ProHoster > Blog > internetové zprávy > Trh UEBA je mrtvý – ať žije UEBA

Trh UEBA je mrtvý – ať žije UEBA

Trh UEBA je mrtvý – ať žije UEBA

Dnes poskytneme stručný přehled trhu User and Entity Behavioral Analytics (UEBA) na základě nejnovějších výzkum společnosti Gartner. Podle Gartner Hype Cycle for Threat-Facing Technologies je trh UEBA na dně „fáze deziluze“, což naznačuje vyspělost technologie. Paradox situace však spočívá v současném všeobecném růstu investic do technologií UEBA a mizejícím trhu nezávislých řešení UEBA. Gartner předpovídá, že UEBA se stane součástí funkčnosti souvisejících řešení bezpečnosti informací. Výraz „UEBA“ se pravděpodobně přestane používat a bude nahrazen jinou zkratkou zaměřenou na užší aplikační oblast (např. „analytika chování uživatelů“), podobnou aplikační oblast (např. „analytika dat“) nebo se jednoduše stane nějakým nový buzzword (například výraz "umělá inteligence" [AI] vypadá zajímavě, i když moderním výrobcům UEBA nedává žádný smysl).

Klíčová zjištění studie Gartner lze shrnout takto:

  • Vyspělost trhu pro behaviorální analytiku uživatelů a subjektů potvrzuje skutečnost, že tyto technologie využívá segment středních a velkých firem k řešení řady obchodních problémů;
  • Analytické schopnosti UEBA jsou zabudovány do široké řady souvisejících technologií zabezpečení informací, jako jsou zprostředkovatelé zabezpečení přístupu ke cloudu (CASB), systémy SIEM pro správu a správu identit (IGA);
  • Humbuk kolem prodejců UEBA a nesprávné používání termínu „umělá inteligence“ ztěžuje zákazníkům pochopit skutečný rozdíl mezi technologiemi výrobců a funkčností řešení, aniž by provedli pilotní projekt;
  • Zákazníci poznamenávají, že doba implementace a každodenní používání řešení UEBA může být pracnější a časově náročnější, než slibuje výrobce, a to i při zvažování pouze základních modelů detekce hrozeb. Přidání vlastních nebo okrajových případů použití může být extrémně obtížné a vyžaduje odborné znalosti v oblasti datové vědy a analýzy.

Strategická prognóza vývoje trhu:

  • Do roku 2021 přestane trh se systémy pro analýzu chování uživatelů a entit (UEBA) existovat jako samostatná oblast a přesune se k jiným řešením s funkcemi UEBA;
  • Do roku 2020 bude 95 % všech nasazení UEBA součástí širší bezpečnostní platformy.

Definice řešení UEBA

Řešení UEBA využívají vestavěné analýzy k vyhodnocení aktivity uživatelů a dalších subjektů (jako jsou hostitelé, aplikace, síťový provoz a datová úložiště).
Detekují hrozby a potenciální incidenty, které obvykle představují anomální aktivitu ve srovnání se standardním profilem a chováním uživatelů a subjektů v podobných skupinách po určitou dobu.

Nejčastějšími případy použití v podnikovém segmentu jsou detekce hrozeb a reakce na ně, stejně jako detekce a reakce na vnitřní hrozby (většinou kompromitované insidery; někdy interní útočníci).

UEBA je jako rozhodnutíA podle funkce, zabudovaný do konkrétního nástroje:

  • Řešením jsou výrobci „čistých“ platforem UEBA, včetně prodejců, kteří SIEM řešení prodávají i samostatně. Zaměřeno na širokou škálu obchodních problémů v analýze chování uživatelů i subjektů.
  • Embedded – Výrobci/divize, které integrují funkce a technologie UEBA do svých řešení. Obvykle se zaměřuje na specifičtější soubor obchodních problémů. V tomto případě se UEBA používá k analýze chování uživatelů a/nebo subjektů.

Gartner nahlíží na UEBA ve třech osách, včetně řešení problémů, analytiky a zdrojů dat (viz obrázek).

