ProHoster > Блог > balita sa internet > Ang merkado sa UEBA patay na - mabuhi ang UEBA

Ang merkado sa UEBA patay na - mabuhi ang UEBA

Ang merkado sa UEBA patay na - mabuhi ang UEBA

Karon maghatag kami usa ka mubo nga pagtan-aw sa merkado sa User ug Entity Behavioral Analytics (UEBA) base sa pinakabag-o. Gartner nga panukiduki. Ang merkado sa UEBA naa sa ilawom sa "yugto sa pagkadislusyon" sumala sa Gartner Hype Cycle alang sa Mga Teknolohiya nga Nag-atubang sa Paghulga, nga nagpaila sa pagkahamtong sa teknolohiya. Apan ang paradox sa sitwasyon anaa sa dungan nga kinatibuk-ang pagtubo sa mga pamuhunan sa mga teknolohiya sa UEBA ug ang pagkawala sa merkado sa mga independenteng solusyon sa UEBA. Gitagna ni Gartner nga ang UEBA mahimong bahin sa pagpaandar sa mga may kalabutan nga solusyon sa seguridad sa kasayuran. Ang termino nga "UEBA" lagmit dili na magamit ug pulihan sa lain nga acronym nga nakapunting sa usa ka mas makitid nga lugar sa aplikasyon (pananglitan, "analitik sa pamatasan sa gumagamit"), usa ka parehas nga lugar sa aplikasyon (pananglitan, "data analytics"), o mahimo ra nga pipila. bag-ong buzzword (pananglitan, ang termino nga "artipisyal nga paniktik" [AI] tan-awon nga makapaikag, bisan kung kini wala’y kahulogan sa mga modernong tiggama sa UEBA).

Ang mahinungdanong mga kaplag gikan sa pagtuon sa Gartner mahimong i-summarize sama sa mosunod:

  • Ang pagkahamtong sa merkado alang sa pag-analisa sa pamatasan sa mga tiggamit ug mga entidad gipamatud-an sa kamatuoran nga kini nga mga teknolohiya gigamit sa medium ug dako nga bahin sa korporasyon aron masulbad ang daghang mga problema sa negosyo;
  • Ang mga kapabilidad sa analytics sa UEBA gitukod ngadto sa usa ka halapad nga han-ay sa mga may kalabutan nga teknolohiya sa seguridad sa impormasyon, sama sa cloud access security brokers (CASBs), identity governance and administration (IGA) SIEM systems;
  • Ang hype sa palibot sa mga vendor sa UEBA ug ang dili husto nga paggamit sa termino nga "artipisyal nga paniktik" nagpalisud sa mga kustomer nga masabtan ang tinuod nga kalainan tali sa mga teknolohiya sa mga tiggama ug ang pagpaandar sa mga solusyon nga wala magpahigayon og pilot project;
  • Namatikdan sa mga kustomer nga ang oras sa pagpatuman ug adlaw-adlaw nga paggamit sa mga solusyon sa UEBA mahimong labi ka kusog sa pagtrabaho ug pag-usik sa oras kaysa sa gisaad sa tiggama, bisan kung gikonsiderar lamang ang sukaranan nga mga modelo sa pagtuki sa hulga. Ang pagdugang sa naandan o edge nga mga kaso sa paggamit mahimong labi ka lisud ug nanginahanglan kahanas sa data science ug analytics.

Ang estratehikong pag-uswag sa merkado nga forecast:

  • Sa 2021, ang merkado alang sa user ug entity behavioral analytics (UEBA) nga mga sistema dili na maglungtad isip usa ka bulag nga lugar ug mobalhin ngadto sa ubang mga solusyon nga adunay UEBA functionality;
  • Sa 2020, 95% sa tanan nga UEBA deployment mahimong bahin sa usa ka mas lapad nga plataporma sa seguridad.

Kahulugan sa mga solusyon sa UEBA

Ang mga solusyon sa UEBA naggamit sa built-in nga analytics aron sa pagtimbang-timbang sa kalihokan sa mga tiggamit ug uban pang mga entidad (sama sa mga host, aplikasyon, trapiko sa network ug mga tindahan sa datos).
Namatikdan nila ang mga hulga ug potensyal nga mga insidente, kasagaran nga nagrepresentar sa dili normal nga kalihokan kung itandi sa sumbanan nga profile ug pamatasan sa mga tiggamit ug entidad sa parehas nga mga grupo sa usa ka yugto sa panahon.

