ProHoster > Блог > internet vijesti > UEBA tržište je mrtvo - živjela UEBA

UEBA tržište je mrtvo - živjela UEBA

UEBA tržište je mrtvo - živjela UEBA

Danas ćemo dati kratak pregled tržišta analitike ponašanja korisnika i entiteta (UEBA) na osnovu najnovijih Gartner istraživanje. UEBA tržište je na dnu “faze razočaranja” prema Gartner Hype Cycle for Threat-Facing Technologies, što ukazuje na zrelost tehnologije. Ali paradoks situacije leži u istovremenom općem rastu ulaganja u UEBA tehnologije i nestajanju tržišta nezavisnih UEBA rješenja. Gartner predviđa da će UEBA postati dio funkcionalnosti povezanih rješenja za sigurnost informacija. Izraz "UEBA" će vjerovatno izaći iz upotrebe i biti zamijenjen drugim akronimom fokusiranim na uže područje primjene (npr. "analitika ponašanja korisnika"), slično područje primjene (npr. "analitika podataka") ili će jednostavno postati neka nova popularna riječ (na primjer, termin "vještačka inteligencija" [AI] izgleda zanimljivo, iako nema smisla za moderne UEBA proizvođače).

Ključni nalazi iz Gartnerove studije mogu se sažeti na sljedeći način:

  • Zrelost tržišta bihevioralne analize korisnika i subjekata potvrđuje činjenica da ove tehnologije koriste srednji i veliki korporativni segment za rješavanje niza poslovnih problema;
  • UEBA analitičke mogućnosti ugrađene su u širok spektar povezanih tehnologija za sigurnost informacija, kao što su brokeri za sigurnost pristupa u oblaku (CASB), SIEM sistemi upravljanja i administracije identiteta (IGA);
  • Himpa oko UEBA dobavljača i pogrešna upotreba termina "umjetna inteligencija" otežava kupcima da shvate stvarnu razliku između tehnologija proizvođača i funkcionalnosti rješenja bez provođenja pilot projekta;
  • Kupci primjećuju da vrijeme implementacije i svakodnevna upotreba UEBA rješenja može biti radno intenzivnija i dugotrajnija nego što proizvođač obećava, čak i kada se razmatraju samo osnovni modeli otkrivanja prijetnji. Dodavanje prilagođenih ili rubnih slučajeva korištenja može biti izuzetno teško i zahtijevati stručnost u nauci o podacima i analitici.

Strateška prognoza razvoja tržišta:

  • Do 2021. godine tržište sistema korisničke i entitetske bihevioralne analitike (UEBA) prestat će postojati kao zasebno područje i preći će na druga rješenja s UEBA funkcionalnošću;
  • Do 2020. godine, 95% svih UEBA implementacija bit će dio šire sigurnosne platforme.

Definicija UEBA rješenja

UEBA rješenja koriste ugrađenu analitiku za procjenu aktivnosti korisnika i drugih entiteta (kao što su hostovi, aplikacije, mrežni promet i skladišta podataka).
Oni otkrivaju prijetnje i potencijalne incidente, koji obično predstavljaju anomalnu aktivnost u poređenju sa standardnim profilom i ponašanjem korisnika i entiteta u sličnim grupama tokom određenog vremenskog perioda.

Najčešći slučajevi upotrebe u segmentu preduzeća su otkrivanje pretnji i odgovor, kao i otkrivanje i odgovor na insajderske pretnje (uglavnom kompromitovani insajderi; ponekad interni napadači).

UEBA je kao odluka, i funkcija, ugrađen u određeni alat:

  • Rješenje su proizvođači „čistih“ UEBA platformi, uključujući dobavljače koji također prodaju SIEM rješenja zasebno. Fokusiran na širok spektar poslovnih problema u biheviorističkoj analitici korisnika i entiteta.
  • Ugrađeni – Proizvođači/odjeli koji integriraju UEBA funkcije i tehnologije u svoja rješenja. Obično je fokusiran na specifičniji skup poslovnih problema. U ovom slučaju, UEBA se koristi za analizu ponašanja korisnika i/ili entiteta.

Gartner posmatra UEBA na tri ose, uključujući rešavanje problema, analitiku i izvore podataka (vidi sliku).

