ProHoster > Blog > internet xəbərləri > UEBA bazarı öldü - yaşasın UEBA

UEBA bazarı öldü - yaşasın UEBA

UEBA bazarı öldü - yaşasın UEBA

Bu gün biz ən son məlumatlara əsaslanaraq İstifadəçi və Müəssisə Davranış Analitikası (UEBA) bazarının qısa icmalını təqdim edəcəyik. Gartner araşdırması. UEBA bazarı Gartner Təhdidlə Mübarizə Texnologiyaları üzrə Hype Cycle-a görə “məyusluq mərhələsinin” sonundadır və bu texnologiyanın yetkinliyini göstərir. Lakin vəziyyətin paradoksu UEBA texnologiyalarına investisiyaların eyni vaxtda ümumi artımında və müstəqil UEBA həlləri bazarının yoxa çıxmasındadır. Gartner, UEBA-nın əlaqəli informasiya təhlükəsizliyi həllərinin funksionallığının bir hissəsi olacağını proqnozlaşdırır. "UEBA" termini çox güman ki, istifadədən çıxacaq və daha dar bir tətbiq sahəsinə (məsələn, "istifadəçi davranışı analitikası"), oxşar tətbiq sahəsinə (məsələn, "məlumat analitikası") yönəlmiş başqa bir abbreviatura ilə əvəz olunacaq və ya sadəcə olaraq bəzi terminlərə çevriləcək. yeni söz (məsələn, "süni intellekt" [AI] termini maraqlı görünür, baxmayaraq ki, müasir UEBA istehsalçıları üçün heç bir məna kəsb etmir).

Gartner tədqiqatının əsas nəticələrini aşağıdakı kimi ümumiləşdirmək olar:

  • İstifadəçilərin və subyektlərin davranış analitikası bazarının yetkinliyi onunla təsdiqlənir ki, bu texnologiyalar bir sıra biznes problemlərinin həlli üçün orta və iri korporativ seqment tərəfindən istifadə olunur;
  • UEBA analitika imkanları bulud girişi təhlükəsizliyi brokerləri (CASB), identifikasiya idarəçiliyi və administrasiyası (IGA) SIEM sistemləri kimi əlaqəli informasiya təhlükəsizliyi texnologiyalarının geniş spektrində qurulmuşdur;
  • UEBA təchizatçıları ətrafında yaranan hay-küy və “süni intellekt” termininin düzgün istifadə edilməməsi müştərilərin pilot layihə həyata keçirmədən istehsalçıların texnologiyaları və həllərin funksionallığı arasındakı real fərqi başa düşməsini çətinləşdirir;
  • Müştərilər qeyd edirlər ki, UEBA həllərinin tətbiqi vaxtı və gündəlik istifadəsi, hətta yalnız əsas təhlükə aşkarlama modellərini nəzərə alsaq belə, istehsalçının vəd etdiyindən daha çox əmək tutumlu və vaxt apara bilər. Xüsusi və ya kənar istifadə hallarının əlavə edilməsi olduqca çətin ola bilər və məlumat elmi və analitika sahəsində təcrübə tələb edə bilər.

Strateji bazarın inkişafı proqnozu:

  • 2021-ci ilə qədər istifadəçi və təşkilatın davranış analitikası (UEBA) sistemləri bazarı ayrı bir sahə kimi mövcud olmağı dayandıracaq və UEBA funksionallığı ilə digər həllərə keçəcək;
  • 2020-ci ilə qədər bütün UEBA yerləşdirmələrinin 95%-i daha geniş təhlükəsizlik platformasının bir hissəsi olacaq.

UEBA həllərinin tərifi

UEBA həlləri istifadəçilərin və digər qurumların (məsələn, hostlar, proqramlar, şəbəkə trafiki və məlumat anbarları) fəaliyyətini qiymətləndirmək üçün daxili analitikadan istifadə edir.
Onlar təhdidləri və potensial insidentləri aşkarlayır, adətən müəyyən bir müddət ərzində oxşar qruplardakı istifadəçilər və qurumların standart profili və davranışı ilə müqayisədə anomal fəaliyyəti təmsil edir.

