امروز مروری کوتاه بر بازار تحلیل رفتاری کاربر و نهاد (UEBA) بر اساس آخرین تحقیق گارتنر. بر اساس چرخه هایپ گارتنر برای فناوری های مقابله با تهدید، بازار UEBA در انتهای "مرحله سرخوردگی" قرار دارد که نشان دهنده بلوغ این فناوری است. اما تناقض وضعیت در رشد عمومی همزمان سرمایه گذاری در فناوری های UEBA و بازار ناپدید شدن راه حل های مستقل UEBA نهفته است. گارتنر پیش بینی می کند که UEBA بخشی از عملکرد راه حل های امنیت اطلاعات مرتبط خواهد شد. اصطلاح «UEBA» احتمالاً از کاربرد خارج میشود و با مخفف دیگری جایگزین میشود که بر روی یک منطقه کاربردی باریکتر (مثلاً «تجزیه و تحلیل رفتار کاربر»)، یک منطقه کاربردی مشابه (مثلاً «تجزیه و تحلیل دادهها»)، یا به سادگی تبدیل به یک منطقه کاربردی میشود. کلمه کلیدی جدید (به عنوان مثال، اصطلاح "هوش مصنوعی" [AI] جالب به نظر می رسد، اگرچه برای سازندگان مدرن UEBA معنی ندارد).
یافته های کلیدی مطالعه گارتنر را می توان به صورت زیر خلاصه کرد:
بلوغ بازار برای تجزیه و تحلیل رفتاری کاربران و نهادها با این واقعیت تأیید می شود که این فناوری ها توسط بخش شرکت های متوسط و بزرگ برای حل تعدادی از مشکلات تجاری استفاده می شود.
قابلیتهای تحلیلی UEBA در طیف گستردهای از فناوریهای امنیت اطلاعات مرتبط، مانند کارگزاران امنیتی دسترسی ابری (CASB)، سیستمهای SIEM حاکمیت و مدیریت هویت (IGA) تعبیه شده است.
هیاهوی فروشندگان UEBA و استفاده نادرست از اصطلاح «هوش مصنوعی» درک تفاوت واقعی بین فناوریهای تولیدکنندگان و عملکرد راهحلها را بدون اجرای یک پروژه آزمایشی برای مشتریان دشوار میکند.
مشتریان توجه دارند که زمان پیادهسازی و استفاده روزمره از راهحلهای UEBA میتواند بیشتر از آنچه سازنده وعده میدهد، کار فشردهتر و زمانبرتر باشد، حتی زمانی که فقط مدلهای تشخیص تهدید اولیه را در نظر میگیریم. افزودن موارد استفاده سفارشی یا لبه می تواند بسیار دشوار باشد و به تخصص در علم داده و تجزیه و تحلیل نیاز دارد.
پیش بینی توسعه استراتژیک بازار:
تا سال 2021، بازار سیستمهای تحلیل رفتاری کاربر و نهاد (UEBA) به عنوان یک منطقه جداگانه وجود نخواهد داشت و به سمت راهحلهای دیگر با عملکرد UEBA سوق داده میشود.
تا سال 2020، 95 درصد از تمام استقرارهای UEBA بخشی از یک پلت فرم امنیتی گسترده تر خواهد بود.
تعریف راه حل های UEBA
راه حل های UEBA از تجزیه و تحلیل داخلی برای ارزیابی فعالیت کاربران و سایر نهادها (مانند هاست ها، برنامه ها، ترافیک شبکه و فروشگاه های داده) استفاده می کنند.
آنها تهدیدها و حوادث بالقوه را شناسایی می کنند که معمولاً نشان دهنده فعالیت غیرعادی در مقایسه با مشخصات استاندارد و رفتار کاربران و نهادها در گروه های مشابه در یک دوره زمانی است.
رایجترین موارد استفاده در بخش سازمانی، شناسایی و پاسخ تهدید، و همچنین شناسایی و پاسخ به تهدیدات داخلی (عمدتاً خودیهای در معرض خطر، گاهی اوقات مهاجمان داخلی) است.
UEBA مانند است تصمیم گیریو عملکرد، در یک ابزار خاص تعبیه شده است:
راهحل، تولیدکنندگان پلتفرمهای «خالص» UEBA، از جمله فروشندگانی است که راهحلهای SIEM را نیز جداگانه میفروشند. تمرکز بر طیف گسترده ای از مشکلات تجاری در تجزیه و تحلیل رفتار کاربران و نهادها.
