ProHoster > blog > newyddion rhyngrwyd > Mae marchnad UEBA wedi marw - UEBA hir fyw

Mae marchnad UEBA wedi marw - UEBA hir fyw

Mae marchnad UEBA wedi marw - UEBA hir fyw

Heddiw, byddwn yn darparu trosolwg byr o'r farchnad Dadansoddeg Ymddygiad Defnyddwyr ac Endidau (UEBA) yn seiliedig ar y diweddaraf ymchwil Gartner. Mae marchnad UEBA ar waelod y “cam dadrithiad” yn ôl Gartner Hype Cycle ar gyfer Technolegau sy’n Wynebu Bygythiad, sy’n nodi aeddfedrwydd y dechnoleg. Ond mae paradocs y sefyllfa yn gorwedd yn y twf cyffredinol cydamserol o fuddsoddiadau mewn technolegau UEBA a'r farchnad ddiflannol o atebion UEBA annibynnol. Mae Gartner yn rhagweld y bydd UEBA yn dod yn rhan o ymarferoldeb datrysiadau diogelwch gwybodaeth cysylltiedig. Mae'n debygol y bydd y term "UEBA" yn mynd yn brin o ddefnydd ac yn cael ei ddisodli gan acronym arall sy'n canolbwyntio ar faes cymhwyso culach (e.e., "dadansoddeg ymddygiad defnyddiwr"), maes cymhwysiad tebyg (e.e., "dadansoddeg data"), neu ddod yn rhai buzzword newydd (er enghraifft, mae'r term "deallusrwydd artiffisial" [AI] yn edrych yn ddiddorol, er nad yw'n gwneud unrhyw synnwyr i weithgynhyrchwyr UEBA modern).

Gellir crynhoi canfyddiadau allweddol astudiaeth Gartner fel a ganlyn:

  • Mae aeddfedrwydd y farchnad ar gyfer dadansoddeg ymddygiad defnyddwyr ac endidau yn cael ei gadarnhau gan y ffaith bod y segment corfforaethol canolig a mawr yn defnyddio'r technolegau hyn i ddatrys nifer o broblemau busnes;
  • Mae galluoedd dadansoddeg UEBA wedi'u hymgorffori mewn ystod eang o dechnolegau diogelwch gwybodaeth cysylltiedig, megis broceriaid diogelwch mynediad cwmwl (CASBs), systemau SIEM llywodraethu a gweinyddu hunaniaeth (IGA);
  • Mae'r hype o gwmpas gwerthwyr UEBA a'r defnydd anghywir o'r term “deallusrwydd artiffisial” yn ei gwneud hi'n anodd i gwsmeriaid ddeall y gwahaniaeth gwirioneddol rhwng technolegau gweithgynhyrchwyr ac ymarferoldeb datrysiadau heb gynnal prosiect peilot;
  • Mae cwsmeriaid yn nodi y gall yr amser gweithredu a'r defnydd o atebion UEBA o ddydd i ddydd fod yn fwy llafurddwys ac yn cymryd mwy o amser nag y mae'r gwneuthurwr yn ei addo, hyd yn oed wrth ystyried modelau canfod bygythiad sylfaenol yn unig. Gall fod yn hynod anodd ychwanegu achosion arfer neu ddefnydd ymyl a bydd angen arbenigedd mewn gwyddor data a dadansoddeg.

Rhagolwg datblygu marchnad strategol:

  • Erbyn 2021, bydd y farchnad ar gyfer systemau dadansoddeg ymddygiad defnyddwyr ac endid (UEBA) yn peidio â bodoli fel maes ar wahân a bydd yn symud tuag at atebion eraill gydag ymarferoldeb UEBA;
  • Erbyn 2020, bydd 95% o holl leoliadau UEBA yn rhan o lwyfan diogelwch ehangach.

