ProHoster > Blog > ειδήσεις στο διαδίκτυο > Η αγορά της UEBA είναι νεκρή - ζήτω η UEBA

Η αγορά της UEBA είναι νεκρή - ζήτω η UEBA

Η αγορά της UEBA είναι νεκρή - ζήτω η UEBA

Σήμερα θα παράσχουμε μια σύντομη επισκόπηση της αγοράς του User and Entity Behavioral Analytics (UEBA) με βάση τα πιο πρόσφατα Έρευνα Gartner. Η αγορά της UEBA βρίσκεται στο κάτω μέρος του «σταδίου της απογοήτευσης» σύμφωνα με το Gartner Hype Cycle for Threat-Facing Technologies, υποδεικνύοντας την ωριμότητα της τεχνολογίας. Αλλά το παράδοξο της κατάστασης έγκειται στην ταυτόχρονη γενική αύξηση των επενδύσεων σε τεχνολογίες της UEBA και στην εξαφανιζόμενη αγορά ανεξάρτητων λύσεων της UEBA. Η Gartner προβλέπει ότι η UEBA θα γίνει μέρος της λειτουργικότητας των σχετικών λύσεων ασφάλειας πληροφοριών. Ο όρος "UEBA" πιθανότατα θα πέσει εκτός χρήσης και θα αντικατασταθεί από ένα άλλο αρκτικόλεξο που θα εστιάζει σε μια στενότερη περιοχή εφαρμογής (π.χ. "αναλύσεις συμπεριφοράς χρηστών"), σε μια παρόμοια περιοχή εφαρμογής (π.χ. "αναλύσεις δεδομένων") ή απλώς θα γίνει κάποια νέο τσιτάτο (για παράδειγμα, ο όρος "τεχνητή νοημοσύνη" [AI] φαίνεται ενδιαφέρον, αν και δεν έχει νόημα για τους σύγχρονους κατασκευαστές της UEBA).

Τα βασικά ευρήματα από τη μελέτη Gartner μπορούν να συνοψιστούν ως εξής:

  • Η ωριμότητα της αγοράς για ανάλυση συμπεριφοράς χρηστών και οντοτήτων επιβεβαιώνεται από το γεγονός ότι αυτές οι τεχνολογίες χρησιμοποιούνται από το μεσαίο και μεγάλο εταιρικό τμήμα για την επίλυση ορισμένων επιχειρηματικών προβλημάτων.
  • Οι δυνατότητες ανάλυσης της UEBA είναι ενσωματωμένες σε ένα ευρύ φάσμα σχετικών τεχνολογιών ασφάλειας πληροφοριών, όπως μεσίτες ασφάλειας πρόσβασης στο cloud (CASB), συστήματα διακυβέρνησης και διαχείρισης ταυτότητας (IGA) SIEM.
  • Η διαφημιστική εκστρατεία γύρω από τους προμηθευτές της UEBA και η εσφαλμένη χρήση του όρου «τεχνητή νοημοσύνη» καθιστά δύσκολο για τους πελάτες να κατανοήσουν την πραγματική διαφορά μεταξύ των τεχνολογιών των κατασκευαστών και της λειτουργικότητας των λύσεων χωρίς τη διεξαγωγή πιλοτικού έργου.
  • Οι πελάτες σημειώνουν ότι ο χρόνος υλοποίησης και η καθημερινή χρήση των λύσεων UEBA μπορεί να είναι πιο εντατική και χρονοβόρα από ό,τι υπόσχεται ο κατασκευαστής, ακόμη και όταν εξετάζονται μόνο βασικά μοντέλα ανίχνευσης απειλών. Η προσθήκη προσαρμοσμένων περιπτώσεων χρήσης ή περιπτώσεων χρήσης αιχμής μπορεί να είναι εξαιρετικά δύσκολη και απαιτεί εξειδίκευση στην επιστήμη δεδομένων και την ανάλυση.

Πρόβλεψη στρατηγικής ανάπτυξης της αγοράς:

  • Έως το 2021, η αγορά συστημάτων ανάλυσης συμπεριφοράς χρηστών και οντοτήτων (UEBA) θα πάψει να υφίσταται ως ξεχωριστή περιοχή και θα στραφεί προς άλλες λύσεις με λειτουργικότητα UEBA.
  • Μέχρι το 2020, το 95% όλων των αναπτύξεων της UEBA θα αποτελούν μέρος μιας ευρύτερης πλατφόρμας ασφαλείας.

Ορισμός λύσεων UEBA

Οι λύσεις της UEBA χρησιμοποιούν ενσωματωμένα αναλυτικά στοιχεία για την αξιολόγηση της δραστηριότητας των χρηστών και άλλων οντοτήτων (όπως κεντρικοί υπολογιστές, εφαρμογές, κίνηση δικτύου και χώροι αποθήκευσης δεδομένων).
Ανιχνεύουν απειλές και πιθανά περιστατικά, που αντιπροσωπεύουν συνήθως ανώμαλη δραστηριότητα σε σύγκριση με το τυπικό προφίλ και συμπεριφορά χρηστών και οντοτήτων σε παρόμοιες ομάδες για μια χρονική περίοδο.