UEBA tržište je mrtvo - živjela UEBA

"Čiste" UEBA platforme naspram ugrađene UEBA-e

Gartner smatra da su „čista“ UEBA platforma rješenja koja:

  • riješiti nekoliko specifičnih problema, kao što je praćenje privilegiranih korisnika ili izlaz podataka izvan organizacije, a ne samo apstraktno „praćenje anomalnih aktivnosti korisnika“;
  • uključuju upotrebu složene analitike, nužno zasnovane na osnovnim analitičkim pristupima;
  • pružaju nekoliko opcija za prikupljanje podataka, uključujući i ugrađene mehanizme izvora podataka i alate za upravljanje dnevnikom, Data Lake i/ili SIEM sisteme, bez obavezne potrebe za postavljanjem zasebnih agenata u infrastrukturu;
  • mogu se kupiti i implementirati kao samostalna rješenja umjesto uključena
    sastav ostalih proizvoda.

Tabela ispod upoređuje dva pristupa.

Tabela 1. “Čista” UEBA rješenja u odnosu na ugrađena

kategorija "Čiste" UEBA platforme Ostala rješenja sa ugrađenom UEBA-om
Problem koji treba riješiti Analiza ponašanja korisnika i entiteta. Nedostatak podataka može ograničiti UEBA-u da analizira ponašanje samo korisnika ili entiteta.
Problem koji treba riješiti Služi za rješavanje širokog spektra problema Specijalizirao se za ograničeni skup zadataka
Analitika Otkrivanje anomalija korištenjem različitih analitičkih metoda – uglavnom putem statističkih modela i mašinskog učenja, zajedno s pravilima i potpisima. Dolazi sa ugrađenom analitikom za kreiranje i upoređivanje aktivnosti korisnika i entiteta sa njihovim i profilima kolega. Slično čistoj UEBA, ali analiza može biti ograničena samo na korisnike i/ili entitete.
Analitika Napredne analitičke sposobnosti, koje nisu ograničene samo pravilima. Na primjer, algoritam za grupisanje s dinamičkim grupiranjem entiteta. Slično "čistom" UEBA, ali grupiranje entiteta u nekim modelima ugrađenih prijetnji može se promijeniti samo ručno.
Analitika Korelacija aktivnosti i ponašanja korisnika i drugih entiteta (na primjer, korištenjem Bayesovih mreža) i agregacija individualnog rizičnog ponašanja kako bi se identificirala anomalna aktivnost. Slično čistoj UEBA, ali analiza može biti ograničena samo na korisnike i/ili entitete.
Izvori podataka Prijem događaja o korisnicima i entitetima iz izvora podataka direktno putem ugrađenih mehanizama ili postojećih skladišta podataka, kao što su SIEM ili Data Lake. Mehanizmi za dobijanje podataka su obično samo direktni i utiču samo na korisnike i/ili druge subjekte. Nemojte koristiti alate za upravljanje dnevnikom / SIEM / Data Lake.
Izvori podataka Rješenje se ne treba oslanjati samo na mrežni promet kao glavni izvor podataka, niti se treba oslanjati isključivo na vlastite agente za prikupljanje telemetrije. Rješenje se može fokusirati samo na mrežni promet (na primjer, NTA - analiza mrežnog saobraćaja) i/ili koristiti svoje agente na krajnjim uređajima (na primjer, pomoćne programe za praćenje zaposlenika).
Izvori podataka Zasićenje podataka korisnika/entiteta kontekstom. Podržava prikupljanje strukturiranih događaja u realnom vremenu, kao i strukturiranih/nestrukturiranih kohezivnih podataka iz IT direktorija - na primjer, Active Directory (AD) ili drugih mašinski čitljivih informacionih resursa (na primjer, HR baze podataka). Slično čistoj UEBA-i, ali opseg kontekstualnih podataka može se razlikovati od slučaja do slučaja. AD i LDAP su najčešće kontekstualne skladišta podataka koje koriste ugrađena UEBA rješenja.
Dostupnost Pruža navedene karakteristike kao samostalan proizvod. Nemoguće je kupiti ugrađenu UEBA funkcionalnost bez kupovine eksternog rješenja u koje je ugrađena.
Izvor: Gartner (maj 2019.)