Diffiniad o atebion UEBA

Mae datrysiadau UEBA yn defnyddio dadansoddeg adeiledig i werthuso gweithgaredd defnyddwyr ac endidau eraill (fel gwesteiwyr, cymwysiadau, traffig rhwydwaith a storfeydd data).
Maent yn canfod bygythiadau a digwyddiadau posibl, sy'n nodweddiadol yn cynrychioli gweithgaredd afreolaidd o'i gymharu â phroffil ac ymddygiad safonol defnyddwyr ac endidau mewn grwpiau tebyg dros gyfnod o amser.

Yr achosion defnydd mwyaf cyffredin yn y segment menter yw canfod bygythiadau ac ymateb iddynt, yn ogystal â chanfod ac ymateb i fygythiadau mewnol (mewnwyr dan fygythiad yn bennaf; weithiau ymosodwyr mewnol).

Mae UEBA yn debyg penderfyniadAc swyddogaeth, wedi'i ymgorffori mewn offeryn penodol:

  • Yr ateb yw gweithgynhyrchwyr llwyfannau UEBA “pur”, gan gynnwys gwerthwyr sydd hefyd yn gwerthu datrysiadau SIEM ar wahân. Yn canolbwyntio ar ystod eang o broblemau busnes ym maes dadansoddeg ymddygiad defnyddwyr ac endidau.
  • Wedi'i fewnosod - Gweithgynhyrchwyr / is-adrannau sy'n integreiddio swyddogaethau a thechnolegau UEBA yn eu datrysiadau. Yn canolbwyntio'n nodweddiadol ar set fwy penodol o broblemau busnes. Yn yr achos hwn, defnyddir UEBA i ddadansoddi ymddygiad defnyddwyr a/neu endidau.

Mae Gartner yn gweld UEBA ar hyd tair echelin, gan gynnwys datryswyr problemau, dadansoddeg, a ffynonellau data (gweler y ffigur).

Mae marchnad UEBA wedi marw - UEBA hir fyw

Llwyfannau UEBA "pur" yn erbyn UEBA adeiledig

Mae Gartner yn ystyried platfform UEBA “pur” i fod yn atebion sy'n:

  • datrys nifer o broblemau penodol, megis monitro defnyddwyr breintiedig neu allbynnu data y tu allan i'r sefydliad, ac nid dim ond “monitro gweithgaredd defnyddwyr afreolaidd” haniaethol;
  • cynnwys y defnydd o ddadansoddeg gymhleth, o reidrwydd yn seiliedig ar ddulliau dadansoddol sylfaenol;
  • darparu sawl opsiwn ar gyfer casglu data, gan gynnwys mecanweithiau ffynhonnell data adeiledig ac o offer rheoli logiau, llynnoedd data a/neu systemau SIEM, heb fod angen defnyddio asiantau ar wahân yn y seilwaith yn orfodol;
  • gellir eu prynu a'u defnyddio fel datrysiadau annibynnol yn hytrach na'u cynnwys ynddynt
    cyfansoddiad cynhyrchion eraill.

Mae'r tabl isod yn cymharu'r ddau ddull.

