ProHoster > Blog > internet nyheder > UEBA-markedet er dødt - længe leve UEBA

UEBA-markedet er dødt - længe leve UEBA

UEBA-markedet er dødt - længe leve UEBA

I dag vil vi give et kort overblik over markedet for User and Entity Behavioural Analytics (UEBA) baseret på det seneste Gartner forskning. UEBA-markedet er i bunden af ​​"desillusionsstadiet" ifølge Gartner Hype Cycle for Threat-Facing Technologies, hvilket indikerer teknologiens modenhed. Men situationens paradoks ligger i den samtidige generelle vækst i investeringer i UEBA-teknologier og det forsvindende marked for uafhængige UEBA-løsninger. Gartner forudser, at UEBA vil blive en del af funktionaliteten af ​​relaterede informationssikkerhedsløsninger. Udtrykket "UEBA" vil sandsynligvis falde ud af brug og blive erstattet af et andet akronym, der fokuserer på et snævrere applikationsområde (f.eks. "brugeradfærdsanalyse"), et lignende applikationsområde (f.eks. "dataanalyse") eller blot blive noget nyt buzzword (for eksempel ser udtrykket "kunstig intelligens" [AI] interessant ud, selvom det ikke giver nogen mening for moderne UEBA-producenter).

De vigtigste resultater fra Gartner-undersøgelsen kan opsummeres som følger:

  • Modenheden af ​​markedet for adfærdsanalyse af brugere og enheder bekræftes af, at disse teknologier bruges af mellemstore og store virksomhedssegmenter til at løse en række forretningsproblemer;
  • UEBAs analysefunktioner er indbygget i en bred vifte af relaterede informationssikkerhedsteknologier, såsom cloud-adgangssikkerhedsmæglere (CASB'er), identitetsstyring og -administration (IGA) SIEM-systemer;
  • Hypen omkring UEBA-leverandører og den forkerte brug af begrebet "kunstig intelligens" gør det svært for kunderne at forstå den reelle forskel mellem producenternes teknologier og løsningernes funktionalitet uden at gennemføre et pilotprojekt;
  • Kunder bemærker, at implementeringstiden og den daglige brug af UEBA-løsninger kan være mere arbejdskrævende og tidskrævende, end producenten lover, selv når man kun overvejer grundlæggende trusselsdetektionsmodeller. Tilføjelse af brugerdefinerede eller edge use cases kan være ekstremt vanskeligt og kræver ekspertise inden for datavidenskab og analyse.

Strategisk markedsudviklingsprognose:

  • I 2021 vil markedet for UEBA-systemer ophøre med at eksistere som et separat område og vil skifte mod andre løsninger med UEBA-funktionalitet;
  • I 2020 vil 95 % af alle UEBA-implementeringer være en del af en bredere sikkerhedsplatform.

Definition af UEBA-løsninger

UEBA-løsninger bruger indbyggede analyser til at evaluere aktiviteten hos brugere og andre enheder (såsom værter, applikationer, netværkstrafik og datalagre).
De opdager trusler og potentielle hændelser, der typisk repræsenterer unormal aktivitet sammenlignet med standardprofilen og adfærden for brugere og enheder i lignende grupper over en periode.

De mest almindelige brugssager i virksomhedssegmentet er trusselsdetektion og -respons, samt detektion og respons på insidertrusler (for det meste kompromitterede insidere; nogle gange interne angribere).

UEBA er ligesom afgørelseOg fungere, indbygget i et specifikt værktøj:

  • Løsningen er producenter af "rene" UEBA-platforme, herunder leverandører, som også sælger SIEM-løsninger separat. Fokuseret på en bred vifte af forretningsproblemer i adfærdsanalyse af både brugere og enheder.
  • Embedded – Producenter/divisioner, der integrerer UEBA-funktioner og -teknologier i deres løsninger. Typisk fokuseret på et mere specifikt sæt forretningsproblemer. I dette tilfælde bruges UEBA til at analysere adfærden hos brugere og/eller enheder.

