ProHoster > Blog > Internetnachrichten > Der UEBA-Markt ist tot – es lebe die UEBA

Der UEBA-Markt ist tot – es lebe die UEBA

Der UEBA-Markt ist tot – es lebe die UEBA

Heute geben wir einen kurzen Überblick über den Markt für User and Entity Behavioral Analytics (UEBA) basierend auf den neuesten Erkenntnissen Gartner-Forschung. Der UEBA-Markt befindet sich laut Gartner Hype Cycle for Threat-Facing Technologies am Ende der „Ernüchterungsphase“, was auf die Reife der Technologie hinweist. Das Paradoxe der Situation liegt jedoch im gleichzeitigen allgemeinen Wachstum der Investitionen in UEBA-Technologien und im verschwindenden Markt unabhängiger UEBA-Lösungen. Gartner prognostiziert, dass UEBA Teil der Funktionalität verwandter Informationssicherheitslösungen werden wird. Der Begriff „UEBA“ wird wahrscheinlich nicht mehr verwendet und durch ein anderes Akronym ersetzt, das sich auf einen engeren Anwendungsbereich (z. B. „Benutzerverhaltensanalyse“) oder einen ähnlichen Anwendungsbereich (z. B. „Datenanalyse“) konzentriert, oder wird einfach zu einem solchen neues Schlagwort (zum Beispiel sieht der Begriff „künstliche Intelligenz“ [KI] interessant aus, obwohl er für moderne UEBA-Hersteller keinen Sinn ergibt).

Die wichtigsten Erkenntnisse der Gartner-Studie lassen sich wie folgt zusammenfassen:

  • Die Reife des Marktes für Verhaltensanalysen von Benutzern und Entitäten wird durch die Tatsache bestätigt, dass diese Technologien von mittleren und großen Unternehmenssegmenten zur Lösung einer Reihe von Geschäftsproblemen eingesetzt werden;
  • Die Analysefunktionen von UEBA sind in eine Vielzahl verwandter Informationssicherheitstechnologien integriert, wie z. B. Cloud Access Security Brokers (CASBs), Identity Governance and Administration (IGA), SIEM-Systeme;
  • Der Hype um UEBA-Anbieter und die falsche Verwendung des Begriffs „künstliche Intelligenz“ machen es für Kunden schwierig, den tatsächlichen Unterschied zwischen den Technologien der Hersteller und der Funktionalität der Lösungen zu verstehen, ohne ein Pilotprojekt durchzuführen;
  • Kunden weisen darauf hin, dass die Implementierungszeit und der tägliche Einsatz von UEBA-Lösungen arbeitsintensiver und zeitaufwändiger sein können, als der Hersteller verspricht, selbst wenn nur grundlegende Modelle zur Bedrohungserkennung berücksichtigt werden. Das Hinzufügen benutzerdefinierter oder Edge-Anwendungsfälle kann äußerst schwierig sein und erfordert Fachwissen in Datenwissenschaft und -analyse.

Strategische Marktentwicklungsprognose:

  • Bis 2021 wird der Markt für Systeme zur Benutzer- und Entitätsverhaltensanalyse (UEBA) nicht mehr als separater Bereich existieren und sich hin zu anderen Lösungen mit UEBA-Funktionalität verlagern;
  • Bis 2020 werden 95 % aller UEBA-Implementierungen Teil einer umfassenderen Sicherheitsplattform sein.

Definition von UEBA-Lösungen

UEBA-Lösungen nutzen integrierte Analysen, um die Aktivität von Benutzern und anderen Einheiten (wie Hosts, Anwendungen, Netzwerkverkehr und Datenspeichern) auszuwerten.
Sie erkennen Bedrohungen und potenzielle Vorfälle, die im Vergleich zum Standardprofil und -verhalten von Benutzern und Entitäten in ähnlichen Gruppen über einen bestimmten Zeitraum typischerweise ungewöhnliche Aktivitäten darstellen.

Die häufigsten Anwendungsfälle im Unternehmenssegment sind die Bedrohungserkennung und -reaktion sowie die Erkennung und Reaktion auf Insider-Bedrohungen (hauptsächlich kompromittierte Insider, manchmal interne Angreifer).