Trh UEBA je mrtvý – ať žije UEBA

„Čisté“ platformy UEBA versus vestavěné UEBA

Gartner považuje za „čistou“ platformu UEBA řešení, která:

  • řešit několik specifických problémů, jako je monitorování privilegovaných uživatelů nebo výstup dat mimo organizaci, a nikoli pouze abstraktní „monitorování anomální aktivity uživatelů“;
  • zahrnovat použití komplexní analytiky, nezbytně založené na základních analytických přístupech;
  • poskytovat několik možností pro sběr dat, včetně vestavěných mechanismů zdrojů dat a z nástrojů pro správu protokolů, datového jezera a/nebo systémů SIEM, aniž by bylo nutné nasazovat samostatné agenty v infrastruktuře;
  • lze zakoupit a nasadit jako samostatná řešení, nikoli jako součást
    složení ostatních produktů.

Níže uvedená tabulka porovnává oba přístupy.

Tabulka 1. „Čistá“ řešení UEBA vs. vestavěná

kategorie "Čisté" platformy UEBA Další řešení s vestavěným UEBA
Problém k vyřešení Analýza uživatelského chování a entit. Nedostatek dat může omezit UEBA na analýzu chování pouze uživatelů nebo subjektů.
Problém k vyřešení Slouží k řešení široké škály problémů Specializuje se na omezený soubor úkolů
Analytika Detekce anomálií pomocí různých analytických metod - především prostřednictvím statistických modelů a strojového učení, spolu s pravidly a signaturami. Dodává se s vestavěnou analytikou pro vytváření a porovnávání aktivity uživatelů a subjektů s profily jejich a kolegů. Podobně jako u čistého UEBA, ale analýza může být omezena pouze na uživatele a/nebo entity.
Analytika Pokročilé analytické schopnosti neomezené pouze pravidly. Například shlukovací algoritmus s dynamickým seskupováním entit. Podobně jako u „čistého“ UEBA, ale seskupení entit v některých modelech integrovaných hrozeb lze změnit pouze ručně.
Analytika Korelace aktivity a chování uživatelů a dalších subjektů (například pomocí Bayesových sítí) a agregace individuálního rizikového chování za účelem identifikace anomální aktivity. Podobně jako u čistého UEBA, ale analýza může být omezena pouze na uživatele a/nebo entity.
Zdroje dat Příjem událostí o uživatelích a entitách ze zdrojů dat přímo prostřednictvím vestavěných mechanismů nebo existujících datových úložišť, jako je SIEM nebo Data lake. Mechanismy pro získávání dat jsou obvykle pouze přímé a ovlivňují pouze uživatele a/nebo jiné subjekty. Nepoužívejte nástroje pro správu protokolů / SIEM / Data lake.
Zdroje dat Řešení by se nemělo spoléhat pouze na síťový provoz jako hlavní zdroj dat, ani by se nemělo spoléhat pouze na své vlastní agenty pro sběr telemetrie. Řešení se může zaměřit pouze na síťový provoz (například NTA - analýza síťového provozu) a/nebo využívat své agenty na koncových zařízeních (například utility pro monitorování zaměstnanců).
Zdroje dat Nasycení dat uživatele/entity kontextem. Podporuje sběr strukturovaných událostí v reálném čase, stejně jako strukturovaných/nestrukturovaných soudržných dat z IT adresářů - například Active Directory (AD) nebo jiných strojově čitelných informačních zdrojů (například HR databáze). Podobné jako u čistého UEBA, ale rozsah kontextových dat se může případ od případu lišit. AD a LDAP jsou nejběžnější kontextová úložiště dat používaná vestavěnými řešeními UEBA.
Dostupnost Poskytuje uvedené funkce jako samostatný produkt. Není možné zakoupit vestavěnou funkcionalitu UEBA bez zakoupení externího řešení, ve kterém je zabudována.
Zdroj: Gartner (květen 2019)

K řešení určitých problémů tedy může embedded UEBA využívat základní UEBA analytiku (například jednoduché strojové učení bez dozoru), ale zároveň díky přístupu k přesně potřebným datům může být celkově efektivnější než „čisté“ řešení UEBA. Zároveň „čisté“ platformy UEBA, jak se očekávalo, nabízejí komplexnější analytiku jako hlavní know-how ve srovnání s vestavěným nástrojem UEBA. Tyto výsledky jsou shrnuty v tabulce 2.

