدمجة أو مخازن البيانات الموجودة، مثل SIEM أو Data Lake. عادةً ما تكون آليات الحصول على البيانات مباشرة فقط وتؤثر فقط على المستخدمين و/أو الكيانات الأخرى. لا تستخدم أدوات إدارة السجل / SIEM / بحيرة البيانات.
مصادر البيانات لا ينبغي أن يعتمد الحل فقط على حركة مرور الشبكة كمصدر رئيسي للبيانات، ولا يجب أن يعتمد فقط على وكلائه لجمع القياس عن بعد. يمكن أن يركز الحل فقط على حركة مرور الشبكة (على سبيل المثال، NTA - تحليل حركة مرور الشبكة) و/أو استخدام وكلائه على الأجهزة النهائية (على سبيل المثال، الأدوات المساعدة لمراقبة الموظفين).
مصادر البيانات تشبع بيانات المستخدم/الكيان بالسياق. يدعم مجموعة الأحداث المنظمة في الوقت الفعلي، بالإضافة إلى البيانات المتماسكة المنظمة/غير المنظمة من أدلة تكنولوجيا المعلومات - على سبيل المثال، Active Directory (AD)، أو موارد المعلومات الأخرى التي يمكن قراءتها بواسطة الآلة (على سبيل المثال، قواعد بيانات الموارد البشرية). يشبه UEBA النقي، لكن نطاق البيانات السياقية قد يختلف من حالة إلى أخرى. يعد AD وLDAP من أكثر مخازن البيانات السياقية شيوعًا والتي تستخدمها حلول UEBA المضمنة.
توفر يوفر الميزات المدرجة كمنتج مستقل. من المستحيل شراء وظيفة UEBA المضمنة دون شراء حل خارجي تم تصميمها فيه.
المصدر: جارتنر (مايو 2019)

وبالتالي، لحل بعض المشكلات، يمكن لـ UEBA المضمن استخدام تحليلات UEBA الأساسية (على سبيل المثال، التعلم الآلي البسيط غير الخاضع للرقابة)، ولكن في الوقت نفسه، نظرًا للوصول إلى البيانات الضرورية بالضبط، يمكن أن يكون أكثر فعالية بشكل عام من "الخالص" حل يويفا. وفي الوقت نفسه، تقدم منصات UEBA "الخالصة"، كما هو متوقع، تحليلات أكثر تعقيدًا باعتبارها المعرفة الرئيسية مقارنة بأداة UEBA المضمنة. تم تلخيص هذه النتائج في الجدول 2.

الجدول 2. نتيجة الاختلافات بين UEBA "النقي" والمدمج

فئة منصات UEBA "النقية". حلول أخرى مع UEBA المدمج
تحليلات تتضمن قابلية التطبيق لحل مجموعة متنوعة من مشكلات الأعمال مجموعة أكثر عالمية من وظائف UEBA مع التركيز على التحليلات الأكثر تعقيدًا ونماذج التعلم الآلي. إن التركيز على مجموعة أصغر من مشكلات العمل يعني ميزات متخصصة للغاية تركز على النماذج الخاصة بالتطبيقات بمنطق أبسط.
تحليلات يعد تخصيص النموذج التحليلي ضروريًا لكل سيناريو تطبيق. يتم تكوين النماذج التحليلية مسبقًا للأداة المضمنة في UEBA. تحقق الأداة المزودة بـ UEBA المضمنة بشكل عام نتائج أسرع في حل مشكلات عمل معينة.
مصادر البيانات الوصول إلى مصادر البيانات من جميع أركان البنية التحتية للشركة. مصادر بيانات أقل، وعادة ما تكون محدودة بسبب توفر الوكلاء لها أو للأداة نفسها مع وظائف UEBA.
مصادر البيانات قد تكون المعلومات الموجودة في كل سجل محدودة بمصدر البيانات وقد لا تحتوي على جميع البيانات الضرورية لأداة UEBA المركزية. يمكن تكوين كمية وتفاصيل البيانات الأولية التي يجمعها الوكيل ويرسلها إلى UEBA بشكل خاص.
هندسة معمارية إنه منتج UEBA كامل للمؤسسة. يعد التكامل أسهل باستخدام إمكانيات نظام SIEM أو بحيرة البيانات. يتطلب مجموعة منفصلة من ميزات UEBA لكل حل من الحلول المضمنة في UEBA. غالبًا ما تتطلب حلول UEBA المضمنة تثبيت الوكلاء وإدارة البيانات.
التكامل التكامل اليدوي لحل UEBA مع الأدوات الأخرى في كل حالة. يسمح للمؤسسة ببناء مجموعتها التكنولوجية بناءً على نهج "الأفضل بين نظائرها". تم تضمين الحزم الرئيسية لوظائف UEBA بالفعل في الأداة نفسها من قبل الشركة المصنعة. وحدة UEBA مدمجة ولا يمكن إزالتها، لذا لا يمكن للعملاء استبدالها بشيء خاص بهم.
المصدر: جارتنر (مايو 2019)