جاسازی شده – تولیدکنندگان/بخش هایی که توابع و فناوری های UEBA را در راه حل های خود ادغام می کنند. به طور معمول بر روی مجموعه ای خاص از مشکلات تجاری متمرکز است. در این مورد، UEBA برای تجزیه و تحلیل رفتار کاربران و/یا موجودیت ها استفاده می شود.
گارتنر UEBA را در سه محور، از جمله حلکنندههای مشکل، تجزیه و تحلیل، و منابع داده مشاهده میکند (شکل را ببینید).
پلتفرمهای UEBA خالص در مقابل UEBA داخلی
گارتنر پلتفرم UEBA خالص را راه حل هایی می داند که:
حل چندین مشکل خاص، مانند نظارت بر کاربران ممتاز یا خروجی دادههای خارج از سازمان، و نه فقط «نظارت بر فعالیت غیرعادی کاربر» انتزاعی.
شامل استفاده از تجزیه و تحلیل پیچیده، لزوما بر اساس رویکردهای تحلیلی اساسی.
ارائه چندین گزینه برای جمعآوری دادهها، از جمله مکانیسمهای داخلی منبع داده و ابزارهای مدیریت گزارش، دادهها و/یا سیستمهای SIEM، بدون نیاز اجباری به استقرار عوامل جداگانه در زیرساخت.
را می توان به عنوان راه حل های مستقل خریداری و به کار برد تا اینکه در آن گنجانده شود
ترکیب سایر محصولات
جدول زیر این دو رویکرد را با هم مقایسه می کند.
جدول 1. راه حل های "خالص" UEBA در مقابل راه حل های داخلی
دسته
پلت فرم های "خالص" UEBA
راه حل های دیگر با UEBA داخلی
مشکل حل شود
تجزیه و تحلیل رفتار و موجودیت های کاربر.
فقدان داده ممکن است UEBA را برای تجزیه و تحلیل رفتار فقط کاربران یا نهادها محدود کند.
مشکل حل شود
برای حل طیف وسیعی از مشکلات خدمت می کند
در مجموعه محدودی از وظایف تخصص دارد
علم تجزیه و تحلیل
تشخیص ناهنجاری با استفاده از روشهای تحلیلی مختلف - عمدتاً از طریق مدلهای آماری و یادگیری ماشینی، همراه با قوانین و امضاها. همراه با تجزیه و تحلیل داخلی برای ایجاد و مقایسه فعالیت کاربر و نهاد با نمایه های آنها و همکاران.
مشابه UEBA خالص، اما تجزیه و تحلیل را می توان فقط به کاربران و/یا نهادها محدود کرد.
علم تجزیه و تحلیل
قابلیت های تحلیلی پیشرفته، نه تنها با قوانین محدود نمی شود. به عنوان مثال، یک الگوریتم خوشه بندی با گروه بندی پویا از موجودیت ها.
مشابه UEBA "خالص"، اما گروه بندی موجودیت ها در برخی از مدل های تهدید جاسازی شده را فقط می توان به صورت دستی تغییر داد.
علم تجزیه و تحلیل
همبستگی فعالیت و رفتار کاربران و سایر نهادها (به عنوان مثال، استفاده از شبکه های بیزی) و تجمیع رفتار ریسک فردی به منظور شناسایی فعالیت های غیرعادی.
مشابه UEBA خالص، اما تجزیه و تحلیل را می توان فقط به کاربران و/یا نهادها محدود کرد.
منابع اطلاعات
دریافت رویدادهای کاربران و نهادها از منابع داده مستقیماً از طریق مکانیسمهای داخلی یا ذخیرههای داده موجود، مانند SIEM یا Data lake.
مکانیسم های به دست آوردن داده ها معمولاً فقط مستقیم هستند و فقط بر کاربران و/یا سایر نهادها تأثیر می گذارند. از ابزارهای مدیریت لاگ / SIEM / Data lake استفاده نکنید.
منابع اطلاعات
راه حل نه تنها باید بر ترافیک شبکه به عنوان منبع اصلی داده تکیه کند، و نه باید تنها به عوامل خود برای جمع آوری تله متری متکی باشد.
این راه حل می تواند تنها بر ترافیک شبکه متمرکز شود (به عنوان مثال، NTA - تجزیه و تحلیل ترافیک شبکه) و/یا از عوامل آن در دستگاه های نهایی (به عنوان مثال، ابزار نظارت کارمندان) استفاده کند.
