ProHoster > блог > Навіны інтэрнэту > Рынак UEBA памёр - жыве UEBA

Рынак UEBA памёр - жыве UEBA

Рынак UEBA памёр - жыве UEBA

Сёння мы прадставім кароткі агляд рынку сістэм паводніцкай аналітыкі карыстальнікаў і сутнасцяў (UEBA) на аснове апошняга даследаванні Gartner. Рынак UEBA знаходзіцца ў ніжняй кропцы "стадыі расчаравання" па Gartner Hype Cycle for Threat-Facing Technologies, што паказвае на сталасць дадзенай тэхналогіі. Але парадокс сітуацыі заключаецца ў адначасовым агульным росце інвестыцый у UEBA-тэхналогіі і знікаючым рынкам самастойных UEBA рашэнняў. Gartner прагназуе, што UEBA стане часткай функцыяналу сумежных рашэнняў у вобласці інфармацыйнай бяспекі. Тэрмін «UEBA», хутчэй за ўсё, выйдзе з ужытку і будзе заменены на іншы акронім, сфакусаваны на вузейшай вобласці ўжывання (напрыклад, «аналітыка паводзін карыстачоў»), на падобнай вобласці ўжывання (напрыклад, «выкарыстанне дадзеных») ці проста ператворыцца ў нейкае новае моднае слова (напрыклад, тэрмін "штучны інтэлект" [ІІ] выглядае цікавым, хоць ён і не нясе ніякага сэнсу для сучасных вытворцаў UEBA).

Ключавыя вынікі даследавання Gartner можна выказаць так:

  • Пацвярджэннем сталасці рынку паводніцкай аналітыкі карыстальнікаў і сутнасцяў служыць факт выкарыстання дадзеных тэхналогій сярэднім і буйным карпаратыўным сегментам для вырашэння шэрагу бізнес-задач;
  • Функцыі UEBA-аналітыкі ўбудаваны ў шырокі дыяпазон сумежных тэхналогій інфармацыйнай бяспекі, такіх як брокеры бяспечнага доступу ў воблака (CASB), сістэмы кіравання і адміністравання ідэнтыфікацыяй (IGA) SIEM-сістэмы;
  • Шуміха вакол вендараў UEBA і некарэктнае выкарыстанне тэрміна "штучны інтэлект" ускладняе разуменне заказчыкамі рэальнай розніцы паміж тэхналогіямі вытворцаў і функцыянальнымі магчымасцямі рашэнняў без правядзення пілотнага праекта;
  • Пакупнікі адзначаюць, што час укаранення і штодзённае выкарыстанне UEBA рашэнняў можа быць больш працаёмкім і адымаць больш часу, чым абяцае вытворца, нават калі разглядаць толькі базавыя мадэлі выяўлення пагроз. Даданне ўласных ці межавых сцэнараў ужывання можа быць вельмі цяжкім і патрабавальным экспертызы ў навуцы аб дадзеных і аналітыцы.

Стратэгічны прагноз развіцця рынку:

  • Да 2021 года рынак сістэм паводніцкай аналітыкі карыстальнікаў і сутнасцяў (UEBA) спыніць сваё існаванне як асобная вобласць і ссунецца ў бок іншых рашэнняў з функцыяналам UEBA;
  • Да 2020 года 95% усіх укараненняў UEBA будзе з'яўляцца часткай функцыяналу шырэйшай платформы бяспекі.

Вызначэнне UEBA-рашэнняў

Рашэнні UEBA выкарыстоўваюць убудаваную аналітыку для ацэнкі актыўнасці карыстальнікаў і іншых сутнасцяў (напрыклад, хастоў, прыкладанняў, сеткавага трафіку і сховішчаў дадзеных).
Яны выяўляюць пагрозы і патэнцыйныя інцыдэнты, звычайна якія прадстаўляюць анамальную актыўнасцю ў параўнанні са стандартным профілем і паводзінамі карыстальнікаў і сутнасцяў у падобных групах за пэўны перыяд часу.

