Сёння мы прадставім кароткі агляд рынку сістэм паводніцкай аналітыкі карыстальнікаў і сутнасцяў (UEBA) на аснове апошняга даследаванні Gartner. Рынак UEBA знаходзіцца ў ніжняй кропцы "стадыі расчаравання" па Gartner Hype Cycle for Threat-Facing Technologies, што паказвае на сталасць дадзенай тэхналогіі. Але парадокс сітуацыі заключаецца ў адначасовым агульным росце інвестыцый у UEBA-тэхналогіі і знікаючым рынкам самастойных UEBA рашэнняў. Gartner прагназуе, што UEBA стане часткай функцыяналу сумежных рашэнняў у вобласці інфармацыйнай бяспекі. Тэрмін «UEBA», хутчэй за ўсё, выйдзе з ужытку і будзе заменены на іншы акронім, сфакусаваны на вузейшай вобласці ўжывання (напрыклад, «аналітыка паводзін карыстачоў»), на падобнай вобласці ўжывання (напрыклад, «выкарыстанне дадзеных») ці проста ператворыцца ў нейкае новае моднае слова (напрыклад, тэрмін "штучны інтэлект" [ІІ] выглядае цікавым, хоць ён і не нясе ніякага сэнсу для сучасных вытворцаў UEBA).
Ключавыя вынікі даследавання Gartner можна выказаць так:
Пацвярджэннем сталасці рынку паводніцкай аналітыкі карыстальнікаў і сутнасцяў служыць факт выкарыстання дадзеных тэхналогій сярэднім і буйным карпаратыўным сегментам для вырашэння шэрагу бізнес-задач;
Функцыі UEBA-аналітыкі ўбудаваны ў шырокі дыяпазон сумежных тэхналогій інфармацыйнай бяспекі, такіх як брокеры бяспечнага доступу ў воблака (CASB), сістэмы кіравання і адміністравання ідэнтыфікацыяй (IGA) SIEM-сістэмы;
Шуміха вакол вендараў UEBA і некарэктнае выкарыстанне тэрміна "штучны інтэлект" ускладняе разуменне заказчыкамі рэальнай розніцы паміж тэхналогіямі вытворцаў і функцыянальнымі магчымасцямі рашэнняў без правядзення пілотнага праекта;
Пакупнікі адзначаюць, што час укаранення і штодзённае выкарыстанне UEBA рашэнняў можа быць больш працаёмкім і адымаць больш часу, чым абяцае вытворца, нават калі разглядаць толькі базавыя мадэлі выяўлення пагроз. Даданне ўласных ці межавых сцэнараў ужывання можа быць вельмі цяжкім і патрабавальным экспертызы ў навуцы аб дадзеных і аналітыцы.
Стратэгічны прагноз развіцця рынку:
Да 2021 года рынак сістэм паводніцкай аналітыкі карыстальнікаў і сутнасцяў (UEBA) спыніць сваё існаванне як асобная вобласць і ссунецца ў бок іншых рашэнняў з функцыяналам UEBA;
Да 2020 года 95% усіх укараненняў UEBA будзе з'яўляцца часткай функцыяналу шырэйшай платформы бяспекі.
Вызначэнне UEBA-рашэнняў
Рашэнні UEBA выкарыстоўваюць убудаваную аналітыку для ацэнкі актыўнасці карыстальнікаў і іншых сутнасцяў (напрыклад, хастоў, прыкладанняў, сеткавага трафіку і сховішчаў дадзеных).
Яны выяўляюць пагрозы і патэнцыйныя інцыдэнты, звычайна якія прадстаўляюць анамальную актыўнасцю ў параўнанні са стандартным профілем і паводзінамі карыстальнікаў і сутнасцяў у падобных групах за пэўны перыяд часу.
Найбольш распаўсюджаныя сцэнары прымянення ў карпаратыўным сегменце – выяўленне пагроз і зваротнае рэагаванне, а таксама дэтэктаванне і зваротнае рэагаванне на ўнутраныя пагрозы (у большасці выпадкаў – на скампраметаваных інсайдэраў; часам – на ўнутраных зламыснікаў).
UEBA з'яўляецца як рашэннем, так і функцыяй, убудаванай у пэўны інструмент:
Рашэнне - вытворцы «чыстых» UEBA платформаў, уключаючы вендараў, якія прадаюць таксама асобна SIEM-рашэнні. Сфакусаваныя на шырокім дыяпазоне бізнэс-задач па аналітыцы паводзін як карыстачоў, так і сутнасцяў.