Stoga, za rješavanje određenih problema, ugrađena UEBA može koristiti osnovnu UEBA analitiku (na primjer, jednostavno nenadzirano mašinsko učenje), ali u isto vrijeme, zbog pristupa tačno potrebnim podacima, može biti sveukupno učinkovitija od „čiste“ UEBA rješenje. Istovremeno, “čiste” UEBA platforme, očekivano, nude složeniju analitiku kao glavno znanje u odnosu na ugrađeni UEBA alat. Ovi rezultati su sažeti u tabeli 2.

Tabela 2. Rezultat razlika između “čiste” i ugrađene UEBA-e

kategorija "Čiste" UEBA platforme Ostala rješenja sa ugrađenom UEBA-om
Analitika Primjenjivost za rješavanje raznih poslovnih problema podrazumijeva univerzalniji skup UEBA funkcija s naglaskom na kompleksniju analitiku i modele strojnog učenja. Fokusiranje na manji skup poslovnih problema znači visoko specijalizirane funkcije koje se fokusiraju na modele specifične za aplikaciju sa jednostavnijom logikom.
Analitika Prilagodba analitičkog modela je neophodna za svaki scenarij primjene. Analitički modeli su unaprijed konfigurirani za alat koji ima ugrađenu UEBA-u. Alat sa ugrađenom UEBA-om uglavnom postiže brže rezultate u rješavanju određenih poslovnih problema.
Izvori podataka Pristup izvorima podataka iz svih uglova korporativne infrastrukture. Manje izvora podataka, obično ograničenih dostupnošću agenata za njih ili samog alata s UEBA funkcijama.
Izvori podataka Informacije sadržane u svakom dnevniku mogu biti ograničene izvorom podataka i možda ne sadrže sve potrebne podatke za centralizirani UEBA alat. Količina i detalji sirovih podataka koje je prikupio agent i proslijeđeni UEBA-i mogu se posebno konfigurirati.
arhitektura To je kompletan UEBA proizvod za organizaciju. Integracija je lakša koristeći mogućnosti SIEM sistema ili Data Lakea. Zahtijeva poseban skup UEBA funkcija za svako od rješenja koja imaju ugrađenu UEBA. Ugrađena UEBA rješenja često zahtijevaju instaliranje agenata i upravljanje podacima.
Integracija Ručna integracija UEBA rješenja s drugim alatima u svakom slučaju. Omogućava organizaciji da izgradi svoj tehnološki niz zasnovan na pristupu „najbolji među analozima“. Glavni paketi UEBA funkcija su već uključeni u sam alat od strane proizvođača. UEBA modul je ugrađen i ne može se ukloniti, tako da ga korisnici ne mogu zamijeniti nečim svojim.
Izvor: Gartner (maj 2019.)

UEBA kao funkcija

UEBA postaje karakteristika end-to-end rješenja za cyber sigurnost koja mogu imati koristi od dodatne analitike. UEBA je u osnovi ovih rješenja, pružajući moćan sloj napredne analitike zasnovane na obrascima ponašanja korisnika i/ili entiteta.

Trenutno na tržištu, ugrađena UEBA funkcionalnost implementirana je u sljedeća rješenja grupirana po tehnološkom obimu:

  • Revizija i zaštita usmjerena na podatke, su dobavljači koji su fokusirani na poboljšanje sigurnosti strukturiranih i nestrukturiranih podataka za skladištenje (aka DCAP).

    U ovoj kategoriji dobavljača Gartner, između ostalog, napominje, Varonis platforma za sajber sigurnost, koji nudi analitiku ponašanja korisnika za praćenje promjena u dozvolama za nestrukturirane podatke, pristupu i korištenju u različitim skladištima informacija.

  • CASB sistemi, nudi zaštitu od različitih prijetnji u SaaS aplikacijama baziranim na oblaku blokiranjem pristupa uslugama u oblaku za neželjene uređaje, korisnike i verzije aplikacija pomoću prilagodljivog sistema kontrole pristupa.

    Sva vodeća CASB rješenja na tržištu uključuju UEBA mogućnosti.

  • DLP rješenja – fokusiran na otkrivanje prenosa kritičnih podataka izvan organizacije ili njihove zloupotrebe.