Ang labing kasagaran nga mga kaso sa paggamit sa bahin sa negosyo mao ang pagtuki sa hulga ug pagtubag, ingon man ang pag-ila ug pagtubag sa mga hulga sa tagaloob (kasagaran nakompromiso ang mga insider; usahay mga internal nga tig-atake).

Ingon ani ang UEBA desisyon, ug paglihok, gitukod sa usa ka piho nga himan:

  • Ang solusyon mao ang mga tiggama sa "puro" nga mga platform sa UEBA, lakip ang mga tigbaligya nga gilain usab ang pagbaligya sa mga solusyon sa SIEM. Naka-focus sa usa ka halapad nga mga problema sa negosyo sa pag-analisa sa pamatasan sa mga tiggamit ug entidad.
  • Naka-embed - Mga tiggama / mga dibisyon nga naghiusa sa mga gimbuhaton ug teknolohiya sa UEBA sa ilang mga solusyon. Kasagaran nga naka-focus sa usa ka mas piho nga hugpong sa mga problema sa negosyo. Sa kini nga kaso, ang UEBA gigamit sa pag-analisar sa pamatasan sa mga tiggamit ug/o mga entidad.

Gitan-aw ni Gartner ang UEBA sa tulo ka mga axes, lakip ang mga solver sa problema, analytics, ug mga tinubdan sa datos (tan-awa ang hulagway).

Ang merkado sa UEBA patay na - mabuhi ang UEBA

"Puro" nga UEBA nga mga plataporma kumpara sa built-in nga UEBA

Giisip ni Gartner ang usa ka "putli" nga plataporma sa UEBA nga mga solusyon nga:

  • pagsulbad sa pipila ka mga piho nga mga problema, sama sa pag-monitor sa mga pribilihiyo nga tiggamit o pag-output sa datos sa gawas sa organisasyon, ug dili lamang ang abstract nga "pag-monitor sa anomaliya nga kalihokan sa tiggamit";
  • apil ang paggamit sa komplikadong pag-analisa, kinahanglan nga gibase sa sukaranang mga pamaagi sa pagtuki;
  • paghatag og daghang mga kapilian alang sa pagkolekta sa datos, lakip na ang duha ka built-in nga mga mekanismo sa tinubdan sa datos ug gikan sa mga himan sa pagdumala sa log, Data lake ug/o mga sistema sa SIEM, nga walay mandatory nga panginahanglan sa pagdeploy og bulag nga mga ahente sa imprastraktura;
  • mahimong mapalit ug ma-deploy isip stand-alone nga mga solusyon imbes iapil sa
    komposisyon sa ubang mga produkto.

Ang lamesa sa ubos nagtandi sa duha ka mga pamaagi.