Убудаваныя - вытворцы / падраздзяленні, якія ўбудоўваюць UEBA функцыі і тэхналогіі ў свае рашэнні. Звычайна сфакусаваны на больш спецыфічным наборы бізнес-задач. У дадзеным выпадку UEBA выкарыстоўваецца для аналізу паводзін карыстальнікаў і/або сутнасцяў.
Gartner разглядае UEBA у зрэзе трох восяў, якія ўключаюць развязальныя задачы, аналітыку і крыніцы дадзеных (гл. малюнак).
«Чыстыя» UEBA-платформы супраць убудаванага UEBA
Gartner лічыць "чыстай" UEBA-платформай рашэння, якія:
вырашаюць некалькі канкрэтных задач, такіх як маніторынг прывілеяваных карыстальнікаў або вывад даных за межы арганізацыі, а не проста абстрактны "маніторынг анамальнай актыўнасці карыстальнікаў";
маюць на ўвазе выкарыстанне складанай аналітыкі, па неабходнасці якая засноўваецца на базавых аналітычных падыходах;
падаюць некалькі варыянтаў збору дадзеных, у тым ліку як убудаваныя механізмы крыніц дадзеных, так і ад інструментаў кіравання часопісамі, Data lake і / або SIEM сістэм, без абавязковай неабходнасці разгортвання асобных агентаў у інфраструктуры;
могуць быць набыты і разгорнутыя як самастойныя рашэнні, а не ўключаны ў
склад іншых прадуктаў.
Ніжэй у табліцы прадстаўлена параўнанне двух падыходаў.
Табліца 1. «Чыстыя» UEBA рашэнні vs убудаваныя
катэгорыя
"Чыстыя" UEBA платформы
Іншыя рашэнні з убудаваным UEBA
Вырашаная задача
Аналіз паводзін карыстальнікаў, а таксама сутнасцяў.
Недахоп дадзеных можа абмежаваць UEBA у аналізе паводзін толькі карыстачоў ці сутнасцяў.
Вырашаная задача
Служыць для рашэння шырокага спектра задач
Спецыялізуецца на абмежаваным наборы задач
Аналітыка
Выяўленне анамалій з дапамогай розных аналітычных метадаў - у асноўным праз статыстычныя мадэлі і машыннае навучанне, сумесна з правіламі і сігнатурамі. Пастаўляецца з убудаванай аналітыкай для стварэння і параўнання актыўнасці карыстальнікаў і сутнасцяў з іх профілямі і профілямі калег.
Аналагічна "чыстым" UEBA, аднак аналіз можа быць абмежаваны толькі карыстальнікамі і/або сутнасцямі.
Аналітыка
Пашыраныя аналітычныя магчымасці, не абмежаваныя толькі правіламі. Напрыклад - алгарытм кластарызацыі з дынамічнай групоўкай сутнасцяў.
Аналагічна чыстым UEBA, аднак групоўка сутнасцяў у некаторых мадэлях убудаваных пагроз можна змяніць толькі ўручную.
Аналітыка
Карэляцыя актыўнасці і паводзін карыстальнікаў і іншых сутнасцяў (напрыклад, метадам байесаўскіх сетак) і агрэгацыя індывідуальных рызыкоўных паводзін з мэтай выявіць анамальную актыўнасць.
Аналагічна "чыстым" UEBA, аднак аналіз можа быць абмежаваны толькі карыстальнікамі і/або сутнасцямі.
Крыніцы дадзеных
Атрыманне падзей па карыстачах і сутнасцям ад крыніц дадзеных напроста праз убудаваныя механізмы ці існыя сховішчы дадзеных, такіх як SIEM ці Data lake.
Механізмы атрымання дадзеных звычайна толькі напроста і закранаюць толькі карыстачоў і/ці іншыя сутнасці. Не выкарыстоўваюць інструменты кіравання часопісамі / SIEM / Data lake.
Крыніцы дадзеных
Рашэнне не павінна толькі спадзявацца на сеткавы трафік як на асноўную крыніцу даных, як і выключна на ўласныя агенты для збору тэлеметрыі.
Рашэнне можа быць сфакусавана толькі на сеткавым трафіку (напрыклад, NTA - аналіз сеткавага трафіку) і / або выкарыстоўваць свае агенты на канчатковых прыладах (напрыклад, утыліты маніторынгу супрацоўнікаў).