Tabulka 2. Výsledek rozdílů mezi „čistým“ a vestavěným UEBA

kategorie "Čisté" platformy UEBA Další řešení s vestavěným UEBA
Analytika Použitelnost pro řešení různých obchodních problémů předpokládá univerzálnější sadu funkcí UEBA s důrazem na složitější analýzy a modely strojového učení. Zaměření na menší sadu obchodních problémů znamená vysoce specializované funkce, které se zaměřují na aplikačně specifické modely s jednodušší logikou.
Analytika Přizpůsobení analytického modelu je nezbytné pro každý scénář aplikace. Analytické modely jsou předkonfigurovány pro nástroj, který má v sobě zabudované UEBA. Nástroj s vestavěným UEBA obecně dosahuje rychlejších výsledků při řešení určitých obchodních problémů.
Zdroje dat Přístup ke zdrojům dat ze všech koutů podnikové infrastruktury. Méně datových zdrojů, obvykle omezených dostupností agentů nebo samotného nástroje s funkcemi UEBA.
Zdroje dat Informace obsažené v každém protokolu mohou být omezeny zdrojem dat a nemusí obsahovat všechna potřebná data pro centralizovaný nástroj UEBA. Množství a podrobnosti nezpracovaných dat shromážděných agentem a přenesených do UEBA lze specificky nakonfigurovat.
architektura Je to kompletní produkt UEBA pro organizaci. Integrace je snazší s využitím možností systému SIEM nebo Data lake. Vyžaduje samostatnou sadu funkcí UEBA pro každé z řešení, která mají vestavěné UEBA. Vestavěná řešení UEBA často vyžadují instalaci agentů a správu dat.
Integrace Manuální integrace řešení UEBA s jinými nástroji v každém případě. Umožňuje organizaci budovat svůj technologický zásobník založený na přístupu „nejlepší mezi analogy“. Hlavní svazky funkcí UEBA jsou již výrobcem obsaženy v samotném nástroji. Modul UEBA je vestavěný a nelze jej vyjmout, takže jej zákazníci nemohou nahradit něčím vlastním.
Zdroj: Gartner (květen 2019)

UEBA jako funkce

UEBA se stává součástí komplexních řešení kybernetické bezpečnosti, která mohou využívat další analýzy. Základem těchto řešení je UEBA, která poskytuje výkonnou vrstvu pokročilé analýzy založené na vzorcích chování uživatelů a/nebo entit.

V současné době na trhu je vestavěná funkcionalita UEBA implementována v následujících řešeních seskupených podle technologického rozsahu:

  • Audit a ochrana zaměřená na data, jsou prodejci, kteří se zaměřují na zlepšení zabezpečení strukturovaných a nestrukturovaných datových úložišť (aka DCAP).

    Gartner v této kategorii prodejců uvádí mimo jiné Platforma kybernetické bezpečnosti Varonis, která nabízí analýzu chování uživatelů pro sledování změn v oprávněních, přístupu a využití nestrukturovaných dat v různých úložištích informací.

  • CASB systémy, nabízející ochranu před různými hrozbami v cloudových aplikacích SaaS blokováním přístupu ke cloudovým službám pro nechtěná zařízení, uživatele a verze aplikací pomocí adaptivního systému řízení přístupu.

    Všechna přední řešení CASB zahrnují funkce UEBA.

  • DLP řešení – zaměřené na odhalování přenosu kritických dat mimo organizaci nebo jejich zneužití.