Найбольш распаўсюджаныя сцэнары прымянення ў карпаратыўным сегменце – выяўленне пагроз і зваротнае рэагаванне, а таксама дэтэктаванне і зваротнае рэагаванне на ўнутраныя пагрозы (у большасці выпадкаў – на скампраметаваных інсайдэраў; часам – на ўнутраных зламыснікаў).

UEBA з'яўляецца як рашэннем, так і функцыяй, убудаванай у пэўны інструмент:

  • Рашэнне - вытворцы «чыстых» UEBA платформаў, уключаючы вендараў, якія прадаюць таксама асобна SIEM-рашэнні. Сфакусаваныя на шырокім дыяпазоне бізнэс-задач па аналітыцы паводзін як карыстачоў, так і сутнасцяў.
  • Убудаваныя - вытворцы / падраздзяленні, якія ўбудоўваюць UEBA функцыі і тэхналогіі ў свае рашэнні. Звычайна сфакусаваны на больш спецыфічным наборы бізнес-задач. У дадзеным выпадку UEBA выкарыстоўваецца для аналізу паводзін карыстальнікаў і/або сутнасцяў.

Gartner разглядае UEBA у зрэзе трох восяў, якія ўключаюць развязальныя задачы, аналітыку і крыніцы дадзеных (гл. малюнак).

Рынак UEBA памёр - жыве UEBA

«Чыстыя» UEBA-платформы супраць убудаванага UEBA

Gartner лічыць "чыстай" UEBA-платформай рашэння, якія:

  • вырашаюць некалькі канкрэтных задач, такіх як маніторынг прывілеяваных карыстальнікаў або вывад даных за межы арганізацыі, а не проста абстрактны "маніторынг анамальнай актыўнасці карыстальнікаў";
  • маюць на ўвазе выкарыстанне складанай аналітыкі, па неабходнасці якая засноўваецца на базавых аналітычных падыходах;
  • падаюць некалькі варыянтаў збору дадзеных, у тым ліку як убудаваныя механізмы крыніц дадзеных, так і ад інструментаў кіравання часопісамі, Data lake і / або SIEM сістэм, без абавязковай неабходнасці разгортвання асобных агентаў у інфраструктуры;
  • могуць быць набыты і разгорнутыя як самастойныя рашэнні, а не ўключаны ў
    склад іншых прадуктаў.

Ніжэй у табліцы прадстаўлена параўнанне двух падыходаў.

