ProHoster > Bloc > notícies d'internet > El mercat UEBA ha mort: visca UEBA

El mercat UEBA ha mort: visca UEBA

El mercat UEBA ha mort: visca UEBA

Avui oferirem una breu visió general del mercat de l'anàlisi del comportament d'usuaris i entitats (UEBA) basat en les últimes Recerca de Gartner. El mercat UEBA es troba a la part inferior de l'"etapa de desil·lusió" segons Gartner Hype Cycle for Threat-Facing Technologies, cosa que indica la maduresa de la tecnologia. Però la paradoxa de la situació rau en el creixement general simultani de les inversions en tecnologies UEBA i la desaparició del mercat de les solucions independents d'UEBA. Gartner preveu que UEBA formarà part de la funcionalitat de les solucions de seguretat de la informació relacionades. És probable que el terme "UEBA" no es faci servir i es substituirà per un altre acrònim centrat en una àrea d'aplicació més estreta (p. ex., "analítica del comportament de l'usuari"), una àrea d'aplicació similar (p. ex., "anàlisi de dades"), o simplement esdevindrà alguna nova paraula de moda (per exemple, el terme "intel·ligència artificial" [IA] sembla interessant, tot i que no té cap sentit per als fabricants d'UEBA moderns).

Les conclusions clau de l'estudi de Gartner es poden resumir de la següent manera:

  • La maduresa del mercat de l'anàlisi del comportament d'usuaris i entitats es confirma pel fet que aquestes tecnologies són utilitzades pel segment de les empreses mitjanes i grans per resoldre una sèrie de problemes empresarials;
  • Les capacitats d'anàlisi d'UEBA s'incorporen a una àmplia gamma de tecnologies de seguretat de la informació relacionades, com ara els corredors de seguretat d'accés al núvol (CASB), sistemes SIEM de govern i administració d'identitats (IGA);
  • El bombo al voltant dels venedors de la UEBA i l'ús incorrecte del terme "intel·ligència artificial" dificulta que els clients entenguin la diferència real entre les tecnologies dels fabricants i la funcionalitat de les solucions sense dur a terme un projecte pilot;
  • Els clients assenyalen que el temps d'implementació i l'ús diari de les solucions d'UEBA poden ser més intensius de mà d'obra i més temps del que promet el fabricant, fins i tot quan només es consideren models bàsics de detecció d'amenaces. Afegir casos d'ús personalitzats o de punta pot ser extremadament difícil i requereix experiència en ciència de dades i anàlisi.

Previsió estratègica de desenvolupament del mercat:

  • El 2021, el mercat dels sistemes d'anàlisi del comportament d'usuaris i entitats (UEBA) deixarà d'existir com a àrea separada i es desplaçarà cap a altres solucions amb funcionalitat UEBA;
  • El 2020, el 95% de tots els desplegaments d'UEBA formaran part d'una plataforma de seguretat més àmplia.

Definició de solucions UEBA

Les solucions UEBA utilitzen analítiques integrades per avaluar l'activitat dels usuaris i altres entitats (com ara amfitrions, aplicacions, trànsit de xarxa i magatzems de dades).
Detecten amenaces i possibles incidents, que normalment representen una activitat anòmala en comparació amb el perfil i el comportament estàndard dels usuaris i entitats de grups similars durant un període de temps.

Els casos d'ús més habituals en el segment empresarial són la detecció i resposta d'amenaces, així com la detecció i resposta a les amenaces internes (la majoria persones internes compromeses; de vegades atacants interns).

UEBA és com decisióI funció, integrat en una eina específica:

  • La solució són fabricants de plataformes UEBA "pures", inclosos venedors que també venen solucions SIEM per separat. Centrat en una àmplia gamma de problemes empresarials en l'anàlisi del comportament tant d'usuaris com d'entitats.
  • Incrustat: fabricants/divisions que integren funcions i tecnologies UEBA a les seves solucions. Normalment se centra en un conjunt més específic de problemes empresarials. En aquest cas, UEBA serveix per analitzar el comportament dels usuaris i/o entitats.

