ProHoster > Blog > noticias de internet > El mercado de la UEBA está muerto - ¡larga vida a la UEBA!

El mercado de la UEBA está muerto - ¡larga vida a la UEBA!

El mercado de la UEBA está muerto - ¡larga vida a la UEBA!

Hoy brindaremos una breve descripción general del mercado de análisis de comportamiento de usuarios y entidades (UEBA) basada en las últimas investigación de Gartner. El mercado UEBA se encuentra en la parte inferior de la “etapa de desilusión” según Gartner Hype Cycle for Threat-Facing Technologies, lo que indica la madurez de la tecnología. Pero la paradoja de la situación radica en el crecimiento general simultáneo de las inversiones en tecnologías UEBA y la desaparición del mercado de soluciones UEBA independientes. Gartner predice que UEBA pasará a formar parte de la funcionalidad de las soluciones de seguridad de la información relacionadas. Es probable que el término "UEBA" deje de usarse y sea reemplazado por otro acrónimo centrado en un área de aplicación más limitada (por ejemplo, "análisis del comportamiento del usuario"), un área de aplicación similar (por ejemplo, "análisis de datos"), o simplemente se convierta en algo nueva palabra de moda (por ejemplo, el término "inteligencia artificial" [IA] parece interesante, aunque no tiene ningún sentido para los fabricantes modernos de UEBA).

Los hallazgos clave del estudio de Gartner se pueden resumir de la siguiente manera:

  • La madurez del mercado de análisis del comportamiento de usuarios y entidades se ve confirmada por el hecho de que estas tecnologías son utilizadas por el segmento corporativo mediano y grande para resolver una serie de problemas comerciales;
  • Las capacidades de análisis de UEBA están integradas en una amplia gama de tecnologías de seguridad de la información relacionadas, como corredores seguros de acceso a la nube (CASB), sistemas SIEM de gestión y administración de identidades (IGA);
  • La exageración en torno a los proveedores de UEBA y el uso incorrecto del término "inteligencia artificial" dificulta que los clientes comprendan la diferencia real entre las tecnologías de los fabricantes y la funcionalidad de las soluciones sin realizar un proyecto piloto;
  • Los clientes notan que el tiempo de implementación y el uso diario de las soluciones UEBA pueden requerir más trabajo y tiempo de lo que promete el fabricante, incluso cuando se consideran solo los modelos básicos de detección de amenazas. Agregar casos de uso personalizados o de vanguardia puede ser extremadamente difícil y requiere experiencia en ciencia y análisis de datos.

Previsión de desarrollo estratégico del mercado:

  • Para 2021, el mercado de sistemas de análisis de comportamiento de usuarios y entidades (UEBA) dejará de existir como un área separada y se desplazará hacia otras soluciones con funcionalidad UEBA;
  • Para 2020, el 95% de todas las implementaciones de UEBA formarán parte de una plataforma de seguridad más amplia.

Definición de soluciones UEBA

Las soluciones UEBA utilizan análisis integrados para evaluar la actividad de los usuarios y otras entidades (como hosts, aplicaciones, tráfico de red y almacenes de datos).
Detectan amenazas e incidentes potenciales, que generalmente representan actividad anómala en comparación con el perfil y comportamiento estándar de usuarios y entidades en grupos similares durante un período de tiempo.

Los casos de uso más comunes en el segmento empresarial son la detección y respuesta a amenazas, así como la detección y respuesta a amenazas internas (principalmente personas internas comprometidas; a veces, atacantes internos).

UEBA es como decisiónY функцией, integrado en una herramienta específica:

  • La solución son los fabricantes de plataformas UEBA “puras”, incluidos proveedores que también venden soluciones SIEM por separado. Enfocado en una amplia gama de problemas de negocio en análisis de comportamiento tanto de usuarios como de entidades.
  • Embedded: fabricantes/divisiones que integran funciones y tecnologías de UEBA en sus soluciones. Normalmente se centra en un conjunto más específico de problemas empresariales. En este caso, UEBA se utiliza para analizar el comportamiento de usuarios y/o entidades.