UEBA كوظيفة

أصبحت UEBA إحدى ميزات حلول الأمن السيبراني الشاملة التي يمكن أن تستفيد من التحليلات الإضافية. ويشكل UEBA أساسًا لهذه الحلول، حيث يوفر طبقة قوية من التحليلات المتقدمة استنادًا إلى أنماط سلوك المستخدم و/أو الكيان.

حاليًا، يتم تنفيذ وظيفة UEBA المضمنة في السوق في الحلول التالية، مجمعة حسب النطاق التكنولوجي:

  • التدقيق والحماية التي تركز على البيانات، هم البائعون الذين يركزون على تحسين أمان تخزين البيانات المنظمة وغير المنظمة (المعروف أيضًا باسم DCAP).

    وفي هذه الفئة من الموردين، تلاحظ جارتنر، من بين أمور أخرى، منصة فارونيس للأمن السيبراني، والذي يقدم تحليلات سلوك المستخدم لمراقبة التغييرات في أذونات البيانات غير المنظمة والوصول إليها واستخدامها عبر مخازن المعلومات المختلفة.

  • أنظمة CASB، مما يوفر الحماية ضد التهديدات المختلفة في تطبيقات SaaS المستندة إلى السحابة عن طريق منع الوصول إلى الخدمات السحابية للأجهزة غير المرغوب فيها والمستخدمين وإصدارات التطبيقات باستخدام نظام التحكم في الوصول التكيفي.

    تشتمل جميع حلول CASB الرائدة في السوق على إمكانيات UEBA.

  • حلول DLP – تركز على اكتشاف نقل البيانات الهامة خارج المنظمة أو إساءة استخدامها.

    تعتمد تقدمات DLP إلى حد كبير على فهم المحتوى، مع تركيز أقل على فهم السياق مثل المستخدم والتطبيق والموقع والوقت وسرعة الأحداث والعوامل الخارجية الأخرى. لكي تكون منتجات DLP فعالة، يجب أن تتعرف على كل من المحتوى والسياق. ولهذا السبب بدأ العديد من الشركات المصنعة في دمج وظائف UEBA في حلولهم.

  • مراقبة الموظفين هي القدرة على تسجيل وإعادة تشغيل إجراءات الموظفين، عادةً بتنسيق بيانات مناسب للإجراءات القانونية (إذا لزم الأمر).

    غالبًا ما تؤدي مراقبة المستخدمين باستمرار إلى توليد كمية هائلة من البيانات التي تتطلب تصفية يدوية وتحليلاً بشريًا. ولذلك، يتم استخدام UEBA داخل أنظمة المراقبة لتحسين أداء هذه الحلول واكتشاف الحوادث عالية الخطورة فقط.

  • أمن نقطة النهاية - توفر حلول الكشف عن نقطة النهاية والاستجابة لها (EDR) ومنصات حماية نقطة النهاية (EPP) أدوات قوية وقياسًا عن بعد لنظام التشغيل
    الأجهزة النهائية.

    يمكن تحليل هذا القياس عن بعد المتعلق بالمستخدم لتوفير وظيفة UEBA المضمنة.

  • الاحتيال عبر الإنترنت – تكتشف حلول الكشف عن الاحتيال عبر الإنترنت النشاط المنحرف الذي يشير إلى اختراق حساب العميل من خلال محاكاة ساخرة أو برامج ضارة أو استغلال اتصالات غير آمنة/اعتراض حركة مرور المتصفح.

    تستخدم معظم حلول الاحتيال جوهر UEBA وتحليل المعاملات وقياس الأجهزة، مع أنظمة أكثر تقدمًا تكملها من خلال مطابقة العلاقات في قاعدة بيانات الهوية.