Gartner considera UEBA en tres eixos, inclosos els solucionadors de problemes, l'anàlisi i les fonts de dades (vegeu la figura).

El mercat UEBA ha mort: visca UEBA

Plataformes UEBA "pures" versus UEBA integrada

Gartner considera que una plataforma UEBA "pura" són solucions que:

  • resoldre diversos problemes específics, com ara el seguiment d'usuaris privilegiats o la sortida de dades fora de l'organització, i no només el "monitoratge de l'activitat anòmala dels usuaris" abstracte;
  • implicar l'ús d'analítica complexa, necessàriament basada en enfocaments analítics bàsics;
  • proporcionar diverses opcions per a la recollida de dades, incloent-hi mecanismes de font de dades integrats i des d'eines de gestió de registres, Data Lake i/o sistemes SIEM, sense la necessitat obligatòria de desplegar agents separats a la infraestructura;
  • es poden comprar i desplegar com a solucions autònomes en lloc d'incloure's
    composició d'altres productes.

La taula següent compara els dos enfocaments.

Taula 1. Solucions UEBA “pures” enfront de les integrades

categoria Plataformes UEBA "pures". Altres solucions amb UEBA incorporada
Problema a resoldre Anàlisi del comportament dels usuaris i les entitats. La manca de dades pot limitar la UEBA a analitzar el comportament només dels usuaris o entitats.
Problema a resoldre Serveix per resoldre un ampli ventall de problemes Especialitzat en un conjunt limitat de tasques
Analítica Detecció d'anomalies mitjançant diversos mètodes analítics, principalment mitjançant models estadístics i aprenentatge automàtic, juntament amb regles i signatures. Ve amb analítiques integrades per crear i comparar l'activitat d'usuaris i entitats amb els seus perfils i els dels seus companys. Similar a la UEBA pura, però l'anàlisi es pot limitar només als usuaris i/o entitats.
Analítica Capacitats analítiques avançades, no limitades només per regles. Per exemple, un algorisme de clustering amb agrupació dinàmica d'entitats. Similar a la UEBA "pura", però l'agrupació d'entitats en alguns models d'amenaces incrustades només es pot canviar manualment.
Analítica Correlació d'activitat i comportament dels usuaris i altres entitats (per exemple, utilitzant xarxes bayesianes) i agregació de comportaments de risc individuals per identificar activitats anòmales. Similar a la UEBA pura, però l'anàlisi es pot limitar només als usuaris i/o entitats.
Fonts de dades Recepció d'esdeveniments sobre usuaris i entitats des de fonts de dades directament mitjançant mecanismes integrats o magatzems de dades existents, com ara SIEM o Data Lake. Els mecanismes d'obtenció de dades solen ser només directes i afecten només usuaris i/o altres entitats. No utilitzeu eines de gestió de registres / SIEM / Data Lake.
Fonts de dades La solució no només hauria de dependre del trànsit de xarxa com a font principal de dades, ni només hauria de dependre dels seus propis agents per recollir la telemetria. La solució només pot centrar-se en el trànsit de xarxa (per exemple, NTA - anàlisi del trànsit de xarxa) i/o utilitzar els seus agents en dispositius finals (per exemple, serveis públics de supervisió dels empleats).
Fonts de dades Saturació de dades d'usuari/entitat amb context. Admet la recopilació d'esdeveniments estructurats en temps real, així com dades cohesionades estructurades/no estructurades de directoris de TI, per exemple, Active Directory (AD) o altres recursos d'informació llegibles per màquina (per exemple, bases de dades de recursos humans). Similar a la UEBA pura, però l'abast de les dades contextuals pot variar d'un cas a un altre. AD i LDAP són els magatzems de dades contextuals més comuns utilitzats per les solucions UEBA incrustades.
Disponibilitat Proporciona les funcions enumerades com a producte autònom. És impossible comprar la funcionalitat UEBA integrada sense comprar una solució externa en la qual està construïda.
Font: Gartner (maig de 2019)

Així, per resoldre determinats problemes, l'UEBA incrustat pot utilitzar anàlisis bàsiques d'UEBA (per exemple, aprenentatge automàtic simple no supervisat), però al mateix temps, a causa de l'accés a exactament les dades necessàries, pot ser, en general, més eficaç que un "pur" Solució UEBA. Al mateix temps, les plataformes UEBA "pures", com era d'esperar, ofereixen anàlisis més complexes com a coneixement principal en comparació amb l'eina UEBA integrada. Aquests resultats es resumeixen a la taula 2.