Οι πιο συνηθισμένες περιπτώσεις χρήσης στο τμήμα της επιχείρησης είναι η ανίχνευση και η απόκριση απειλών, καθώς και ο εντοπισμός και η απόκριση σε εσωτερικές απειλές (κυρίως διακυβευμένοι εσωτερικοί χρήστες, μερικές φορές εσωτερικοί εισβολείς).

Η UEBA είναι σαν απόφασηΚαι λειτουργία, ενσωματωμένο σε ένα συγκεκριμένο εργαλείο:

  • Η λύση είναι οι κατασκευαστές «καθαρών» πλατφορμών UEBA, συμπεριλαμβανομένων των πωλητών που πωλούν επίσης λύσεις SIEM ξεχωριστά. Επικεντρώθηκε σε ένα ευρύ φάσμα επιχειρηματικών προβλημάτων στις αναλύσεις συμπεριφοράς τόσο των χρηστών όσο και των οντοτήτων.
  • Embedded – Κατασκευαστές/τμήματα που ενσωματώνουν λειτουργίες και τεχνολογίες της UEBA στις λύσεις τους. Συνήθως επικεντρώνεται σε ένα πιο συγκεκριμένο σύνολο επιχειρηματικών προβλημάτων. Σε αυτήν την περίπτωση, το UEBA χρησιμοποιείται για την ανάλυση της συμπεριφοράς χρηστών ή/και οντοτήτων.

Η Gartner βλέπει την UEBA σε τρεις άξονες, συμπεριλαμβανομένων των λύσεων προβλημάτων, των αναλυτικών στοιχείων και των πηγών δεδομένων (βλ. σχήμα).

Η αγορά της UEBA είναι νεκρή - ζήτω η UEBA

«Καθαρές» πλατφόρμες UEBA έναντι ενσωματωμένης UEBA

Η Gartner θεωρεί ότι μια «καθαρή» πλατφόρμα UEBA είναι λύσεις που:

  • επίλυση πολλών συγκεκριμένων προβλημάτων, όπως η παρακολούθηση προνομιούχων χρηστών ή η παραγωγή δεδομένων εκτός του οργανισμού, και όχι μόνο η αφηρημένη «παρακολούθηση της ανώμαλης δραστηριότητας των χρηστών».
  • περιλαμβάνει τη χρήση πολύπλοκων αναλυτικών στοιχείων, που βασίζονται απαραίτητα σε βασικές αναλυτικές προσεγγίσεις.
  • παρέχει πολλές επιλογές για τη συλλογή δεδομένων, συμπεριλαμβανομένων τόσο των ενσωματωμένων μηχανισμών προέλευσης δεδομένων όσο και από εργαλεία διαχείρισης αρχείων καταγραφής, Data lake ή/και συστήματα SIEM, χωρίς την υποχρεωτική ανάγκη ανάπτυξης χωριστών πρακτόρων στην υποδομή.
  • μπορούν να αγοραστούν και να χρησιμοποιηθούν ως αυτόνομες λύσεις αντί να συμπεριληφθούν
    σύνθεση άλλων προϊόντων.

Ο παρακάτω πίνακας συγκρίνει τις δύο προσεγγίσεις.