Talaan 1. "Pure" nga mga solusyon sa UEBA kumpara sa mga built-in

nga kategoriya "Puro" nga mga plataporma sa UEBA Ang ubang mga solusyon nga adunay built-in nga UEBA
Problema nga sulbaron Pag-analisar sa pamatasan ug mga entidad sa tiggamit. Ang kakulang sa datos mahimong limitahan ang UEBA sa pag-analisar sa pamatasan sa mga tiggamit o entidad lamang.
Problema nga sulbaron Nagsilbi aron masulbad ang daghang mga problema Espesyalista sa limitado nga hugpong sa mga buluhaton
Analytics Ang pagtuki sa anomaliya gamit ang lain-laing pamaagi sa analitikal - kasagaran pinaagi sa mga modelo sa istatistika ug pagkat-on sa makina, kauban ang mga lagda ug pirma. Nag-uban sa built-in nga analytics aron makamugna ug itandi ang kalihokan sa tiggamit ug entidad sa mga profile sa ilang ug kauban. Susama sa puro nga UEBA, apan ang pagtuki mahimong limitado sa mga tiggamit ug/o mga entidad lamang.
Analytics Ang mga advanced analytical nga kapabilidad, dili limitado sa mga lagda. Pananglitan, usa ka clustering algorithm nga adunay dinamikong paggrupo sa mga entidad. Susama sa "pure" nga UEBA, apan ang pag-grupo sa entidad sa pipila nga na-embed nga mga modelo sa hulga mahimo ra usbon sa mano-mano.
Analytics Ang korelasyon sa kalihokan ug pamatasan sa mga tiggamit ug uban pang mga entidad (pananglitan, gamit ang mga network sa Bayesian) ug pagtipon sa indibidwal nga pamatasan sa peligro aron mahibal-an ang anomaliya nga kalihokan. Susama sa puro nga UEBA, apan ang pagtuki mahimong limitado sa mga tiggamit ug/o mga entidad lamang.
Mga tinubdan sa datos Pagdawat sa mga panghitabo sa mga tiggamit ug mga entidad gikan sa mga tinubdan sa datos direkta pinaagi sa mga built-in nga mekanismo o anaa nga mga tindahan sa datos, sama sa SIEM o Data lake. Ang mga mekanismo sa pagkuha sa datos kasagaran direkta lamang ug makaapekto lamang sa mga tiggamit ug/o ubang mga entidad. Ayaw gamita ang mga himan sa pagdumala sa log / SIEM / Data lake.
Mga tinubdan sa datos Ang solusyon kinahanglan dili lamang magsalig sa trapiko sa network isip ang nag-unang tinubdan sa datos, ni kini kinahanglan nga magsalig lamang sa kaugalingon nga mga ahente sa pagkolekta sa telemetry. Ang solusyon mahimong magpunting lamang sa trapiko sa network (pananglitan, NTA - pagtuki sa trapiko sa network) ug/o gamiton ang mga ahente niini sa mga end device (pananglitan, mga utility sa pag-monitor sa empleyado).
Mga tinubdan sa datos Ang pagpuno sa datos sa user/entity sa konteksto. Nagsuporta sa pagkolekta sa mga structured nga mga panghitabo sa tinuod nga panahon, ingon man usab sa structured/unstructured cohesive data gikan sa IT directories - pananglitan, Active Directory (AD), o uban pang machine-readable information resources (pananglitan, HR databases). Susama sa lunsay nga UEBA, apan ang sakup sa datos sa konteksto mahimong magkalainlain sa matag kaso. Ang AD ug LDAP mao ang labing kasagaran nga mga tindahan sa datos sa konteksto nga gigamit sa mga naka-embed nga solusyon sa UEBA.
Pagkaon Naghatag sa nalista nga mga bahin ingon usa ka standalone nga produkto. Imposible nga mapalit ang built-in nga pag-andar sa UEBA nga wala pagpalit usa ka eksternal nga solusyon diin kini gitukod.
Tinubdan: Gartner (Mayo 2019)

Busa, aron masulbad ang pipila ka mga problema, ang naka-embed nga UEBA makagamit sa batakang UEBA analytics (pananglitan, yano nga unsupervised machine learning), apan sa samang higayon, tungod sa pag-access sa eksakto nga gikinahanglan nga datos, kini mahimong mas epektibo sa kinatibuk-an kaysa sa usa ka "putli" solusyon sa UEBA. Sa parehas nga oras, ang "puro" nga mga platform sa UEBA, sama sa gipaabut, nagtanyag labi ka komplikado nga analytics ingon ang panguna nga kahibalo kung itandi sa gitukod nga himan sa UEBA. Kini nga mga resulta gi-summarize sa Table 2.