UEBA ist wie EntscheidungUnd функцией, in ein bestimmtes Tool integriert:

  • Die Lösung sind Hersteller „reiner“ UEBA-Plattformen, darunter Anbieter, die SIEM-Lösungen auch separat verkaufen. Konzentriert sich auf ein breites Spektrum von Geschäftsproblemen in der Verhaltensanalyse von Benutzern und Entitäten.
  • Eingebettet – Hersteller/Abteilungen, die UEBA-Funktionen und -Technologien in ihre Lösungen integrieren. Konzentriert sich normalerweise auf eine spezifischere Reihe von Geschäftsproblemen. In diesem Fall wird UEBA verwendet, um das Verhalten von Benutzern und/oder Entitäten zu analysieren.

Gartner betrachtet UEBA entlang dreier Achsen, darunter Problemlöser, Analysen und Datenquellen (siehe Abbildung).

Der UEBA-Markt ist tot – es lebe die UEBA

„Reine“ UEBA-Plattformen versus integrierte UEBA

Gartner betrachtet eine „reine“ UEBA-Plattform als Lösungen, die:

  • Lösen Sie mehrere spezifische Probleme, z. B. die Überwachung privilegierter Benutzer oder die Ausgabe von Daten außerhalb der Organisation, und nicht nur die abstrakte „Überwachung anomaler Benutzeraktivitäten“;
  • den Einsatz komplexer Analysen beinhalten, die notwendigerweise auf grundlegenden analytischen Ansätzen basieren;
  • Bereitstellung mehrerer Optionen für die Datenerfassung, einschließlich sowohl integrierter Datenquellenmechanismen als auch von Protokollverwaltungstools, Data Lake und/oder SIEM-Systemen, ohne dass zwingend separate Agenten in der Infrastruktur bereitgestellt werden müssen;
  • können als eigenständige Lösungen erworben und bereitgestellt werden, anstatt in ihnen enthalten zu sein
    Zusammensetzung anderer Produkte.

Die folgende Tabelle vergleicht die beiden Ansätze.

Tabelle 1. „Reine“ UEBA-Lösungen im Vergleich zu integrierten Lösungen

Kategorie „Reine“ UEBA-Plattformen Weitere Lösungen mit integriertem UEBA
Zu lösendes Problem Analyse des Benutzerverhaltens und der Entitäten. Mangelnde Daten können dazu führen, dass UEBA nur das Verhalten von Benutzern oder Entitäten analysieren kann.
Zu lösendes Problem Dient zur Lösung vielfältiger Probleme Spezialisiert auf eine begrenzte Anzahl von Aufgaben
Analytics Anomalieerkennung mithilfe verschiedener Analysemethoden – hauptsächlich durch statistische Modelle und maschinelles Lernen sowie Regeln und Signaturen. Verfügt über integrierte Analysen zum Erstellen und Vergleichen von Benutzer- und Entitätsaktivitäten mit deren Profilen und denen von Kollegen. Ähnlich wie bei reinem UEBA, die Analyse kann jedoch nur auf Benutzer und/oder Entitäten beschränkt werden.
Analytics Erweiterte Analysefunktionen, die nicht nur durch Regeln eingeschränkt sind. Zum Beispiel ein Clustering-Algorithmus mit dynamischer Gruppierung von Entitäten. Ähnlich wie „reines“ UEBA, aber die Entitätsgruppierung in einigen eingebetteten Bedrohungsmodellen kann nur manuell geändert werden.
Analytics Korrelation von Aktivität und Verhalten von Benutzern und anderen Einheiten (z. B. unter Verwendung von Bayes'schen Netzwerken) und Aggregation des individuellen Risikoverhaltens, um anomale Aktivitäten zu identifizieren. Ähnlich wie bei reinem UEBA, die Analyse kann jedoch nur auf Benutzer und/oder Entitäten beschränkt werden.
Datenquellen Empfangen von Ereignissen zu Benutzern und Entitäten aus Datenquellen direkt über integrierte Mechanismen oder vorhandene Datenspeicher wie SIEM oder Data Lake. Mechanismen zur Datenbeschaffung sind in der Regel nur direkt und betreffen nur Benutzer und/oder andere Einheiten. Verwenden Sie keine Protokollverwaltungstools/SIEM/Data Lake.
Datenquellen Die Lösung sollte sich nicht nur auf den Netzwerkverkehr als Hauptdatenquelle verlassen, noch sollte sie sich ausschließlich auf ihre eigenen Agenten verlassen, um Telemetriedaten zu sammeln. Die Lösung kann sich nur auf den Netzwerkverkehr konzentrieren (z. B. NTA – Netzwerkverkehrsanalyse) und/oder ihre Agenten auf Endgeräten verwenden (z. B. Dienstprogramme zur Mitarbeiterüberwachung).
Datenquellen Sättigung von Benutzer-/Entitätsdaten mit Kontext. Unterstützt die Erfassung strukturierter Ereignisse in Echtzeit sowie strukturierter/unstrukturierter zusammenhängender Daten aus IT-Verzeichnissen – zum Beispiel Active Directory (AD) oder anderen maschinenlesbaren Informationsressourcen (zum Beispiel HR-Datenbanken). Ähnlich wie bei reinem UEBA, jedoch kann der Umfang der Kontextdaten von Fall zu Fall unterschiedlich sein. AD und LDAP sind die am häufigsten von eingebetteten UEBA-Lösungen verwendeten kontextbezogenen Datenspeicher.
Verfügbarkeit Bietet die aufgeführten Funktionen als eigenständiges Produkt. Es ist unmöglich, integrierte UEBA-Funktionalität zu kaufen, ohne eine externe Lösung zu kaufen, in die sie integriert ist.
Quelle: Gartner (Mai 2019)