  • IAM والتحكم في الوصول – تلاحظ شركة Gartner وجود اتجاه تطوري بين موردي أنظمة التحكم في الوصول للتكامل مع البائعين فقط وبناء بعض وظائف UEBA في منتجاتهم.
  • أنظمة IAM وحوكمة وإدارة الهوية (IGA). استخدم UEBA لتغطية سيناريوهات التحليلات السلوكية والهوية مثل الكشف عن الحالات الشاذة، وتحليل التجميع الديناميكي للكيانات المماثلة، وتحليل تسجيل الدخول، وتحليل سياسة الوصول.
  • IAM وإدارة الوصول المميز (PAM) – نظرًا لدور مراقبة استخدام الحسابات الإدارية، فإن حلول PAM لديها قياس عن بعد لإظهار كيف ولماذا ومتى وأين تم استخدام الحسابات الإدارية. يمكن تحليل هذه البيانات باستخدام وظيفة UEBA المضمنة للتأكد من وجود سلوك غير طبيعي للمسؤولين أو نوايا ضارة.
  • الشركات المصنعة NTA (تحليل حركة مرور الشبكة) - استخدم مزيجًا من التعلم الآلي والتحليلات المتقدمة والكشف المستند إلى القواعد لتحديد الأنشطة المشبوهة على شبكات الشركات.

    تقوم أدوات NTA بتحليل حركة مرور المصدر و/أو سجلات التدفق بشكل مستمر (مثل NetFlow) لإنشاء نماذج تعكس سلوك الشبكة العادي، مع التركيز بشكل أساسي على تحليلات سلوك الكيان.

  • SIEM – يتمتع العديد من موردي SIEM الآن بوظيفة تحليل البيانات المتقدمة المضمنة في SIEM، أو كوحدة UEBA منفصلة. طوال عام 2018 وحتى الآن في عام 2019، كان هناك عدم وضوح مستمر للحدود بين وظائف SIEM وUEBA، كما تمت مناقشته في المقالة "رؤية تكنولوجية لـ SIEM الحديث". أصبحت أنظمة SIEM أفضل في التعامل مع التحليلات وتقديم سيناريوهات تطبيق أكثر تعقيدًا.

سيناريوهات تطبيق UEBA

حلول UEBA يمكن أن تحل مجموعة واسعة من المشاكل. ومع ذلك، يتفق عملاء Gartner على أن حالة الاستخدام الأساسية تتضمن اكتشاف فئات مختلفة من التهديدات، ويتم تحقيق ذلك من خلال عرض وتحليل الارتباطات المتكررة بين سلوك المستخدم والكيانات الأخرى:

  • الوصول غير المصرح به ونقل البيانات؛
  • السلوك المشبوه للمستخدمين المميزين، والأنشطة الضارة أو غير المصرح بها للموظفين؛
  • الوصول غير القياسي واستخدام الموارد السحابية؛
  • وآخرون.

هناك أيضًا عدد من حالات الاستخدام غير التقليدية المتعلقة بالأمن السيبراني، مثل الاحتيال أو مراقبة الموظفين، والتي قد يكون لها ما يبررها UEBA. ومع ذلك، فإنها غالبًا ما تتطلب مصادر بيانات لا تتعلق بتكنولوجيا المعلومات وأمن المعلومات، أو نماذج تحليلية محددة ذات فهم عميق لهذا المجال. فيما يلي وصف للسيناريوهات والتطبيقات الخمسة الرئيسية التي يتفق عليها كل من مصنعي UEBA وعملائهم.

"الداخلية الخبيثة"

يقوم موفرو حلول UEBA الذين يغطيون هذا السيناريو بمراقبة الموظفين والمقاولين الموثوق بهم فقط بحثًا عن سلوك غير عادي أو "سيئ" أو خبيث. لا يقوم البائعون في هذا المجال من الخبرة بمراقبة أو تحليل سلوك حسابات الخدمة أو الكيانات غير البشرية الأخرى. ولهذا السبب إلى حد كبير، فإنهم لا يركزون على اكتشاف التهديدات المتقدمة حيث يتولى المتسللون السيطرة على الحسابات الحالية. وبدلاً من ذلك، تهدف هذه الاختبارات إلى تحديد الموظفين المتورطين في أنشطة ضارة.

في الأساس، ينبع مفهوم "المطلع الخبيث" من المستخدمين الموثوقين ذوي النوايا الخبيثة الذين يبحثون عن طرق لإلحاق الضرر بصاحب العمل. نظرًا لصعوبة قياس النية الخبيثة، يقوم أفضل البائعين في هذه الفئة بتحليل بيانات السلوك السياقية التي لا تتوفر بسهولة في سجلات التدقيق.