Πίνακας 1. «Καθαρές» λύσεις UEBA έναντι ενσωματωμένων

Κατηγορία «Καθαρές» πλατφόρμες UEBA Άλλες λύσεις με ενσωματωμένο UEBA
Πρόβλημα προς επίλυση Ανάλυση συμπεριφοράς και οντοτήτων χρήστη. Η έλλειψη δεδομένων μπορεί να περιορίσει την UEBA στην ανάλυση της συμπεριφοράς μόνο χρηστών ή οντοτήτων.
Πρόβλημα προς επίλυση Χρησιμεύει στην επίλυση ενός μεγάλου φάσματος προβλημάτων Εξειδικεύεται σε ένα περιορισμένο σύνολο εργασιών
Analytics Ανίχνευση ανωμαλιών χρησιμοποιώντας διάφορες αναλυτικές μεθόδους - κυρίως μέσω στατιστικών μοντέλων και μηχανικής μάθησης, μαζί με κανόνες και υπογραφές. Έρχεται με ενσωματωμένα αναλυτικά στοιχεία για τη δημιουργία και σύγκριση της δραστηριότητας χρηστών και οντοτήτων με τα προφίλ τους και των συναδέλφων τους. Παρόμοια με την καθαρή UEBA, αλλά η ανάλυση μπορεί να περιοριστεί μόνο σε χρήστες ή/και οντότητες.
Analytics Προηγμένες αναλυτικές δυνατότητες, που δεν περιορίζονται μόνο από κανόνες. Για παράδειγμα, ένας αλγόριθμος ομαδοποίησης με δυναμική ομαδοποίηση οντοτήτων. Παρόμοια με την "καθαρή" UEBA, αλλά η ομαδοποίηση οντοτήτων σε ορισμένα ενσωματωμένα μοντέλα απειλών μπορεί να αλλάξει μόνο με μη αυτόματο τρόπο.
Analytics Συσχέτιση δραστηριότητας και συμπεριφοράς χρηστών και άλλων οντοτήτων (για παράδειγμα, χρησιμοποιώντας δίκτυα Bayes) και συνάθροιση ατομικής συμπεριφοράς κινδύνου για τον εντοπισμό ανώμαλης δραστηριότητας. Παρόμοια με την καθαρή UEBA, αλλά η ανάλυση μπορεί να περιοριστεί μόνο σε χρήστες ή/και οντότητες.
Πηγές δεδομένων Λήψη συμβάντων σε χρήστες και οντότητες από πηγές δεδομένων απευθείας μέσω ενσωματωμένων μηχανισμών ή υπαρχόντων καταστημάτων δεδομένων, όπως το SIEM ή το Data lake. Οι μηχανισμοί για τη λήψη δεδομένων είναι συνήθως μόνο άμεσοι και επηρεάζουν μόνο χρήστες ή/και άλλες οντότητες. Μην χρησιμοποιείτε εργαλεία διαχείρισης αρχείων καταγραφής / SIEM / Δεδομένα.
Πηγές δεδομένων Η λύση δεν θα πρέπει να βασίζεται μόνο στην κίνηση δικτύου ως κύρια πηγή δεδομένων, ούτε θα πρέπει να βασίζεται αποκλειστικά στους δικούς της πράκτορες για τη συλλογή τηλεμετρίας. Η λύση μπορεί να επικεντρωθεί μόνο στην κίνηση δικτύου (για παράδειγμα, NTA - ανάλυση κυκλοφορίας δικτύου) ή/και να χρησιμοποιεί τους πράκτορες της σε τελικές συσκευές (για παράδειγμα, βοηθητικά προγράμματα παρακολούθησης εργαζομένων).
Πηγές δεδομένων Κορεσμός δεδομένων χρήστη/οντότητας με το περιβάλλον. Υποστηρίζει τη συλλογή δομημένων συμβάντων σε πραγματικό χρόνο, καθώς και δομημένων/μη δομημένων συνεκτικών δεδομένων από καταλόγους IT - για παράδειγμα, Active Directory (AD) ή άλλους πόρους πληροφοριών αναγνώσιμους από μηχανή (για παράδειγμα, βάσεις δεδομένων HR). Παρόμοια με την καθαρή UEBA, αλλά το εύρος των δεδομένων με βάση τα συμφραζόμενα μπορεί να διαφέρει από περίπτωση σε περίπτωση. Οι AD και LDAP είναι οι πιο κοινές αποθήκες δεδομένων με βάση τα συμφραζόμενα που χρησιμοποιούνται από ενσωματωμένες λύσεις UEBA.
Διαθεσιμότητα Παρέχει τα αναφερόμενα χαρακτηριστικά ως αυτόνομο προϊόν. Είναι αδύνατο να αγοράσετε ενσωματωμένη λειτουργικότητα UEBA χωρίς να αγοράσετε μια εξωτερική λύση στην οποία είναι ενσωματωμένη.
Πηγή: Gartner (Μάιος 2019)

Έτσι, για την επίλυση ορισμένων προβλημάτων, το ενσωματωμένο UEBA μπορεί να χρησιμοποιήσει βασικά αναλυτικά στοιχεία UEBA (για παράδειγμα, απλή μη εποπτευόμενη μηχανική εκμάθηση), αλλά ταυτόχρονα, λόγω της πρόσβασης στα απαραίτητα δεδομένα, μπορεί να είναι συνολικά πιο αποτελεσματικό από ένα «καθαρό» Λύση UEBA. Ταυτόχρονα, οι «καθαρές» πλατφόρμες UEBA, όπως ήταν αναμενόμενο, προσφέρουν πιο σύνθετα αναλυτικά στοιχεία ως κύρια τεχνογνωσία σε σύγκριση με το ενσωματωμένο εργαλείο UEBA. Αυτά τα αποτελέσματα συνοψίζονται στον Πίνακα 2.