Um bestimmte Probleme zu lösen, kann eingebettetes UEBA daher grundlegende UEBA-Analysen nutzen (z. B. einfaches unüberwachtes maschinelles Lernen), kann aber gleichzeitig aufgrund des Zugriffs auf genau die erforderlichen Daten insgesamt effektiver sein als ein „reines“ UEBA-Lösung. Gleichzeitig bieten „reine“ UEBA-Plattformen erwartungsgemäß komplexere Analysen als Haupt-Know-how im Vergleich zum integrierten UEBA-Tool. Diese Ergebnisse sind in Tabelle 2 zusammengefasst.

Tabelle 2. Das Ergebnis der Unterschiede zwischen „reinem“ und integriertem UEBA

Kategorie „Reine“ UEBA-Plattformen Weitere Lösungen mit integriertem UEBA
Analytics Die Anwendbarkeit zur Lösung einer Vielzahl von Geschäftsproblemen erfordert einen universelleren Satz von UEBA-Funktionen mit Schwerpunkt auf komplexeren Analyse- und maschinellen Lernmodellen. Die Konzentration auf eine kleinere Gruppe von Geschäftsproblemen erfordert hochspezialisierte Funktionen, die sich auf anwendungsspezifische Modelle mit einfacherer Logik konzentrieren.
Analytics Für jedes Anwendungsszenario ist eine Anpassung des Analysemodells erforderlich. Analytische Modelle sind für das Tool vorkonfiguriert, in das UEBA integriert ist. Ein Tool mit integriertem UEBA erzielt im Allgemeinen schnellere Ergebnisse bei der Lösung bestimmter Geschäftsprobleme.
Datenquellen Zugriff auf Datenquellen aus allen Bereichen der Unternehmensinfrastruktur. Weniger Datenquellen, normalerweise begrenzt durch die Verfügbarkeit von Agenten dafür oder das Tool selbst mit UEBA-Funktionen.
Datenquellen Die in jedem Protokoll enthaltenen Informationen sind möglicherweise durch die Datenquelle begrenzt und enthalten möglicherweise nicht alle erforderlichen Daten für das zentralisierte UEBA-Tool. Menge und Detailliertheit der vom Agent erfassten und an UEBA übermittelten Rohdaten können gezielt konfiguriert werden.
Architektur Es handelt sich um ein komplettes UEBA-Produkt für eine Organisation. Die Integration ist einfacher, wenn Sie die Funktionen eines SIEM-Systems oder eines Data Lake nutzen. Erfordert einen separaten Satz von UEBA-Funktionen für jede Lösung mit integriertem UEBA. Eingebettete UEBA-Lösungen erfordern häufig die Installation von Agenten und die Verwaltung von Daten.
Integration Manuelle Integration der UEBA-Lösung mit jeweils anderen Tools. Ermöglicht einem Unternehmen, seinen Technologie-Stack auf der Grundlage des „Besten unter den Analoga“-Ansatz aufzubauen. Die Hauptpakete der UEBA-Funktionen sind vom Hersteller bereits im Tool selbst enthalten. Das UEBA-Modul ist integriert und kann nicht entfernt werden, sodass Kunden es nicht durch etwas Eigenes ersetzen können.
Quelle: Gartner (Mai 2019)