Крыніцы дадзеных
Насычэнне дадзеных аб карыстальніках / сутнасцях кантэкстам. Падтрымка збору структураваных падзей у рэальным часе, а таксама структураваных / неструктураваных сувязных дадзеных з ІТ дырэкторый - напрыклад, Active Directory (AD), або іншых рэсурсаў з машыначытальнай інфармацыяй (напрыклад, базы дадзеных аддзела кадраў).
Аналагічна "чыстым" UEBA, аднак сфера ахопу кантэкстных дадзеных можа адрознівацца ў розных выпадках. AD і LDAP - найбольш распаўсюджаныя сховішчы кантэкстных дадзеных, якія выкарыстоўваюцца ўбудаванымі UEBA рашэннямі.
даступнасць
Дае пералічаныя магчымасці ў якасці самастойнага прадукта.
Немагчыма купіць убудаваны UEBA функцыянал без пакупкі знешняга рашэння, у якое яно ўбудавана.
Крыніца: Gartner (травень 2019)
Такім чынам, для рашэння вызначаных задач убудаваны UEBA можа выкарыстаць базавую UEBA-аналітыку (напрыклад, простае машыннае навучанне без настаўніка), але пры гэтым дзякуючы доступу менавіта да патрэбных дадзеных, можа быць у цэлым больш эфектыўным, чым "чыстае" UEBA рашэнне. Пры гэтым "чыстыя" платформы UEBA чакана прапануюць больш складаную аналітыку як асноўнае ноу-хау ў параўнанні з убудаваным UEBA-інструментам. Дадзеныя вынікі коратка выкладзены ў табліцы 2.
Табліца 2. Вынік адрозненняў "чыстых" і ўбудаваных UEBA
катэгорыя
"Чыстыя" UEBA платформы
Іншыя рашэнні з убудаваным UEBA
Аналітыка
Дастасавальнасць для рашэння мноства бізнес-задач мае на ўвазе больш універсальны набор UEBA функцый з акцэнтам на больш складаную аналітыку і мадэлі машыннага навучання.
Акцэнт на меншым наборы бізнэс-задач мае на ўвазе вузкаспецыялізаваныя функцыі, сфакусаваныя на мадэлях для пэўных абласцей ужывання c прасцейшай логікай.
Аналітыка
Кастамізацыя аналітычнай мадэлі неабходна для кожнага сцэнара прымянення.
Аналітычныя мадэлі загадзя настроены пад прыладу, у які ўбудаваны UEBA. Інструментам з убудаваным UEBA ў цэлым хутчэй дасягаецца вынік у вырашэнні пэўных бізнес-задач.
Крыніцы дадзеных
Доступ да крыніц дадзеных з усіх куткоў карпаратыўнай інфраструктуры.
Меншы лік крыніц дадзеных, звычайна абмежаванае наяўнасцю пад іх агентаў ці самой прыладай з функцыямі UEBA.
Крыніцы дадзеных
Інфармацыя, якая змяшчаецца ў кожным часопісе, можа быць абмежавана крыніцай дадзеных і можа змяшчаць не ўсе неабходныя дадзеныя для цэнтралізаванага UEBA інструмента.
Колькасць і дэталёвасць зыходных дадзеных, якія збіраюцца агентам і якія перадаюцца ў UEBA, можа быць спецыяльна наладжана.
Архітэктура
Уяўляе з сябе скончаны UEBA прадукт для арганізацыі. Прасцей інтэграцыя з выкарыстаннем магчымасцяў SIEM сістэмы ці Data lake.
Патрабуе асобнага набору функцый UEBA для кожнага з рашэнняў, у якога ёсць убудаваны UEBA. Убудаваныя UEBA рашэнні часта патрабуюць усталёўваць агентаў і кіраваць дадзенымі.
інтэграцыя
Ручная інтэграцыя UEBA рашэнні з іншымі інструментамі ў кожным з выпадкаў. Дазваляе арганізацыі выбудаваць свой стэк тэхналогій на базе падыходу "лепшы сярод аналагаў".
Асноўныя звязкі функцый UEBA ужо закладзены ў самым інструменце вытворцам. UEBA модуль убудаваны і недаступны для вымання, таму заказчыкі не могуць замяніць яго на нешта сваё.