منابع اطلاعات
اشباع کردن داده های کاربر/نهاد با زمینه. از مجموعه رویدادهای ساختیافته در زمان واقعی، و همچنین دادههای منسجم ساختاریافته/بدون ساختار از دایرکتوریهای IT - به عنوان مثال، Active Directory (AD)، یا سایر منابع اطلاعاتی قابل خواندن توسط ماشین (به عنوان مثال، پایگاههای داده منابع انسانی) پشتیبانی میکند.
مشابه UEBA خالص، اما دامنه داده های زمینه ای ممکن است از موردی به مورد دیگر متفاوت باشد. AD و LDAP رایجترین ذخیرهگاههای داده متنی هستند که توسط راهحلهای تعبیهشده UEBA استفاده میشوند.
در دسترس بودن
ویژگی های ذکر شده را به عنوان یک محصول مستقل ارائه می دهد.
خرید عملکرد داخلی UEBA بدون خرید راه حل خارجی که در آن ساخته شده است غیرممکن است.
منبع: گارتنر (مه 2019)
بنابراین، برای حل مشکلات خاص، UEBA تعبیهشده میتواند از تجزیه و تحلیل اولیه UEBA (به عنوان مثال، یادگیری ماشین ساده بدون نظارت) استفاده کند، اما در عین حال، به دلیل دسترسی دقیق به دادههای لازم، میتواند در مجموع مؤثرتر از یک «خالص» باشد. راه حل UEBA در عین حال، پلتفرمهای «خالص» UEBA، همانطور که انتظار میرود، تجزیه و تحلیل پیچیدهتری را به عنوان دانش اصلی در مقایسه با ابزار داخلی UEBA ارائه میدهند. این نتایج در جدول 2 خلاصه شده است.
جدول 2. نتیجه تفاوت بین UEBA "خالص" و داخلی
دسته
پلت فرم های "خالص" UEBA
راه حل های دیگر با UEBA داخلی
علم تجزیه و تحلیل
کاربرد برای حل انواع مشکلات تجاری مستلزم مجموعه ای جهانی تر از توابع UEBA با تأکید بر تحلیل های پیچیده تر و مدل های یادگیری ماشین است.
تمرکز بر مجموعه کوچکتری از مشکلات تجاری به معنای ویژگیهای بسیار تخصصی است که بر مدلهای خاص برنامه با منطق سادهتر تمرکز میکنند.
علم تجزیه و تحلیل
سفارشی سازی مدل تحلیلی برای هر سناریوی کاربردی ضروری است.
مدلهای تحلیلی برای ابزاری که UEBA در آن تعبیه شده است، از پیش پیکربندی شدهاند. ابزاری با UEBA داخلی معمولاً نتایج سریعتری را در حل مشکلات تجاری خاص به دست میآورد.
منابع اطلاعات
دسترسی به منابع داده از تمام گوشه های زیرساخت شرکت.
منابع داده کمتر، معمولاً به دلیل در دسترس بودن عوامل برای آنها یا خود ابزار با توابع UEBA محدود می شود.
منابع اطلاعات
اطلاعات موجود در هر گزارش ممکن است توسط منبع داده محدود شده باشد و ممکن است شامل تمام داده های لازم برای ابزار متمرکز UEBA نباشد.
مقدار و جزئیات داده های خام جمع آوری شده توسط نماینده و ارسال شده به UEBA را می توان به طور خاص پیکربندی کرد.
معماری
این یک محصول کامل UEBA برای یک سازمان است. یکپارچه سازی با استفاده از قابلیت های یک سیستم SIEM یا Data Lake آسان تر است.
به مجموعه جداگانه ای از ویژگی های UEBA برای هر یک از راه حل هایی که UEBA داخلی دارند، نیاز دارد. راه حل های جاسازی شده UEBA اغلب به نصب عوامل و مدیریت داده ها نیاز دارند.
ادغام
ادغام دستی راه حل UEBA با ابزارهای دیگر در هر مورد. به یک سازمان اجازه می دهد تا پشته فناوری خود را بر اساس رویکرد "بهترین در میان آنالوگ ها" بسازد.
بستههای اصلی توابع UEBA قبلاً توسط سازنده در خود ابزار گنجانده شده است. ماژول UEBA داخلی است و قابل حذف نیست، بنابراین مشتریان نمی توانند آن را با چیزی از خود جایگزین کنند.