UEBA als Funktion

UEBA wird zu einem Bestandteil von End-to-End-Cybersicherheitslösungen, die von zusätzlichen Analysen profitieren können. UEBA liegt diesen Lösungen zugrunde und bietet eine leistungsstarke Ebene fortschrittlicher Analysen basierend auf Verhaltensmustern von Benutzern und/oder Entitäten.

Derzeit auf dem Markt ist die integrierte UEBA-Funktionalität in den folgenden Lösungen implementiert, gruppiert nach technologischem Umfang:

  • Datenorientierte Prüfung und Schutzsind Anbieter, die sich auf die Verbesserung der Sicherheit der strukturierten und unstrukturierten Datenspeicherung (auch bekannt als DCAP) konzentrieren.

    In dieser Kategorie von Anbietern stellt Gartner unter anderem fest: Varonis Cybersicherheitsplattform, das Benutzerverhaltensanalysen bietet, um Änderungen bei unstrukturierten Datenberechtigungen, Zugriff und Nutzung in verschiedenen Informationsspeichern zu überwachen.

  • CASB-Systeme, bietet Schutz vor verschiedenen Bedrohungen in Cloud-basierten SaaS-Anwendungen, indem der Zugriff auf Cloud-Dienste für unerwünschte Geräte, Benutzer und Anwendungsversionen mithilfe eines adaptiven Zugriffskontrollsystems blockiert wird.

    Alle marktführenden CASB-Lösungen umfassen UEBA-Funktionen.

  • DLP-Lösungen – konzentriert sich auf die Erkennung der Übertragung kritischer Daten außerhalb der Organisation oder ihres Missbrauchs.

    DLP-Fortschritte basieren weitgehend auf dem Verständnis von Inhalten, wobei der Schwerpunkt weniger auf dem Verständnis von Kontexten wie Benutzer, Anwendung, Ort, Zeit, Ereignisgeschwindigkeit und anderen externen Faktoren liegt. Um effektiv zu sein, müssen DLP-Produkte sowohl Inhalte als auch Kontext erkennen. Aus diesem Grund beginnen viele Hersteller damit, die UEBA-Funktionalität in ihre Lösungen zu integrieren.

  • Mitarbeiterüberwachung ist die Möglichkeit, Mitarbeiteraktionen aufzuzeichnen und wiederzugeben, üblicherweise in einem für Gerichtsverfahren geeigneten Datenformat (falls erforderlich).

    Durch die ständige Überwachung der Benutzer entstehen oft überwältigende Datenmengen, die manuelle Filterung und menschliche Analyse erfordern. Daher wird UEBA in Überwachungssystemen eingesetzt, um die Leistung dieser Lösungen zu verbessern und nur Vorfälle mit hohem Risiko zu erkennen.

  • Endpunktsicherheit – Endpoint Detection and Response (EDR)-Lösungen und Endpoint Protection-Plattformen (EPP) bieten leistungsstarke Instrumentierung und Betriebssystemtelemetrie
    Endgeräte.

    Solche benutzerbezogenen Telemetriedaten können analysiert werden, um integrierte UEBA-Funktionalität bereitzustellen.

  • Online-Betrug – Online-Betrugserkennungslösungen erkennen abweichende Aktivitäten, die auf eine Kompromittierung des Kontos eines Kunden durch Spoofing, Malware oder die Ausnutzung ungesicherter Verbindungen/Abfangen des Browserdatenverkehrs hinweisen.

    Die meisten Betrugslösungen nutzen die Essenz von UEBA, Transaktionsanalyse und Gerätemessung, wobei fortschrittlichere Systeme sie durch den Abgleich von Beziehungen in der Identitätsdatenbank ergänzen.