Крыніца: Gartner (травень 2019)
UEBA як функцыя
UEBA становіцца функцыяй комплексных рашэнняў па кібербяспецы, якія могуць выйграць ад дадатковай аналітыкі. UEBA ляжыць у аснове гэтых рашэнняў, уяўляючы сабой вялікі пласт прасунутай аналітыкі па мадэлях паводзін карыстальнікаў і / або сутнасцяў.
На бягучы момант на рынку ўбудаваны функцыянал UEBA рэалізаваны ў наступных рашэннях, згрупаваных па тэхналагічнай сферы прымянення:
Аўдыт і абарона, сфакусаваная на дадзеных, - Вытворцы, якія сфакусаваныя на паляпшэнні бяспекі структураваных і неструктураваных сховішчаў дадзеных (т.зв. DCAP).
У гэтай катэгорыі вендараў Gartner адзначае, у тым ліку, платформу кібербяспекі Varonis, Якая прапануе аналіз паводзін карыстальнікаў для маніторынгу зменаў правоў доступу да неструктураваных дадзеных, іх доступу і выкарыстання для розных сховішчаў інфармацыі.
Сістэмы CASB, якія прапануюць абарону ад розных пагроз у хмарных SaaS-прыкладаннях шляхам блакавання доступу да хмарных службам для непажаданых прылад, карыстальнікаў і версій прыкладанняў, выкарыстоўваючы адаптыўную сістэму кантролю доступу.
Усе лідзіруючыя на рынку рашэнні CASB ўключаюць у сябе UEBA магчымасці.
DLP-рашэнні - сфакусаваныя на выяўленні вываду крытычных дадзеных за межы арганізацыі або іх злоўжыванні.
Дасягненні DLP у большай частцы грунтуюцца на разуменні кантэнту, з меншым фокусам на разуменні кантэксту, такога як карыстальнік, дадатак, месцазнаходжанне, час, хуткасць падзей і іншыя знешнія фактары. Каб быць эфектыўнымі, DLP прадукты павінныя распазнаваць і кантэнт, і кантэкст. Менавіта таму многія вытворцы пачынаюць убудоўваць UEBA-функцыянал у свае рашэнні.
Маніторынг супрацоўнікаў - Гэта магчымасць запісваць і прайграваць дзеянні супрацоўнікаў, звычайна ў фармаце дадзеных, прыдатных для судовых разглядаў (пры неабходнасці).
Пастаяннае назіранне за карыстальнікамі часта генеруе надмерную колькасць дадзеных, які патрабуе ручной фільтрацыі і аналізу чалавекам. Таму UEBA выкарыстоўваецца ўнутры сістэм маніторынгу для паляпшэння працы гэтых рашэнняў і выяўлення інцыдэнтаў толькі з высокай ступенню рызыкі.
Бяспека канчатковых прылад – рашэнні па выяўленні і рэагаванні для канчатковых прылад (EDR) і платформы абароны канчатковых прылад (EPP) падаюць магутны інструментар і тэлеметрыю аперацыйнай сістэмы на
канчатковых прыладах.
Такая сувязная з карыстачом тэлеметрыя можа быць прааналізавана для падавання ўбудаваных функцый UEBA.
Анлайн-махлярства - рашэнні па выяўленні анлайн-махлярства дэтэктуюць адхіляецца актыўнасць, якая паказвае на кампраметацыі акаўнта кліента праз падстаўную асобу, шкоднаснае ПА або эксплуатацыю неабароненых злучэнняў / перахоп трафіку браўзэра.
Большасць рашэнняў па махлярстве выкарыстоўваюць квінтэсенцыю UEBA, транзакцыйнага аналізу і вымярэння характарыстык прылады, а больш прасунутыя сістэмы дапаўняюць іх супастаўленнем сувязяў у базе дадзеных ідэнтыфікатараў асобы.
IAM і кіраванне доступам – Gartner адзначае трэнд у эвалюцыі сярод вытворцаў сістэм кіравання доступам, які складаецца ў інтэграцыі з «чыстымі» вендарамі і ўбудаванні некаторых функцый UEBA у свае прадукты.
IAM і сістэмы кіравання і адміністравання ідэнтыфікацыяй (IGA) выкарыстоўваюць UEBA для пакрыцця сцэнараў паводніцкай і ідэнтыфікацыйнай аналітыкі, такіх як выяўленне анамалій, аналіз дынамічнай групоўкі падобных сутнасцяў, аналіз уваходаў у сістэму і аналіз палітык доступу.