منبع: گارتنر (مه 2019)
UEBA به عنوان یک تابع
UEBA در حال تبدیل شدن به یکی از ویژگی های راه حل های امنیت سایبری سرتاسری است که می تواند از تجزیه و تحلیل های اضافی بهره مند شود. UEBA زیربنای این راه حل ها است و یک لایه قدرتمند از تجزیه و تحلیل پیشرفته بر اساس الگوهای رفتاری کاربر و/یا موجودیت ارائه می کند.
در حال حاضر در بازار، عملکرد داخلی UEBA در راه حل های زیر، گروه بندی شده بر اساس حوزه فناوری، پیاده سازی شده است:
حسابرسی و حفاظت متمرکز بر داده، فروشندگانی هستند که بر بهبود امنیت ذخیره سازی داده های ساخت یافته و بدون ساختار (معروف به DCAP) تمرکز دارند.
در این دسته از فروشندگان، گارتنر، از جمله موارد دیگر، اشاره می کند: پلتفرم امنیت سایبری Varonis، که تجزیه و تحلیل رفتار کاربر را برای نظارت بر تغییرات در مجوزهای داده های بدون ساختار، دسترسی و استفاده در فروشگاه های اطلاعات مختلف ارائه می دهد.
سیستم های CASBارائه حفاظت در برابر تهدیدات مختلف در برنامههای SaaS مبتنی بر ابر با مسدود کردن دسترسی به سرویسهای ابری برای دستگاههای ناخواسته، کاربران و نسخههای برنامه با استفاده از یک سیستم کنترل دسترسی تطبیقی.
همه راه حل های CASB پیشرو در بازار شامل قابلیت های UEBA هستند.
راه حل های DLP – تمرکز بر شناسایی انتقال داده های حیاتی به خارج از سازمان یا سوء استفاده از آن.
پیشرفتهای DLP عمدتاً مبتنی بر درک محتوا است، با تمرکز کمتر بر درک زمینه مانند کاربر، برنامه، مکان، زمان، سرعت رویدادها و سایر عوامل خارجی. برای موثر بودن، محصولات DLP باید هم محتوا و هم زمینه را تشخیص دهند. به همین دلیل است که بسیاری از تولیدکنندگان شروع به ادغام عملکرد UEBA در راه حل های خود کرده اند.
نظارت بر کارکنان توانایی ضبط و پخش مجدد اقدامات کارکنان، معمولاً در قالب داده ای مناسب برای رسیدگی های قانونی (در صورت لزوم).
نظارت مداوم بر کاربران اغلب حجم زیادی از داده ها را تولید می کند که نیاز به فیلتر دستی و تجزیه و تحلیل انسانی دارد. بنابراین، UEBA در داخل سیستم های مانیتورینگ برای بهبود عملکرد این راه حل ها و تشخیص تنها حوادث پرخطر استفاده می شود.
امنیت نقطه پایانی - راه حل های تشخیص و پاسخ نقطه پایانی (EDR) و پلت فرم های حفاظت نقطه پایانی (EPP) ابزار دقیق و سیستم عامل تله متری قدرتمندی را برای
دستگاه های پایانی
چنین تله متری مربوط به کاربر را می توان برای ارائه عملکرد داخلی UEBA تجزیه و تحلیل کرد.
کلاهبرداری آنلاین – راهحلهای تشخیص کلاهبرداری آنلاین، فعالیتهای انحرافی را شناسایی میکنند که نشاندهنده به خطر افتادن حساب مشتری از طریق جعل، بدافزار، یا بهرهبرداری از اتصالات ناامن / رهگیری ترافیک مرورگر است.
اکثر راه حل های کلاهبرداری از جوهره UEBA، تجزیه و تحلیل تراکنش ها و اندازه گیری دستگاه استفاده می کنند، با سیستم های پیشرفته تر که با تطبیق روابط در پایگاه داده هویت، آنها را تکمیل می کنند.
IAM و کنترل دسترسی - گارتنر به یک روند تکاملی در میان فروشندگان سیستم های کنترل دسترسی اشاره می کند تا با فروشندگان خالص ادغام شوند و برخی از قابلیت های UEBA را در محصولات خود ایجاد کنند.
سیستم های IAM و هویت حاکمیت و مدیریت (IGA). از UEBA برای پوشش سناریوهای تجزیه و تحلیل رفتاری و هویتی مانند تشخیص ناهنجاری، تجزیه و تحلیل گروه بندی پویا موجودیت های مشابه، تجزیه و تحلیل ورود و تجزیه و تحلیل خط مشی دسترسی استفاده کنید.