Talaan 2. Ang resulta sa mga kalainan tali sa "pure" ug built-in nga UEBA

nga kategoriya "Puro" nga mga plataporma sa UEBA Ang ubang mga solusyon nga adunay built-in nga UEBA
Analytics Ang pagpadapat sa pagsulbad sa lain-laing mga problema sa negosyo nagpasabot sa usa ka mas unibersal nga hugpong sa mga gimbuhaton sa UEBA nga adunay paghatag gibug-aton sa mas komplikado nga analytics ug mga modelo sa pagkat-on sa makina. Ang pag-focus sa usa ka gamay nga hugpong sa mga problema sa negosyo nagpasabut nga labi ka espesyal nga mga bahin nga nagpunting sa mga modelo nga piho sa aplikasyon nga adunay mas simple nga lohika.
Analytics Ang pag-customize sa analytical nga modelo gikinahanglan alang sa matag senaryo sa aplikasyon. Ang mga modelo sa analitikal gi-pre-configure alang sa himan nga adunay UEBA nga gitukod niini. Ang usa ka himan nga adunay built-in nga UEBA sa kasagaran makakab-ot sa mas paspas nga mga resulta sa pagsulbad sa pipila ka mga problema sa negosyo.
Mga tinubdan sa datos Pag-access sa mga tinubdan sa datos gikan sa tanang suok sa imprastraktura sa korporasyon. Diyutay nga mga tinubdan sa datos, kasagaran limitado sa pagkaanaa sa mga ahente alang kanila o sa himan mismo nga adunay mga gimbuhaton sa UEBA.
Mga tinubdan sa datos Ang impormasyon nga anaa sa matag log mahimong limitado sa tinubdan sa datos ug mahimong dili maglangkob sa tanang gikinahanglan nga datos alang sa sentralisadong himan sa UEBA. Ang kantidad ug detalye sa hilaw nga datos nga nakolekta sa ahente ug gipadala sa UEBA mahimong espesipikong i-configure.
arkitektura Kini usa ka kompleto nga produkto sa UEBA alang sa usa ka organisasyon. Ang paghiusa mas sayon ​​gamit ang mga kapabilidad sa usa ka SIEM system o Data lake. Nagkinahanglan ug bulag nga set sa mga feature sa UEBA alang sa matag usa sa mga solusyon nga adunay built-in nga UEBA. Ang mga naka-embed nga solusyon sa UEBA kanunay nanginahanglan pag-install sa mga ahente ug pagdumala sa datos.
Integration Manwal nga paghiusa sa solusyon sa UEBA sa ubang mga himan sa matag kaso. Nagtugot sa usa ka organisasyon sa pagtukod sa iyang teknolohiya stack base sa "labing maayo sa mga analogues" nga pamaagi. Ang mga nag-unang hugpong sa mga gimbuhaton sa UEBA gilakip na sa himan mismo sa tiggama. Ang UEBA module kay built-in ug dili matangtang, mao nga ang mga kustomer dili makapuli niini sa ilang kaugalingon.
Tinubdan: Gartner (Mayo 2019)

UEBA isip usa ka function

Ang UEBA nahimong bahin sa end-to-end nga mga solusyon sa cybersecurity nga makabenepisyo gikan sa dugang nga analytics. Gipasaligan sa UEBA kini nga mga solusyon, nga naghatag usa ka kusgan nga layer sa advanced analytics nga gibase sa mga pattern sa pamatasan sa user ug/o entity.

Sa pagkakaron sa merkado, ang built-in nga UEBA functionality gipatuman sa mosunod nga mga solusyon, nga gi-grupo sa teknolohikal nga sakup:

  • Pag-audit ug proteksyon nga nakapokus sa datos, mao ang mga vendor nga naka-focus sa pagpalambo sa seguridad sa structured ug unstructured data storage (aka DCAP).

    Sa kini nga kategorya sa mga tigbaligya, giingon ni Gartner, taliwala sa ubang mga butang, Varonis cybersecurity nga plataporma, nga nagtanyag sa analitika sa pamatasan sa gumagamit aron mamonitor ang mga pagbag-o sa wala’y istruktura nga pagtugot sa datos, pag-access, ug paggamit sa lainlaing mga tindahan sa impormasyon.

  • Mga sistema sa CASB, nagtanyag og panalipod batok sa lain-laing mga hulga sa cloud-based SaaS nga mga aplikasyon pinaagi sa pagbabag sa pag-access sa mga serbisyo sa panganod alang sa dili gusto nga mga himan, tiggamit ug mga bersyon sa aplikasyon gamit ang adaptive access control system.

    Ang tanan nga nanguna sa merkado nga mga solusyon sa CASB naglakip sa mga kapabilidad sa UEBA.

  • Mga solusyon sa DLP - naka-focus sa pag-ila sa pagbalhin sa kritikal nga datos sa gawas sa organisasyon o sa pag-abuso niini.