يقوم موفرو الحلول في هذا المجال أيضًا بإضافة وتحليل البيانات غير المنظمة على النحو الأمثل، مثل محتوى البريد الإلكتروني أو تقارير الإنتاجية أو معلومات الوسائط الاجتماعية، لتوفير سياق للسلوك.

التهديدات الداخلية والمتطفلة

ويتمثل التحدي في اكتشاف السلوك "السيء" وتحليله بسرعة بمجرد أن يتمكن المهاجم من الوصول إلى المؤسسة ويبدأ في التحرك داخل البنية التحتية لتكنولوجيا المعلومات.
من الصعب للغاية اكتشاف التهديدات المؤكدة (APTs)، مثل التهديدات غير المعروفة أو التي لم يتم فهمها بشكل كامل بعد، وغالبًا ما تختبئ وراء نشاط المستخدم المشروع أو حسابات الخدمة. عادة ما يكون لمثل هذه التهديدات نموذج تشغيل معقد (انظر، على سبيل المثال، المقالة " معالجة سلسلة القتل السيبراني") أو لم يتم تقييم سلوكهم بعد على أنه ضار. وهذا يجعل من الصعب اكتشافها باستخدام التحليلات البسيطة (مثل المطابقة حسب الأنماط أو الحدود أو قواعد الارتباط).

ومع ذلك، فإن العديد من هذه التهديدات المتطفلة تؤدي إلى سلوك غير قياسي، وغالبًا ما يشمل مستخدمين أو كيانات غير متوقعة (المعروفة أيضًا باسم المطلعين المخترقين). توفر تقنيات UEBA العديد من الفرص المثيرة للاهتمام لاكتشاف مثل هذه التهديدات، وتحسين نسبة الإشارة إلى الضوضاء، وتوحيد حجم الإشعارات وتقليله، وتحديد أولويات التنبيهات المتبقية، وتسهيل الاستجابة الفعالة للحوادث والتحقيق فيها.

غالبًا ما يتمتع بائعو UEBA الذين يستهدفون منطقة المشكلة هذه بتكامل ثنائي الاتجاه مع أنظمة SIEM الخاصة بالمؤسسة.

استخراج البيانات

وتتمثل المهمة في هذه الحالة في اكتشاف حقيقة نقل البيانات خارج المؤسسة.
عادةً ما يستفيد البائعون الذين يركزون على هذا التحدي من إمكانات DLP أو DAG من خلال الكشف عن الحالات الشاذة والتحليلات المتقدمة، وبالتالي تحسين نسبة الإشارة إلى الضوضاء، وتوحيد حجم الإشعارات، وتحديد أولويات المشغلات المتبقية. للحصول على سياق إضافي، يعتمد البائعون عادةً بشكل أكبر على حركة مرور الشبكة (مثل وكلاء الويب) وبيانات نقطة النهاية، حيث يمكن أن يساعد تحليل مصادر البيانات هذه في تحقيقات استخراج البيانات.

يتم استخدام اكتشاف تسرب البيانات للقبض على المتسللين الداخليين والخارجيين الذين يهددون المنظمة.

تحديد وإدارة الوصول المميز

يقوم مصنعو حلول UEBA المستقلة في هذا المجال من الخبرة بمراقبة وتحليل سلوك المستخدم على خلفية نظام الحقوق الذي تم تشكيله بالفعل من أجل تحديد الامتيازات المفرطة أو الوصول الشاذ. وينطبق هذا على جميع أنواع المستخدمين والحسابات، بما في ذلك الحسابات المميزة وحسابات الخدمة. تستخدم المؤسسات أيضًا UEBA للتخلص من الحسابات الخاملة وامتيازات المستخدم الأعلى من المطلوب.

تحديد أولويات الحوادث

الهدف من هذه المهمة هو تحديد أولويات الإشعارات التي تم إنشاؤها بواسطة الحلول الموجودة في مجموعتها التكنولوجية لفهم الحوادث أو الحوادث المحتملة التي يجب معالجتها أولاً. تعد منهجيات وأدوات UEBA مفيدة في تحديد الحوادث الشاذة بشكل خاص أو الخطيرة بشكل خاص بالنسبة لمنظمة معينة. في هذه الحالة، لا تستخدم آلية UEBA المستوى الأساسي للنشاط ونماذج التهديد فحسب، بل تقوم أيضًا بتشبع البيانات بمعلومات حول الهيكل التنظيمي للشركة (على سبيل المثال، الموارد أو الأدوار المهمة ومستويات الوصول للموظفين).