Gartner ve a UEBA en tres ejes, que incluyen solucionadores de problemas, análisis y fuentes de datos (ver figura).

El mercado de la UEBA está muerto - ¡larga vida a la UEBA!

Plataformas UEBA "puras" versus UEBA integrada

Gartner considera que una plataforma UEBA “pura” son soluciones que:

  • resolver varios problemas específicos, como el seguimiento de usuarios privilegiados o la salida de datos fuera de la organización, y no sólo el abstracto "monitoreo de la actividad anómala de los usuarios";
  • implicar el uso de análisis complejos, necesariamente basados ​​en enfoques analíticos básicos;
  • proporcionar varias opciones para la recopilación de datos, incluidos mecanismos de fuente de datos integrados y herramientas de gestión de registros, lagos de datos y/o sistemas SIEM, sin la necesidad obligatoria de implementar agentes separados en la infraestructura;
  • pueden adquirirse e implementarse como soluciones independientes en lugar de incluirse en
    composición de otros productos.

La siguiente tabla compara los dos enfoques.

Tabla 1. Soluciones UEBA “puras” versus integradas

categoría Plataformas UEBA "puras" Otras soluciones con UEBA incorporado
Problema por resolver Análisis del comportamiento de usuarios y entidades. La falta de datos puede limitar a UEBA a analizar el comportamiento únicamente de usuarios o entidades.
Problema por resolver Sirve para resolver una amplia gama de problemas. Se especializa en un conjunto limitado de tareas.
Analítica Detección de anomalías mediante diversos métodos analíticos, principalmente mediante modelos estadísticos y aprendizaje automático, junto con reglas y firmas. Viene con análisis integrados para crear y comparar la actividad de usuarios y entidades con sus perfiles y los de sus colegas. Similar a UEBA puro, pero el análisis puede limitarse a usuarios y/o entidades únicamente.
Analítica Capacidades analíticas avanzadas, no limitadas sólo por reglas. Por ejemplo, un algoritmo de agrupación con agrupación dinámica de entidades. Similar al UEBA "puro", pero la agrupación de entidades en algunos modelos de amenazas integradas solo se puede cambiar manualmente.
Analítica Correlación de actividad y comportamiento de usuarios y otras entidades (por ejemplo, utilizando redes bayesianas) y agregación de comportamiento de riesgo individual para identificar actividad anómala. Similar a UEBA puro, pero el análisis puede limitarse a usuarios y/o entidades únicamente.
Fuentes de datos Recibir eventos sobre usuarios y entidades desde fuentes de datos directamente a través de mecanismos integrados o almacenes de datos existentes, como SIEM o Data Lake. Los mecanismos de obtención de datos suelen ser sólo directos y afectan únicamente a los usuarios y/u otras entidades. No utilice herramientas de gestión de registros/SIEM/lago de datos.
Fuentes de datos La solución no debería depender únicamente del tráfico de red como principal fuente de datos, ni tampoco debería depender únicamente de sus propios agentes para recopilar telemetría. La solución puede centrarse únicamente en el tráfico de red (por ejemplo, NTA - análisis de tráfico de red) y/o utilizar sus agentes en dispositivos finales (por ejemplo, utilidades de seguimiento de empleados).
Fuentes de datos Saturar los datos del usuario/entidad con contexto. Admite la recopilación de eventos estructurados en tiempo real, así como datos cohesivos estructurados/no estructurados de directorios de TI, por ejemplo, Active Directory (AD) u otros recursos de información legibles por máquina (por ejemplo, bases de datos de recursos humanos). Similar a UEBA puro, pero el alcance de los datos contextuales puede diferir de un caso a otro. AD y LDAP son los almacenes de datos contextuales más comunes utilizados por las soluciones UEBA integradas.
Disponibilidad Proporciona las funciones enumeradas como un producto independiente. Es imposible comprar la funcionalidad UEBA integrada sin comprar una solución externa en la que esté integrada.
Fuente: Gartner (mayo de 2019)

Por lo tanto, para resolver ciertos problemas, el UEBA integrado puede utilizar análisis UEBA básicos (por ejemplo, aprendizaje automático simple no supervisado), pero al mismo tiempo, debido al acceso a exactamente los datos necesarios, puede ser en general más efectivo que un "puro". Solución UEBA. Al mismo tiempo, las plataformas UEBA “puras”, como se esperaba, ofrecen análisis más complejos como conocimiento principal en comparación con la herramienta UEBA incorporada. Estos resultados se resumen en la Tabla 2.