Tabl 1. Datrysiadau UEBA “pur” yn erbyn rhai adeiledig

categori "Pur" llwyfannau UEBA Datrysiadau eraill gyda UEBA adeiledig
Problem i'w datrys Dadansoddiad o ymddygiad defnyddwyr ac endidau. Gall diffyg data gyfyngu ar UEBA i ddadansoddi ymddygiad defnyddwyr neu endidau yn unig.
Problem i'w datrys Yn gwasanaethu i ddatrys ystod eang o broblemau Yn arbenigo mewn set gyfyngedig o dasgau
Analytics Canfod anghysondebau gan ddefnyddio dulliau dadansoddol amrywiol - yn bennaf trwy fodelau ystadegol a dysgu peirianyddol, ynghyd â rheolau a llofnodion. Yn dod gyda dadansoddeg adeiledig i greu a chymharu gweithgaredd defnyddwyr ac endid â'u proffiliau nhw a phroffiliau cydweithwyr. Yn debyg i UEBA pur, ond gellir cyfyngu dadansoddiad i ddefnyddwyr a/neu endidau yn unig.
Analytics Galluoedd dadansoddol uwch, heb eu cyfyngu gan reolau yn unig. Er enghraifft, algorithm clystyru gyda grwpio deinamig o endidau. Yn debyg i UEBA “pur”, ond dim ond â llaw y gellir newid grwpio endid mewn rhai modelau bygythiad wedi'i fewnosod â llaw.
Analytics Cydberthynas gweithgaredd ac ymddygiad defnyddwyr ac endidau eraill (er enghraifft, defnyddio rhwydweithiau Bayesaidd) a chyfuno ymddygiad risg unigol er mwyn nodi gweithgaredd afreolaidd. Yn debyg i UEBA pur, ond gellir cyfyngu dadansoddiad i ddefnyddwyr a/neu endidau yn unig.
Ffynonellau data Derbyn digwyddiadau ar ddefnyddwyr ac endidau o ffynonellau data yn uniongyrchol trwy fecanweithiau adeiledig neu storfeydd data presennol, megis SIEM neu Data lake. Mae mecanweithiau ar gyfer cael data fel arfer yn uniongyrchol yn unig ac yn effeithio ar ddefnyddwyr a/neu endidau eraill yn unig. Peidiwch â defnyddio offer rheoli log / SIEM / Llyn data.
Ffynonellau data Dylai'r ateb nid yn unig ddibynnu ar draffig rhwydwaith fel y brif ffynhonnell ddata, ac ni ddylai ddibynnu ar ei asiantau ei hun yn unig i gasglu telemetreg. Gall yr ateb ganolbwyntio ar draffig rhwydwaith yn unig (er enghraifft, NTA - dadansoddiad traffig rhwydwaith) a / neu ddefnyddio ei asiantau ar ddyfeisiau terfynol (er enghraifft, cyfleustodau monitro gweithwyr).
Ffynonellau data Dirlawn data defnyddwyr/endid gyda chyd-destun. Yn cefnogi casglu digwyddiadau strwythuredig mewn amser real, yn ogystal â data cydlynol strwythuredig/anstrwythuredig o gyfeiriaduron TG - er enghraifft, Active Directory (AD), neu adnoddau gwybodaeth eraill y gellir eu darllen gan beiriannau (er enghraifft, cronfeydd data AD). Yn debyg i UEBA pur, ond gall cwmpas data cyd-destunol amrywio o achos i achos. AD a LDAP yw'r storfeydd data cyd-destunol mwyaf cyffredin a ddefnyddir gan atebion UEBA sydd wedi'u mewnosod.
Argaeledd Yn darparu'r nodweddion rhestredig fel cynnyrch arunig. Mae'n amhosibl prynu ymarferoldeb UEBA adeiledig heb brynu datrysiad allanol y mae wedi'i adeiladu ynddo.
Ffynhonnell: Gartner (Mai 2019)

Felly, i ddatrys rhai problemau, gall UEBA wedi'i fewnosod ddefnyddio dadansoddeg UEBA sylfaenol (er enghraifft, dysgu peiriant syml heb oruchwyliaeth), ond ar yr un pryd, oherwydd mynediad at yr union ddata angenrheidiol, gall fod yn gyffredinol yn fwy effeithiol na “pur” Datrysiad UEBA. Ar yr un pryd, mae llwyfannau UEBA “pur”, yn ôl y disgwyl, yn cynnig dadansoddeg fwy cymhleth fel y brif wybodaeth o'i gymharu â'r offeryn UEBA adeiledig. Crynhoir y canlyniadau hyn yn Nhabl 2.