Πίνακας 2. Το αποτέλεσμα των διαφορών μεταξύ «καθαρού» και ενσωματωμένου UEBA

Κατηγορία «Καθαρές» πλατφόρμες UEBA Άλλες λύσεις με ενσωματωμένο UEBA
Analytics Η δυνατότητα εφαρμογής για την επίλυση ποικίλων επιχειρηματικών προβλημάτων συνεπάγεται ένα πιο καθολικό σύνολο λειτουργιών UEBA με έμφαση σε πιο σύνθετα μοντέλα ανάλυσης και μηχανικής μάθησης. Η εστίαση σε ένα μικρότερο σύνολο επιχειρηματικών προβλημάτων σημαίνει εξαιρετικά εξειδικευμένα χαρακτηριστικά που επικεντρώνονται σε μοντέλα για συγκεκριμένες εφαρμογές με απλούστερη λογική.
Analytics Η προσαρμογή του αναλυτικού μοντέλου είναι απαραίτητη για κάθε σενάριο εφαρμογής. Τα αναλυτικά μοντέλα είναι προδιαμορφωμένα για το εργαλείο που έχει ενσωματωμένο το UEBA. Ένα εργαλείο με ενσωματωμένο UEBA επιτυγχάνει γενικά ταχύτερα αποτελέσματα στην επίλυση ορισμένων επιχειρηματικών προβλημάτων.
Πηγές δεδομένων Πρόσβαση σε πηγές δεδομένων από όλες τις γωνίες της εταιρικής υποδομής. Λιγότερες πηγές δεδομένων, συνήθως περιορισμένες από τη διαθεσιμότητα πρακτόρων για αυτές ή το ίδιο το εργαλείο με λειτουργίες UEBA.
Πηγές δεδομένων Οι πληροφορίες που περιέχονται σε κάθε αρχείο καταγραφής ενδέχεται να περιορίζονται από την πηγή δεδομένων και ενδέχεται να μην περιέχουν όλα τα απαραίτητα δεδομένα για το κεντρικό εργαλείο UEBA. Η ποσότητα και οι λεπτομέρειες των ακατέργαστων δεδομένων που συλλέγονται από τον πράκτορα και μεταδίδονται στην UEBA μπορούν να διαμορφωθούν ειδικά.
Αρχιτεκτονική Είναι ένα πλήρες προϊόν της UEBA για έναν οργανισμό. Η ενσωμάτωση είναι ευκολότερη χρησιμοποιώντας τις δυνατότητες ενός συστήματος SIEM ή μιας λίμνης δεδομένων. Απαιτεί ένα ξεχωριστό σύνολο λειτουργιών UEBA για καθεμία από τις λύσεις που έχουν ενσωματωμένο το UEBA. Οι ενσωματωμένες λύσεις UEBA απαιτούν συχνά την εγκατάσταση πρακτόρων και τη διαχείριση δεδομένων.
ολοκλήρωση Χειροκίνητη ενσωμάτωση της λύσης UEBA με άλλα εργαλεία σε κάθε περίπτωση. Επιτρέπει σε έναν οργανισμό να δημιουργήσει τη στοίβα τεχνολογίας του με βάση την προσέγγιση "καλύτερη μεταξύ των αναλόγων". Οι κύριες δέσμες λειτουργιών UEBA περιλαμβάνονται ήδη στο ίδιο το εργαλείο από τον κατασκευαστή. Η μονάδα UEBA είναι ενσωματωμένη και δεν μπορεί να αφαιρεθεί, επομένως οι πελάτες δεν μπορούν να την αντικαταστήσουν με κάτι δικό τους.
Πηγή: Gartner (Μάιος 2019)

UEBA ως λειτουργία

Η UEBA γίνεται χαρακτηριστικό των λύσεων κυβερνοασφάλειας από άκρο σε άκρο που μπορούν να επωφεληθούν από πρόσθετα αναλυτικά στοιχεία. Η UEBA βασίζεται σε αυτές τις λύσεις, παρέχοντας ένα ισχυρό επίπεδο προηγμένων αναλυτικών στοιχείων που βασίζονται σε πρότυπα συμπεριφοράς χρηστών ή/και οντοτήτων.

Επί του παρόντος στην αγορά, η ενσωματωμένη λειτουργικότητα UEBA υλοποιείται στις ακόλουθες λύσεις, ομαδοποιημένες ανά τεχνολογικό πεδίο:

  • Έλεγχος και προστασία με επίκεντρο τα δεδομένα, είναι προμηθευτές που επικεντρώνονται στη βελτίωση της ασφάλειας της δομημένης και μη δομημένης αποθήκευσης δεδομένων (γνωστός και ως DCAP).

    Σε αυτή την κατηγορία πωλητών, η Gartner σημειώνει, μεταξύ άλλων, Πλατφόρμα κυβερνοασφάλειας Varonis, το οποίο προσφέρει αναλυτικά στοιχεία συμπεριφοράς των χρηστών για την παρακολούθηση αλλαγών στα δικαιώματα μη δομημένων δεδομένων, την πρόσβαση και τη χρήση σε διαφορετικούς χώρους αποθήκευσης πληροφοριών.

  • συστήματα CASB, προσφέροντας προστασία από διάφορες απειλές σε εφαρμογές SaaS που βασίζονται σε cloud, αποκλείοντας την πρόσβαση σε υπηρεσίες cloud για ανεπιθύμητες συσκευές, χρήστες και εκδόσεις εφαρμογών χρησιμοποιώντας ένα προσαρμοστικό σύστημα ελέγχου πρόσβασης.

    Όλες οι κορυφαίες στην αγορά λύσεις CASB περιλαμβάνουν δυνατότητες UEBA.

  • Λύσεις DLP – επικεντρώνεται στον εντοπισμό της μεταφοράς κρίσιμων δεδομένων εκτός του οργανισμού ή της κατάχρησής του.