Tabla 2. El resultado de las diferencias entre UEBA “pura” e integrada

categoría Plataformas UEBA "puras" Otras soluciones con UEBA incorporado
Analítica La aplicabilidad para resolver una variedad de problemas comerciales implica un conjunto más universal de funciones UEBA con énfasis en análisis más complejos y modelos de aprendizaje automático. Centrarse en un conjunto más pequeño de problemas empresariales significa funciones altamente especializadas que se centran en modelos de aplicaciones específicas con una lógica más simple.
Analítica La personalización del modelo analítico es necesaria para cada escenario de aplicación. Los modelos analíticos están preconfigurados para la herramienta que tiene UEBA integrado. Una herramienta con UEBA incorporado generalmente logra resultados más rápidos al resolver ciertos problemas comerciales.
Fuentes de datos Acceso a fuentes de datos desde todos los rincones de la infraestructura corporativa. Menos fuentes de datos, normalmente limitadas por la disponibilidad de agentes para las mismas o la propia herramienta con funciones UEBA.
Fuentes de datos La información contenida en cada registro puede estar limitada por la fuente de datos y puede no contener todos los datos necesarios para la herramienta UEBA centralizada. La cantidad y el detalle de los datos sin procesar recopilados por el agente y transmitidos a UEBA se pueden configurar específicamente.
Arquitectura Es un producto UEBA completo para una organización. La integración es más fácil utilizando las capacidades de un sistema SIEM o lago de datos. Requiere un conjunto separado de funciones UEBA para cada una de las soluciones que tienen UEBA integrado. Las soluciones UEBA integradas a menudo requieren instalar agentes y administrar datos.
integración Integración manual de la solución UEBA con otras herramientas en cada caso. Permite a una organización construir su pila de tecnología basándose en el enfoque de "lo mejor entre los análogos". Los principales paquetes de funciones UEBA ya están incluidos en la propia herramienta por parte del fabricante. El módulo UEBA está integrado y no se puede quitar, por lo que los clientes no pueden reemplazarlo con algo propio.
Fuente: Gartner (mayo de 2019)

UEBA como función

UEBA se está convirtiendo en una característica de las soluciones de ciberseguridad de un extremo a otro que pueden beneficiarse de análisis adicionales. UEBA es la base de estas soluciones, proporcionando una poderosa capa de análisis avanzado basado en patrones de comportamiento de usuarios y/o entidades.

Actualmente en el mercado, la funcionalidad UEBA incorporada está implementada en las siguientes soluciones, agrupadas por alcance tecnológico:

  • Auditoría y protección centrada en datos, son proveedores que se centran en mejorar la seguridad del almacenamiento de datos estructurados y no estructurados (también conocido como DCAP).

    En esta categoría de proveedores, Gartner señala, entre otras cosas, Plataforma de ciberseguridad Varonis, que ofrece análisis del comportamiento del usuario para monitorear los cambios en los permisos, el acceso y el uso de datos no estructurados en diferentes almacenes de información.

  • sistemas CASB, que ofrece protección contra diversas amenazas en aplicaciones SaaS basadas en la nube al bloquear el acceso a los servicios en la nube para dispositivos, usuarios y versiones de aplicaciones no deseados mediante un sistema de control de acceso adaptativo.

    Todas las soluciones CASB líderes en el mercado incluyen capacidades UEBA.

  • Soluciones DLP – enfocado a detectar la transferencia de datos críticos fuera de la organización o su abuso.