Gartner ser UEBA langs tre akser, herunder problemløsere, analyser og datakilder (se figur).

UEBA-markedet er dødt - længe leve UEBA

"Rene" UEBA-platforme kontra indbygget UEBA

Gartner anser en "ren" UEBA-platform for at være løsninger, der:

  • løse flere specifikke problemer, såsom overvågning af privilegerede brugere eller output af data uden for organisationen, og ikke kun den abstrakte "overvågning af unormal brugeraktivitet";
  • involvere brugen af ​​komplekse analyser, nødvendigvis baseret på grundlæggende analytiske tilgange;
  • give flere muligheder for dataindsamling, herunder både indbyggede datakildemekanismer og fra logstyringsværktøjer, Data Lake og/eller SIEM-systemer, uden det obligatoriske behov for at implementere separate agenter i infrastrukturen;
  • kan købes og implementeres som selvstændige løsninger frem for inkluderet i
    sammensætning af andre produkter.

Tabellen nedenfor sammenligner de to tilgange.

Tabel 1. "Rene" UEBA-løsninger vs. indbyggede

kategori "Rene" UEBA-platforme Andre løsninger med indbygget UEBA
Problem der skal løses Analyse af brugeradfærd og enheder. Mangel på data kan begrænse UEBA til kun at analysere adfærd hos brugere eller enheder.
Problem der skal løses Tjener til at løse en bred vifte af problemer Specialiseret i et begrænset sæt opgaver
Analytics Anomalidetektion ved hjælp af forskellige analytiske metoder - hovedsageligt gennem statistiske modeller og maskinlæring, sammen med regler og signaturer. Leveres med indbygget analyse til at oprette og sammenligne bruger- og enhedsaktivitet med deres og kollegers profiler. Svarende til ren UEBA, men analyse kan begrænses til kun brugere og/eller enheder.
Analytics Avancerede analytiske muligheder, ikke kun begrænset af regler. For eksempel en klyngealgoritme med dynamisk gruppering af entiteter. Svarende til "ren" UEBA, men enhedsgruppering i nogle indlejrede trusselsmodeller kan kun ændres manuelt.
Analytics Korrelation af aktivitet og adfærd hos brugere og andre enheder (for eksempel ved brug af Bayesianske netværk) og aggregering af individuel risikoadfærd for at identificere unormal aktivitet. Svarende til ren UEBA, men analyse kan begrænses til kun brugere og/eller enheder.
Data kilder Modtagelse af hændelser på brugere og enheder fra datakilder direkte gennem indbyggede mekanismer eller eksisterende datalagre, såsom SIEM eller Data lake. Mekanismer til indhentning af data er normalt kun direkte og påvirker kun brugere og/eller andre enheder. Brug ikke logstyringsværktøjer / SIEM / Data lake.
Data kilder Løsningen bør ikke kun stole på netværkstrafik som hovedkilden til data, og den bør heller ikke udelukkende stole på sine egne agenter til at indsamle telemetri. Løsningen kan kun fokusere på netværkstrafik (for eksempel NTA - netværkstrafikanalyse) og/eller bruge dens agenter på slutenheder (for eksempel medarbejderovervågningsværktøjer).
Data kilder Mætte bruger/entitetsdata med kontekst. Understøtter indsamling af strukturerede hændelser i realtid, samt strukturerede/ustrukturerede sammenhængende data fra IT-mapper - for eksempel Active Directory (AD) eller andre maskinlæsbare informationsressourcer (for eksempel HR-databaser). Svarer til ren UEBA, men omfanget af kontekstuelle data kan variere fra sag til sag. AD og LDAP er de mest almindelige kontekstuelle datalagre, der bruges af indlejrede UEBA-løsninger.
tilgængelighed Giver de anførte funktioner som et selvstændigt produkt. Det er umuligt at købe indbygget UEBA-funktionalitet uden at købe en ekstern løsning, som den er indbygget i.
Kilde: Gartner (maj 2019)

For at løse visse problemer kan indlejret UEBA således bruge grundlæggende UEBA-analyser (for eksempel simpel uovervåget maskinlæring), men på samme tid kan det på grund af adgang til præcis de nødvendige data generelt være mere effektivt end en "ren" UEBA løsning. Samtidig tilbyder "rene" UEBA-platforme som forventet mere komplekse analyser som hovedknowhow sammenlignet med det indbyggede UEBA-værktøj. Disse resultater er opsummeret i tabel 2.