    Ang mga pag-uswag sa DLP kadaghanan gibase sa pagsabut sa sulod, nga adunay gamay nga pagtagad sa pagsabut sa konteksto sama sa tiggamit, aplikasyon, lokasyon, oras, katulin sa mga panghitabo, ug uban pang mga eksternal nga hinungdan. Aron mahimong epektibo, ang mga produkto sa DLP kinahanglang makaila sa sulod ug konteksto. Mao kini ang hinungdan nga daghang mga tiggama ang nagsugod sa pag-integrate sa UEBA functionality sa ilang mga solusyon.

  • Pag-monitor sa empleyado mao ang abilidad sa pagrekord ug pag-replay sa mga aksyon sa empleyado, kasagaran sa usa ka format sa datos nga angay alang sa legal nga mga proseso (kon gikinahanglan).

    Ang kanunay nga pag-monitor sa mga tiggamit kanunay nga nagpatunghag daghang mga datos nga nanginahanglan manwal nga pagsala ug pagtuki sa tawo. Busa, ang UEBA gigamit sa sulod sa mga sistema sa pagmonitor aron mapausbaw ang pasundayag sa kini nga mga solusyon ug makit-an lamang ang mga insidente nga adunay peligro.

  • Katapusan nga Seguridad – Ang Endpoint detection and response (EDR) nga mga solusyon ug endpoint protection platforms (EPP) naghatag og gamhanang instrumentation ug operating system telemetry sa
    katapusan nga mga himan.

    Ang ingon nga telemetry nga may kalabotan sa gumagamit mahimong masusi aron mahatagan ang built-in nga pagpaandar sa UEBA.

  • Online nga pagpanglimbong – Ang online nga mga solusyon sa pag-detect sa fraud nakamatikod sa nagtipas nga kalihokan nga nagpaila sa pagkompromiso sa account sa usa ka kustomer pinaagi sa usa ka spoof, malware, o pagpahimulos sa dili luwas nga koneksyon/pagpugong sa trapiko sa browser.

    Kadaghanan sa mga solusyon sa pagpanglimbong naggamit sa esensya sa UEBA, pagtuki sa transaksyon ug pagsukod sa device, nga adunay mas abante nga mga sistema nga nagsuporta kanila pinaagi sa pagpares sa mga relasyon sa database sa identidad.

  • IAM ug kontrol sa pag-access - Gitala ni Gartner ang us aka ebolusyonaryong uso sa mga tigbaligya sa sistema sa pagkontrol sa pag-access aron i-integrate sa mga purong vendor ug magtukod og pipila ka gamit sa UEBA sa ilang mga produkto.
  • IAM ug Identity Governance and Administration (IGA) nga mga sistema gamita ang UEBA aron matabonan ang mga senaryo sa pag-analisa sa pamatasan ug identidad sama sa pagtuki sa anomaliya, pagtuki sa dinamikong paggrupo sa parehas nga mga entidad, pagtuki sa pag-login, ug pagtuki sa palisiya sa pag-access.
  • IAM ug Privileged Access Management (PAM) – Tungod sa tahas sa pagmonitor sa paggamit sa mga administratibong account, ang mga solusyon sa PAM adunay telemetry aron ipakita kung giunsa, ngano, kanus-a ug diin gigamit ang mga administratibong account. Kini nga datos mahimong analisahon gamit ang built-in nga functionality sa UEBA alang sa presensya sa anomaliya nga kinaiya sa mga administrador o malisyoso nga tuyo.
  • Mga Manufacturers NTA (Network Traffic Analysis) – gamita ang kombinasyon sa machine learning, advanced analytics ug rule-based detection aron mailhan ang kadudahan nga kalihokan sa corporate networks.

    Ang mga himan sa NTA padayon nga nag-analisa sa tinubdan sa trapiko ug/o mga rekord sa dagan (eg.

  • siem – daghang mga tigbaligya sa SIEM karon adunay advanced data analytics functionality nga gitukod sa SIEM, o isip usa ka bulag nga UEBA module. Sa tibuuk nga 2018 ug hangtod karon sa 2019, adunay padayon nga pag-blur sa mga utlanan tali sa pag-andar sa SIEM ug UEBA, ingon sa gihisgutan sa artikulo. "Insight sa Teknolohiya alang sa Modernong SIEM". Ang mga sistema sa SIEM nahimong mas maayo sa pagtrabaho uban sa analytics ug pagtanyag sa mas komplikado nga mga sitwasyon sa aplikasyon.