    Pokroky DLP jsou z velké části založeny na porozumění obsahu, s menším zaměřením na pochopení kontextu, jako je uživatel, aplikace, místo, čas, rychlost událostí a další externí faktory. Aby byly produkty DLP účinné, musí rozpoznat obsah i kontext. To je důvod, proč mnoho výrobců začíná integrovat funkce UEBA do svých řešení.

  • Monitorování zaměstnanců je schopnost zaznamenávat a přehrávat akce zaměstnanců, obvykle v datovém formátu vhodném pro soudní řízení (v případě potřeby).

    Neustálé sledování uživatelů často generuje ohromné ​​množství dat, která vyžadují ruční filtrování a lidskou analýzu. Proto se UEBA používá uvnitř monitorovacích systémů ke zlepšení výkonu těchto řešení a detekci pouze vysoce rizikových incidentů.

  • Zabezpečení koncového bodu – Řešení detekce a odezvy koncových bodů (EDR) a platformy ochrany koncových bodů (EPP) poskytují výkonnou telemetrii přístrojů a operačního systému
    koncová zařízení.

    Takovou uživatelskou telemetrii lze analyzovat a poskytnout vestavěnou funkcionalitu UEBA.

  • Online podvod – Online řešení pro zjišťování podvodů odhalují deviantní aktivitu, která naznačuje kompromitaci zákaznického účtu prostřednictvím falšování, malwaru nebo zneužívání nezabezpečených připojení/zachycování provozu prohlížeče.

    Většina řešení podvodů využívá podstatu UEBA, transakční analýzu a měření zařízení, přičemž pokročilejší systémy je doplňují o párování vztahů v databázi identit.

  • IAM a řízení přístupu – Gartner si všímá evolučního trendu mezi prodejci systémů řízení přístupu k integraci s čistými dodavateli a zabudování některých funkcí UEBA do jejich produktů.
  • IAM a systémy pro správu a správu identit (IGA). používat UEBA k pokrytí scénářů analýzy chování a identity, jako je detekce anomálií, analýza dynamického seskupování podobných entit, analýza přihlášení a analýza přístupových politik.
  • IAM a správa privilegovaného přístupu (PAM) – Kvůli úloze monitorování používání administrativních účtů mají řešení PAM telemetrii, která ukazuje, jak, proč, kdy a kde byly administrativní účty použity. Tato data lze analyzovat pomocí vestavěné funkce UEBA na přítomnost anomálního chování správců nebo škodlivých úmyslů.
  • Výrobci NTA (analýza síťového provozu) – použijte kombinaci strojového učení, pokročilé analýzy a detekce založené na pravidlech k identifikaci podezřelé aktivity v podnikových sítích.

    Nástroje NTA nepřetržitě analyzují zdrojový provoz a/nebo záznamy toků (např. NetFlow), aby vytvořily modely, které odrážejí normální chování sítě, především se zaměřením na analýzu chování entit.

  • siem – mnoho dodavatelů SIEM má nyní pokročilé funkce analýzy dat zabudované do SIEM nebo jako samostatný modul UEBA. V průběhu roku 2018 a doposud v roce 2019 docházelo k neustálému stírání hranic mezi funkčností SIEM a UEBA, jak je uvedeno v článku „Technologický pohled pro moderní SIEM“. Systémy SIEM se zlepšily v práci s analytiky a nabízejí složitější scénáře aplikací.

Aplikační scénáře UEBA

Řešení UEBA mohou vyřešit širokou škálu problémů. Klienti společnosti Gartner však souhlasí s tím, že primárním případem použití je detekce různých kategorií hrozeb, kterých je dosaženo zobrazením a analýzou častých korelací mezi chováním uživatelů a jinými entitami:

  • neoprávněný přístup a pohyb dat;
  • podezřelé chování privilegovaných uživatelů, zlovolná nebo neoprávněná činnost zaměstnanců;
  • nestandardní přístup a využívání cloudových zdrojů;
  • et al.