Табліца 1. «Чыстыя» UEBA рашэнні vs убудаваныя

катэгорыя "Чыстыя" UEBA платформы Іншыя рашэнні з убудаваным UEBA
Вырашаная задача Аналіз паводзін карыстальнікаў, а таксама сутнасцяў. Недахоп дадзеных можа абмежаваць UEBA у аналізе паводзін толькі карыстачоў ці сутнасцяў.
Вырашаная задача Служыць для рашэння шырокага спектра задач Спецыялізуецца на абмежаваным наборы задач
Аналітыка Выяўленне анамалій з дапамогай розных аналітычных метадаў - у асноўным праз статыстычныя мадэлі і машыннае навучанне, сумесна з правіламі і сігнатурамі. Пастаўляецца з убудаванай аналітыкай для стварэння і параўнання актыўнасці карыстальнікаў і сутнасцяў з іх профілямі і профілямі калег. Аналагічна "чыстым" UEBA, аднак аналіз можа быць абмежаваны толькі карыстальнікамі і/або сутнасцямі.
Аналітыка Пашыраныя аналітычныя магчымасці, не абмежаваныя толькі правіламі. Напрыклад - алгарытм кластарызацыі з дынамічнай групоўкай сутнасцяў. Аналагічна чыстым UEBA, аднак групоўка сутнасцяў у некаторых мадэлях убудаваных пагроз можна змяніць толькі ўручную.
Аналітыка Карэляцыя актыўнасці і паводзін карыстальнікаў і іншых сутнасцяў (напрыклад, метадам байесаўскіх сетак) і агрэгацыя індывідуальных рызыкоўных паводзін з мэтай выявіць анамальную актыўнасць. Аналагічна "чыстым" UEBA, аднак аналіз можа быць абмежаваны толькі карыстальнікамі і/або сутнасцямі.
Крыніцы дадзеных Атрыманне падзей па карыстачах і сутнасцям ад крыніц дадзеных напроста праз убудаваныя механізмы ці існыя сховішчы дадзеных, такіх як SIEM ці Data lake. Механізмы атрымання дадзеных звычайна толькі напроста і закранаюць толькі карыстачоў і/ці іншыя сутнасці. Не выкарыстоўваюць інструменты кіравання часопісамі / SIEM / Data lake.
Крыніцы дадзеных Рашэнне не павінна толькі спадзявацца на сеткавы трафік як на асноўную крыніцу даных, як і выключна на ўласныя агенты для збору тэлеметрыі. Рашэнне можа быць сфакусавана толькі на сеткавым трафіку (напрыклад, NTA - аналіз сеткавага трафіку) і / або выкарыстоўваць свае агенты на канчатковых прыладах (напрыклад, утыліты маніторынгу супрацоўнікаў).
Крыніцы дадзеных Насычэнне дадзеных аб карыстальніках / сутнасцях кантэкстам. Падтрымка збору структураваных падзей у рэальным часе, а таксама структураваных / неструктураваных сувязных дадзеных з ІТ дырэкторый - напрыклад, Active Directory (AD), або іншых рэсурсаў з машыначытальнай інфармацыяй (напрыклад, базы дадзеных аддзела кадраў). Аналагічна "чыстым" UEBA, аднак сфера ахопу кантэкстных дадзеных можа адрознівацца ў розных выпадках. AD і LDAP - найбольш распаўсюджаныя сховішчы кантэкстных дадзеных, якія выкарыстоўваюцца ўбудаванымі UEBA рашэннямі.
даступнасць Дае пералічаныя магчымасці ў якасці самастойнага прадукта. Немагчыма купіць убудаваны UEBA функцыянал без пакупкі знешняга рашэння, у якое яно ўбудавана.
Крыніца: Gartner (травень 2019)

Такім чынам, для рашэння вызначаных задач убудаваны UEBA можа выкарыстаць базавую UEBA-аналітыку (напрыклад, простае машыннае навучанне без настаўніка), але пры гэтым дзякуючы доступу менавіта да патрэбных дадзеных, можа быць у цэлым больш эфектыўным, чым "чыстае" UEBA рашэнне. Пры гэтым "чыстыя" платформы UEBA чакана прапануюць больш складаную аналітыку як асноўнае ноу-хау ў параўнанні з убудаваным UEBA-інструментам. Дадзеныя вынікі коратка выкладзены ў табліцы 2.