    Οι εξελίξεις του DLP βασίζονται σε μεγάλο βαθμό στην κατανόηση περιεχομένου, με λιγότερη εστίαση στην κατανόηση του πλαισίου όπως ο χρήστης, η εφαρμογή, η τοποθεσία, ο χρόνος, η ταχύτητα των γεγονότων και άλλοι εξωτερικοί παράγοντες. Για να είναι αποτελεσματικά, τα προϊόντα DLP πρέπει να αναγνωρίζουν τόσο το περιεχόμενο όσο και το πλαίσιο. Αυτός είναι ο λόγος που πολλοί κατασκευαστές αρχίζουν να ενσωματώνουν τη λειτουργικότητα της UEBA στις λύσεις τους.

  • Παρακολούθηση εργαζομένων είναι η δυνατότητα καταγραφής και επανάληψης των ενεργειών των εργαζομένων, συνήθως σε μορφή δεδομένων κατάλληλη για νομικές διαδικασίες (εάν είναι απαραίτητο).

    Η συνεχής παρακολούθηση των χρηστών συχνά δημιουργεί μια συντριπτική ποσότητα δεδομένων που απαιτεί χειροκίνητο φιλτράρισμα και ανθρώπινη ανάλυση. Ως εκ τούτου, η UEBA χρησιμοποιείται εντός συστημάτων παρακολούθησης για τη βελτίωση της απόδοσης αυτών των λύσεων και τον εντοπισμό μόνο περιστατικών υψηλού κινδύνου.

  • Ασφάλεια τελικού σημείου – Οι λύσεις ανίχνευσης και απόκρισης τελικού σημείου (EDR) και οι πλατφόρμες προστασίας τελικού σημείου (EPP) παρέχουν ισχυρά όργανα και τηλεμετρία λειτουργικού συστήματος σε
    τελικές συσκευές.

    Μια τέτοια τηλεμετρία που σχετίζεται με το χρήστη μπορεί να αναλυθεί για να παρέχει ενσωματωμένη λειτουργικότητα UEBA.

  • Ηλεκτρονική απάτη – Οι διαδικτυακές λύσεις ανίχνευσης απάτης εντοπίζουν αποκλίνουσα δραστηριότητα που υποδηλώνει παραβίαση του λογαριασμού ενός πελάτη μέσω πλαστογράφησης, κακόβουλου λογισμικού ή εκμετάλλευσης μη ασφαλών συνδέσεων/παρακολούθησης κυκλοφορίας προγράμματος περιήγησης.

    Οι περισσότερες λύσεις απάτης χρησιμοποιούν την ουσία της UEBA, την ανάλυση συναλλαγών και τη μέτρηση συσκευών, με πιο προηγμένα συστήματα να τις συμπληρώνουν αντιστοιχίζοντας σχέσεις στη βάση δεδομένων ταυτότητας.

  • IAM και έλεγχος πρόσβασης – Η Gartner σημειώνει μια εξελικτική τάση μεταξύ των προμηθευτών συστημάτων ελέγχου πρόσβασης να ενσωματωθούν με καθαρούς προμηθευτές και να ενσωματώσουν κάποια λειτουργικότητα UEBA στα προϊόντα τους.
  • Συστήματα IAM και Διακυβέρνησης και Διοίκησης Ταυτότητας (IGA). χρησιμοποιήστε το UEBA για να καλύψετε σενάρια ανάλυσης συμπεριφοράς και ταυτότητας, όπως ανίχνευση ανωμαλιών, ανάλυση δυναμικής ομαδοποίησης παρόμοιων οντοτήτων, ανάλυση σύνδεσης και ανάλυση πολιτικής πρόσβασης.
  • IAM και Privileged Access Management (PAM) – Λόγω του ρόλου της παρακολούθησης της χρήσης διαχειριστικών λογαριασμών, οι λύσεις PAM διαθέτουν τηλεμετρία για να δείχνουν πώς, γιατί, πότε και πού χρησιμοποιήθηκαν οι διαχειριστικοί λογαριασμοί. Αυτά τα δεδομένα μπορούν να αναλυθούν χρησιμοποιώντας την ενσωματωμένη λειτουργικότητα του UEBA για την παρουσία ανώμαλης συμπεριφοράς διαχειριστών ή κακόβουλης πρόθεσης.
  • Manufacturers NTA (Ανάλυση επισκεψιμότητας δικτύου) – Χρησιμοποιήστε έναν συνδυασμό μηχανικής μάθησης, προηγμένων αναλυτικών στοιχείων και ανίχνευσης βάσει κανόνων για τον εντοπισμό ύποπτης δραστηριότητας σε εταιρικά δίκτυα.

    Τα εργαλεία NTA αναλύουν συνεχώς την κυκλοφορία πηγής και/ή τις εγγραφές ροής (π.χ. NetFlow) για να δημιουργήσουν μοντέλα που αντικατοπτρίζουν την κανονική συμπεριφορά δικτύου, εστιάζοντας κυρίως στην ανάλυση συμπεριφοράς οντοτήτων.