Existuje také řada atypických případů použití mimo kybernetickou bezpečnost, jako jsou podvody nebo monitorování zaměstnanců, pro které může být UEBA oprávněná. Často však vyžadují zdroje dat mimo IT a informační bezpečnost nebo specifické analytické modely s hlubokým porozuměním této oblasti. Níže je popsáno pět hlavních scénářů a aplikací, na kterých se shodují jak výrobci UEBA, tak jejich zákazníci.

"Malicious Insider"

Poskytovatelé řešení UEBA, kteří pokrývají tento scénář, pouze monitorují zaměstnance a důvěryhodné dodavatele kvůli neobvyklému, „špatnému“ nebo škodlivému chování. Prodejci v této oblasti nemonitorují ani neanalyzují chování servisních účtů nebo jiných nehumánních entit. Z velké části z tohoto důvodu se nezaměřují na odhalování pokročilých hrozeb, kde hackeři přebírají stávající účty. Místo toho jsou zaměřeny na identifikaci zaměstnanců zapojených do škodlivých činností.

Koncept „zlomyslného zasvěcence“ v podstatě pochází od důvěryhodných uživatelů se zlými úmysly, kteří hledají způsoby, jak poškodit svého zaměstnavatele. Protože je obtížné měřit zlý úmysl, nejlepší dodavatelé v této kategorii analyzují údaje o kontextuálním chování, které nejsou snadno dostupné v protokolech auditu.

Poskytovatelé řešení v tomto prostoru také optimálně přidávají a analyzují nestrukturovaná data, jako je obsah e-mailů, zprávy o produktivitě nebo informace ze sociálních médií, aby poskytli kontext pro chování.

Kompromitované zasvěcené a dotěrné hrozby

Úkolem je rychle odhalit a analyzovat „špatné“ chování, jakmile útočník získá přístup k organizaci a začne se pohybovat v rámci IT infrastruktury.
Asertivní hrozby (APT), jako jsou neznámé nebo dosud ne zcela pochopené hrozby, je extrémně obtížné odhalit a často se skrývají za legitimní aktivitu uživatelů nebo servisní účty. Takové hrozby mají obvykle složitý operační model (viz například článek „ Řešení Cyber ​​​​Kill Chain“) nebo jejich chování nebylo dosud vyhodnoceno jako škodlivé. To ztěžuje jejich detekci pomocí jednoduchých analýz (jako je shoda podle vzorů, prahových hodnot nebo korelačních pravidel).

Mnoho z těchto rušivých hrozeb však vede k nestandardnímu chování, které často zahrnuje nic netušící uživatele nebo entity (aka kompromitované zasvěcené osoby). Techniky UEBA nabízejí několik zajímavých příležitostí k detekci takových hrozeb, zlepšení poměru signálu k šumu, konsolidaci a snížení objemu oznámení, upřednostnění zbývajících výstrah a usnadnění efektivní reakce na incidenty a vyšetřování.

Dodavatelé UEBA zaměřující se na tuto problémovou oblast mají často obousměrnou integraci se systémy SIEM organizace.

Exfiltrace dat

Úkolem v tomto případě je odhalit skutečnost, že dochází k přenosu dat mimo organizaci.
Dodavatelé zaměření na tuto výzvu obvykle využívají schopnosti DLP nebo DAG s detekcí anomálií a pokročilou analýzou, čímž zlepšují poměr signálu k šumu, konsolidují objem oznámení a upřednostňují zbývající spouštěče. V dalším kontextu se prodejci obvykle více spoléhají na síťový provoz (jako jsou webové servery proxy) a data koncových bodů, protože analýza těchto zdrojů dat může pomoci při vyšetřování exfiltrace dat.

Detekce exfiltrace dat se používá k zachycení insiderů a externích hackerů ohrožujících organizaci.

Identifikace a správa privilegovaného přístupu

Výrobci nezávislých řešení UEBA v této oblasti odborných znalostí sledují a analyzují chování uživatelů na pozadí již vytvořeného systému práv, aby identifikovali nadměrná oprávnění nebo anomální přístup. To platí pro všechny typy uživatelů a účtů, včetně privilegovaných a servisních účtů. Organizace také používají UEBA, aby se zbavily spících účtů a uživatelských oprávnění, která jsou vyšší, než je požadováno.