    Los avances de DLP se basan en gran medida en la comprensión del contenido, con menos énfasis en la comprensión del contexto, como el usuario, la aplicación, la ubicación, el tiempo, la velocidad de los eventos y otros factores externos. Para ser eficaces, los productos DLP deben reconocer tanto el contenido como el contexto. Es por eso que muchos fabricantes están comenzando a integrar la funcionalidad UEBA en sus soluciones.

  • Monitoreo de empleados es la capacidad de registrar y reproducir las acciones de los empleados, generalmente en un formato de datos adecuado para procedimientos legales (si es necesario).

    El monitoreo constante de los usuarios a menudo genera una cantidad abrumadora de datos que requieren filtrado manual y análisis humano. Por lo tanto, UEBA se utiliza dentro de los sistemas de monitoreo para mejorar el rendimiento de estas soluciones y detectar solo incidentes de alto riesgo.

  • Puesto final de Seguridad – Las soluciones de detección y respuesta de endpoints (EDR) y las plataformas de protección de endpoints (EPP) proporcionan potentes instrumentos y telemetría del sistema operativo para
    dispositivos finales.

    Esta telemetría relacionada con el usuario se puede analizar para proporcionar la funcionalidad UEBA integrada.

  • Fraude en línea – Las soluciones de detección de fraude en línea detectan actividad desviada que indica el compromiso de la cuenta de un cliente a través de una falsificación, malware o explotación de conexiones no seguras/interceptación del tráfico del navegador.

    La mayoría de las soluciones contra el fraude utilizan la esencia de UEBA, el análisis transaccional y la medición de dispositivos, con sistemas más avanzados que los complementan con la comparación de enlaces de bases de datos de identidad.

  • IAM y control de acceso – Gartner observa una tendencia evolutiva entre los proveedores de sistemas de control de acceso a integrarse con proveedores puros e incorporar algunas funciones UEBA en sus productos.
  • Sistemas IAM y administración y gobierno de identidad (IGA) utilice UEBA para cubrir escenarios de análisis de identidad y comportamiento, como detección de anomalías, análisis de agrupación dinámica de entidades similares, análisis de inicio de sesión y análisis de políticas de acceso.
  • IAM y gestión de acceso privilegiado (PAM) – Debido a la función de monitorear el uso de cuentas administrativas, las soluciones PAM tienen telemetría para mostrar cómo, por qué, cuándo y dónde se usaron las cuentas administrativas. Estos datos se pueden analizar utilizando la funcionalidad integrada de UEBA para detectar comportamientos anómalos de los administradores o intenciones maliciosas.
  • Fabricantes NTA (Análisis de tráfico de red) – utilizar una combinación de aprendizaje automático, análisis avanzado y detección basada en reglas para identificar actividades sospechosas en redes corporativas.

    Las herramientas NTA analizan continuamente el tráfico de origen y/o los registros de flujo (por ejemplo, NetFlow) para crear modelos que reflejen el comportamiento normal de la red, centrándose principalmente en el análisis del comportamiento de las entidades.

  • SIEM – muchos proveedores de SIEM ahora tienen una funcionalidad avanzada de análisis de datos integrada en SIEM o como un módulo UEBA separado. A lo largo de 2018 y en lo que va de 2019, se han desdibujado continuamente los límites entre la funcionalidad SIEM y UEBA, como se analiza en el artículo. "Perspectiva tecnológica para el SIEM moderno". Los sistemas SIEM han mejorado a la hora de trabajar con análisis y ofrecer escenarios de aplicaciones más complejos.

Escenarios de aplicación UEBA

Las soluciones UEBA pueden resolver una amplia gama de problemas. Sin embargo, los clientes de Gartner coinciden en que el caso de uso principal implica detectar varias categorías de amenazas, lo que se logra mostrando y analizando correlaciones frecuentes entre el comportamiento del usuario y otras entidades:

  • acceso no autorizado y movimiento de datos;
  • comportamiento sospechoso de usuarios privilegiados, actividad maliciosa o no autorizada de empleados;
  • acceso y uso no estándar de recursos en la nube;
  • et al.