Taula 2. Resultat de les diferències entre UEBA “pura” i incorporada

categoria Plataformes UEBA "pures". Altres solucions amb UEBA incorporada
Analítica L'aplicabilitat per resoldre una varietat de problemes empresarials implica un conjunt més universal de funcions UEBA amb èmfasi en models d'anàlisi i aprenentatge automàtic més complexos. Centrar-se en un conjunt més petit de problemes empresarials significa funcions altament especialitzades que se centren en models específics de l'aplicació amb una lògica més senzilla.
Analítica La personalització del model analític és necessària per a cada escenari d'aplicació. Els models analítics estan preconfigurats per a l'eina que inclou UEBA. Una eina amb UEBA integrada generalment aconsegueix resultats més ràpids per resoldre determinats problemes empresarials.
Fonts de dades Accés a fonts de dades des de tots els racons de la infraestructura corporativa. Menys fonts de dades, normalment limitades per la disponibilitat d'agents per a ells o per la pròpia eina amb funcions UEBA.
Fonts de dades La informació continguda en cada registre pot estar limitada per la font de dades i pot no contenir totes les dades necessàries per a l'eina centralitzada UEBA. La quantitat i el detall de les dades en brut recollides per l'agent i transmeses a UEBA es poden configurar específicament.
arquitectura És un producte UEBA complet per a una organització. La integració és més fàcil utilitzant les capacitats d'un sistema SIEM o Data Lake. Requereix un conjunt separat de funcions UEBA per a cadascuna de les solucions que tinguin UEBA integrat. Les solucions UEBA incrustades sovint requereixen instal·lar agents i gestionar dades.
Integració Integració manual de la solució UEBA amb altres eines en cada cas. Permet a una organització construir la seva pila de tecnologia basant-se en l'enfocament del "millor entre analògics". Els paquets principals de funcions UEBA ja estan inclosos a la pròpia eina pel fabricant. El mòdul UEBA està integrat i no es pot eliminar, de manera que els clients no poden substituir-lo per alguna cosa pròpia.
Font: Gartner (maig de 2019)

UEBA com a funció

UEBA s'està convertint en una característica de les solucions de ciberseguretat d'extrem a extrem que es poden beneficiar d'anàlisis addicionals. UEBA és la base d'aquestes solucions, proporcionant una potent capa d'anàlisi avançada basada en patrons de comportament d'usuaris i/o entitats.

Actualment al mercat, la funcionalitat integrada d'UEBA s'implementa en les següents solucions, agrupades per àmbit tecnològic:

  • Auditoria i protecció centrades en dades, són proveïdors que se centren a millorar la seguretat de l'emmagatzematge de dades estructurades i no estructurades (també conegut com DCAP).

    En aquesta categoria de venedors, Gartner assenyala, entre altres coses, Plataforma de ciberseguretat Varonis, que ofereix anàlisis del comportament dels usuaris per supervisar els canvis en els permisos, l'accés i l'ús de dades no estructurades a diferents magatzems d'informació.

  • Sistemes CASB, que ofereix protecció contra diverses amenaces a les aplicacions SaaS basades en núvol bloquejant l'accés als serveis al núvol per a dispositius, usuaris i versions d'aplicacions no desitjades mitjançant un sistema de control d'accés adaptatiu.

    Totes les solucions CASB líders en el mercat inclouen capacitats UEBA.

  • Solucions DLP – enfocat a detectar la transferència de dades crítiques fora de l'organització o el seu abús.