Müəssisə seqmentində ən çox yayılmış istifadə halları təhdidlərin aşkarlanması və cavablandırılması, eləcə də daxili təhdidlərin aşkarlanması və cavablandırılmasıdır (əsasən insayderlər; bəzən daxili hücumçular).

UEBA kimidir qərarfunksiyası, xüsusi alətə quraşdırılmışdır:

  • Həll yolu “təmiz” UEBA platformalarının istehsalçılarıdır, o cümlədən SIEM həllərini ayrıca satan satıcılardır. Həm istifadəçilərin, həm də qurumların davranış analitikasında geniş spektrli biznes problemlərinə diqqət yetirir.
  • Daxili – UEBA funksiyalarını və texnologiyalarını öz həllərinə inteqrasiya edən istehsalçılar/bölmələr. Bir qayda olaraq, daha spesifik biznes problemlərinə diqqət yetirilir. Bu halda, UEBA istifadəçilərin və/və ya qurumların davranışlarını təhlil etmək üçün istifadə olunur.

Gartner UEBA-ya problem həll edənlər, analitiklər və məlumat mənbələri daxil olmaqla üç ox boyunca baxır (şəklə bax).

UEBA bazarı öldü - yaşasın UEBA

"Saf" UEBA platformaları daxili UEBA ilə müqayisədə

Gartner “təmiz” UEBA platformasını aşağıdakı həllər hesab edir:

  • yalnız mücərrəd “anomal istifadəçi fəaliyyətinin monitorinqi”ni deyil, imtiyazlı istifadəçilərin monitorinqi və ya təşkilatdan kənar məlumatların çıxarılması kimi bir neçə xüsusi problemləri həll etmək;
  • mütləq əsas analitik yanaşmalara əsaslanan mürəkkəb analitikanın istifadəsini əhatə edir;
  • infrastrukturda ayrıca agentlərin yerləşdirilməsinə məcburi ehtiyac olmadan həm daxili məlumat mənbəyi mexanizmləri, həm də log idarəetmə alətləri, Data lake və/və ya SIEM sistemləri daxil olmaqla məlumatların toplanması üçün bir neçə variant təqdim etmək;
  • daxil olmaq əvəzinə müstəqil həllər kimi satın alına və yerləşdirilə bilər
    digər məhsulların tərkibi.

Aşağıdakı cədvəl iki yanaşmanı müqayisə edir.