  • IAM und Zugangskontrolle – Gartner stellt einen evolutionären Trend bei Anbietern von Zugangskontrollsystemen fest, sich mit reinen Anbietern zu integrieren und einige UEBA-Funktionen in ihre Produkte zu integrieren.
  • IAM- und Identity Governance and Administration (IGA)-Systeme Verwenden Sie UEBA, um Verhaltens- und Identitätsanalyseszenarien wie Anomalieerkennung, dynamische Gruppierungsanalyse ähnlicher Entitäten, Anmeldeanalyse und Zugriffsrichtlinienanalyse abzudecken.
  • IAM und Privileged Access Management (PAM) – Aufgrund der Aufgabe, die Verwendung von Administratorkonten zu überwachen, verfügen PAM-Lösungen über Telemetrie, um zu zeigen, wie, warum, wann und wo Administratorkonten verwendet wurden. Diese Daten können mithilfe der integrierten Funktionalität von UEBA auf das Vorliegen von anormalem Verhalten von Administratoren oder böswilliger Absicht analysiert werden.
  • Hersteller NTA (Network Traffic Analysis) – Nutzen Sie eine Kombination aus maschinellem Lernen, erweiterter Analyse und regelbasierter Erkennung, um verdächtige Aktivitäten in Unternehmensnetzwerken zu identifizieren.

    NTA-Tools analysieren kontinuierlich den Quellverkehr und/oder Flussdatensätze (z. B. NetFlow), um Modelle zu erstellen, die das normale Netzwerkverhalten widerspiegeln, wobei der Schwerpunkt hauptsächlich auf der Analyse des Entitätsverhaltens liegt.

  • SIEM – Viele SIEM-Anbieter verfügen mittlerweile über erweiterte Datenanalysefunktionen, die in SIEM integriert oder als separates UEBA-Modul verfügbar sind. Im Laufe des Jahres 2018 und bisher im Jahr 2019 kam es zu einer kontinuierlichen Verwischung der Grenzen zwischen SIEM- und UEBA-Funktionalität, wie im Artikel beschrieben „Technologieeinblick für das moderne SIEM“. SIEM-Systeme sind besser darin geworden, mit Analysen zu arbeiten und komplexere Anwendungsszenarien anzubieten.

UEBA-Anwendungsszenarien

UEBA-Lösungen können eine Vielzahl von Problemen lösen. Die Kunden von Gartner sind sich jedoch einig, dass der primäre Anwendungsfall darin besteht, verschiedene Kategorien von Bedrohungen zu erkennen, was durch die Anzeige und Analyse häufiger Korrelationen zwischen Benutzerverhalten und anderen Entitäten erreicht wird:

  • unbefugter Zugriff und unbefugte Übertragung von Daten;
  • verdächtiges Verhalten privilegierter Benutzer, böswillige oder unbefugte Aktivitäten von Mitarbeitern;
  • nicht standardmäßiger Zugriff und Nutzung von Cloud-Ressourcen;
  • usw.

Es gibt auch eine Reihe atypischer Anwendungsfälle außerhalb der Cybersicherheit, wie etwa Betrug oder Mitarbeiterüberwachung, für die UEBA gerechtfertigt sein kann. Sie benötigen jedoch häufig Datenquellen außerhalb der IT- und Informationssicherheit oder spezifische Analysemodelle mit einem tiefen Verständnis dieses Bereichs. Im Folgenden werden die fünf Hauptszenarien und Anwendungen beschrieben, über die sich sowohl UEBA-Hersteller als auch ihre Kunden einig sind.

„Böswilliger Insider“

UEBA-Lösungsanbieter, die dieses Szenario abdecken, überwachen lediglich Mitarbeiter und vertrauenswürdige Auftragnehmer auf ungewöhnliches, „schlechtes“ oder böswilliges Verhalten. Anbieter in diesem Fachgebiet überwachen oder analysieren das Verhalten von Dienstkonten oder anderen nichtmenschlichen Einheiten nicht. Vor allem aus diesem Grund konzentrieren sie sich nicht auf die Erkennung fortgeschrittener Bedrohungen, bei denen Hacker bestehende Konten übernehmen. Stattdessen zielen sie darauf ab, Mitarbeiter zu identifizieren, die an schädlichen Aktivitäten beteiligt sind.

Im Wesentlichen geht das Konzept eines „böswilligen Insiders“ auf vertrauenswürdige Benutzer mit böswilligen Absichten zurück, die nach Möglichkeiten suchen, ihrem Arbeitgeber Schaden zuzufügen. Da böswillige Absichten schwer zu messen sind, analysieren die besten Anbieter in dieser Kategorie kontextbezogene Verhaltensdaten, die in Prüfprotokollen nicht leicht verfügbar sind.