Tabl 2. Canlyniad y gwahaniaethau rhwng UEBA “pur” ac adeiledig yn

categori "Pur" llwyfannau UEBA Datrysiadau eraill gyda UEBA adeiledig
Analytics Mae cymhwysedd ar gyfer datrys amrywiaeth o broblemau busnes yn awgrymu set fwy cyffredinol o swyddogaethau UEBA gyda phwyslais ar fodelau dadansoddi a dysgu peirianyddol mwy cymhleth. Mae canolbwyntio ar set lai o broblemau busnes yn golygu nodweddion hynod arbenigol sy'n canolbwyntio ar fodelau cais-benodol gyda rhesymeg symlach.
Analytics Mae angen addasu'r model dadansoddol ar gyfer pob senario cais. Mae modelau dadansoddol wedi'u rhag-gyflunio ar gyfer yr offeryn y mae UEBA yn rhan ohono. Yn gyffredinol, mae offeryn gyda UEBA adeiledig yn cyflawni canlyniadau cyflymach wrth ddatrys rhai problemau busnes.
Ffynonellau data Mynediad at ffynonellau data o bob cornel o'r seilwaith corfforaethol. Llai o ffynonellau data, fel arfer wedi'u cyfyngu gan argaeledd asiantau ar eu cyfer neu'r offeryn ei hun â swyddogaethau UEBA.
Ffynonellau data Gall y wybodaeth a gynhwysir ym mhob log gael ei chyfyngu gan y ffynhonnell ddata ac efallai na fydd yn cynnwys yr holl ddata angenrheidiol ar gyfer yr offeryn UEBA canolog. Gellir ffurfweddu'n benodol swm a manylion y data crai a gesglir gan yr asiant ac a drosglwyddir i UEBA.
pensaernïaeth Mae'n gynnyrch UEBA cyflawn ar gyfer sefydliad. Mae integreiddio'n haws gan ddefnyddio galluoedd system SIEM neu lyn Data. Yn gofyn am set ar wahân o nodweddion UEBA ar gyfer pob un o'r atebion sydd wedi ymgorffori UEBA. Mae datrysiadau UEBA sydd wedi'u gwreiddio yn aml yn gofyn am osod asiantau a rheoli data.
Integreiddio Integreiddio datrysiad UEBA â llaw ag offer eraill ym mhob achos. Caniatáu i sefydliad adeiladu ei stac technoleg yn seiliedig ar y dull “gorau ymhlith analogau”. Mae'r prif fwndeli o swyddogaethau UEBA eisoes wedi'u cynnwys yn yr offeryn ei hun gan y gwneuthurwr. Mae modiwl UEBA wedi'i ymgorffori ac ni ellir ei ddileu, felly ni all cwsmeriaid roi rhywbeth eu hunain yn ei le.
Ffynhonnell: Gartner (Mai 2019)

UEBA fel swyddogaeth

Mae UEBA yn dod yn nodwedd o atebion seiberddiogelwch diwedd-i-ddiwedd a all elwa o ddadansoddeg ychwanegol. Mae UEBA yn sail i’r atebion hyn, gan ddarparu haen bwerus o ddadansoddeg uwch yn seiliedig ar batrymau ymddygiad defnyddwyr a/neu endidau.

Ar y farchnad ar hyn o bryd, mae ymarferoldeb UEBA adeiledig yn cael ei weithredu yn yr atebion canlynol, wedi'u grwpio yn ôl cwmpas technolegol:

  • Archwilio a diogelu sy'n canolbwyntio ar ddata, yn werthwyr sy'n canolbwyntio ar wella diogelwch storio data strwythuredig ac anstrwythuredig (aka DCAP).

    Yn y categori hwn o werthwyr, mae Gartner yn nodi, ymhlith pethau eraill, Llwyfan cybersecurity Varonis, sy'n cynnig dadansoddeg ymddygiad defnyddwyr i fonitro newidiadau mewn caniatâd data anstrwythuredig, mynediad, a defnydd ar draws gwahanol storfeydd gwybodaeth.

  • Systemau CASB, gan gynnig amddiffyniad rhag bygythiadau amrywiol mewn cymwysiadau SaaS sy'n seiliedig ar gymylau trwy rwystro mynediad i wasanaethau cwmwl ar gyfer dyfeisiau, defnyddwyr a fersiynau cais diangen gan ddefnyddio system rheoli mynediad addasol.

    Mae pob datrysiad CASB sy'n arwain y farchnad yn cynnwys galluoedd UEBA.

  • Datrysiadau CLLD – canolbwyntio ar ganfod trosglwyddo data hanfodol y tu allan i’r sefydliad neu ei gamddefnydd.