Cədvəl 1. “Saf” UEBA həlləri və daxili həllər

Kateqoriya "Saf" UEBA platformaları Daxili UEBA ilə digər həllər
Həll edilməli problem İstifadəçi davranışının və obyektlərin təhlili. Məlumatın olmaması UEBA-nı yalnız istifadəçilərin və ya qurumların davranışını təhlil etmək üçün məhdudlaşdıra bilər.
Həll edilməli problem Geniş spektrli problemlərin həllinə xidmət edir Məhdud tapşırıqlar dəstində ixtisaslaşır
Analytics Müxtəlif analitik metodlardan istifadə edərək anomaliyaların aşkarlanması - əsasən statistik modellər və maşın öyrənməsi, qaydalar və imzalarla birlikdə. İstifadəçi və qurum fəaliyyətini onların və həmkarlarının profilləri ilə müqayisə etmək üçün daxili analitika ilə gəlir. Təmiz UEBA-ya bənzəyir, lakin təhlil yalnız istifadəçilər və/yaxud qurumlarla məhdudlaşdırıla bilər.
Analytics Təkcə qaydalarla məhdudlaşmır, təkmil analitik imkanlar. Məsələn, obyektlərin dinamik qruplaşdırılması ilə klasterləşdirmə alqoritmi. “Saf” UEBA-ya bənzəyir, lakin bəzi daxil edilmiş təhlükə modellərində təşkilat qruplaşması yalnız əl ilə dəyişdirilə bilər.
Analytics İstifadəçilərin və digər qurumların fəaliyyətinin və davranışının korrelyasiyası (məsələn, Bayes şəbəkələrindən istifadə etməklə) və anomal fəaliyyəti müəyyən etmək üçün fərdi risk davranışının birləşdirilməsi. Təmiz UEBA-ya bənzəyir, lakin təhlil yalnız istifadəçilər və/yaxud qurumlarla məhdudlaşdırıla bilər.
Məlumat mənbələri SIEM və ya Data lake kimi daxili mexanizmlər və ya mövcud məlumat anbarları vasitəsilə birbaşa məlumat mənbələrindən istifadəçilər və qurumlar üzrə hadisələrin qəbulu. Məlumatların əldə edilməsi mexanizmləri adətən yalnız birbaşa olur və yalnız istifadəçilərə və/yaxud digər qurumlara təsir göstərir. Günlük idarəetmə alətlərindən / SIEM / Data gölündən istifadə etməyin.
Məlumat mənbələri Həll yalnız məlumatların əsas mənbəyi kimi şəbəkə trafikinə etibar etməməli və telemetriya toplamaq üçün yalnız öz agentlərinə etibar etməməlidir. Həll yalnız şəbəkə trafikinə diqqət yetirə bilər (məsələn, NTA - şəbəkə trafikinin təhlili) və/yaxud onun agentlərindən son cihazlarda (məsələn, işçilərin monitorinqi utilitləri) istifadə edə bilər.
Məlumat mənbələri İstifadəçi/müəssisə məlumatlarının kontekstlə doyurulması. Real vaxt rejimində strukturlaşdırılmış hadisələrin, eləcə də İT kataloqlarından - məsələn, Active Directory (AD) və ya digər maşın tərəfindən oxuna bilən informasiya resurslarından (məsələn, HR verilənlər bazası) strukturlaşdırılmış/strukturlaşdırılmamış əlaqəli məlumatların toplanmasına dəstək verir. Təmiz UEBA-ya bənzəyir, lakin kontekstual məlumatların əhatə dairəsi hər bir halda fərqli ola bilər. AD və LDAP, daxili UEBA həlləri tərəfindən istifadə edilən ən ümumi kontekstli məlumat anbarlarıdır.
Mövcudluq Sadalanan xüsusiyyətləri müstəqil məhsul kimi təqdim edir. Daxili UEBA funksionallığını onun qurulduğu xarici həlli almadan almaq mümkün deyil.
Mənbə: Gartner (May 2019)

Beləliklə, müəyyən problemləri həll etmək üçün quraşdırılmış UEBA əsas UEBA analitikasından (məsələn, sadə nəzarətsiz maşın öyrənməsindən) istifadə edə bilər, lakin eyni zamanda, tam olaraq lazımi məlumatlara çıxış sayəsində, ümumiyyətlə, "təmiz" məlumatlardan daha effektiv ola bilər. UEBA həlli. Eyni zamanda, “təmiz” UEBA platformaları, gözlənildiyi kimi, daxili UEBA aləti ilə müqayisədə əsas nou-hau kimi daha mürəkkəb analitika təklif edir. Bu nəticələr Cədvəl 2-də ümumiləşdirilmişdir.