Upřednostňování incidentů

Cílem tohoto úkolu je upřednostnit oznámení generovaná řešeními v jejich technologickém zásobníku, abyste pochopili, které incidenty nebo potenciální incidenty by měly být řešeny jako první. Metodologie a nástroje UEBA jsou užitečné při identifikaci incidentů, které jsou pro danou organizaci zvláště neobvyklé nebo zvláště nebezpečné. V tomto případě mechanismus UEBA nejen využívá základní úroveň modelů aktivit a hrozeb, ale také saturuje data informacemi o organizační struktuře společnosti (například kritické zdroje nebo role a úrovně přístupu zaměstnanců).

Problémy implementace řešení UEBA

Tržní bolestí řešení UEBA je jejich vysoká cena, složitá implementace, údržba a používání. Zatímco firmy bojují s množstvím různých interních portálů, pořizují si další konzoli. Velikost investice času a zdrojů do nového nástroje závisí na aktuálních úkolech a typech analytiky, které jsou k jejich řešení potřeba, a nejčastěji vyžadují velké investice.

Na rozdíl od toho, co tvrdí mnoho výrobců, UEBA není nástroj „nastav a zapomeň“, který pak může běžet nepřetržitě celé dny.
Klienti Gartneru například uvádějí, že zahájení iniciativy UEBA od nuly trvá 3 až 6 měsíců, než se získají první výsledky řešení problémů, pro které bylo toto řešení implementováno. U složitějších úkolů, jako je identifikace vnitřních hrozeb v organizaci, se doba prodlužuje na 18 měsíců.

Faktory ovlivňující obtížnost implementace UEBA a budoucí účinnost nástroje:

  • Složitost architektury organizace, topologie sítě a zásad správy dat
  • Dostupnost správných dat na správné úrovni detailů
  • Složitost analytických algoritmů dodavatele – například použití statistických modelů a strojového učení versus jednoduché vzory a pravidla.
  • Množství předkonfigurovaných analýz – to znamená, že výrobce rozumí tomu, jaká data je třeba shromáždit pro každý úkol a jaké proměnné a atributy jsou pro provedení analýzy nejdůležitější.
  • Jak snadno se výrobce automaticky integruje s požadovanými daty.

    Například:

    • Pokud řešení UEBA používá systém SIEM jako hlavní zdroj svých dat, shromažďuje SIEM informace z požadovaných zdrojů dat?
    • Lze potřebné protokoly událostí a organizační kontextová data směrovat do řešení UEBA?
    • Pokud systém SIEM ještě neshromažďuje a neřídí zdroje dat potřebné pro řešení UEBA, jak je tam lze přenést?

  • Jak důležitý je scénář aplikace pro organizaci, kolik zdrojů dat vyžaduje a jak moc se tento úkol překrývá s oblastí odbornosti výrobce.
  • Jaký stupeň organizační vyspělosti a zapojení se vyžaduje – například vytváření, vývoj a zdokonalování pravidel a modelů; přidělování vah proměnným pro vyhodnocení; nebo úpravou prahu hodnocení rizik.
  • Jak škálovatelné je řešení dodavatele a jeho architektura ve srovnání se současnou velikostí organizace a jejími budoucími požadavky.
  • Čas na vytvoření základních modelů, profilů a klíčových skupin. Výrobci často vyžadují alespoň 30 dní (a někdy až 90 dní) na provedení analýzy, než mohou definovat „normální“ pojmy. Jedno načtení historických dat může urychlit trénování modelu. Některé ze zajímavých případů lze identifikovat rychleji pomocí pravidel než pomocí strojového učení s neuvěřitelně malým množstvím počátečních dat.
  • Úroveň úsilí potřebného k vytvoření dynamického seskupování a profilování účtů (služba/osoba) se může mezi jednotlivými řešeními značně lišit.

Zdroj: www.habr.com

Přidat komentář