Lösungsanbieter in diesem Bereich fügen auch unstrukturierte Daten wie E-Mail-Inhalte, Produktivitätsberichte oder Social-Media-Informationen optimal hinzu und analysieren sie, um Kontext für das Verhalten bereitzustellen.

Kompromittierte Insider- und aufdringliche Bedrohungen

Die Herausforderung besteht darin, „schlechtes“ Verhalten schnell zu erkennen und zu analysieren, sobald der Angreifer Zugriff auf das Unternehmen erlangt hat und beginnt, sich innerhalb der IT-Infrastruktur zu bewegen.
Assertive Bedrohungen (APTs), wie unbekannte oder noch nicht vollständig verstandene Bedrohungen, sind äußerst schwer zu erkennen und verstecken sich oft hinter legitimen Benutzeraktivitäten oder Dienstkonten. Solche Bedrohungen haben normalerweise ein komplexes Betriebsmodell (siehe zum Beispiel den Artikel „ Bewältigung der Cyber-Kill-Chain„) oder ihr Verhalten wurde noch nicht als schädlich beurteilt. Dies macht es schwierig, sie mit einfachen Analysen (z. B. Abgleich anhand von Mustern, Schwellenwerten oder Korrelationsregeln) zu erkennen.

Viele dieser aufdringlichen Bedrohungen führen jedoch zu nicht standardmäßigem Verhalten, an dem häufig ahnungslose Benutzer oder Einheiten (auch kompromittierte Insider genannt) beteiligt sind. UEBA-Techniken bieten mehrere interessante Möglichkeiten, solche Bedrohungen zu erkennen, das Signal-Rausch-Verhältnis zu verbessern, das Benachrichtigungsvolumen zu konsolidieren und zu reduzieren, verbleibende Warnungen zu priorisieren und eine effektive Reaktion und Untersuchung von Vorfällen zu ermöglichen.

UEBA-Anbieter, die auf diesen Problembereich abzielen, verfügen häufig über eine bidirektionale Integration mit den SIEM-Systemen des Unternehmens.

Datenexfiltration

Die Aufgabe besteht in diesem Fall darin, zu erkennen, dass Daten außerhalb der Organisation übertragen werden.
Anbieter, die sich auf diese Herausforderung konzentrieren, nutzen in der Regel DLP- oder DAG-Funktionen mit Anomalieerkennung und erweiterten Analysen, um so das Signal-Rausch-Verhältnis zu verbessern, das Benachrichtigungsvolumen zu konsolidieren und verbleibende Auslöser zu priorisieren. Für zusätzlichen Kontext verlassen sich Anbieter in der Regel stärker auf Netzwerkverkehr (z. B. Web-Proxys) und Endpunktdaten, da die Analyse dieser Datenquellen bei Untersuchungen zur Datenexfiltration hilfreich sein kann.

Die Erkennung von Datenexfiltration wird verwendet, um Insider und externe Hacker zu fangen, die das Unternehmen bedrohen.

Identifizierung und Verwaltung privilegierter Zugriffe

Hersteller unabhängiger UEBA-Lösungen in diesem Fachgebiet beobachten und analysieren das Nutzerverhalten vor dem Hintergrund eines bereits gebildeten Rechtesystems, um übermäßige Privilegien oder anomale Zugriffe zu erkennen. Dies gilt für alle Arten von Benutzern und Konten, einschließlich privilegierter Konten und Dienstkonten. Organisationen nutzen UEBA auch, um ruhende Konten und Benutzerrechte zu entfernen, die höher als erforderlich sind.

Priorisierung von Vorfällen

Das Ziel dieser Aufgabe besteht darin, Benachrichtigungen zu priorisieren, die von Lösungen in ihrem Technologie-Stack generiert werden, um zu verstehen, welche Vorfälle oder potenziellen Vorfälle zuerst behoben werden sollten. UEBA-Methoden und -Tools sind hilfreich bei der Identifizierung von Vorfällen, die für eine bestimmte Organisation besonders anomal oder besonders gefährlich sind. In diesem Fall verwendet der UEBA-Mechanismus nicht nur die Basisaktivitäts- und Bedrohungsmodelle, sondern sättigt die Daten auch mit Informationen über die Organisationsstruktur des Unternehmens (z. B. kritische Ressourcen oder Rollen und Zugriffsebenen von Mitarbeitern).