Cədvəl 2. “Saf” və quraşdırılmış UEBA arasındakı fərqlərin nəticəsi

Kateqoriya "Saf" UEBA platformaları Daxili UEBA ilə digər həllər
Analytics Müxtəlif biznes problemlərinin həlli üçün tətbiq oluna bilənlik daha mürəkkəb analitika və maşın öyrənmə modellərinə vurğu ilə daha universal UEBA funksiyaları dəstini nəzərdə tutur. Daha kiçik biznes problemlərinə diqqət yetirmək, daha sadə məntiqə malik olan proqrama xas modellərə diqqət yetirən yüksək ixtisaslaşmış xüsusiyyətlər deməkdir.
Analytics Hər bir tətbiq ssenarisi üçün analitik modelin fərdiləşdirilməsi zəruridir. Analitik modellər UEBA-nın quraşdırıldığı alət üçün əvvəlcədən konfiqurasiya edilmişdir. Daxili UEBA-ya malik bir alət, ümumiyyətlə, müəyyən biznes problemlərinin həllində daha sürətli nəticələr əldə edir.
Məlumat mənbələri Korporativ infrastrukturun bütün guşələrindən məlumat mənbələrinə giriş. Daha az məlumat mənbəyi, adətən onlar üçün agentlərin mövcudluğu və ya UEBA funksiyaları olan alətin özü ilə məhdudlaşır.
Məlumat mənbələri Hər bir jurnalda olan məlumat məlumat mənbəyi ilə məhdudlaşdırıla bilər və mərkəzləşdirilmiş UEBA aləti üçün bütün lazımi məlumatları ehtiva edə bilməz. Agent tərəfindən toplanan və UEBA-ya ötürülən xam məlumatın miqdarı və təfərrüatı xüsusi olaraq konfiqurasiya edilə bilər.
memarlıq Bu, təşkilat üçün tam UEBA məhsuludur. SIEM sisteminin və ya Data gölünün imkanlarından istifadə etməklə inteqrasiya daha asandır. Daxili UEBA olan həllərin hər biri üçün ayrıca UEBA xüsusiyyətləri dəsti tələb edir. Daxili UEBA həlləri tez-tez agentlərin quraşdırılmasını və məlumatların idarə edilməsini tələb edir.
İnteqrasiya Hər bir halda UEBA həllinin digər alətlərlə əl ilə inteqrasiyası. Təşkilata “analoqlar arasında ən yaxşısı” yanaşmasına əsaslanaraq öz texnologiya yığınını qurmağa imkan verir. UEBA funksiyalarının əsas paketləri artıq istehsalçı tərəfindən alətin özünə daxil edilmişdir. UEBA modulu daxilidir və onu çıxarmaq mümkün deyil, ona görə də müştərilər onu özlərinə məxsus bir şeylə əvəz edə bilməzlər.
Mənbə: Gartner (May 2019)

UEBA bir funksiya olaraq

UEBA əlavə analitikadan faydalana bilən uç-to-end kibertəhlükəsizlik həllərinin xüsusiyyətinə çevrilir. UEBA bu həllərin əsasını təşkil edir, istifadəçi və/yaxud təşkilatın davranış nümunələrinə əsaslanan güclü qabaqcıl analitika qatını təmin edir.

Hal-hazırda bazarda daxili UEBA funksionallığı texnoloji əhatə dairəsinə görə qruplaşdırılan aşağıdakı həllərdə həyata keçirilir:

  • Məlumata əsaslanan audit və mühafizə, strukturlaşdırılmış və strukturlaşdırılmamış məlumatların saxlanmasının (aka DCAP) təhlükəsizliyini yaxşılaşdırmağa yönəlmiş təchizatçılardır.

    Satıcıların bu kateqoriyasında Gartner qeyd edir ki, digər şeylər arasında, Varonis kibertəhlükəsizlik platforması, müxtəlif məlumat mağazalarında strukturlaşdırılmamış məlumat icazələrində, girişdə və istifadədə dəyişiklikləri izləmək üçün istifadəçi davranışı analitikasını təklif edir.

  • CASB sistemləri, adaptiv giriş idarəetmə sistemindən istifadə edərək arzuolunmaz cihazlar, istifadəçilər və tətbiq versiyaları üçün bulud xidmətlərinə girişi bloklamaqla bulud əsaslı SaaS proqramlarında müxtəlif təhlükələrdən qorunma təklif edir.

    Bütün bazarda aparıcı CASB həlləri UEBA imkanlarını ehtiva edir.

  • DLP həlləri – kritik məlumatların təşkilatdan kənara ötürülməsini və ya ondan sui-istifadəni aşkar etməyə diqqət yetirir.