    Mae datblygiadau CLLD yn seiliedig i raddau helaeth ar ddeall cynnwys, gyda llai o ffocws ar ddeall cyd-destun fel defnyddiwr, cymhwysiad, lleoliad, amser, cyflymder digwyddiadau, a ffactorau allanol eraill. Er mwyn bod yn effeithiol, rhaid i gynhyrchion CLLD gydnabod cynnwys a chyd-destun. Dyna pam mae llawer o weithgynhyrchwyr yn dechrau integreiddio ymarferoldeb UEBA yn eu datrysiadau.

  • Monitro gweithwyr yw'r gallu i gofnodi ac ailchwarae gweithredoedd gweithwyr, fel arfer mewn fformat data sy'n addas ar gyfer achos cyfreithiol (os oes angen).

    Mae monitro defnyddwyr yn gyson yn aml yn cynhyrchu llawer iawn o ddata sy'n gofyn am hidlo â llaw a dadansoddiad dynol. Felly, defnyddir UEBA y tu mewn i systemau monitro i wella perfformiad yr atebion hyn a chanfod digwyddiadau risg uchel yn unig.

  • Diogelwch Endpoint - Mae datrysiadau canfod ac ymateb diweddbwynt (EDR) a llwyfannau amddiffyn diweddbwynt (EPP) yn darparu offeryniaeth bwerus a thelemetreg system weithredu i
    dyfeisiau diwedd.

    Gellir dadansoddi telemetreg o'r fath sy'n gysylltiedig â defnyddwyr i ddarparu ymarferoldeb UEBA adeiledig.

  • Twyll ar-lein – Mae datrysiadau canfod twyll ar-lein yn canfod gweithgaredd gwyrdroëdig sy’n dynodi cyfaddawdu cyfrif cwsmer trwy ffug, meddalwedd faleisus, neu ecsbloetio cysylltiadau heb eu gwarantu / rhyng-gipiad traffig porwr.

    Mae'r rhan fwyaf o atebion twyll yn defnyddio hanfod UEBA, dadansoddi trafodion a mesur dyfeisiau, gyda systemau mwy datblygedig yn eu hategu trwy baru perthnasoedd yn y gronfa ddata hunaniaeth.

  • IAM a rheoli mynediad - Mae Gartner yn nodi tuedd esblygiadol ymhlith gwerthwyr systemau rheoli mynediad i integreiddio â gwerthwyr pur ac adeiladu rhywfaint o ymarferoldeb UEBA yn eu cynhyrchion.
  • IAM a systemau Llywodraethu a Gweinyddu Hunaniaeth (IGA). defnyddio UEBA i ymdrin â senarios dadansoddeg ymddygiadol a hunaniaeth megis canfod anghysondebau, dadansoddiad grwpio deinamig o endidau tebyg, dadansoddi mewngofnodi, a dadansoddi polisi mynediad.
  • IAM a Rheoli Mynediad Breintiedig (PAM) – Oherwydd rôl monitro’r defnydd o gyfrifon gweinyddol, mae gan atebion PAM delemetreg i ddangos sut, pam, pryd a ble y defnyddiwyd cyfrifon gweinyddol. Gellir dadansoddi'r data hwn gan ddefnyddio ymarferoldeb adeiledig UEBA ar gyfer presenoldeb ymddygiad afreolaidd gweinyddwyr neu fwriad maleisus.
  • Cynhyrchwyr NTA (Dadansoddiad Traffig Rhwydwaith) – defnyddio cyfuniad o ddysgu peirianyddol, dadansoddeg uwch a chanfod ar sail rheolau i nodi gweithgarwch amheus ar rwydweithiau corfforaethol.

    Mae offer NTA yn dadansoddi traffig ffynhonnell a/neu gofnodion llif yn barhaus (e.e. NetFlow) i adeiladu modelau sy'n adlewyrchu ymddygiad rhwydwaith arferol, gan ganolbwyntio'n bennaf ar ddadansoddeg ymddygiad endid.