IAM і кіраванне прывілеяваным доступам (PAM) – у сувязі з займаемай роляй кантролю выкарыстання адміністрацыйных уліковых запісаў, PAM рашэнні валодаюць тэлеметрыяй з мэтай адлюстравання як, чаму, калі і дзе былі выкарыстаныя адміністрацыйныя акаўнты. Гэтыя дадзеныя могуць быць прааналізаваны з дапамогай убудаванага функцыяналу UEBA на наяўнасць анамальнага паводзін адміністратараў або злога намеру.
Вытворцы NTA (Network Traffic Analysis) - Выкарыстоўваюць камбінацыю машыннага навучання, прасунутай аналітыкі і выяўлення на базе правілаў для выяўлення падазрона актыўнасці ў карпаратыўных сетках.
Прылады NTA стала аналізуюць зыходны трафік і/ці запісы струменяў (напрыклад, NetFlow) для пабудовы мадэляў, якія адлюстроўваюць звычайныя сеткавыя паводзіны, галоўнай выявай сфакусаваўшыся на аналітыцы паводзін сутнасцяў.
СІЕМ – многія SIEM-вендары зараз валодаюць прасунутым функцыяналам аналітыкі дадзеных, убудаваным у SIEM, або ў выглядзе асобнага UEBA-модуля. На працягу ўсяго 2018 і да гэтага часу ў 2019 годзе назіраецца бесперапыннае сціранне межаў паміж функцыяналам SIEM і UEBA, як раскрыта ў артыкуле "Technology Insight for the Modern SIEM". SIEM-сістэмы сталі лепш працаваць з аналітыкай і прапануюць больш складаныя сцэнары прымянення.
Сцэнары прымянення UEBA
UEBA рашэнні могуць вырашаць шырокі спектр задач. Аднак кліенты Gartner згодны з тым, што асноўны сцэнар ужывання складаецца з выяўленне розных катэгорый пагроз, які дасягаецца за рахунак адлюстравання і аналізу частых карэляцый паводзін карыстачоў і іншых сутнасцяў:
неаўтарызаваны доступ і перамяшчэнне даных;
падазроныя паводзіны прывілеяваных карыстальнікаў, шкоднаснай або неаўтарызаванай актыўнасці супрацоўнікаў;
нестандартны доступ і выкарыстанне хмарных рэсурсаў;
і інш
Таксама існуе шэраг нетыповых сцэнарыяў прымянення, не звязаных з кібербяспекай, такіх як махлярства або маніторынг супрацоўнікаў, для якіх выкарыстанне UEBA можа быць апраўданым. Аднак яны часта патрабуюць крыніц дадзеных, не злучаных з ІТ і ИБ, ці спецыфічных аналітычных мадэляў з глыбокім разуменнем дадзенай сферы. Пяць асноўных сцэнарыяў і абласцей прымянення, з якімі згодны як вытворцы UEBA, так і іх кліенты, апісаны ніжэй.
«Шкоднасны інсайдэр»
Пастаўшчыкі UEBA-рашэнняў, якія пакрываюць дадзены сцэнар, назіраюць за супрацоўнікамі і даверанымі падрадчыкамі толькі ў зрэзе нестандартных, «дрэнных» або шкоднасных паводзін. Вендары ў дадзенай вобласці экспертызы не адсочваюць і не аналізуюць паводзіны сэрвісных уліковых запісаў ці іншых нечалавечых сутнасцяў. Па большай частцы менавіта з-за гэтага яны не арыентаваны на выяўленне прасунутых пагроз, калі хакеры захопліваюць існуючыя уліковыя запісы. Замест гэтага яны накіраваны на выяўленне супрацоўнікаў, якія ўдзельнічаюць у шкоднай дзейнасці.
Па сутнасці, паняцце "шкоднаснага інсайдэра" паходзіць ад давераных карыстальнікаў са злым намерам, якія шукаюць шляхі нанясення страт свайму працадаўцу. Злы намер цяжка ацаніць, лепшыя вытворцы ў дадзенай катэгорыі аналізуюць дадзеныя кантэкстных паводзін, недаступныя так проста ў часопісах аўдыту.