    DLP irəliləyişləri əsasən istifadəçi, tətbiq, yer, vaxt, hadisələrin sürəti və digər xarici faktorlar kimi kontekstin başa düşülməsinə daha az diqqət yetirməklə məzmunun başa düşülməsinə əsaslanır. Effektiv olmaq üçün DLP məhsulları həm məzmunu, həm də kontekstini tanımalıdır. Buna görə bir çox istehsalçı UEBA funksionallığını öz həllərinə inteqrasiya etməyə başlayır.

  • İşçilərin monitorinqi adətən qanuni proseslər üçün uyğun olan məlumat formatında (lazım olduqda) işçilərin hərəkətlərini qeyd etmək və təkrarlamaq qabiliyyətidir.

    İstifadəçilərin daimi monitorinqi çox vaxt əllə filtrasiya və insan analizi tələb edən böyük miqdarda məlumat yaradır. Buna görə də, UEBA bu həllərin işini yaxşılaşdırmaq və yalnız yüksək riskli hadisələri aşkar etmək üçün monitorinq sistemləri daxilində istifadə olunur.

  • Son Nöqtə Təhlükəsizliyi – Son nöqtənin aşkarlanması və cavablandırılması (EDR) həlləri və son nöqtə mühafizə platformaları (EPP) güclü cihazlar və əməliyyat sistemi telemetriyasını təmin edir.
    son cihazlar.

    Bu cür istifadəçi ilə əlaqəli telemetriya daxili UEBA funksionallığını təmin etmək üçün təhlil edilə bilər.

  • Onlayn fırıldaqçılıq – Onlayn fırıldaqçılığın aşkarlanması həlləri saxtakarlıq, zərərli proqram və ya təminatsız bağlantıların istismarı/brauzer trafikinin ələ keçirilməsi yolu ilə müştərinin hesabının pozulmasını göstərən deviant fəaliyyəti aşkarlayır.

    Fırıldaqçılıq həllərinin əksəriyyəti UEBA-nın mahiyyətindən, əməliyyatların təhlilindən və cihazın ölçülməsindən istifadə edir, daha təkmil sistemlər onları şəxsiyyət məlumat bazasındakı əlaqələri uyğunlaşdırmaqla tamamlayır.

  • IAM və giriş nəzarəti – Gartner, girişə nəzarət sistemi təchizatçıları arasında sırf təchizatçılarla inteqrasiya etmək və onların məhsullarına bəzi UEBA funksionallığı yaratmaq üçün təkamül meylini qeyd edir.
  • IAM və Identity Governance and Administration (IGA) sistemləri anomaliyaların aşkarlanması, oxşar qurumların dinamik qruplaşdırılması təhlili, giriş təhlili və giriş siyasətinin təhlili kimi davranış və şəxsiyyət analitikası ssenarilərini əhatə etmək üçün UEBA-dan istifadə edin.
  • IAM və Privileged Access Management (PAM) – İnzibati hesablardan istifadənin monitorinqi roluna görə, PAM həlləri inzibati hesabların necə, niyə, nə vaxt və harada istifadə edildiyini göstərmək üçün telemetriyaya malikdir. Bu məlumatlar idarəçilərin anomal davranışının və ya zərərli niyyətin olması üçün UEBA-nın daxili funksionallığından istifadə etməklə təhlil edilə bilər.
  • İstehsalçılar NTA (Şəbəkə Trafik Təhlili) – korporativ şəbəkələrdə şübhəli fəaliyyəti müəyyən etmək üçün maşın öyrənməsi, qabaqcıl analitika və qaydaya əsaslanan aşkarlama kombinasiyasından istifadə edin.

    NTA alətləri ilk növbədə təşkilatın davranış analitikasına fokuslanaraq normal şəbəkə davranışını əks etdirən modellər yaratmaq üçün mənbə trafikini və/və ya axın qeydlərini (məsələn, NetFlow) davamlı olaraq təhlil edir.