    Napredak DLP-a se uglavnom zasniva na razumijevanju sadržaja, s manje fokusa na razumijevanje konteksta kao što su korisnik, aplikacija, lokacija, vrijeme, brzina događaja i drugi vanjski faktori. Da bi bili efikasni, DLP proizvodi moraju prepoznati i sadržaj i kontekst. Zbog toga mnogi proizvođači počinju integrirati UEBA funkcionalnost u svoja rješenja.

  • Praćenje zaposlenih je mogućnost snimanja i reprodukcije radnji zaposlenika, obično u formatu podataka koji je pogodan za sudske postupke (ako je potrebno).

    Stalno praćenje korisnika često generiše ogromnu količinu podataka koji zahtevaju ručno filtriranje i analizu ljudi. Stoga se UEBA koristi unutar sistema za praćenje kako bi se poboljšale performanse ovih rješenja i otkrile samo visokorizične incidente.

  • Endpoint Security – Rešenja za otkrivanje i odgovor krajnje tačke (EDR) i platforme za zaštitu krajnjih tačaka (EPP) pružaju moćnu instrumentaciju i telemetriju operativnog sistema za
    krajnjim uređajima.

    Takva telemetrija vezana za korisnike može se analizirati kako bi se osigurala ugrađena UEBA funkcionalnost.

  • Online prevara – Online rješenja za otkrivanje prijevara otkrivaju devijantnu aktivnost koja ukazuje na kompromitaciju korisničkog računa putem lažiranja, zlonamjernog softvera ili eksploatacije neosiguranih veza/presretanja prometa u pretraživaču.

    Većina rješenja za prevare koristi suštinu UEBA-e, analize transakcija i mjerenja uređaja, s naprednijim sistemima koji ih nadopunjuju uparujućim odnosima u bazi podataka identiteta.

  • IAM i kontrola pristupa – Gartner primjećuje evolutivni trend među dobavljačima sistema kontrole pristupa da se integrišu sa čistim dobavljačima i ugrade neke UEBA funkcionalnosti u svoje proizvode.
  • IAM i sistemi upravljanja i administracije identiteta (IGA). koristite UEBA za pokrivanje scenarija analize ponašanja i identiteta kao što su otkrivanje anomalija, analiza dinamičkog grupisanja sličnih entiteta, analiza prijavljivanja i analiza politike pristupa.
  • IAM i upravljanje privilegiranim pristupom (PAM) – Zbog uloge praćenja korišćenja administrativnih naloga, PAM rešenja imaju telemetriju koja pokazuje kako, zašto, kada i gde su korišćeni administrativni nalozi. Ovi podaci se mogu analizirati korištenjem ugrađene funkcionalnosti UEBA-e za prisustvo anomalnog ponašanja administratora ili zlonamjerne namjere.
  • Proizvođači NTA (analiza mrežnog prometa) – koristite kombinaciju mašinskog učenja, napredne analitike i detekcije zasnovane na pravilima za identifikaciju sumnjivih aktivnosti na korporativnim mrežama.

    NTA alati kontinuirano analiziraju izvorni promet i/ili zapise toka (npr. NetFlow) kako bi izgradili modele koji odražavaju normalno ponašanje mreže, prvenstveno fokusirajući se na analitiku ponašanja entiteta.

  • siem – mnogi SIEM dobavljači sada imaju naprednu funkcionalnost analize podataka ugrađenu u SIEM ili kao poseban UEBA modul. Tokom 2018. i do sada u 2019. godini, došlo je do kontinuiranog brisanja granica između SIEM i UEBA funkcionalnosti, o čemu se govori u članku "Tehnološki uvid u moderni SIEM". SIEM sistemi su postali bolji u radu s analitikom i nude složenije scenarije aplikacija.

UEBA aplikacijski scenariji

UEBA rješenja mogu riješiti širok spektar problema. Međutim, Gartner klijenti se slažu da primarni slučaj upotrebe uključuje otkrivanje različitih kategorija prijetnji, koje se postižu prikazivanjem i analizom čestih korelacija između ponašanja korisnika i drugih entiteta:

  • neovlašteni pristup i kretanje podataka;
  • sumnjivo ponašanje privilegovanih korisnika, zlonamerne ili neovlašćene aktivnosti zaposlenih;
  • nestandardni pristup i korištenje cloud resursa;
  • i drugi.