Табліца 2. Вынік адрозненняў "чыстых" і ўбудаваных UEBA

катэгорыя "Чыстыя" UEBA платформы Іншыя рашэнні з убудаваным UEBA
Аналітыка Дастасавальнасць для рашэння мноства бізнес-задач мае на ўвазе больш універсальны набор UEBA функцый з акцэнтам на больш складаную аналітыку і мадэлі машыннага навучання. Акцэнт на меншым наборы бізнэс-задач мае на ўвазе вузкаспецыялізаваныя функцыі, сфакусаваныя на мадэлях для пэўных абласцей ужывання c прасцейшай логікай.
Аналітыка Кастамізацыя аналітычнай мадэлі неабходна для кожнага сцэнара прымянення. Аналітычныя мадэлі загадзя настроены пад прыладу, у які ўбудаваны UEBA. Інструментам з убудаваным UEBA ў цэлым хутчэй дасягаецца вынік у вырашэнні пэўных бізнес-задач.
Крыніцы дадзеных Доступ да крыніц дадзеных з усіх куткоў карпаратыўнай інфраструктуры. Меншы лік крыніц дадзеных, звычайна абмежаванае наяўнасцю пад іх агентаў ці самой прыладай з функцыямі UEBA.
Крыніцы дадзеных Інфармацыя, якая змяшчаецца ў кожным часопісе, можа быць абмежавана крыніцай дадзеных і можа змяшчаць не ўсе неабходныя дадзеныя для цэнтралізаванага UEBA інструмента. Колькасць і дэталёвасць зыходных дадзеных, якія збіраюцца агентам і якія перадаюцца ў UEBA, можа быць спецыяльна наладжана.
Архітэктура Уяўляе з сябе скончаны UEBA прадукт для арганізацыі. Прасцей інтэграцыя з выкарыстаннем магчымасцяў SIEM сістэмы ці Data lake. Патрабуе асобнага набору функцый UEBA для кожнага з рашэнняў, у якога ёсць убудаваны UEBA. Убудаваныя UEBA рашэнні часта патрабуюць усталёўваць агентаў і кіраваць дадзенымі.
інтэграцыя Ручная інтэграцыя UEBA рашэнні з іншымі інструментамі ў кожным з выпадкаў. Дазваляе арганізацыі выбудаваць свой стэк тэхналогій на базе падыходу "лепшы сярод аналагаў". Асноўныя звязкі функцый UEBA ужо закладзены ў самым інструменце вытворцам. UEBA модуль убудаваны і недаступны для вымання, таму заказчыкі не могуць замяніць яго на нешта сваё.
Крыніца: Gartner (травень 2019)

UEBA як функцыя

UEBA становіцца функцыяй комплексных рашэнняў па кібербяспецы, якія могуць выйграць ад дадатковай аналітыкі. UEBA ляжыць у аснове гэтых рашэнняў, уяўляючы сабой вялікі пласт прасунутай аналітыкі па мадэлях паводзін карыстальнікаў і / або сутнасцяў.

На бягучы момант на рынку ўбудаваны функцыянал UEBA рэалізаваны ў наступных рашэннях, згрупаваных па тэхналагічнай сферы прымянення:

  • Аўдыт і абарона, сфакусаваная на дадзеных, - Вытворцы, якія сфакусаваныя на паляпшэнні бяспекі структураваных і неструктураваных сховішчаў дадзеных (т.зв. DCAP).

    У гэтай катэгорыі вендараў Gartner адзначае, у тым ліку, платформу кібербяспекі Varonis, Якая прапануе аналіз паводзін карыстальнікаў для маніторынгу зменаў правоў доступу да неструктураваных дадзеных, іх доступу і выкарыстання для розных сховішчаў інфармацыі.

  • Сістэмы CASB, якія прапануюць абарону ад розных пагроз у хмарных SaaS-прыкладаннях шляхам блакавання доступу да хмарных службам для непажаданых прылад, карыстальнікаў і версій прыкладанняў, выкарыстоўваючы адаптыўную сістэму кантролю доступу.

    Усе лідзіруючыя на рынку рашэнні CASB ўключаюць у сябе UEBA магчымасці.

  • DLP-рашэнні - сфакусаваныя на выяўленні вываду крытычных дадзеных за межы арганізацыі або іх злоўжыванні.

    Дасягненні DLP у большай частцы грунтуюцца на разуменні кантэнту, з меншым фокусам на разуменні кантэксту, такога як карыстальнік, дадатак, месцазнаходжанне, час, хуткасць падзей і іншыя знешнія фактары. Каб быць эфектыўнымі, DLP прадукты павінныя распазнаваць і кантэнт, і кантэкст. Менавіта таму многія вытворцы пачынаюць убудоўваць UEBA-функцыянал у свае рашэнні.