  • siem – bir çox SIEM təchizatçıları indi SIEM-də və ya ayrıca UEBA modulu kimi inkişaf etmiş məlumat analitikası funksionallığına malikdir. 2018-ci il ərzində və indiyə qədər 2019-cu ildə məqalədə müzakirə edildiyi kimi SIEM və UEBA funksionallığı arasında sərhədlərin davamlı olaraq bulanıqlığı müşahidə edilmişdir. "Müasir SIEM üçün texnologiya anlayışı". SIEM sistemləri analitika ilə işləməkdə və daha mürəkkəb tətbiq ssenariləri təklif etməkdə daha yaxşı hala gəldi.

UEBA Tətbiq Ssenariləri

UEBA həlləri bir çox problemləri həll edə bilər. Bununla belə, Gartner müştəriləri razılaşırlar ki, əsas istifadə halı istifadəçi davranışı və digər qurumlar arasında tez-tez korrelyasiyaların nümayişi və təhlili ilə əldə edilən müxtəlif kateqoriyalı təhdidlərin aşkar edilməsini nəzərdə tutur:

  • icazəsiz giriş və məlumatların hərəkəti;
  • imtiyazlı istifadəçilərin şübhəli davranışı, işçilərin zərərli və ya icazəsiz fəaliyyəti;
  • bulud resurslarına qeyri-standart giriş və istifadə;
  • və s.

Fırıldaqçılıq və ya işçilərin monitorinqi kimi bir sıra atipik qeyri-kibertəhlükəsizlikdən istifadə halları da var ki, bunlar üçün UEBA əsaslandırıla bilər. Bununla belə, onlar çox vaxt İT və informasiya təhlükəsizliyindən kənar məlumat mənbələrini və ya bu sahəni dərindən başa düşmüş xüsusi analitik modelləri tələb edirlər. Həm UEBA istehsalçılarının, həm də onların müştərilərinin razılaşdığı beş əsas ssenari və tətbiqlər aşağıda təsvir edilmişdir.

"Zərərli Insider"

Bu ssenarini əhatə edən UEBA həll provayderləri yalnız qeyri-adi, “pis” və ya zərərli davranış üçün işçiləri və etibarlı podratçılara nəzarət edir. Bu ekspertiza sahəsində satıcılar xidmət hesablarının və ya digər qeyri-insani qurumların davranışına nəzarət etmir və təhlil etmirlər. Əsasən buna görə, onlar hakerlərin mövcud hesabları ələ keçirdiyi qabaqcıl təhdidləri aşkar etməyə diqqət yetirmirlər. Bunun əvəzinə onlar zərərli fəaliyyətlərdə iştirak edən işçilərin müəyyən edilməsinə yönəlib.

Əslində, "zərərli insayder" anlayışı işəgötürənə zərər vurmaq yollarını axtaran, zərərli niyyəti olan etibarlı istifadəçilərdən qaynaqlanır. Zərərli niyyəti ölçmək çətin olduğundan, bu kateqoriyadakı ən yaxşı satıcılar audit jurnallarında asanlıqla əldə olunmayan kontekstli davranış məlumatlarını təhlil edirlər.

Bu məkanda həll provayderləri davranış üçün kontekst təmin etmək üçün e-poçt məzmunu, məhsuldarlıq hesabatları və ya sosial media məlumatları kimi strukturlaşdırılmamış məlumatları optimal şəkildə əlavə edir və təhlil edir.

Təhlükəli insayder və müdaxilə təhdidləri

Təcavüzkar təşkilata giriş əldə etdikdən və İT infrastrukturu daxilində hərəkət etməyə başlayandan sonra problem “pis” davranışı tez aşkar etmək və təhlil etməkdir.
Naməlum və ya hələ tam başa düşülməmiş təhdidlər kimi iddialı təhdidləri (APT) aşkar etmək olduqca çətindir və çox vaxt qanuni istifadəçi fəaliyyəti və ya xidmət hesablarının arxasında gizlənir. Bu cür təhdidlər adətən mürəkkəb əməliyyat modelinə malikdir (məsələn, “məqaləsinə baxın” Kiber öldürmə zəncirinə müraciət") və ya onların davranışı hələ zərərli kimi qiymətləndirilməyib. Bu, sadə analitikadan (məsələn, nümunələr, həddlər və ya korrelyasiya qaydaları ilə uyğunluq) istifadə edərək aşkarlanmağı çətinləşdirir.