  • SIEM – Πολλοί προμηθευτές SIEM διαθέτουν πλέον προηγμένη λειτουργία ανάλυσης δεδομένων ενσωματωμένη στο SIEM ή ως ξεχωριστή μονάδα UEBA. Καθ 'όλη τη διάρκεια του 2018 και μέχρι στιγμής το 2019, υπήρξε μια συνεχής ασάφεια των ορίων μεταξύ της λειτουργικότητας SIEM και UEBA, όπως συζητείται στο άρθρο "Technology Insight για το Σύγχρονο SIEM". Τα συστήματα SIEM έχουν γίνει καλύτερα στο να εργάζονται με αναλυτικά στοιχεία και να προσφέρουν πιο σύνθετα σενάρια εφαρμογών.

Σενάρια εφαρμογής UEBA

Οι λύσεις της UEBA μπορούν να λύσουν ένα ευρύ φάσμα προβλημάτων. Ωστόσο, οι πελάτες της Gartner συμφωνούν ότι η περίπτωση κύριας χρήσης περιλαμβάνει τον εντοπισμό διαφόρων κατηγοριών απειλών, που επιτυγχάνονται με την εμφάνιση και την ανάλυση συχνών συσχετίσεων μεταξύ της συμπεριφοράς των χρηστών και άλλων οντοτήτων:

  • μη εξουσιοδοτημένη πρόσβαση και διακίνηση δεδομένων·
  • ύποπτη συμπεριφορά προνομιούχων χρηστών, κακόβουλη ή μη εξουσιοδοτημένη δραστηριότητα εργαζομένων.
  • μη τυπική πρόσβαση και χρήση πόρων cloud·
  • κλπ.

Υπάρχει επίσης μια σειρά από άτυπες περιπτώσεις χρήσης μη κυβερνοασφάλειας, όπως απάτη ή παρακολούθηση εργαζομένων, για τις οποίες μπορεί να δικαιολογηθεί η UEBA. Ωστόσο, συχνά απαιτούν πηγές δεδομένων εκτός της ασφάλειας πληροφορικής και πληροφοριών ή συγκεκριμένα αναλυτικά μοντέλα με βαθιά κατανόηση αυτού του τομέα. Τα πέντε κύρια σενάρια και εφαρμογές που συμφωνούν τόσο οι κατασκευαστές της UEBA όσο και οι πελάτες τους περιγράφονται παρακάτω.

"Κακόβουλος Insider"

Οι πάροχοι λύσεων της UEBA που καλύπτουν αυτό το σενάριο παρακολουθούν μόνο υπαλλήλους και έμπιστους εργολάβους για ασυνήθιστη, «κακή» ή κακόβουλη συμπεριφορά. Οι προμηθευτές σε αυτόν τον τομέα εμπειρογνωμοσύνης δεν παρακολουθούν ούτε αναλύουν τη συμπεριφορά λογαριασμών υπηρεσιών ή άλλων μη ανθρώπινων οντοτήτων. Σε μεγάλο βαθμό λόγω αυτού, δεν επικεντρώνονται στον εντοπισμό προηγμένων απειλών όπου οι χάκερ καταλαμβάνουν υπάρχοντες λογαριασμούς. Αντίθετα, στοχεύουν στον εντοπισμό εργαζομένων που εμπλέκονται σε επιβλαβείς δραστηριότητες.

Ουσιαστικά, η έννοια του «κακόβουλου χρήστη» προέρχεται από έμπιστους χρήστες με κακόβουλη πρόθεση που αναζητούν τρόπους να προκαλέσουν ζημιά στον εργοδότη τους. Επειδή η κακόβουλη πρόθεση είναι δύσκολο να μετρηθεί, οι καλύτεροι προμηθευτές αυτής της κατηγορίας αναλύουν δεδομένα συμπεριφοράς με βάση τα συμφραζόμενα που δεν είναι εύκολα διαθέσιμα στα αρχεία καταγραφής ελέγχου.

Οι πάροχοι λύσεων σε αυτόν τον χώρο προσθέτουν επίσης και αναλύουν βέλτιστα μη δομημένα δεδομένα, όπως περιεχόμενο email, αναφορές παραγωγικότητας ή πληροφορίες μέσων κοινωνικής δικτύωσης, για να παρέχουν το πλαίσιο συμπεριφοράς.

Διακυβευμένες εσωτερικές και παρεμβατικές απειλές

Η πρόκληση είναι να εντοπιστεί γρήγορα και να αναλυθεί η «κακή» συμπεριφορά μόλις ο εισβολέας αποκτήσει πρόσβαση στον οργανισμό και αρχίσει να κινείται εντός της υποδομής πληροφορικής.
Οι διεκδικητικές απειλές (APT), όπως οι άγνωστες ή οι μη πλήρως κατανοητές απειλές, είναι εξαιρετικά δύσκολο να εντοπιστούν και συχνά κρύβονται πίσω από τη νόμιμη δραστηριότητα χρηστών ή λογαριασμούς υπηρεσιών. Τέτοιες απειλές έχουν συνήθως ένα πολύπλοκο μοντέλο λειτουργίας (βλ., για παράδειγμα, το άρθρο " Απευθυνόμενος στην αλυσίδα Cyber ​​​​Kill") ή η συμπεριφορά τους δεν έχει ακόμη αξιολογηθεί ως επιβλαβής. Αυτό καθιστά δύσκολο τον εντοπισμό τους χρησιμοποιώντας απλά αναλυτικά στοιχεία (όπως αντιστοίχιση με μοτίβα, κατώφλια ή κανόνες συσχέτισης).