  • Маніторынг супрацоўнікаў - Гэта магчымасць запісваць і прайграваць дзеянні супрацоўнікаў, звычайна ў фармаце дадзеных, прыдатных для судовых разглядаў (пры неабходнасці).

    Пастаяннае назіранне за карыстальнікамі часта генеруе надмерную колькасць дадзеных, які патрабуе ручной фільтрацыі і аналізу чалавекам. Таму UEBA выкарыстоўваецца ўнутры сістэм маніторынгу для паляпшэння працы гэтых рашэнняў і выяўлення інцыдэнтаў толькі з высокай ступенню рызыкі.

  • Бяспека канчатковых прылад – рашэнні па выяўленні і рэагаванні для канчатковых прылад (EDR) і платформы абароны канчатковых прылад (EPP) падаюць магутны інструментар і тэлеметрыю аперацыйнай сістэмы на
    канчатковых прыладах.

    Такая сувязная з карыстачом тэлеметрыя можа быць прааналізавана для падавання ўбудаваных функцый UEBA.

  • Анлайн-махлярства - рашэнні па выяўленні анлайн-махлярства дэтэктуюць адхіляецца актыўнасць, якая паказвае на кампраметацыі акаўнта кліента праз падстаўную асобу, шкоднаснае ПА або эксплуатацыю неабароненых злучэнняў / перахоп трафіку браўзэра.

    Большасць рашэнняў па махлярстве выкарыстоўваюць квінтэсенцыю UEBA, транзакцыйнага аналізу і вымярэння характарыстык прылады, а больш прасунутыя сістэмы дапаўняюць іх супастаўленнем сувязяў у базе дадзеных ідэнтыфікатараў асобы.

  • IAM і кіраванне доступам – Gartner адзначае трэнд у эвалюцыі сярод вытворцаў сістэм кіравання доступам, які складаецца ў інтэграцыі з «чыстымі» вендарамі і ўбудаванні некаторых функцый UEBA у свае прадукты.
  • IAM і сістэмы кіравання і адміністравання ідэнтыфікацыяй (IGA) выкарыстоўваюць UEBA для пакрыцця сцэнараў паводніцкай і ідэнтыфікацыйнай аналітыкі, такіх як выяўленне анамалій, аналіз дынамічнай групоўкі падобных сутнасцяў, аналіз уваходаў у сістэму і аналіз палітык доступу.
  • IAM і кіраванне прывілеяваным доступам (PAM) – у сувязі з займаемай роляй кантролю выкарыстання адміністрацыйных уліковых запісаў, PAM рашэнні валодаюць тэлеметрыяй з мэтай адлюстравання як, чаму, калі і дзе былі выкарыстаныя адміністрацыйныя акаўнты. Гэтыя дадзеныя могуць быць прааналізаваны з дапамогай убудаванага функцыяналу UEBA на наяўнасць анамальнага паводзін адміністратараў або злога намеру.
  • Вытворцы NTA (Network Traffic Analysis) - Выкарыстоўваюць камбінацыю машыннага навучання, прасунутай аналітыкі і выяўлення на базе правілаў для выяўлення падазрона актыўнасці ў карпаратыўных сетках.

    Прылады NTA стала аналізуюць зыходны трафік і/ці запісы струменяў (напрыклад, NetFlow) для пабудовы мадэляў, якія адлюстроўваюць звычайныя сеткавыя паводзіны, галоўнай выявай сфакусаваўшыся на аналітыцы паводзін сутнасцяў.

  • СІЕМ – многія SIEM-вендары зараз валодаюць прасунутым функцыяналам аналітыкі дадзеных, убудаваным у SIEM, або ў выглядзе асобнага UEBA-модуля. На працягу ўсяго 2018 і да гэтага часу ў 2019 годзе назіраецца бесперапыннае сціранне межаў паміж функцыяналам SIEM і UEBA, як раскрыта ў артыкуле "Technology Insight for the Modern SIEM". SIEM-сістэмы сталі лепш працаваць з аналітыкай і прапануюць больш складаныя сцэнары прымянення.