Bununla belə, bu müdaxilə təhdidlərinin çoxu qeyri-standart davranışla nəticələnir, çox vaxt şübhəsiz istifadəçilər və ya qurumlar (aka güzəştə gedən insayderlər) cəlb olunur. UEBA texnikaları bu cür təhlükələri aşkar etmək, siqnal-səs nisbətini yaxşılaşdırmaq, bildirişlərin həcmini birləşdirmək və azaltmaq, qalan xəbərdarlıqlara üstünlük vermək və insidentlərə təsirli reaksiya və araşdırmanı asanlaşdırmaq üçün bir neçə maraqlı imkanlar təklif edir.

Bu problem sahəsini hədəf alan UEBA satıcıları çox vaxt təşkilatın SIEM sistemləri ilə iki istiqamətli inteqrasiyaya malikdirlər.

Məlumatların eksfiltrasiyası

Bu vəziyyətdə vəzifə məlumatların təşkilatdan kənara ötürülməsi faktını aşkar etməkdir.
Bu problemə diqqət yetirən satıcılar adətən anomaliyaların aşkarlanması və qabaqcıl analitika ilə DLP və ya DAG imkanlarından istifadə edir, bununla da siqnal-küy nisbətini yaxşılaşdırır, bildirişlərin həcmini gücləndirir və qalan tətikləri prioritetləşdirir. Əlavə kontekst üçün satıcılar adətən daha çox şəbəkə trafikinə (məsələn, veb proksilər) və son nöqtə məlumatlarına etibar edirlər, çünki bu məlumat mənbələrinin təhlili məlumatların eksfiltrasiyası araşdırmalarına kömək edə bilər.

Məlumat eksfiltrasiyasının aşkarlanması təşkilatı təhdid edən insayderləri və xarici hakerləri tutmaq üçün istifadə olunur.

İmtiyazlı girişin müəyyən edilməsi və idarə edilməsi

Bu sahədə müstəqil UEBA həllərinin istehsalçıları həddindən artıq imtiyazları və ya anomal girişi müəyyən etmək üçün artıq formalaşmış hüquqlar sistemi fonunda istifadəçi davranışını müşahidə edir və təhlil edirlər. Bu, imtiyazlı və xidmət hesabları daxil olmaqla, bütün növ istifadəçilər və hesablara aiddir. Təşkilatlar, həmçinin tələb olunandan yüksək olan hərəkətsiz hesablardan və istifadəçi imtiyazlarından xilas olmaq üçün UEBA-dan istifadə edirlər.

Hadisənin prioritetləşdirilməsi

Bu tapşırığın məqsədi ilk növbədə hansı hadisələrin və ya potensial insidentlərin həll edilməli olduğunu başa düşmək üçün onların texnologiya yığınında həllər tərəfindən yaradılan bildirişlərə üstünlük verməkdir. UEBA metodologiyaları və alətləri müəyyən bir təşkilat üçün xüsusilə anormal və ya xüsusilə təhlükəli olan hadisələrin müəyyən edilməsində faydalıdır. Bu halda, UEBA mexanizmi yalnız fəaliyyətin baza səviyyəsindən və təhlükə modellərindən istifadə etmir, həm də məlumatları şirkətin təşkilati strukturu (məsələn, kritik resurslar və ya rollar və işçilərin giriş səviyyələri) haqqında məlumatla doyurur.

UEBA həllərinin tətbiqi problemləri

UEBA həllərinin bazar ağrısı onların yüksək qiyməti, kompleks tətbiqi, texniki xidməti və istifadəsidir. Şirkətlər müxtəlif daxili portalların sayı ilə mübarizə apararkən, başqa bir konsol əldə edirlər. Yeni alətə vaxt və resursların qoyuluşunun həcmi qarşıda duran vəzifələrdən və onları həll etmək üçün lazım olan analitik növlərdən asılıdır və çox vaxt böyük investisiyalar tələb olunur.