Tabel 2. Resultatet af forskellene mellem "ren" og indbygget UEBA

kategori "Rene" UEBA-platforme Andre løsninger med indbygget UEBA
Analytics Anvendelighed til at løse en række forretningsproblemer indebærer et mere universelt sæt af UEBA-funktioner med vægt på mere komplekse analyse- og maskinlæringsmodeller. Fokus på et mindre sæt forretningsproblemer betyder højt specialiserede funktioner, der fokuserer på applikationsspecifikke modeller med enklere logik.
Analytics Tilpasning af den analytiske model er nødvendig for hvert applikationsscenarie. Analytiske modeller er forudkonfigureret til det værktøj, der har UEBA indbygget. Et værktøj med indbygget UEBA opnår generelt hurtigere resultater med at løse visse forretningsproblemer.
Data kilder Adgang til datakilder fra alle hjørner af virksomhedens infrastruktur. Færre datakilder, normalt begrænset af tilgængeligheden af ​​agenter til dem eller selve værktøjet med UEBA-funktioner.
Data kilder Oplysningerne i hver log kan være begrænset af datakilden og indeholder muligvis ikke alle de nødvendige data til det centraliserede UEBA-værktøj. Mængden og detaljerne i de rådata, der indsamles af agenten og sendes til UEBA, kan konfigureres specifikt.
arkitektur Det er et komplet UEBA-produkt til en organisation. Integration er nemmere ved at bruge mulighederne i et SIEM-system eller Data Lake. Kræver et separat sæt UEBA-funktioner for hver af de løsninger, der har indbygget UEBA. Indlejrede UEBA-løsninger kræver ofte installation af agenter og håndtering af data.
integration Manuel integration af UEBA-løsningen med andre værktøjer i hvert enkelt tilfælde. Giver en organisation mulighed for at bygge sin teknologistak baseret på "bedst blandt analoger"-tilgangen. De vigtigste bundter af UEBA-funktioner er allerede inkluderet i selve værktøjet af producenten. UEBA-modulet er indbygget og kan ikke fjernes, så kunderne kan ikke erstatte det med noget eget.
Kilde: Gartner (maj 2019)

UEBA som funktion

UEBA er ved at blive en del af end-to-end cybersikkerhedsløsninger, der kan drage fordel af yderligere analyser. UEBA ligger til grund for disse løsninger og giver et kraftfuldt lag af avanceret analyse baseret på bruger- og/eller enhedsadfærdsmønstre.

I øjeblikket på markedet er den indbyggede UEBA-funktionalitet implementeret i følgende løsninger, grupperet efter teknologisk omfang:

  • Datafokuseret revision og beskyttelse, er leverandører, der er fokuseret på at forbedre sikkerheden ved struktureret og ustruktureret datalagring (alias DCAP).

    I denne kategori af leverandører bemærker Gartner bl.a. Varonis cybersikkerhedsplatform, som tilbyder brugeradfærdsanalyse til at overvåge ændringer i ustrukturerede datatilladelser, adgang og brug på tværs af forskellige informationslagre.

  • CASB systemer, der tilbyder beskyttelse mod forskellige trusler i cloud-baserede SaaS-applikationer ved at blokere adgangen til cloud-tjenester for uønskede enheder, brugere og applikationsversioner ved hjælp af et adaptivt adgangskontrolsystem.

    Alle markedsledende CASB-løsninger inkluderer UEBA-kapaciteter.

  • DLP løsninger – fokuseret på at opdage overførsel af kritiske data uden for organisationen eller misbrug af den.