Сцэнары прымянення UEBA

UEBA рашэнні могуць вырашаць шырокі спектр задач. Аднак кліенты Gartner згодны з тым, што асноўны сцэнар ужывання складаецца з выяўленне розных катэгорый пагроз, які дасягаецца за рахунак адлюстравання і аналізу частых карэляцый паводзін карыстачоў і іншых сутнасцяў:

  • неаўтарызаваны доступ і перамяшчэнне даных;
  • падазроныя паводзіны прывілеяваных карыстальнікаў, шкоднаснай або неаўтарызаванай актыўнасці супрацоўнікаў;
  • нестандартны доступ і выкарыстанне хмарных рэсурсаў;
  • і інш

Таксама існуе шэраг нетыповых сцэнарыяў прымянення, не звязаных з кібербяспекай, такіх як махлярства або маніторынг супрацоўнікаў, для якіх выкарыстанне UEBA можа быць апраўданым. Аднак яны часта патрабуюць крыніц дадзеных, не злучаных з ІТ і ИБ, ці спецыфічных аналітычных мадэляў з глыбокім разуменнем дадзенай сферы. Пяць асноўных сцэнарыяў і абласцей прымянення, з якімі згодны як вытворцы UEBA, так і іх кліенты, апісаны ніжэй.

«Шкоднасны інсайдэр»

Пастаўшчыкі UEBA-рашэнняў, якія пакрываюць дадзены сцэнар, назіраюць за супрацоўнікамі і даверанымі падрадчыкамі толькі ў зрэзе нестандартных, «дрэнных» або шкоднасных паводзін. Вендары ў дадзенай вобласці экспертызы не адсочваюць і не аналізуюць паводзіны сэрвісных уліковых запісаў ці іншых нечалавечых сутнасцяў. Па большай частцы менавіта з-за гэтага яны не арыентаваны на выяўленне прасунутых пагроз, калі хакеры захопліваюць існуючыя уліковыя запісы. Замест гэтага яны накіраваны на выяўленне супрацоўнікаў, якія ўдзельнічаюць у шкоднай дзейнасці.

Па сутнасці, паняцце "шкоднаснага інсайдэра" паходзіць ад давераных карыстальнікаў са злым намерам, якія шукаюць шляхі нанясення страт свайму працадаўцу. Злы намер цяжка ацаніць, лепшыя вытворцы ў дадзенай катэгорыі аналізуюць дадзеныя кантэкстных паводзін, недаступныя так проста ў часопісах аўдыту.

Пастаўшчыкі рашэнняў у гэтай галіне таксама аптымальным чынам дадаюць і аналізуюць неструктураваныя дадзеныя, такія як кантэнт электроннага ліста, справаздачы па прадукцыйнасці працы або інфармацыю з сацыяльных сетак, каб фармаваць кантэкст паводзін.

Скампраметаваны інсайдэр і дакучлівыя пагрозы

Задача заключаецца ў хуткім выяўленні і аналізе "дрэнных" паводзін, як толькі атакавалы атрымаў доступ да арганізацыі і пачаў перамяшчэнне ўнутры ІТ-інфраструктуры.
Дакучлівыя пагрозы (APT), як і невядомыя, ці яшчэ не да канца вывучаныя пагрозы, надзвычай складаныя ў выяўленні і часта хаваюцца пад легітымнай актыўнасцю карыстальнікаў або службовых уліковых запісаў. Такія пагрозы звычайна валодаюць комплекснай мадэллю працы (гл., напрыклад, артыкул « Addressing the Cyber ​​Kill Chain«) або іх паводзіны пакуль яшчэ не былі расцэнены як шкоднасныя. Гэта робіць іх складанымі ў выяўленні з дапамогай простай аналітыкі (напрыклад, супастаўленне па шаблонах, парогавых значэннях ці правілах карэляцыі).