    Els avenços de DLP es basen en gran mesura en la comprensió del contingut, amb menys atenció a la comprensió del context com ara l'usuari, l'aplicació, la ubicació, el temps, la velocitat dels esdeveniments i altres factors externs. Per ser efectius, els productes DLP han de reconèixer tant el contingut com el context. És per això que molts fabricants comencen a integrar la funcionalitat UEBA a les seves solucions.

  • Seguiment dels empleats és la capacitat d'enregistrar i reproduir les accions dels empleats, normalment en un format de dades adequat per a procediments legals (si cal).

    El seguiment constant dels usuaris sovint genera una quantitat aclaparadora de dades que requereixen un filtratge manual i una anàlisi humana. Per tant, UEBA s'utilitza dins dels sistemes de monitorització per millorar el rendiment d'aquestes solucions i detectar només incidents d'alt risc.

  • Seguretat de punt final – Les solucions de detecció i resposta de punt final (EDR) i les plataformes de protecció de punt final (EPP) proporcionen instrumentació potent i telemetria del sistema operatiu per
    dispositius finals.

    Aquesta telemetria relacionada amb l'usuari es pot analitzar per proporcionar una funcionalitat UEBA integrada.

  • Frau en línia – Les solucions de detecció de frau en línia detecten activitats desviades que indiquen un compromís del compte d'un client mitjançant una falsificació, programari maliciós o l'explotació de connexions no segures/intercepció del trànsit del navegador.

    La majoria de les solucions de frau utilitzen l'essència de l'UEBA, l'anàlisi de transaccions i el mesurament de dispositius, amb sistemes més avançats que les complementen fent coincidir les relacions a la base de dades d'identitats.

  • IAM i control d'accés – Gartner observa una tendència evolutiva entre els venedors de sistemes de control d'accés per integrar-se amb venedors purs i incorporar alguna funcionalitat UEBA als seus productes.
  • IAM i sistemes de govern i administració d'identitats (IGA). utilitzar UEBA per cobrir escenaris d'anàlisi de comportament i d'identitat, com ara la detecció d'anomalies, l'anàlisi d'agrupament dinàmic d'entitats similars, l'anàlisi d'inici de sessió i l'anàlisi de polítiques d'accés.
  • IAM i gestió d'accés privilegiat (PAM) – A causa de la funció de supervisar l'ús dels comptes administratius, les solucions PAM disposen de telemetria per mostrar com, per què, quan i on es van utilitzar els comptes administratius. Aquestes dades es poden analitzar mitjançant la funcionalitat integrada d'UEBA per a la presència de comportaments anòmals dels administradors o intencions malicioses.
  • Fabricants NTA (Network Traffic Analysis) – Utilitzeu una combinació d'aprenentatge automàtic, anàlisis avançades i detecció basada en regles per identificar activitats sospitoses a les xarxes corporatives.

    Les eines NTA analitzen contínuament el trànsit d'origen i/o els registres de flux (per exemple, NetFlow) per crear models que reflecteixin el comportament normal de la xarxa, centrant-se principalment en l'anàlisi del comportament de l'entitat.

  • SIEM – Molts venedors de SIEM ara tenen una funcionalitat avançada d'anàlisi de dades integrada a SIEM o com a mòdul UEBA independent. Al llarg de l'any 2018 i fins al 2019, s'ha produït una difuminació contínua dels límits entre la funcionalitat SIEM i UEBA, tal com es comenta a l'article "Coneixement tecnològic per al SIEM modern". Els sistemes SIEM s'han convertit en millors per treballar amb analítiques i oferir escenaris d'aplicació més complexos.

Escenaris d'aplicació UEBA

Les solucions UEBA poden resoldre una àmplia gamma de problemes. Tanmateix, els clients de Gartner accepten que el cas d'ús principal consisteix a detectar diverses categories d'amenaces, aconseguides mostrant i analitzant correlacions freqüents entre el comportament de l'usuari i altres entitats:

  • accés no autoritzat i moviment de dades;
  • comportament sospitós dels usuaris privilegiats, activitat maliciosa o no autoritzada dels empleats;
  • accés no estàndard i ús dels recursos del núvol;
  • etcètera

També hi ha una sèrie de casos d'ús atípics no relacionats amb la ciberseguretat, com ara el frau o el seguiment dels empleats, per als quals la UEBA es pot justificar. Tanmateix, sovint requereixen fonts de dades fora de la seguretat informàtica i de la informació, o models analítics específics amb un coneixement profund d'aquesta àrea. A continuació es descriuen els cinc escenaris i aplicacions principals en què estan d'acord tant els fabricants d'UEBA com els seus clients.