    DLP-fremskridt er i vid udstrækning baseret på forståelse af indhold, med mindre fokus på forståelse af kontekst såsom bruger, applikation, placering, tidspunkt, hændelsers hastighed og andre eksterne faktorer. For at være effektive skal DLP-produkter genkende både indhold og kontekst. Det er grunden til, at mange producenter begynder at integrere UEBA-funktionalitet i deres løsninger.

  • Medarbejderovervågning er evnen til at optage og afspille medarbejderhandlinger, normalt i et dataformat, der er egnet til retssager (hvis nødvendigt).

    Konstant overvågning af brugere genererer ofte en overvældende mængde data, der kræver manuel filtrering og menneskelig analyse. Derfor bruges UEBA i overvågningssystemer til at forbedre ydeevnen af ​​disse løsninger og kun detektere højrisikohændelser.

  • Endpoint Security – Endpoint detection and response (EDR) løsninger og endpoint protection platforme (EPP) giver kraftfuld instrumentering og operativsystem telemetri til
    slutenheder.

    Sådan brugerrelateret telemetri kan analyseres for at give indbygget UEBA-funktionalitet.

  • Online svindel – Online svindeldetektionsløsninger registrerer afvigende aktivitet, der indikerer kompromittering af en kundes konto gennem en spoof, malware eller udnyttelse af usikrede forbindelser/browsertrafikaflytning.

    De fleste svindelløsninger bruger essensen af ​​UEBA, transaktionsanalyse og enhedsmåling, med mere avancerede systemer, der supplerer dem ved at matche relationer i identitetsdatabasen.

  • IAM og adgangskontrol – Gartner bemærker en evolutionær trend blandt leverandører af adgangskontrolsystemer til at integrere med rene leverandører og indbygge noget UEBA-funktionalitet i deres produkter.
  • IAM og Identity Governance and Administration (IGA) systemer bruge UEBA til at dække adfærds- og identitetsanalysescenarier såsom afsløring af anomalier, dynamisk grupperingsanalyse af lignende enheder, loginanalyse og adgangspolitikanalyse.
  • IAM og Privileged Access Management (PAM) – På grund af rollen som overvågning af brugen af ​​administrative konti, har PAM-løsninger telemetri til at vise, hvordan, hvorfor, hvornår og hvor administrative konti blev brugt. Disse data kan analyseres ved hjælp af den indbyggede funktionalitet i UEBA for tilstedeværelsen af ​​unormal adfærd fra administratorer eller ondsindede hensigter.
  • Producenter NTA (Netværkstrafikanalyse) – brug en kombination af maskinlæring, avanceret analyse og regelbaseret detektion til at identificere mistænkelig aktivitet på virksomhedens netværk.

    NTA-værktøjer analyserer løbende kildetrafik og/eller flowregistreringer (f.eks. NetFlow) for at bygge modeller, der afspejler normal netværksadfærd, primært med fokus på entitetsadfærdsanalyse.

  • siem – mange SIEM-leverandører har nu avanceret dataanalysefunktion indbygget i SIEM eller som et separat UEBA-modul. Igennem 2018 og indtil videre i 2019 har der været en kontinuerlig udviskning af grænserne mellem SIEM- og UEBA-funktionalitet, som diskuteret i artiklen "Teknologiindsigt til det moderne SIEM". SIEM-systemer er blevet bedre til at arbejde med analyser og tilbyde mere komplekse applikationsscenarier.

UEBA ansøgningsscenarier

UEBA-løsninger kan løse en lang række problemer. Gartners kunder er dog enige om, at den primære brugssag involverer detektering af forskellige kategorier af trusler, opnået ved at vise og analysere hyppige sammenhænge mellem brugeradfærd og andre enheder:

  • uautoriseret adgang og bevægelse af data;
  • mistænkelig adfærd fra privilegerede brugere, ondsindet eller uautoriseret aktivitet af medarbejdere;
  • ikke-standard adgang og brug af cloud-ressourcer;
  • etc.