Аднак шматлікія з гэтых дакучлівых пагроз прыводзяць да паводзін, выдатнаму ад стандартнага, часта злучанаму з непадазравальнымі карыстачамі або сутнасцямі (т.зв. скампраметаванымі інсайдэрамі). Методыкі UEBA прапануюць некалькі цікавых магчымасцяў выявіць такія пагрозы, павысіць суадносіны сігнал/шум, кансалідаваць і знізіць аб'ём апавяшчэнняў, прыарытызаваць пакінутыя спрацоўванні і спрыяць эфектыўнаму рэагаванню і расследаванню інцыдэнтаў.

Вытворцы UEBA, накіраваныя на дадзеную вобласць задач, часта маюць двунакіраваную інтэграцыю з SIEM-сістэмамі ў арганізацыі.

Эксфільтрацыя дадзеных

Задача ў дадзеным выпадку складаецца ў выяўленні факта вываду дадзеных за межы арганізацыі.
Вытворцы, сфакусаваныя на гэтай задачы, звычайна ўзмацняюць магчымасці DLP-сістэм або сістэм кіравання доступам да дадзеных (DAG) з выяўленнем анамалій і прасунутай аналітыкай, тым самым падвышаючы суадносіны сігнал/шум, кансалідуючы аб'ём апавяшчэнняў і прыярытызуючы пакінутыя спрацоўванні. Для дадатковага кантэксту вытворцы звычайна больш належаць на сеткавы трафік (напрыклад, вэб-проксі) і дадзеныя канчатковых прылад, бо аналіз гэтых крыніц дадзеных можа дапамагчы ў расследаванні эксфільтрацыі дадзеных.

Выяўленне эксфильтрации дадзеных выкарыстоўваецца для злову інсайдэраў і вонкавых хакераў, якія пагражаюць арганізацыі.

Ідэнтыфікацыя і кіраванне прывілеяваным доступам

Вытворцы самастойных UEBA-рашэнняў у дадзенай вобласці экспертызы назіраюць і аналізуюць паводзіны карыстальнікаў на фоне ўжо сфарміраванай сістэмы правоў з мэтай выяўлення залішніх прывілеяў або анамальнага доступу. Гэта датычыцца ўсіх тыпаў карыстальнікаў і ўліковых запісаў, у тым ліку прывілеяваныя і сэрвісныя акаўнты. Арганізацыі таксама выкарыстоўваюць UEBA, каб пазбавіцца ад бяздзейных уліковых запісаў і карыстацкіх прывілеяў, узровень якіх вышэй, чым патрабуецца.

Прыярытызацыя інцыдэнтаў

Мэта дадзенай задачы складаецца ў прыярытызацыі апавяшчэнняў, якія генерыруюцца рашэннямі іх тэхналагічнага стэка, каб зразумець, на якія інцыдэнты ці патэнцыйныя інцыдэнты варта звярнуць увагу ў першую чаргу. Метадалогіі і інструменты UEBA карысныя ў вызначэнні асабліва анамальных інцыдэнтаў ці асабліва небяспечных для дадзенай канкрэтнай арганізацыі. У дадзеным выпадку механізм UEBA не толькі выкарыстоўвае базавы ўзровень актыўнасці і мадэлі пагроз, але і насычае дадзеныя інфармацыяй аб арганізацыйнай структуры кампаніі (напрыклад, крытычна важныя рэсурсы або ролі і ўзроўні доступаў супрацоўнікаў).

Праблемы ўкаранення UEBA-рашэнняў

Рынкавы боль UEBA-рашэнняў заключаецца ў іх высокай цане, складаным укараненні, абслугоўванні і выкарыстанні. У той час, як кампаніі спрабуюць змагацца з колькасцю розных унутраных парталаў, яны атрымліваюць яшчэ адну кансоль. Памер інвестыцый часу і рэсурсаў у новую прыладу залежыць ад стаялых задач і тыпаў аналітыкі, якія неабходныя для іх рашэння, і часцей за ўсё патрабуюць вялікіх укладанняў.