"Insider maliciós"

Els proveïdors de solucions UEBA que cobreixen aquest escenari només supervisen els empleats i els contractistes de confiança per detectar comportaments inusuals, "dolents" o maliciosos. Els venedors d'aquesta àrea d'expertesa no supervisen ni analitzen el comportament dels comptes de servei o d'altres entitats no humanes. En gran part per això, no se centren a detectar amenaces avançades on els pirates informàtics es fan càrrec dels comptes existents. En canvi, tenen com a objectiu identificar els empleats implicats en activitats nocives.

Essencialment, el concepte d'"insider maliciós" prové d'usuaris de confiança amb intenció maliciosa que busquen maneres de causar danys al seu empresari. Com que la intenció maliciosa és difícil de mesurar, els millors venedors d'aquesta categoria analitzen dades de comportament contextual que no estan fàcilment disponibles als registres d'auditoria.

Els proveïdors de solucions d'aquest espai també afegeixen i analitzen de manera òptima dades no estructurades, com ara contingut de correu electrònic, informes de productivitat o informació de xarxes socials, per proporcionar context per al comportament.

Amenaces internes compromeses i intrusives

El repte és detectar i analitzar ràpidament el comportament "dolent" un cop l'atacant hagi obtingut accés a l'organització i comenci a moure's dins de la infraestructura informàtica.
Les amenaces assertives (APT), com les amenaces desconegudes o encara no enteses del tot, són extremadament difícils de detectar i sovint s'amaguen darrere d'activitats d'usuari o comptes de servei legítims. Aquestes amenaces solen tenir un model operatiu complex (vegeu, per exemple, l'article " Abordant la cadena Cyber ​​​​Kill") o el seu comportament encara no ha estat valorat com a nociu. Això fa que siguin difícils de detectar mitjançant anàlisis senzilles (com ara la concordança per patrons, llindars o regles de correlació).

No obstant això, moltes d'aquestes amenaces intrusives donen lloc a un comportament no estàndard, que sovint impliquen usuaris o entitats desprevinguts (també coneguts com persones privilegiades compromeses). Les tècniques UEBA ofereixen diverses oportunitats interessants per detectar aquestes amenaces, millorar la relació senyal-soroll, consolidar i reduir el volum de notificacions, prioritzar les alertes restants i facilitar la resposta i la investigació d'incidències eficaços.

Els venedors d'UEBA que s'orienten a aquesta àrea problemàtica sovint tenen una integració bidireccional amb els sistemes SIEM de l'organització.

Exfiltració de dades

La tasca en aquest cas és detectar el fet que les dades s'estan transferint fora de l'organització.
Els venedors centrats en aquest repte solen aprofitar les capacitats DLP o DAG amb detecció d'anomalies i anàlisis avançades, millorant així la relació senyal-soroll, consolidant el volum de notificacions i prioritzant els activadors restants. Per a un context addicional, els venedors solen confiar més en el trànsit de xarxa (com ara els servidors intermediaris web) i les dades dels punts finals, ja que l'anàlisi d'aquestes fonts de dades pot ajudar en les investigacions d'exfiltració de dades.

La detecció d'exfiltració de dades s'utilitza per capturar els internats i els pirates informàtics externs que amenacen l'organització.

Identificació i gestió d'accés privilegiat

Els fabricants de solucions UEBA independents en aquesta àrea d'expertesa observen i analitzen el comportament dels usuaris en el context d'un sistema de drets ja format per identificar privilegis excessius o accessos anòmals. Això s'aplica a tot tipus d'usuaris i comptes, inclosos els comptes amb privilegis i els de servei. Les organitzacions també utilitzen UEBA per desfer-se dels comptes inactius i dels privilegis d'usuari que són superiors als requerits.