Der er også en række atypiske ikke-cybersikkerhedsbrugssager, såsom svindel eller medarbejderovervågning, som UEBA kan være berettiget til. De kræver dog ofte datakilder uden for IT og informationssikkerhed eller specifikke analytiske modeller med en dyb forståelse af dette område. De fem hovedscenarier og applikationer, som både UEBA-producenter og deres kunder er enige om, er beskrevet nedenfor.

"ondsindet insider"

UEBA-løsningsudbydere, der dækker dette scenarie, overvåger kun medarbejdere og betroede kontrahenter for usædvanlig, "dårlig" eller ondsindet adfærd. Leverandører inden for dette ekspertiseområde overvåger eller analyserer ikke adfærden hos servicekonti eller andre ikke-menneskelige enheder. Hovedsageligt på grund af dette, er de ikke fokuseret på at opdage avancerede trusler, hvor hackere overtager eksisterende konti. I stedet er de rettet mod at identificere medarbejdere involveret i skadelige aktiviteter.

Grundlæggende stammer konceptet med en "ondsindet insider" fra betroede brugere med ondsindede hensigter, som søger måder at forårsage skade på deres arbejdsgiver. Fordi ondsindet hensigt er svær at måle, analyserer de bedste leverandører i denne kategori kontekstuelle adfærdsdata, som ikke er let tilgængelige i revisionslogfiler.

Løsningsudbydere på dette område tilføjer og analyserer også optimalt ustrukturerede data, såsom e-mailindhold, produktivitetsrapporter eller informationer på sociale medier, for at give kontekst for adfærd.

Kompromitterede insider og påtrængende trusler

Udfordringen er hurtigt at opdage og analysere "dårlig" adfærd, når angriberen har fået adgang til organisationen og begynder at bevæge sig indenfor IT-infrastrukturen.
Assertive trusler (APT'er), som ukendte eller endnu ikke fuldt forståede trusler, er ekstremt vanskelige at opdage og gemmer sig ofte bag legitim brugeraktivitet eller tjenestekonti. Sådanne trusler har normalt en kompleks driftsmodel (se f.eks. artiklen " Adressering af Cyber ​​​​Kill Chain"), eller deres adfærd er endnu ikke blevet vurderet som skadelig. Dette gør dem svære at opdage ved hjælp af simple analyser (såsom matchning efter mønstre, tærskler eller korrelationsregler).

Men mange af disse påtrængende trusler resulterer i ikke-standard adfærd, der ofte involverer intetanende brugere eller enheder (også kendt som kompromitterede insidere). UEBA-teknikker tilbyder adskillige interessante muligheder for at opdage sådanne trusler, forbedre signal-til-støj-forholdet, konsolidere og reducere meddelelsesvolumen, prioritere resterende advarsler og lette effektiv reaktion og undersøgelse af hændelser.

UEBA-leverandører, der retter sig mod dette problemområde, har ofte tovejs integration med organisationens SIEM-systemer.

Dataeksfiltrering

Opgaven i dette tilfælde er at opdage, at data overføres uden for organisationen.
Leverandører, der fokuserer på denne udfordring, udnytter typisk DLP- eller DAG-kapaciteter med anomalidetektion og avancerede analyser, hvorved signal-til-støj-forholdet forbedres, meddelelsesvolumen konsolideres og de resterende triggere prioriteres. For yderligere kontekst er leverandører typisk mere afhængige af netværkstrafik (såsom webproxyer) og slutpunktsdata, da analyse af disse datakilder kan hjælpe med dataeksfiltreringsundersøgelser.

Detektion af dataeksfiltration bruges til at fange insidere og eksterne hackere, der truer organisationen.

Identifikation og styring af privilegeret adgang

Producenter af uafhængige UEBA-løsninger inden for dette ekspertiseområde observerer og analyserer brugeradfærd på baggrund af et allerede dannet system af rettigheder for at identificere overdrevne privilegier eller unormal adgang. Dette gælder for alle typer brugere og konti, inklusive privilegerede konti og servicekonti. Organisationer bruger også UEBA til at slippe af med hvilende konti og brugerrettigheder, der er højere end påkrævet.