  • Siem – mae gan lawer o werthwyr SIEM bellach ymarferoldeb dadansoddeg data uwch wedi'i ymgorffori yn SIEM, neu fel modiwl UEBA ar wahân. Drwy gydol 2018 a hyd yn hyn yn 2019, bu niwlio parhaus y ffiniau rhwng ymarferoldeb SIEM ac UEBA, fel y trafodwyd yn yr erthygl "Mewnwelediad Technoleg ar gyfer y SIEM Modern". Mae systemau SIEM wedi dod yn well am weithio gyda dadansoddeg a chynnig senarios cymhwyso mwy cymhleth.

Senarios Cais UEBA

Gall datrysiadau UEBA ddatrys ystod eang o broblemau. Fodd bynnag, mae cleientiaid Gartner yn cytuno bod yr achos defnydd sylfaenol yn ymwneud â chanfod categorïau amrywiol o fygythiadau, a gyflawnir trwy arddangos a dadansoddi cydberthynas aml rhwng ymddygiad defnyddwyr ac endidau eraill:

  • mynediad a symudiad data heb awdurdod;
  • ymddygiad amheus defnyddwyr breintiedig, gweithgarwch maleisus neu anawdurdodedig cyflogeion;
  • mynediad ansafonol a defnydd o adnoddau cwmwl;
  • ac ati

Mae yna hefyd nifer o achosion defnydd annodweddiadol heb fod yn seiberddiogelwch, megis twyll neu fonitro gweithwyr, y gellir cyfiawnhau UEBA ar eu cyfer. Fodd bynnag, yn aml maent angen ffynonellau data y tu allan i TG a diogelwch gwybodaeth, neu fodelau dadansoddol penodol gyda dealltwriaeth ddofn o'r maes hwn. Disgrifir y pum prif senario a chymhwysiad y mae gweithgynhyrchwyr UEBA a'u cwsmeriaid yn cytuno arnynt isod.

"Mewnol Maleisus"

Nid yw darparwyr datrysiadau UEBA sy'n ymdrin â'r senario hwn ond yn monitro gweithwyr a chontractwyr dibynadwy am ymddygiad anarferol, “drwg,” neu faleisus. Nid yw gwerthwyr yn y maes hwn o arbenigedd yn monitro nac yn dadansoddi ymddygiad cyfrifon gwasanaeth neu endidau eraill nad ydynt yn ddynol. Yn bennaf oherwydd hyn, nid ydynt yn canolbwyntio ar ganfod bygythiadau datblygedig lle mae hacwyr yn cymryd drosodd cyfrifon presennol. Yn hytrach, eu nod yw nodi gweithwyr sy'n ymwneud â gweithgareddau niweidiol.

Yn y bôn, mae'r cysyniad o “fewn fewnol maleisus” yn deillio o ddefnyddwyr dibynadwy gyda bwriad maleisus sy'n chwilio am ffyrdd o achosi difrod i'w cyflogwr. Oherwydd ei bod yn anodd mesur bwriad maleisus, mae'r gwerthwyr gorau yn y categori hwn yn dadansoddi data ymddygiad cyd-destunol nad yw ar gael yn hawdd mewn logiau archwilio.

Mae darparwyr datrysiadau yn y gofod hwn hefyd yn ychwanegu ac yn dadansoddi data anstrwythuredig yn y modd gorau posibl, megis cynnwys e-bost, adroddiadau cynhyrchiant, neu wybodaeth cyfryngau cymdeithasol, i ddarparu cyd-destun ar gyfer ymddygiad.

Bygythiadau mewnol ac ymwthiol dan fygythiad

Yr her yw canfod a dadansoddi ymddygiad “drwg” yn gyflym unwaith y bydd yr ymosodwr wedi cael mynediad i'r sefydliad ac yn dechrau symud o fewn y seilwaith TG.
Mae bygythiadau pendant (APTs), fel bygythiadau anhysbys neu heb eu deall yn llawn eto, yn hynod o anodd eu canfod ac yn aml yn cuddio y tu ôl i weithgarwch defnyddwyr cyfreithlon neu gyfrifon gwasanaeth. Fel arfer mae gan fygythiadau o'r fath fodel gweithredu cymhleth (gweler, er enghraifft, yr erthygl " Annerch y Gadwyn Lladd Cyber”) neu nad yw eu hymddygiad wedi’i asesu’n niweidiol eto. Mae hyn yn eu gwneud yn anodd eu canfod gan ddefnyddio dadansoddeg syml (fel paru yn ôl patrymau, trothwyon, neu reolau cydberthynas).