Mga Sitwasyon sa Aplikasyon sa UEBA

Ang mga solusyon sa UEBA makasulbad sa daghang mga problema. Bisan pa, ang mga kliyente sa Gartner miuyon nga ang panguna nga kaso sa paggamit naglakip sa pag-ila sa lainlaing mga kategorya sa mga hulga, nga makab-ot pinaagi sa pagpakita ug pag-analisar sa kanunay nga mga kalambigitan tali sa pamatasan sa gumagamit ug uban pang mga entidad:

  • dili awtorisado nga pag-access ug paglihok sa datos;
  • kadudahan nga kinaiya sa mga pribilihiyo nga tiggamit, malisyoso o dili awtorisado nga kalihokan sa mga empleyado;
  • dili standard nga pag-access ug paggamit sa mga kapanguhaan sa panganod;
  • ug uban pa.

Adunay usab ubay-ubay nga dili tipikal nga non-cybersecurity nga mga kaso sa paggamit, sama sa pagpanglimbong o pag-monitor sa empleyado, diin ang UEBA mahimong makatarunganon. Bisan pa, sila kanunay nanginahanglan mga gigikanan sa datos sa gawas sa IT ug seguridad sa kasayuran, o piho nga mga modelo sa analitikal nga adunay lawom nga pagsabut sa kini nga lugar. Ang lima ka panguna nga mga senaryo ug aplikasyon nga giuyonan sa mga tiggama sa UEBA ug ilang mga kostumer gihulagway sa ubos.

"Malisyosong Insider"

Ang mga tighatag sa solusyon sa UEBA nga nagsakup niini nga senaryo nagmonitor lamang sa mga empleyado ug kasaligan nga mga kontraktor alang sa dili kasagaran, "daotan," o daotan nga pamatasan. Ang mga tigbaligya sa kini nga lugar sa kahanas wala mag-monitor o mag-analisar sa pamatasan sa mga account sa serbisyo o uban pang dili tawo nga entidad. Kadaghanan tungod niini, wala sila naka-focus sa pag-ila sa mga advanced nga hulga kung diin gikuha sa mga hacker ang mga naa na nga account. Hinuon, gitumong nila ang pag-ila sa mga empleyado nga nalambigit sa makadaot nga mga kalihokan.

Sa tinuud, ang konsepto sa usa ka "malisyoso nga tagaloob" naggikan sa mga kasaligan nga tiggamit nga adunay daotan nga katuyoan nga nangita mga paagi aron madaot ang ilang amo. Tungod kay lisud sukdon ang malisyosong katuyoan, ang labing maayo nga mga vendor sa kini nga kategorya nag-analisar sa datos sa pamatasan sa konteksto nga dili dali magamit sa mga log sa pag-audit.

Ang mga tighatag sa solusyon sa kini nga wanang maayo usab nga nagdugang ug nag-analisar sa wala’y istruktura nga datos, sama sa sulud sa email, mga taho sa produktibidad, o kasayuran sa social media, aron mahatagan ang konteksto sa pamatasan.

Nakompromiso nga insider ug intrusive nga mga hulga

Ang hagit mao ang dali nga pag-ila ug pag-analisar sa "dili maayo" nga pamatasan sa higayon nga ang tig-atake nakakuha og access sa organisasyon ug nagsugod sa paglihok sa sulod sa imprastraktura sa IT.
Ang mga assertive threats (APTs), sama sa wala mailhi o wala pa hingpit nga nasabtan nga mga hulga, lisud kaayo mahibal-an ug kanunay nagtago sa luyo sa lehitimong kalihokan sa tiggamit o mga account sa serbisyo. Ang ingon nga mga hulga kasagaran adunay usa ka komplikado nga modelo sa operasyon (tan-awa, pananglitan, ang artikulo nga " Pagsulbad sa Cyber ​​​​Kill Chain") o ang ilang kinaiya wala pa masusi nga makadaot. Kini nakapalisud kanila sa pag-ila gamit ang yano nga analytics (sama sa pagpares sa mga pattern, threshold, o mga lagda sa correlation).