مشاكل تنفيذ حلول UEBA

تتمثل المشكلة التي تواجهها حلول UEBA في السوق في ارتفاع أسعارها وتنفيذها المعقد وصيانتها واستخدامها. بينما تعاني الشركات من عدد البوابات الداخلية المختلفة، فإنها تحصل على وحدة تحكم أخرى. يعتمد حجم استثمار الوقت والموارد في أداة جديدة على المهام المطروحة وأنواع التحليلات اللازمة لحلها، والتي تتطلب في أغلب الأحيان استثمارات كبيرة.

وعلى عكس ما يدعي العديد من الشركات المصنعة، فإن UEBA ليس أداة "اضبطها ثم انساها" والتي يمكن تشغيلها بشكل مستمر لعدة أيام متتالية.
يلاحظ عملاء Gartner، على سبيل المثال، أن إطلاق مبادرة UEBA من الصفر يستغرق من 3 إلى 6 أشهر للحصول على النتائج الأولى لحل المشكلات التي تم تنفيذ هذا الحل من أجلها. بالنسبة للمهام الأكثر تعقيدًا، مثل تحديد التهديدات الداخلية في المؤسسة، تزيد الفترة إلى 18 شهرًا.

العوامل المؤثرة على صعوبة تطبيق UEBA والفعالية المستقبلية للأداة:

  • تعقيد البنية التنظيمية وطوبولوجيا الشبكة وسياسات إدارة البيانات
  • توافر البيانات الصحيحة بالمستوى الصحيح من التفاصيل
  • مدى تعقيد خوارزميات التحليلات الخاصة بالمورد - على سبيل المثال، استخدام النماذج الإحصائية والتعلم الآلي مقابل الأنماط والقواعد البسيطة.
  • مقدار التحليلات المضمنة مسبقًا - أي فهم الشركة المصنعة للبيانات التي يجب جمعها لكل مهمة وما هي المتغيرات والسمات الأكثر أهمية لإجراء التحليل.
  • ما مدى سهولة قيام الشركة المصنعة بالتكامل تلقائيًا مع البيانات المطلوبة.

    على سبيل المثال:

    • إذا كان حل UEBA يستخدم نظام SIEM كمصدر رئيسي لبياناته، فهل يقوم SIEM بجمع المعلومات من مصادر البيانات المطلوبة؟
    • هل يمكن توجيه سجلات الأحداث وبيانات السياق التنظيمي الضرورية إلى حل UEBA؟
    • إذا لم يتمكن نظام SIEM بعد من جمع مصادر البيانات التي يحتاجها حل UEBA والتحكم فيها، فكيف يمكن نقلها إلى هناك؟

  • ما مدى أهمية سيناريو التطبيق بالنسبة للمؤسسة، وما عدد مصادر البيانات التي يتطلبها، وما مدى تداخل هذه المهمة مع مجال خبرة الشركة المصنعة.
  • ما هي درجة النضج والمشاركة التنظيمية المطلوبة - على سبيل المثال، إنشاء القواعد والنماذج وتطويرها وتحسينها؛ تعيين أوزان للمتغيرات للتقييم؛ أو تعديل عتبة تقييم المخاطر.
  • ما مدى قابلية حل البائع وبنيته للتوسع مقارنة بالحجم الحالي للمؤسسة ومتطلباتها المستقبلية.
  • حان الوقت لبناء النماذج الأساسية والملفات الشخصية والمجموعات الرئيسية. غالبًا ما يتطلب المصنعون 30 يومًا على الأقل (وأحيانًا ما يصل إلى 90 يومًا) لإجراء التحليل قبل أن يتمكنوا من تحديد المفاهيم "العادية". يمكن أن يؤدي تحميل البيانات التاريخية مرة واحدة إلى تسريع تدريب النموذج. يمكن تحديد بعض الحالات المثيرة للاهتمام بشكل أسرع باستخدام القواعد بدلاً من استخدام التعلم الآلي مع كمية صغيرة للغاية من البيانات الأولية.
  • يمكن أن يختلف مستوى الجهد المطلوب لإنشاء تجميع ديناميكي وملف تعريف الحساب (الخدمة/الشخص) اختلافًا كبيرًا بين الحلول.

المصدر: www.habr.com

إضافة تعليق