Priorització d'incidències

L'objectiu d'aquesta tasca és prioritzar les notificacions generades per solucions a la seva pila tecnològica per entendre quins incidents o possibles incidents s'han d'abordar primer. Les metodologies i les eines UEBA són útils per identificar incidents particularment anòmals o especialment perillosos per a una organització determinada. En aquest cas, el mecanisme UEBA no només utilitza el nivell base d'activitat i models d'amenaça, sinó que també satura les dades amb informació sobre l'estructura organitzativa de l'empresa (per exemple, recursos o rols crítics i nivells d'accés dels empleats).

Problemes d'implementació de solucions UEBA

El dolor del mercat de les solucions UEBA és el seu alt preu, complexa implementació, manteniment i ús. Tot i que les empreses estan lluitant amb el nombre de portals interns diferents, estan obtenint una altra consola. La mida de la inversió de temps i recursos en una nova eina depèn de les tasques a realitzar i dels tipus d'anàlisi que es necessiten per resoldre'ls, i sovint requereixen grans inversions.

Contràriament al que afirmen molts fabricants, UEBA no és una eina de "configurar-lo i oblidar-lo" que es pot executar de manera contínua durant dies i dies.
Els clients de Gartner, per exemple, assenyalen que es triga de 3 a 6 mesos a posar en marxa una iniciativa UEBA des de zero per obtenir els primers resultats de la resolució dels problemes per als quals s'ha implementat aquesta solució. Per a tasques més complexes, com ara identificar amenaces internes en una organització, el període augmenta a 18 mesos.

Factors que influeixen en la dificultat d'implementar UEBA i l'eficàcia futura de l'eina:

  • Complexitat de l'arquitectura de l'organització, topologia de xarxa i polítiques de gestió de dades
  • Disponibilitat de les dades adequades amb el nivell de detall adequat
  • La complexitat dels algorismes d'anàlisi del venedor, per exemple, l'ús de models estadístics i aprenentatge automàtic versus patrons i regles simples.
  • La quantitat d'anàlisis preconfigurades incloses, és a dir, la comprensió del fabricant de quines dades s'han de recollir per a cada tasca i quines variables i atributs són més importants per dur a terme l'anàlisi.
  • Què tan fàcil és per al fabricant integrar-se automàticament amb les dades requerides.

    Per exemple:

    • Si una solució UEBA utilitza un sistema SIEM com a font principal de les seves dades, el SIEM recull informació de les fonts de dades requerides?
    • Es poden encaminar els registres d'esdeveniments i les dades del context organitzatiu necessaris a una solució UEBA?
    • Si el sistema SIEM encara no recull i controla les fonts de dades necessàries per la solució UEBA, com es poden transferir-hi?

  • Quina importància té l'escenari d'aplicació per a l'organització, quantes fonts de dades requereix i quant es solapa aquesta tasca amb l'àrea d'experiència del fabricant.
  • Quin grau de maduresa i implicació organitzativa es requereix, per exemple, la creació, desenvolupament i perfeccionament de normes i models? assignar ponderacions a les variables per a l'avaluació; o ajustar el llindar d'avaluació del risc.
  • Què tan escalable és la solució del proveïdor i la seva arquitectura en comparació amb la mida actual de l'organització i els seus requisits futurs.
  • És hora de construir models bàsics, perfils i grups clau. Els fabricants solen requerir almenys 30 dies (i de vegades fins a 90 dies) per dur a terme anàlisis abans de poder definir conceptes "normals". Carregar dades històriques una vegada pot accelerar l'entrenament del model. Alguns dels casos interessants es poden identificar més ràpidament amb regles que amb l'aprenentatge automàtic amb una quantitat increïblement petita de dades inicials.
  • El nivell d'esforç necessari per crear agrupacions dinàmiques i perfils de comptes (servei/persona) pot variar molt entre les solucions.

Font: www.habr.com

Afegeix comentari