Ωστόσο, πολλές από αυτές τις παρεμβατικές απειλές οδηγούν σε μη τυπική συμπεριφορά, που συχνά περιλαμβάνει ανυποψίαστους χρήστες ή οντότητες (γνωστοί και ως παραβιασμένοι εμπιστευτικοί). Οι τεχνικές UEBA προσφέρουν πολλές ενδιαφέρουσες ευκαιρίες για την ανίχνευση τέτοιων απειλών, τη βελτίωση της αναλογίας σήματος προς θόρυβο, την ενοποίηση και τη μείωση του όγκου ειδοποιήσεων, την ιεράρχηση των υπόλοιπων ειδοποιήσεων και τη διευκόλυνση της αποτελεσματικής απόκρισης και διερεύνησης περιστατικών.

Οι προμηθευτές της UEBA που στοχεύουν σε αυτήν την προβληματική περιοχή έχουν συχνά αμφίδρομη ενοποίηση με τα συστήματα SIEM του οργανισμού.

Διήθηση δεδομένων

Το καθήκον σε αυτήν την περίπτωση είναι να ανιχνευθεί το γεγονός ότι τα δεδομένα μεταφέρονται εκτός του οργανισμού.
Οι προμηθευτές επικεντρώνονται σε αυτήν την πρόκληση συνήθως αξιοποιούν τις δυνατότητες DLP ή DAG με ανίχνευση ανωμαλιών και προηγμένα αναλυτικά στοιχεία, βελτιώνοντας έτσι την αναλογία σήματος προς θόρυβο, ενοποιώντας τον όγκο ειδοποιήσεων και δίνοντας προτεραιότητα στους εναπομείναντες ενεργοποιητές. Για πρόσθετο πλαίσιο, οι προμηθευτές συνήθως βασίζονται περισσότερο στην κίνηση δικτύου (όπως οι διακομιστής μεσολάβησης ιστού) και τα δεδομένα τελικού σημείου, καθώς η ανάλυση αυτών των πηγών δεδομένων μπορεί να βοηθήσει στις έρευνες διείσδυσης δεδομένων.

Η ανίχνευση διείσδυσης δεδομένων χρησιμοποιείται για τη σύλληψη εσωτερικών και εξωτερικών χάκερ που απειλούν τον οργανισμό.

Προσδιορισμός και διαχείριση προνομιακής πρόσβασης

Οι κατασκευαστές ανεξάρτητων λύσεων της UEBA σε αυτόν τον τομέα εμπειρογνωμοσύνης παρατηρούν και αναλύουν τη συμπεριφορά των χρηστών στο πλαίσιο ενός ήδη διαμορφωμένου συστήματος δικαιωμάτων, προκειμένου να εντοπίσουν υπερβολικά προνόμια ή ανώμαλη πρόσβαση. Αυτό ισχύει για όλους τους τύπους χρηστών και λογαριασμών, συμπεριλαμβανομένων των προνομιακών λογαριασμών και των λογαριασμών υπηρεσιών. Οι οργανισμοί χρησιμοποιούν επίσης το UEBA για να απαλλαγούν από αδρανείς λογαριασμούς και προνόμια χρηστών που είναι υψηλότερα από τα απαιτούμενα.

Προτεραιοποίηση συμβάντων

Ο στόχος αυτής της εργασίας είναι να δοθεί προτεραιότητα στις ειδοποιήσεις που δημιουργούνται από λύσεις στη στοίβα τεχνολογίας τους για να κατανοήσουμε ποια περιστατικά ή πιθανά συμβάντα πρέπει να αντιμετωπιστούν πρώτα. Οι μεθοδολογίες και τα εργαλεία της UEBA είναι χρήσιμα για τον εντοπισμό περιστατικών που είναι ιδιαίτερα ανώμαλα ή ιδιαίτερα επικίνδυνα για έναν δεδομένο οργανισμό. Σε αυτήν την περίπτωση, ο μηχανισμός UEBA όχι μόνο χρησιμοποιεί το βασικό επίπεδο δραστηριότητας και μοντέλα απειλών, αλλά επίσης διαποτίζει τα δεδομένα με πληροφορίες σχετικά με την οργανωτική δομή της εταιρείας (για παράδειγμα, κρίσιμους πόρους ή ρόλους και επίπεδα πρόσβασης εργαζομένων).

Προβλήματα εφαρμογής λύσεων UEBA

Ο πόνος της αγοράς των λύσεων της UEBA είναι η υψηλή τιμή, η πολύπλοκη εφαρμογή, η συντήρηση και η χρήση τους. Ενώ οι εταιρείες παλεύουν με τον αριθμό των διαφορετικών εσωτερικών πυλών, αποκτούν άλλη κονσόλα. Το μέγεθος της επένδυσης χρόνου και πόρων σε ένα νέο εργαλείο εξαρτάται από τις προκλήσεις και τους τύπους αναλυτικών στοιχείων που απαιτούνται για την επίλυσή τους και τις περισσότερες φορές απαιτούν μεγάλες επενδύσεις.