Probleme bei der Implementierung von UEBA-Lösungen

Der Marktschmerz von UEBA-Lösungen ist ihr hoher Preis, ihre komplexe Implementierung, Wartung und Nutzung. Während Unternehmen mit der Vielzahl verschiedener interner Portale zu kämpfen haben, erhalten sie eine andere Konsole. Der Umfang der Zeit- und Ressourceninvestition in ein neues Tool hängt von den anstehenden Aufgaben und den zu ihrer Lösung erforderlichen Analysetypen ab und erfordert meist große Investitionen.

Im Gegensatz zu dem, was viele Hersteller behaupten, handelt es sich bei UEBA nicht um ein „Einstellen und vergessen“-Tool, das dann tagelang ununterbrochen laufen kann.
Kunden von Gartner stellen beispielsweise fest, dass es drei bis sechs Monate dauert, eine UEBA-Initiative von Grund auf zu starten und die ersten Ergebnisse bei der Lösung der Probleme zu erhalten, für die diese Lösung implementiert wurde. Bei komplexeren Aufgaben, beispielsweise der Identifizierung von Insider-Bedrohungen in einer Organisation, erhöht sich der Zeitraum auf 3 Monate.

Faktoren, die die Schwierigkeit der Implementierung von UEBA und die zukünftige Wirksamkeit des Tools beeinflussen:

  • Komplexität der Organisationsarchitektur, Netzwerktopologie und Datenverwaltungsrichtlinien
  • Verfügbarkeit der richtigen Daten im richtigen Detaillierungsgrad
  • Die Komplexität der Analysealgorithmen des Anbieters – zum Beispiel die Verwendung statistischer Modelle und maschinellem Lernen im Vergleich zu einfachen Mustern und Regeln.
  • Die Menge der enthaltenen vorkonfigurierten Analysen – das heißt, das Verständnis des Herstellers darüber, welche Daten für jede Aufgabe gesammelt werden müssen und welche Variablen und Attribute für die Durchführung der Analyse am wichtigsten sind.
  • Wie einfach es für den Hersteller ist, die erforderlichen Daten automatisch zu integrieren.

    Zum Beispiel:

    • Wenn eine UEBA-Lösung ein SIEM-System als Hauptquelle ihrer Daten verwendet, sammelt das SIEM dann Informationen aus den erforderlichen Datenquellen?
    • Können die notwendigen Ereignisprotokolle und organisatorischen Kontextdaten an eine UEBA-Lösung weitergeleitet werden?
    • Wenn das SIEM-System die für die UEBA-Lösung benötigten Datenquellen noch nicht erfasst und steuert, wie können diese dann dorthin übertragen werden?

  • Wie wichtig ist das Anwendungsszenario für die Organisation, wie viele Datenquellen benötigt sie und wie stark überschneidet sich diese Aufgabe mit dem Fachgebiet des Herstellers?
  • Welcher Grad an organisatorischer Reife und Beteiligung ist erforderlich – zum Beispiel die Erstellung, Entwicklung und Verfeinerung von Regeln und Modellen? Zuweisen von Gewichten zu Variablen zur Auswertung; oder die Risikobewertungsschwelle anpassen.
  • Wie skalierbar ist die Lösung und Architektur des Anbieters im Vergleich zur aktuellen Größe des Unternehmens und seinen zukünftigen Anforderungen?
  • Zeit, grundlegende Modelle, Profile und Schlüsselgruppen zu erstellen. Hersteller benötigen oft mindestens 30 Tage (manchmal bis zu 90 Tage) für die Analyse, bevor sie „Normen“ definieren können. Das einmalige Laden historischer Daten kann das Modelltraining beschleunigen. Einige der interessanten Fälle können mithilfe von Regeln schneller identifiziert werden als mithilfe von maschinellem Lernen mit einer unglaublich kleinen Menge an Ausgangsdaten.
  • Der Aufwand für den Aufbau einer dynamischen Gruppierung und Kontoprofilierung (Dienst/Person) kann je nach Lösung stark variieren.

Source: habr.com

Kommentar hinzufügen