Пастаўшчыкі рашэнняў у гэтай галіне таксама аптымальным чынам дадаюць і аналізуюць неструктураваныя дадзеныя, такія як кантэнт электроннага ліста, справаздачы па прадукцыйнасці працы або інфармацыю з сацыяльных сетак, каб фармаваць кантэкст паводзін.
Скампраметаваны інсайдэр і дакучлівыя пагрозы
Задача заключаецца ў хуткім выяўленні і аналізе "дрэнных" паводзін, як толькі атакавалы атрымаў доступ да арганізацыі і пачаў перамяшчэнне ўнутры ІТ-інфраструктуры.
Дакучлівыя пагрозы (APT), як і невядомыя, ці яшчэ не да канца вывучаныя пагрозы, надзвычай складаныя ў выяўленні і часта хаваюцца пад легітымнай актыўнасцю карыстальнікаў або службовых уліковых запісаў. Такія пагрозы звычайна валодаюць комплекснай мадэллю працы (гл., напрыклад, артыкул « Addressing the Cyber Kill Chain«) або іх паводзіны пакуль яшчэ не былі расцэнены як шкоднасныя. Гэта робіць іх складанымі ў выяўленні з дапамогай простай аналітыкі (напрыклад, супастаўленне па шаблонах, парогавых значэннях ці правілах карэляцыі).
Аднак шматлікія з гэтых дакучлівых пагроз прыводзяць да паводзін, выдатнаму ад стандартнага, часта злучанаму з непадазравальнымі карыстачамі або сутнасцямі (т.зв. скампраметаванымі інсайдэрамі). Методыкі UEBA прапануюць некалькі цікавых магчымасцяў выявіць такія пагрозы, павысіць суадносіны сігнал/шум, кансалідаваць і знізіць аб'ём апавяшчэнняў, прыарытызаваць пакінутыя спрацоўванні і спрыяць эфектыўнаму рэагаванню і расследаванню інцыдэнтаў.
Вытворцы UEBA, накіраваныя на дадзеную вобласць задач, часта маюць двунакіраваную інтэграцыю з SIEM-сістэмамі ў арганізацыі.
Эксфільтрацыя дадзеных
Задача ў дадзеным выпадку складаецца ў выяўленні факта вываду дадзеных за межы арганізацыі.
Вытворцы, сфакусаваныя на гэтай задачы, звычайна ўзмацняюць магчымасці DLP-сістэм або сістэм кіравання доступам да дадзеных (DAG) з выяўленнем анамалій і прасунутай аналітыкай, тым самым падвышаючы суадносіны сігнал/шум, кансалідуючы аб'ём апавяшчэнняў і прыярытызуючы пакінутыя спрацоўванні. Для дадатковага кантэксту вытворцы звычайна больш належаць на сеткавы трафік (напрыклад, вэб-проксі) і дадзеныя канчатковых прылад, бо аналіз гэтых крыніц дадзеных можа дапамагчы ў расследаванні эксфільтрацыі дадзеных.
Выяўленне эксфильтрации дадзеных выкарыстоўваецца для злову інсайдэраў і вонкавых хакераў, якія пагражаюць арганізацыі.
Ідэнтыфікацыя і кіраванне прывілеяваным доступам
Вытворцы самастойных UEBA-рашэнняў у дадзенай вобласці экспертызы назіраюць і аналізуюць паводзіны карыстальнікаў на фоне ўжо сфарміраванай сістэмы правоў з мэтай выяўлення залішніх прывілеяў або анамальнага доступу. Гэта датычыцца ўсіх тыпаў карыстальнікаў і ўліковых запісаў, у тым ліку прывілеяваныя і сэрвісныя акаўнты. Арганізацыі таксама выкарыстоўваюць UEBA, каб пазбавіцца ад бяздзейных уліковых запісаў і карыстацкіх прывілеяў, узровень якіх вышэй, чым патрабуецца.
Прыярытызацыя інцыдэнтаў
Мэта дадзенай задачы складаецца ў прыярытызацыі апавяшчэнняў, якія генерыруюцца рашэннямі іх тэхналагічнага стэка, каб зразумець, на якія інцыдэнты ці патэнцыйныя інцыдэнты варта звярнуць увагу ў першую чаргу. Метадалогіі і інструменты UEBA карысныя ў вызначэнні асабліва анамальных інцыдэнтаў ці асабліва небяспечных для дадзенай канкрэтнай арганізацыі. У дадзеным выпадку механізм UEBA не толькі выкарыстоўвае базавы ўзровень актыўнасці і мадэлі пагроз, але і насычае дадзеныя інфармацыяй аб арганізацыйнай структуры кампаніі (напрыклад, крытычна важныя рэсурсы або ролі і ўзроўні доступаў супрацоўнікаў).