Насуперак заявам шматлікіх вытворцаў, UEBA - гэта не інструмент з разраду "настроіў і забыўся", які затым можа бесперапынна працаваць днямі напралёт.
Кліенты Gartner, напрыклад, адзначаюць, што патрабуецца ад 3 да 6 месяцаў для запуску UEBA ініцыятывы з нуля да атрымання першых вынікаў рашэння задач, дзеля якіх гэтае рашэнне ўкаранялася. Для больш складаных задач, такіх як выяўленне інсайдэрскіх пагроз у арганізацыі, тэрмін павялічваецца да 18 месяцаў.

Фактары, якія ўплываюць на складанасць укаранення UEBA і будучую эфектыўнасць інструмента:

  • Складанасць архітэктуры арганізацыі, сеткавай тапалогіі і палітыкі кіравання дадзенымі
  • Даступнасць патрэбных дадзеных з патрэбным узроўнем дэталізацыі
  • Складанасць алгарытмаў аналітыкі ад вытворцы - напрыклад, выкарыстанне статыстычных мадэляў і машыннага навучання супраць простых шаблонаў і правілаў.
  • Колькасць папярэдне настроенай аналітыкі, якая ідзе ў камплекце - гэта значыць разуменне вытворцы, якія дадзеныя неабходна збіраць для кожнай з задач і якія зменныя і атрыбуты найболей важныя для выканання аналізу.
  • Наколькі проста вытворцу аўтаматычна інтэгравацца з патрабаванымі дадзенымі.

    Напрыклад:

    • Калі UEBA-рашэнне выкарыстоўвае SIEM-сістэму як асноўную крыніцу сваіх дадзеных, то ці збірае SIEM інфармацыю з патрабаваных крыніц дадзеных?
    • Ці можна накіраваць неабходныя часопісы падзей і кантэкстныя дадзеныя арганізацыі ў UEBA-рашэнне?
    • Калі SIEM-сістэма яшчэ не збірае і не кантралюе крыніцы дадзеных, неабходныя UEBA-рашэнню, то якім чынам іх можна туды перадаць?

  • Наколькі важны для арганізацыі сцэнар ужывання, колькі для яго патрабуецца крыніц дадзеных, і наколькі дадзеная задача перасякаецца з вобласцю экспертызы вытворцы.
  • Якая ступень арганізацыйнай сталасці і ўцягвання патрабуецца - напрыклад, стварэнне, распрацоўка і дапрацоўка правіл і мадэляў; прызначэннем вагавых каэфіцыентаў пераменным для ацэнкі; або карэкціроўка парогавага значэння ацэнкі рызык.
  • Наколькі якое маштабуецца рашэнне вытворцы і яго архітэктура ў параўнанні з бягучымі памерамі арганізацыі і яе будучымі патрабаваннямі.
  • Час пабудовы базавых мадэляў, профіляў і ключавых груп. Вытворцам часта патрабуецца не менш за 30 дзён (а часам і да 90 дзён) для правядзення аналізу, перад тым як яны змогуць вызначыць паняцці "нормы". Разавая загрузка гістарычных дадзеных можа паскорыць навучанне мадэляў. Некаторыя з цікавых выпадкаў мага хутчэй выявіць з дапамогай правіл, чым выкарыстоўваць машыннае навучанне з неверагодна малой колькасцю першапачатковых дадзеных.
  • Узровень намаганняў, якія патрабуюцца для пабудовы дынамічнай групоўкі і прафілявання акаўнтаў (служба/чалавек), можа моцна адрознівацца паміж рашэннямі.

Крыніца: habr.com

Дадаць каментар