Fodd bynnag, mae llawer o'r bygythiadau ymwthiol hyn yn arwain at ymddygiad ansafonol, sy'n aml yn cynnwys defnyddwyr neu endidau diniwed (sef mewnwyr dan fygythiad). Mae technegau UEBA yn cynnig sawl cyfle diddorol i ganfod bygythiadau o'r fath, gwella'r gymhareb signal-i-sŵn, cydgrynhoi a lleihau'r nifer o hysbysiadau, blaenoriaethu'r rhybuddion sy'n weddill, a hwyluso ymateb ac ymchwiliad effeithiol i ddigwyddiadau.

Yn aml, mae gan werthwyr UEBA sy'n targedu'r maes problem hwn integreiddio dwy-gyfeiriadol â systemau SIEM y sefydliad.

All-hidlo data

Y dasg yn yr achos hwn yw canfod y ffaith bod data'n cael ei drosglwyddo y tu allan i'r sefydliad.
Mae gwerthwyr sy'n canolbwyntio ar yr her hon fel arfer yn trosoledd galluoedd DLP neu DAG gyda chanfod anghysondebau a dadansoddeg uwch, a thrwy hynny wella cymhareb signal-i-sŵn, atgyfnerthu maint yr hysbysiad, a blaenoriaethu'r sbardunau sy'n weddill. Ar gyfer cyd-destun ychwanegol, mae gwerthwyr fel arfer yn dibynnu'n drymach ar draffig rhwydwaith (fel dirprwyon gwe) a data diweddbwynt, gan y gall dadansoddiad o'r ffynonellau data hyn gynorthwyo gydag ymchwiliadau all-hidlo data.

Defnyddir canfod all-hidlo data i ddal mewnwyr a hacwyr allanol sy'n bygwth y sefydliad.

Adnabod a rheoli mynediad breintiedig

Mae cynhyrchwyr datrysiadau UEBA annibynnol yn y maes arbenigedd hwn yn arsylwi ac yn dadansoddi ymddygiad defnyddwyr yn erbyn cefndir system hawliau a ffurfiwyd eisoes er mwyn nodi breintiau gormodol neu fynediad afreolaidd. Mae hyn yn berthnasol i bob math o ddefnyddwyr a chyfrifon, gan gynnwys cyfrifon breintiedig a chyfrifon gwasanaeth. Mae sefydliadau hefyd yn defnyddio UEBA i gael gwared ar gyfrifon cwsg a breintiau defnyddwyr sy'n uwch na'r angen.

Blaenoriaethu digwyddiadau

Nod y dasg hon yw blaenoriaethu hysbysiadau a gynhyrchir gan atebion yn eu pentwr technoleg i ddeall pa ddigwyddiadau neu ddigwyddiadau posibl y dylid rhoi sylw iddynt yn gyntaf. Mae methodolegau ac offer UEBA yn ddefnyddiol wrth nodi digwyddiadau sy'n arbennig o afreolaidd neu'n arbennig o beryglus i sefydliad penodol. Yn yr achos hwn, mae mecanwaith UEBA nid yn unig yn defnyddio'r lefel sylfaenol o weithgarwch a modelau bygythiad, ond hefyd yn dirlawn y data gyda gwybodaeth am strwythur sefydliadol y cwmni (er enghraifft, adnoddau neu rolau hanfodol a lefelau mynediad gweithwyr).

Problemau gweithredu datrysiadau UEBA

Poen marchnad datrysiadau UEBA yw eu pris uchel, eu gweithrediad cymhleth, eu cynnal a'u defnyddio. Tra bod cwmnïau'n cael trafferth gyda nifer y pyrth mewnol gwahanol, maen nhw'n cael consol arall. Mae maint y buddsoddiad o amser ac adnoddau mewn offeryn newydd yn dibynnu ar y tasgau wrth law a'r mathau o ddadansoddeg sydd eu hangen i'w datrys, ac yn fwyaf aml mae angen buddsoddiadau mawr.