Postoje i brojni atipični slučajevi upotrebe koji nisu u vezi sa sajber-bezbednošću, kao što su prevare ili praćenje zaposlenih, za koje UEBA može biti opravdana. Međutim, oni često zahtijevaju izvore podataka izvan IT i informacione sigurnosti, ili specifične analitičke modele sa dubokim razumijevanjem ove oblasti. Pet glavnih scenarija i aplikacija oko kojih se slažu i UEBA proizvođači i njihovi kupci opisani su u nastavku.

"Zlonamjerni insajder"

Provajderi UEBA rješenja koji pokrivaju ovaj scenarij samo nadziru zaposlenike i pouzdane ugovarače radi neuobičajenog, “lošeg” ili zlonamjernog ponašanja. Prodavci u ovoj oblasti stručnosti ne prate ili analiziraju ponašanje uslužnih računa ili drugih neljudskih entiteta. Uglavnom zbog toga, oni nisu fokusirani na otkrivanje naprednih prijetnji gdje hakeri preuzimaju postojeće račune. Umjesto toga, oni su usmjereni na identifikaciju zaposlenih koji su uključeni u štetne aktivnosti.

U suštini, koncept „zlonamjernog insajdera“ potiče od pouzdanih korisnika sa zlonamjernim namjerama koji traže načine da nanesu štetu svom poslodavcu. Budući da je zlonamjernu namjeru teško izmjeriti, najbolji dobavljači u ovoj kategoriji analiziraju podatke o kontekstualnom ponašanju koji nisu lako dostupni u evidencijama revizije.

Provajderi rješenja u ovom prostoru također optimalno dodaju i analiziraju nestrukturirane podatke, kao što su sadržaj e-pošte, izvještaji o produktivnosti ili informacije na društvenim mrežama, kako bi pružili kontekst za ponašanje.

Kompromitovane insajderske i nametljive prijetnje

Izazov je brzo otkriti i analizirati “loše” ponašanje nakon što napadač dobije pristup organizaciji i počne se kretati unutar IT infrastrukture.
Asertivne prijetnje (APT), poput nepoznatih ili još neu potpunosti shvaćenih prijetnji, izuzetno je teško otkriti i često se skrivaju iza legitimnih aktivnosti korisnika ili naloga za usluge. Takve prijetnje obično imaju složen operativni model (vidi, na primjer, članak „ Obraćanje Cyber ​​Kill lancu") ili njihovo ponašanje još nije ocijenjeno štetnim. Zbog toga ih je teško otkriti upotrebom jednostavne analitike (kao što je podudaranje po obrascima, pragovima ili pravilima korelacije).

Međutim, mnoge od ovih nametljivih prijetnji rezultiraju nestandardnim ponašanjem, koje često uključuje nesuđene korisnike ili entitete (tzv. kompromitovani insajderi). UEBA tehnike nude nekoliko interesantnih mogućnosti za otkrivanje takvih prijetnji, poboljšanje omjera signal-šum, konsolidaciju i smanjenje obima obavijesti, davanje prioriteta preostalim upozorenjima i olakšavanje efikasnog odgovora i istrage incidenta.

UEBA dobavljači koji ciljaju ovu problematičnu oblast često imaju dvosmjernu integraciju sa SIEM sistemima organizacije.

Eksfiltracija podataka

Zadatak u ovom slučaju je otkriti činjenicu da se podaci prenose izvan organizacije.
Prodavci fokusirani na ovaj izazov obično koriste DLP ili DAG mogućnosti sa detekcijom anomalija i naprednom analitikom, čime se poboljšava odnos signal-šum, konsoliduje jačina obaveštenja i daje prioritet preostalim okidačima. Za dodatni kontekst, dobavljači se obično više oslanjaju na mrežni promet (kao što su web proksiji) i podatke krajnjih tačaka, jer analiza ovih izvora podataka može pomoći u istraživanjima eksfiltracije podataka.

Detekcija eksfiltracije podataka koristi se za hvatanje insajdera i eksternih hakera koji prijete organizaciji.

Identifikacija i upravljanje privilegovanim pristupom

Proizvođači nezavisnih UEBA rješenja u ovoj oblasti stručnosti promatraju i analiziraju ponašanje korisnika u pozadini već formiranog sistema prava kako bi identificirali prekomjerne privilegije ili anomalan pristup. Ovo se odnosi na sve tipove korisnika i naloga, uključujući privilegovane i servisne naloge. Organizacije također koriste UEBA da se riješe neaktivnih naloga i korisničkih privilegija koje su veće od potrebnih.