Bisan pa, daghan niining mga makahahadlok nga mga hulga moresulta sa dili standard nga pamatasan, kasagaran naglambigit sa wala'y pagduda nga mga tiggamit o mga entidad (aka nakompromiso nga mga insider). Ang mga teknik sa UEBA nagtanyag og daghang makapaikag nga mga oportunidad sa pag-ila sa ingon nga mga hulga, pagpalambo sa signal-to-noise ratio, pagkonsolida ug pagpakunhod sa gidaghanon sa pahibalo, pag-una sa nahabilin nga mga alerto, ug pagpadali sa epektibo nga pagtubag sa insidente ug imbestigasyon.

Ang mga tigbaligya sa UEBA nga nagpunting sa kini nga lugar sa problema kanunay adunay duha nga direksyon nga panagsama sa mga sistema sa SIEM sa organisasyon.

Pag-exfiltrate sa datos

Ang tahas sa kini nga kaso mao ang pag-ila sa kamatuoran nga ang datos gibalhin sa gawas sa organisasyon.
Ang mga vendor naka-focus niini nga hagit kasagarang mogamit sa DLP o DAG nga kapabilidad uban sa anomaliya detection ug advanced analytics, sa ingon pagpausbaw sa signal-to-noise ratio, pagkonsolida sa gidaghanon sa pahibalo, ug pag-una sa nahabilin nga mga trigger. Alang sa dugang nga konteksto, ang mga tigbaligya kasagarang mas nagsalig sa trapiko sa network (sama sa mga proxy sa web) ug data sa endpoint, tungod kay ang pag-analisar niini nga mga tinubdan sa datos makatabang sa mga imbestigasyon sa exfiltration sa datos.

Ang data exfiltration detection gigamit sa pagdakop sa mga insider ug external hackers nga naghulga sa organisasyon.

Pag-ila ug pagdumala sa pribilihiyo nga pag-access

Ang mga tiggama sa mga independente nga solusyon sa UEBA sa kini nga lugar sa kahanas nag-obserbar ug nag-analisar sa pamatasan sa gumagamit batok sa background sa usa ka naporma na nga sistema sa mga katungod aron mahibal-an ang sobra nga mga pribilehiyo o anomalous nga pag-access. Kini magamit sa tanan nga mga matang sa mga tiggamit ug mga account, lakip ang mga pribilihiyo ug mga account sa serbisyo. Gigamit usab sa mga organisasyon ang UEBA aron matangtang ang mga dormant nga account ug mga pribilehiyo sa tiggamit nga mas taas kaysa gikinahanglan.

Pag-una sa insidente

Ang tumong niini nga buluhaton mao ang pag-una sa mga pahibalo nga namugna sa mga solusyon sa ilang teknolohiya nga stack aron masabtan kung unsang mga insidente o potensyal nga mga insidente ang kinahanglan una nga sulbaron. Ang mga pamaagi ug mga himan sa UEBA mapuslanon sa pag-ila sa mga insidente nga partikular nga anomaloso o partikular nga delikado alang sa usa ka organisasyon. Sa kini nga kaso, ang mekanismo sa UEBA dili lamang naggamit sa base nga lebel sa kalihokan ug mga modelo sa hulga, apan gipuno usab ang datos sa kasayuran bahin sa istruktura sa organisasyon sa kompanya (pananglitan, kritikal nga mga kapanguhaan o tahas ug lebel sa pag-access sa mga empleyado).

Mga problema sa pagpatuman sa mga solusyon sa UEBA

Ang sakit sa merkado sa mga solusyon sa UEBA mao ang ilang taas nga presyo, komplikado nga pagpatuman, pagpadayon ug paggamit. Samtang ang mga kompanya nanlimbasug sa gidaghanon sa lainlaing mga internal nga portal, nakakuha sila usa ka console. Ang gidak-on sa pagpamuhunan sa oras ug mga kahinguhaan sa usa ka bag-ong himan nagdepende sa mga buluhaton sa kamot ug sa mga tipo sa pag-analisa nga gikinahanglan aron masulbad kini, ug kasagaran nanginahanglan daghang mga pamuhunan.