Hændelsesprioritering

Målet med denne opgave er at prioritere notifikationer genereret af løsninger i deres teknologistabel for at forstå, hvilke hændelser eller potentielle hændelser der skal løses først. UEBAs metoder og værktøjer er nyttige til at identificere hændelser, der er særligt unormale eller særligt farlige for en given organisation. I dette tilfælde bruger UEBA-mekanismen ikke kun basisniveauet af aktivitets- og trusselsmodeller, men mætter også dataene med information om virksomhedens organisationsstruktur (for eksempel kritiske ressourcer eller roller og adgangsniveauer for medarbejdere).

Problemer med at implementere UEBA-løsninger

Markedssmerterne ved UEBA-løsninger er deres høje pris, komplekse implementering, vedligeholdelse og brug. Mens virksomheder kæmper med antallet af forskellige interne portaler, får de endnu en konsol. Størrelsen af ​​investeringen af ​​tid og ressourcer i et nyt værktøj afhænger af de opgaver, der er ved hånden, og hvilke typer analyser, der skal til for at løse dem, og kræver oftest store investeringer.

I modsætning til hvad mange producenter hævder, er UEBA ikke et "sæt det og glem det"-værktøj, der så kan køre uafbrudt i dagevis.
Gartners kunder bemærker for eksempel, at det tager fra 3 til 6 måneder at lancere et UEBA-initiativ fra bunden for at opnå de første resultater af løsningen af ​​de problemer, som denne løsning blev implementeret for. For mere komplekse opgaver, såsom at identificere insidertrusler i en organisation, øges perioden til 18 måneder.

Faktorer, der påvirker vanskeligheden ved at implementere UEBA og værktøjets fremtidige effektivitet:

  • Kompleksiteten af ​​organisationsarkitektur, netværkstopologi og datastyringspolitikker
  • Tilgængelighed af de rigtige data på det rigtige detaljeringsniveau
  • Kompleksiteten af ​​leverandørens analytiske algoritmer – for eksempel brugen af ​​statistiske modeller og maskinlæring versus simple mønstre og regler.
  • Mængden af ​​forudkonfigurerede analyser inkluderet - det vil sige producentens forståelse af, hvilke data der skal indsamles for hver opgave, og hvilke variabler og attributter der er vigtigst for at udføre analysen.
  • Hvor nemt er det for en producent automatisk at integrere med de nødvendige data.

    For eksempel:

    • Hvis en UEBA-løsning bruger et SIEM-system som hovedkilden til sine data, indsamler SIEM så information fra de nødvendige datakilder?
    • Kan de nødvendige hændelseslogfiler og organisatoriske kontekstdata dirigeres til en UEBA-løsning?
    • Hvis SIEM-systemet endnu ikke indsamler og kontrollerer de datakilder, som UEBA-løsningen kræver, hvordan kan de så overføres dertil?

  • Hvor vigtigt er applikationsscenariet for organisationen, hvor mange datakilder kræver det, og hvor meget overlapper denne opgave med producentens ekspertiseområde.
  • Hvilken grad af organisatorisk modenhed og involvering kræves – for eksempel oprettelse, udvikling og forfining af regler og modeller; vægtning af variabler til evaluering; eller justering af risikovurderingstærsklen.
  • Hvor skalerbar er leverandørens løsning og dens arkitektur sammenlignet med den nuværende størrelse af organisationen og dens fremtidige krav.
  • Tid til at bygge grundmodeller, profiler og nøglegrupper. Producenter kræver ofte mindst 30 dage (og nogle gange op til 90 dage) til at udføre analyser, før de kan definere "normale" begreber. Indlæsning af historiske data én gang kan fremskynde modeltræning. Nogle af de interessante cases kan identificeres hurtigere ved hjælp af regler end ved at bruge maskinlæring med en utrolig lille mængde indledende data.
  • Det indsatsniveau, der kræves for at opbygge dynamisk gruppering og kontoprofilering (tjeneste/person), kan variere meget mellem løsninger.

Kilde: www.habr.com

Tilføj en kommentar