También hay una serie de casos de uso atípicos no relacionados con la ciberseguridad, como el fraude o el seguimiento de empleados, para los cuales la UEBA puede estar justificada. Sin embargo, a menudo requieren fuentes de datos fuera de TI y seguridad de la información, o modelos analíticos específicos con un profundo conocimiento de esta área. A continuación se describen los cinco principales escenarios y aplicaciones en los que coinciden tanto los fabricantes de UEBA como sus clientes.

"Información privilegiada maliciosa"

Los proveedores de soluciones UEBA que cubren este escenario solo monitorean a los empleados y contratistas de confianza para detectar comportamientos inusuales, "malos" o maliciosos. Los proveedores en esta área de especialización no monitorean ni analizan el comportamiento de las cuentas de servicio u otras entidades no humanas. En gran parte debido a esto, no se centran en detectar amenazas avanzadas en las que los piratas informáticos se apoderan de cuentas existentes. Más bien, tienen como objetivo identificar a los empleados involucrados en actividades nocivas.

Básicamente, el concepto de “información privilegiada maliciosa” surge de usuarios confiables con intenciones maliciosas que buscan formas de causar daño a su empleador. Debido a que las intenciones maliciosas son difíciles de medir, los mejores proveedores de esta categoría analizan datos de comportamiento contextuales que no están fácilmente disponibles en los registros de auditoría.

Los proveedores de soluciones en este espacio también agregan y analizan de manera óptima datos no estructurados, como contenido de correo electrónico, informes de productividad o información de redes sociales, para proporcionar contexto para el comportamiento.

Información privilegiada comprometida y amenazas intrusivas

El desafío es detectar y analizar rápidamente el "mal" comportamiento una vez que el atacante ha obtenido acceso a la organización y comienza a moverse dentro de la infraestructura de TI.
Las amenazas asertivas (APT), al igual que las amenazas desconocidas o que aún no se comprenden completamente, son extremadamente difíciles de detectar y, a menudo, se esconden detrás de cuentas de servicio o actividades de usuarios legítimos. Este tipo de amenazas suelen tener un modelo operativo complejo (véase, por ejemplo, el artículo “ Abordar la cadena de muerte cibernética") o su comportamiento aún no ha sido evaluado como dañino. Esto hace que sean difíciles de detectar mediante análisis simples (como coincidencias por patrones, umbrales o reglas de correlación).

Sin embargo, muchas de estas amenazas intrusivas dan como resultado un comportamiento no estándar, que a menudo involucra a usuarios o entidades desprevenidos (también conocidos como personas internas comprometidas). Las técnicas UEBA ofrecen varias oportunidades interesantes para detectar dichas amenazas, mejorar la relación señal-ruido, consolidar y reducir el volumen de notificaciones, priorizar las alertas restantes y facilitar una respuesta e investigación efectivas ante incidentes.

Los proveedores de UEBA que se enfocan en esta área problemática a menudo tienen integración bidireccional con los sistemas SIEM de la organización.

Exfiltración de datos

La tarea en este caso es detectar el hecho de que los datos se transfieren fuera de la organización.
Los proveedores centrados en este desafío generalmente aprovechan las capacidades DLP o DAG con detección de anomalías y análisis avanzados, mejorando así la relación señal-ruido, consolidando el volumen de notificaciones y priorizando los desencadenantes restantes. Para un contexto adicional, los proveedores suelen depender más del tráfico de red (como los servidores proxy web) y de los datos de los terminales, ya que el análisis de estas fuentes de datos puede ayudar en las investigaciones de filtración de datos.

La detección de filtración de datos se utiliza para detectar piratas informáticos internos y externos que amenazan a la organización.

Identificación y gestión de acceso privilegiado.

Los fabricantes de soluciones UEBA independientes en esta área de especialización observan y analizan el comportamiento del usuario en el contexto de un sistema de derechos ya formado para identificar privilegios excesivos o accesos anómalos. Esto se aplica a todo tipo de usuarios y cuentas, incluidas las cuentas privilegiadas y de servicio. Las organizaciones también utilizan UEBA para deshacerse de cuentas inactivas y privilegios de usuario superiores a los necesarios.