Bir çox istehsalçının iddia etdiyinin əksinə olaraq, UEBA, günlərlə fasiləsiz işləyə bilən “onu təyin et və unut” aləti deyil.
Məsələn, Gartner müştəriləri qeyd edirlər ki, bu həllin həyata keçirildiyi problemlərin həllinin ilk nəticələrini əldə etmək üçün UEBA təşəbbüsünü sıfırdan işə salmaq 3 aydan 6 aya qədər vaxt aparır. Təşkilatda daxili təhlükələrin müəyyən edilməsi kimi daha mürəkkəb vəzifələr üçün müddət 18 aya qədər artır.

UEBA-nın həyata keçirilməsinin çətinliyinə və alətin gələcək effektivliyinə təsir edən amillər:

  • Təşkilat arxitekturasının, şəbəkə topologiyasının və məlumatların idarə edilməsi siyasətlərinin mürəkkəbliyi
  • Təfərrüatların düzgün səviyyəsində düzgün məlumatların mövcudluğu
  • Satıcının analitik alqoritmlərinin mürəkkəbliyi – məsələn, statistik modellərin istifadəsi və sadə nümunələr və qaydalara qarşı maşın öyrənməsi.
  • Əvvəlcədən konfiqurasiya edilmiş analitikanın miqdarı, yəni istehsalçının hər bir tapşırıq üçün hansı məlumatların toplanması lazım olduğunu və təhlili həyata keçirmək üçün hansı dəyişənlərin və atributların ən vacib olduğunu başa düşməsi.
  • İstehsalçının tələb olunan məlumatlarla avtomatik inteqrasiyası nə qədər asandır.

    Misal üçün:

    • Əgər UEBA həlli məlumatlarının əsas mənbəyi kimi SIEM sistemindən istifadə edirsə, SIEM tələb olunan məlumat mənbələrindən məlumat toplayırmı?
    • Lazımi hadisə qeydləri və təşkilati kontekst məlumatları UEBA həllinə yönləndirilə bilərmi?
    • Əgər SIEM sistemi hələ də UEBA həlli üçün lazım olan məlumat mənbələrini toplamayıb idarə etmirsə, onda onlar ora necə ötürülə bilər?

  • Tətbiq ssenarisi təşkilat üçün nə qədər vacibdir, nə qədər məlumat mənbəyi tələb edir və bu vəzifə istehsalçının təcrübə sahəsi ilə nə qədər üst-üstə düşür.
  • Hansı dərəcədə təşkilati yetkinlik və iştirak tələb olunur – məsələn, qaydaların və modellərin yaradılması, inkişafı və təkmilləşdirilməsi; qiymətləndirmə üçün dəyişənlərə çəkilərin təyin edilməsi; və ya riskin qiymətləndirilməsi həddinin tənzimlənməsi.
  • Təchizatçının həlli və onun arxitekturası təşkilatın hazırkı ölçüsü və gələcək tələbləri ilə müqayisədə nə qədər genişlənə bilər.
  • Əsas modelləri, profilləri və əsas qrupları qurmaq vaxtıdır. İstehsalçılar tez-tez "normal" anlayışları təyin etməzdən əvvəl təhlil aparmaq üçün ən azı 30 gün (və bəzən 90 günə qədər) tələb edirlər. Tarixi məlumatların bir dəfə yüklənməsi model təlimini sürətləndirə bilər. Maraqlı halların bəziləri inanılmaz dərəcədə az miqdarda ilkin məlumatla maşın öyrənməsindən istifadə etməklə müqayisədə qaydalardan daha tez müəyyən edilə bilər.
  • Dinamik qruplaşdırma və hesab profilini (xidmət/şəxs) qurmaq üçün tələb olunan səy səviyyəsi həllər arasında çox fərqli ola bilər.

Mənbə: www.habr.com

Добавить комментарий