Σε αντίθεση με ό,τι ισχυρίζονται πολλοί κατασκευαστές, το UEBA δεν είναι ένα εργαλείο "ρυθμίστε το και ξεχάστε το" που μπορεί στη συνέχεια να λειτουργεί συνεχώς για μέρες.
Οι πελάτες της Gartner, για παράδειγμα, σημειώνουν ότι χρειάζονται από 3 έως 6 μήνες για να ξεκινήσει μια πρωτοβουλία της UEBA από την αρχή για να ληφθούν τα πρώτα αποτελέσματα επίλυσης των προβλημάτων για τα οποία εφαρμόστηκε αυτή η λύση. Για πιο σύνθετες εργασίες, όπως ο εντοπισμός εσωτερικών απειλών σε έναν οργανισμό, η περίοδος αυξάνεται σε 18 μήνες.

Παράγοντες που επηρεάζουν τη δυσκολία εφαρμογής του UEBA και τη μελλοντική αποτελεσματικότητα του εργαλείου:

  • Πολυπλοκότητα αρχιτεκτονικής οργανισμού, τοπολογία δικτύου και πολιτικές διαχείρισης δεδομένων
  • Διαθεσιμότητα των σωστών δεδομένων στο σωστό επίπεδο λεπτομέρειας
  • Η πολυπλοκότητα των αλγορίθμων ανάλυσης του προμηθευτή — για παράδειγμα, η χρήση στατιστικών μοντέλων και η μηχανική μάθηση έναντι απλών μοτίβων και κανόνων.
  • Ο όγκος των προδιαμορφωμένων αναλυτικών στοιχείων που περιλαμβάνονται—δηλαδή, η κατανόηση του κατασκευαστή σχετικά με τα δεδομένα που πρέπει να συλλέγονται για κάθε εργασία και ποιες μεταβλητές και χαρακτηριστικά είναι πιο σημαντικά για την εκτέλεση της ανάλυσης.
  • Πόσο εύκολο είναι για τον κατασκευαστή να ενσωματώσει αυτόματα τα απαιτούμενα δεδομένα.

    Για παράδειγμα:

    • Εάν μια λύση της UEBA χρησιμοποιεί ένα σύστημα SIEM ως κύρια πηγή δεδομένων, συλλέγει το SIEM πληροφορίες από τις απαιτούμενες πηγές δεδομένων;
    • Μπορούν τα απαραίτητα αρχεία καταγραφής συμβάντων και τα δεδομένα οργανωτικού περιβάλλοντος να δρομολογηθούν σε μια λύση UEBA;
    • Εάν το σύστημα SIEM δεν συλλέγει ακόμη και δεν ελέγχει τις πηγές δεδομένων που απαιτούνται από τη λύση της UEBA, τότε πώς μπορούν να μεταφερθούν εκεί;

  • Πόσο σημαντικό είναι το σενάριο εφαρμογής για τον οργανισμό, πόσες πηγές δεδομένων απαιτεί και πόσο επικαλύπτεται αυτή η εργασία με τον τομέα εξειδίκευσης του κατασκευαστή.
  • Ποιος βαθμός οργανωτικής ωριμότητας και συμμετοχής απαιτείται – για παράδειγμα, η δημιουργία, η ανάπτυξη και η τελειοποίηση κανόνων και μοντέλων. εκχώρηση βαρών σε μεταβλητές για αξιολόγηση. ή προσαρμογή του ορίου εκτίμησης κινδύνου.
  • Πόσο επεκτάσιμη είναι η λύση του προμηθευτή και η αρχιτεκτονική της σε σύγκριση με το τρέχον μέγεθος του οργανισμού και τις μελλοντικές απαιτήσεις του.
  • Ώρα να δημιουργήσουμε βασικά μοντέλα, προφίλ και βασικές ομάδες. Οι κατασκευαστές απαιτούν συχνά τουλάχιστον 30 ημέρες (και μερικές φορές έως και 90 ημέρες) για να πραγματοποιήσουν ανάλυση προτού μπορέσουν να ορίσουν τις «κανονικές» έννοιες. Η φόρτωση ιστορικών δεδομένων μία φορά μπορεί να επιταχύνει την εκπαίδευση του μοντέλου. Μερικές από τις ενδιαφέρουσες περιπτώσεις μπορούν να εντοπιστούν πιο γρήγορα με τη χρήση κανόνων από τη χρήση μηχανικής εκμάθησης με απίστευτα μικρό αριθμό αρχικών δεδομένων.
  • Το επίπεδο προσπάθειας που απαιτείται για τη δημιουργία δυναμικής ομαδοποίησης και δημιουργίας προφίλ λογαριασμού (υπηρεσία/άτομο) μπορεί να ποικίλλει σημαντικά μεταξύ των λύσεων.

Πηγή: www.habr.com

Προσθέστε ένα σχόλιο