Yn wahanol i'r hyn y mae llawer o weithgynhyrchwyr yn ei honni, nid yw UEBA yn arf "gosod ac anghofio" a all wedyn redeg yn barhaus am ddyddiau o'r diwedd.
Mae cleientiaid Gartner, er enghraifft, yn nodi ei bod yn cymryd rhwng 3 a 6 mis i lansio menter UEBA o'r dechrau i gael y canlyniadau cyntaf o ddatrys y problemau y gweithredwyd yr ateb hwn ar eu cyfer. Ar gyfer tasgau mwy cymhleth, fel nodi bygythiadau mewnol mewn sefydliad, mae'r cyfnod yn cynyddu i 18 mis.

Ffactorau sy'n dylanwadu ar yr anhawster o weithredu UEBA ac effeithiolrwydd yr offeryn yn y dyfodol:

  • Cymhlethdod pensaernïaeth y sefydliad, topoleg rhwydwaith a pholisïau rheoli data
  • Argaeledd y data cywir ar y lefel gywir o fanylder
  • Cymhlethdod algorithmau dadansoddeg y gwerthwr - er enghraifft, y defnydd o fodelau ystadegol a dysgu peirianyddol yn erbyn patrymau a rheolau syml.
  • Swm y dadansoddeg wedi'i ffurfweddu ymlaen llaw sydd wedi'i gynnwys - hynny yw, dealltwriaeth y gwneuthurwr o ba ddata sydd angen ei gasglu ar gyfer pob tasg a pha newidynnau a phriodoleddau sydd bwysicaf i gyflawni'r dadansoddiad.
  • Pa mor hawdd yw hi i'r gwneuthurwr integreiddio'n awtomatig â'r data gofynnol.

    Er enghraifft:

    • Os yw datrysiad UEBA yn defnyddio system SIEM fel prif ffynhonnell ei ddata, a yw’r SIEM yn casglu gwybodaeth o’r ffynonellau data gofynnol?
    • A ellir cyfeirio'r logiau digwyddiadau angenrheidiol a data cyd-destun sefydliadol i ddatrysiad UEBA?
    • Os nad yw'r system SIEM eto'n casglu ac yn rheoli'r ffynonellau data sydd eu hangen ar ddatrysiad UEBA, yna sut y gellir eu trosglwyddo yno?

  • Pa mor bwysig yw'r senario ymgeisio i'r sefydliad, faint o ffynonellau data sydd eu hangen arno, a faint mae'r dasg hon yn gorgyffwrdd â maes arbenigedd y gwneuthurwr.
  • Pa raddau o aeddfedrwydd a chyfranogiad sefydliadol sydd ei angen – er enghraifft, creu, datblygu a mireinio rheolau a modelau; pennu pwysau i newidynnau ar gyfer gwerthuso; neu addasu'r trothwy asesu risg.
  • Pa mor raddadwy yw datrysiad y gwerthwr a'i bensaernïaeth o'i gymharu â maint presennol y sefydliad a'i ofynion yn y dyfodol.
  • Amser i adeiladu modelau sylfaenol, proffiliau a grwpiau allweddol. Yn aml mae angen o leiaf 30 diwrnod (ac weithiau hyd at 90 diwrnod) ar weithgynhyrchwyr i gynnal dadansoddiad cyn y gallant ddiffinio cysyniadau “normal”. Gall llwytho data hanesyddol unwaith gyflymu hyfforddiant model. Gellir nodi rhai o'r achosion diddorol yn gyflymach gan ddefnyddio rheolau na defnyddio dysgu peiriant gyda swm anhygoel o fach o ddata cychwynnol.
  • Gall lefel yr ymdrech sydd ei hangen i adeiladu grwpio deinamig a phroffilio cyfrifon (gwasanaeth/person) amrywio'n fawr rhwng datrysiadau.

Ffynhonnell: hab.com

Ychwanegu sylw