Праблемы ўкаранення UEBA-рашэнняў
Рынкавы боль UEBA-рашэнняў заключаецца ў іх высокай цане, складаным укараненні, абслугоўванні і выкарыстанні. У той час, як кампаніі спрабуюць змагацца з колькасцю розных унутраных парталаў, яны атрымліваюць яшчэ адну кансоль. Памер інвестыцый часу і рэсурсаў у новую прыладу залежыць ад стаялых задач і тыпаў аналітыкі, якія неабходныя для іх рашэння, і часцей за ўсё патрабуюць вялікіх укладанняў.
Насуперак заявам шматлікіх вытворцаў, UEBA - гэта не інструмент з разраду "настроіў і забыўся", які затым можа бесперапынна працаваць днямі напралёт.
Кліенты Gartner, напрыклад, адзначаюць, што патрабуецца ад 3 да 6 месяцаў для запуску UEBA ініцыятывы з нуля да атрымання першых вынікаў рашэння задач, дзеля якіх гэтае рашэнне ўкаранялася. Для больш складаных задач, такіх як выяўленне інсайдэрскіх пагроз у арганізацыі, тэрмін павялічваецца да 18 месяцаў.
Фактары, якія ўплываюць на складанасць укаранення UEBA і будучую эфектыўнасць інструмента:
Складанасць архітэктуры арганізацыі, сеткавай тапалогіі і палітыкі кіравання дадзенымі
Даступнасць патрэбных дадзеных з патрэбным узроўнем дэталізацыі
Складанасць алгарытмаў аналітыкі ад вытворцы - напрыклад, выкарыстанне статыстычных мадэляў і машыннага навучання супраць простых шаблонаў і правілаў.
Колькасць папярэдне настроенай аналітыкі, якая ідзе ў камплекце - гэта значыць разуменне вытворцы, якія дадзеныя неабходна збіраць для кожнай з задач і якія зменныя і атрыбуты найболей важныя для выканання аналізу.
Наколькі проста вытворцу аўтаматычна інтэгравацца з патрабаванымі дадзенымі.
Напрыклад:
Калі UEBA-рашэнне выкарыстоўвае SIEM-сістэму як асноўную крыніцу сваіх дадзеных, то ці збірае SIEM інфармацыю з патрабаваных крыніц дадзеных?
Ці можна накіраваць неабходныя часопісы падзей і кантэкстныя дадзеныя арганізацыі ў UEBA-рашэнне?
Калі SIEM-сістэма яшчэ не збірае і не кантралюе крыніцы дадзеных, неабходныя UEBA-рашэнню, то якім чынам іх можна туды перадаць?
Наколькі важны для арганізацыі сцэнар ужывання, колькі для яго патрабуецца крыніц дадзеных, і наколькі дадзеная задача перасякаецца з вобласцю экспертызы вытворцы.
Якая ступень арганізацыйнай сталасці і ўцягвання патрабуецца - напрыклад, стварэнне, распрацоўка і дапрацоўка правіл і мадэляў; прызначэннем вагавых каэфіцыентаў пераменным для ацэнкі; або карэкціроўка парогавага значэння ацэнкі рызык.
Наколькі якое маштабуецца рашэнне вытворцы і яго архітэктура ў параўнанні з бягучымі памерамі арганізацыі і яе будучымі патрабаваннямі.
Час пабудовы базавых мадэляў, профіляў і ключавых груп. Вытворцам часта патрабуецца не менш за 30 дзён (а часам і да 90 дзён) для правядзення аналізу, перад тым як яны змогуць вызначыць паняцці "нормы". Разавая загрузка гістарычных дадзеных можа паскорыць навучанне мадэляў. Некаторыя з цікавых выпадкаў мага хутчэй выявіць з дапамогай правіл, чым выкарыстоўваць машыннае навучанне з неверагодна малой колькасцю першапачатковых дадзеных.
Узровень намаганняў, якія патрабуюцца для пабудовы дынамічнай групоўкі і прафілявання акаўнтаў (служба/чалавек), можа моцна адрознівацца паміж рашэннямі.