Priorización de incidentes

El objetivo de esta tarea es priorizar las notificaciones generadas por las soluciones en su pila tecnológica para comprender qué incidentes o posibles incidentes deben abordarse primero. Las metodologías y herramientas de UEBA son útiles para identificar incidentes que son particularmente anómalos o particularmente peligrosos para una organización determinada. En este caso, el mecanismo UEBA no sólo utiliza el nivel base de actividad y modelos de amenazas, sino que también satura los datos con información sobre la estructura organizativa de la empresa (por ejemplo, recursos o roles críticos y niveles de acceso de los empleados).

Problemas de implementación de soluciones UEBA.

El problema de mercado de las soluciones UEBA es su alto precio, su compleja implementación, mantenimiento y uso. Si bien las empresas luchan con la cantidad de portales internos diferentes, están obteniendo otra consola. El tamaño de la inversión de tiempo y recursos en una nueva herramienta depende de las tareas en cuestión y de los tipos de análisis que se necesitan para resolverlas y, en la mayoría de los casos, requieren grandes inversiones.

Al contrario de lo que afirman muchos fabricantes, UEBA no es una herramienta de “configúrelo y olvídese” que luego pueda funcionar de forma continua durante días y días.
Los clientes de Gartner, por ejemplo, señalan que se necesitan de 3 a 6 meses para lanzar una iniciativa UEBA desde cero para obtener los primeros resultados de la solución de los problemas para los que se implementó esta solución. Para tareas más complejas, como identificar amenazas internas en una organización, el plazo aumenta a 18 meses.

Factores que influyen en la dificultad de implementación de UEBA y la eficacia futura de la herramienta:

  • Complejidad de la arquitectura organizacional, la topología de la red y las políticas de gestión de datos.
  • Disponibilidad de los datos correctos con el nivel de detalle adecuado
  • La complejidad de los algoritmos analíticos del proveedor; por ejemplo, el uso de modelos estadísticos y aprendizaje automático frente a patrones y reglas simples.
  • La cantidad de análisis preconfigurados incluidos, es decir, la comprensión por parte del fabricante de qué datos deben recopilarse para cada tarea y qué variables y atributos son más importantes para realizar el análisis.
  • Qué fácil es para el fabricante integrarse automáticamente con los datos requeridos.

    Por ejemplo:

    • Si una solución UEBA utiliza un sistema SIEM como fuente principal de datos, ¿el SIEM recopila información de las fuentes de datos requeridas?
    • ¿Se pueden enrutar los registros de eventos necesarios y los datos del contexto organizacional a una solución UEBA?
    • Si el sistema SIEM aún no recopila ni controla las fuentes de datos que necesita la solución UEBA, ¿cómo se pueden transferir allí?

  • ¿Qué importancia tiene el escenario de aplicación para la organización, cuántas fuentes de datos requiere y en qué medida esta tarea se superpone con el área de especialización del fabricante?
  • ¿Qué grado de madurez y participación organizacional se requiere? Por ejemplo, la creación, desarrollo y perfeccionamiento de reglas y modelos; asignar pesos a las variables para su evaluación; o ajustar el umbral de evaluación de riesgos.
  • Qué tan escalable es la solución del proveedor y su arquitectura en comparación con el tamaño actual de la organización y sus requisitos futuros.
  • Es hora de construir modelos básicos, perfiles y grupos clave. Los fabricantes suelen necesitar al menos 30 días (y a veces hasta 90 días) para realizar análisis antes de poder definir "normas". Cargar datos históricos una vez puede acelerar el entrenamiento del modelo. Algunos de los casos interesantes se pueden identificar más rápidamente utilizando reglas que utilizando el aprendizaje automático con una cantidad increíblemente pequeña de datos iniciales.
  • El nivel de esfuerzo necesario para crear agrupaciones dinámicas y perfiles de cuentas (servicio/persona) puede variar mucho entre soluciones.

Fuente: habr.com

Añadir un comentario