Sukwahi sa giangkon sa daghang mga tiggama, ang UEBA dili usa ka himan nga "ibutang kini ug kalimtan kini" nga mahimo’g magpadayon nga magpadayon sa daghang mga adlaw sa katapusan.
Ang mga kliyente sa Gartner, pananglitan, timan-i nga gikan sa 3 hangtod 6 ka bulan ang paglansad sa usa ka inisyatibo sa UEBA gikan sa wala aron makuha ang una nga mga sangputanan sa pagsulbad sa mga problema kung diin gipatuman kini nga solusyon. Para sa mas komplikado nga mga buluhaton, sama sa pag-ila sa mga hulga sa insider sa usa ka organisasyon, ang panahon mosaka ngadto sa 18 ka bulan.

Mga hinungdan nga nakaimpluwensya sa kalisud sa pagpatuman sa UEBA ug sa umaabot nga pagkaepektibo sa himan:

  • Pagkakomplikado sa arkitektura sa organisasyon, topolohiya sa network ug mga palisiya sa pagdumala sa datos
  • Ang pagkaanaa sa husto nga datos sa husto nga lebel sa detalye
  • Ang pagkakomplikado sa mga algorithm sa analytics sa vendor—pananglitan, ang paggamit sa mga modelo sa istatistika ug pagkat-on sa makina kumpara sa yano nga mga sumbanan ug lagda.
  • Ang kantidad sa pre-configured analytics gilakip-nga mao, ang tiggama sa pagsabot sa unsa nga data kinahanglan nga kolektahon alang sa matag buluhaton ug unsa nga mga baryable ug mga hiyas ang labing importante sa pagbuhat sa pagtuki.
  • Unsa kadali alang sa tiggama nga awtomatiko nga mag-uban sa gikinahanglan nga datos.

    Pananglitan:

    • Kung ang usa ka solusyon sa UEBA naggamit sa usa ka sistema sa SIEM ingon ang panguna nga gigikanan sa datos niini, nakolekta ba sa SIEM ang kasayuran gikan sa gikinahanglan nga mga gigikanan sa datos?
    • Mahimo bang madala ang gikinahanglan nga mga log sa panghitabo ug datos sa konteksto sa organisasyon ngadto sa solusyon sa UEBA?
    • Kung ang sistema sa SIEM wala pa mangolekta ug makontrol ang mga tinubdan sa datos nga gikinahanglan sa solusyon sa UEBA, nan unsaon kini pagbalhin didto?

  • Unsa ka hinungdanon ang senaryo sa aplikasyon alang sa organisasyon, pila ka mga gigikanan sa datos ang kinahanglan niini, ug kung unsa kadaghan ang kini nga buluhaton nga nagsapaw sa lugar sa kahanas sa tiggama.
  • Unsa nga ang-ang sa pagkahamtong sa organisasyon ug pag-apil ang gikinahanglan - pananglitan, ang paghimo, pagpalambo ug pagpino sa mga lagda ug modelo; paghatag og gibug-aton ngadto sa mga baryable alang sa pagtimbang-timbang; o pag-adjust sa threshold sa pagtasa sa risgo.
  • Unsa ka scalable ang solusyon sa vendor ug ang arkitektura niini kung itandi sa karon nga gidak-on sa organisasyon ug sa umaabot nga mga kinahanglanon.
  • Panahon sa pagtukod og mga batakang modelo, profile ug yawe nga mga grupo. Ang mga tiggama kasagaran nagkinahanglan og labing menos 30 ka adlaw (ug usahay hangtod sa 90 ka adlaw) sa pagpahigayon sa pagtuki sa dili pa sila makahubit sa "normal" nga mga konsepto. Ang pagkarga sa makasaysayan nga datos sa makausa makapadali sa pagbansay sa modelo. Ang pipila sa mga makapaikag nga mga kaso mahimong mailhan nga mas paspas gamit ang mga lagda kaysa sa paggamit sa pagkat-on sa makina nga adunay gamay kaayo nga kantidad sa inisyal nga datos.
  • Ang lebel sa paningkamot nga gikinahanglan sa paghimo sa dinamikong paggrupo ug account profiling (serbisyo/tawo) mahimong magkalahi kaayo tali sa mga solusyon.

Source: www.habr.com

Idugang sa usa ka comment