Određivanje prioriteta incidenta

Cilj ovog zadatka je dati prioritet obavijestima generiranim rješenjima u njihovom tehnološkom stogu kako bi se razumjelo koje incidente ili potencijalne incidente treba prvo riješiti. UEBA metodologije i alati su korisni u identifikaciji incidenata koji su posebno anomalni ili posebno opasni za datu organizaciju. U ovom slučaju, UEBA mehanizam ne koristi samo osnovni nivo aktivnosti i modele prijetnji, već i zasićuje podatke informacijama o organizacijskoj strukturi kompanije (na primjer, kritični resursi ili uloge i nivoi pristupa zaposlenih).

Problemi implementacije UEBA rješenja

Tržišna bol UEBA rješenja je njihova visoka cijena, složena implementacija, održavanje i korištenje. Dok se kompanije bore s brojem različitih internih portala, dobijaju još jednu konzolu. Veličina ulaganja vremena i resursa u novi alat ovisi o izazovima koji se nalaze i vrstama analitike koja je potrebna za njihovo rješavanje, a najčešće zahtijevaju velika ulaganja.

Suprotno onome što mnogi proizvođači tvrde, UEBA nije alat „podesi i zaboravi“ koji može raditi neprekidno danima.
Gartnerovi klijenti, na primjer, napominju da je potrebno od 3 do 6 mjeseci da se pokrene UEBA inicijativa od nule kako bi se dobili prvi rezultati rješavanja problema zbog kojih je ovo rješenje implementirano. Za složenije zadatke, kao što je prepoznavanje insajderskih prijetnji u organizaciji, period se povećava na 18 mjeseci.

Faktori koji utiču na poteškoće implementacije UEBA-e i buduću efikasnost alata:

  • Složenost organizacijske arhitekture, topologije mreže i politika upravljanja podacima
  • Dostupnost pravih podataka na pravom nivou detalja
  • Složenost analitičkih algoritama dobavljača—na primjer, upotreba statističkih modela i mašinskog učenja u odnosu na jednostavne obrasce i pravila.
  • Količina unapred konfigurisane analitike koja je uključena – to jest, proizvođačevo razumevanje koje podatke treba prikupiti za svaki zadatak i koje su varijable i atributi najvažniji za izvođenje analize.
  • Koliko je lako proizvođaču da se automatski integriše sa potrebnim podacima.

    Na primjer:

    • Ako UEBA rješenje koristi SIEM sistem kao glavni izvor svojih podataka, da li SIEM prikuplja informacije iz potrebnih izvora podataka?
    • Mogu li se potrebni zapisnici događaja i podaci o organizacijskom kontekstu preusmjeriti na UEBA rješenje?
    • Ako SIEM sistem još ne prikuplja i ne kontroliše izvore podataka koji su potrebni UEBA rešenju, kako se onda oni tamo mogu preneti?

  • Koliko je scenarij primjene važan za organizaciju, koliko izvora podataka zahtijeva i koliko se ovaj zadatak preklapa s područjem stručnosti proizvođača.
  • Koji stepen organizacijske zrelosti i uključenosti je potreban – na primjer, stvaranje, razvoj i usavršavanje pravila i modela; dodeljivanje pondera varijablama za evaluaciju; ili prilagođavanje praga procjene rizika.
  • Koliko je skalabilno rješenje dobavljača i njegova arhitektura u poređenju sa trenutnom veličinom organizacije i njenim budućim zahtjevima.
  • Vrijeme je za izgradnju osnovnih modela, profila i ključnih grupa. Proizvođačima je često potrebno najmanje 30 dana (a ponekad i do 90 dana) da izvrše analizu prije nego što mogu definirati “normalne” koncepte. Jednom učitavanje historijskih podataka može ubrzati obuku modela. Neki od zanimljivih slučajeva mogu se identificirati brže korištenjem pravila nego korištenjem mašinskog učenja s nevjerovatno malom količinom početnih podataka.
  • Nivo napora koji je potreban za izgradnju dinamičkog grupisanja i profiliranja naloga (usluga/osoba) može uvelike varirati između rješenja.

izvor: www.habr.com

Dodajte komentar