IAM و مدیریت دسترسی ممتاز (PAM) – با توجه به نقش نظارت بر استفاده از حساب های اداری، راه حل های PAM دارای تله متری برای نشان دادن چگونگی، چرایی، زمان و مکان استفاده از حساب های اداری هستند. این داده ها را می توان با استفاده از عملکرد داخلی UEBA برای وجود رفتار غیرعادی مدیران یا اهداف مخرب تجزیه و تحلیل کرد.
NTA سازنده (تجزیه و تحلیل ترافیک شبکه) - از ترکیبی از یادگیری ماشین، تجزیه و تحلیل پیشرفته و تشخیص مبتنی بر قوانین برای شناسایی فعالیت های مشکوک در شبکه های شرکتی استفاده کنید.
ابزارهای NTA به طور مداوم ترافیک منبع و/یا سوابق جریان (به عنوان مثال NetFlow) را تجزیه و تحلیل میکنند تا مدلهایی بسازند که رفتار عادی شبکه را منعکس میکنند و در درجه اول بر تجزیه و تحلیل رفتار موجودیت تمرکز دارند.
سیم – اکنون بسیاری از فروشندگان SIEM دارای قابلیت تجزیه و تحلیل داده پیشرفته در SIEM یا به عنوان یک ماژول جداگانه UEBA هستند. در طول سال 2018 و تا کنون در سال 2019، مرزهای بین عملکرد SIEM و UEBA به طور مداوم محو شده است، همانطور که در مقاله مورد بحث قرار گرفت. "بینش فناوری برای SIEM مدرن". سیستم های SIEM در کار با تجزیه و تحلیل و ارائه سناریوهای کاربردی پیچیده تری بهتر شده اند.
سناریوهای کاربردی UEBA
راه حل های UEBA می تواند طیف گسترده ای از مشکلات را حل کند. با این حال، مشتریان گارتنر موافق هستند که مورد استفاده اولیه شامل شناسایی دستههای مختلف تهدیدات است که با نمایش و تجزیه و تحلیل همبستگیهای مکرر بین رفتار کاربر و سایر موجودیتها به دست میآید:
دسترسی و جابجایی غیرمجاز داده ها؛
رفتار مشکوک کاربران ممتاز، فعالیت مخرب یا غیرمجاز کارمندان؛
دسترسی و استفاده غیر استاندارد از منابع ابری؛
غیره
همچنین تعدادی از موارد استفاده غیرمعمول از امنیت سایبری، مانند کلاهبرداری یا نظارت کارکنان، وجود دارد که UEBA ممکن است برای آنها توجیه شود. با این حال، آنها اغلب به منابع داده خارج از فناوری اطلاعات و امنیت اطلاعات یا مدل های تحلیلی خاص با درک عمیق از این حوزه نیاز دارند. پنج سناریو و برنامه اصلی که هم سازندگان UEBA و هم مشتریانشان در مورد آنها توافق دارند در زیر توضیح داده شده است.
"خودی مخرب"
ارائه دهندگان راه حل UEBA که این سناریو را پوشش می دهند، فقط کارمندان و پیمانکاران مورد اعتماد را برای رفتار غیرعادی، "بد" یا مخرب نظارت می کنند. فروشندگان در این زمینه تخصص، رفتار حساب های خدماتی یا سایر نهادهای غیرانسانی را نظارت یا تجزیه و تحلیل نمی کنند. عمدتاً به این دلیل، آنها بر روی شناسایی تهدیدهای پیشرفته که در آن هکرها حساب های موجود را کنترل می کنند، متمرکز نیستند. در عوض، آنها با هدف شناسایی کارکنان درگیر در فعالیت های مضر هستند.
اساساً، مفهوم "خودی مخرب" از کاربران قابل اعتماد با نیت مخرب ناشی می شود که به دنبال راه هایی برای آسیب رساندن به کارفرمای خود هستند. از آنجایی که اندازهگیری هدف مخرب دشوار است، بهترین فروشندگان در این دسته دادههای رفتار زمینهای را تحلیل میکنند که به راحتی در گزارشهای حسابرسی در دسترس نیستند.
ارائه دهندگان راه حل در این فضا همچنین داده های بدون ساختار مانند محتوای ایمیل، گزارش های بهره وری یا اطلاعات رسانه های اجتماعی را به صورت بهینه اضافه و تجزیه و تحلیل می کنند تا زمینه رفتار را فراهم کنند.
تهدیدهای داخلی و مزاحم به خطر افتاده
هنگامی که مهاجم به سازمان دسترسی پیدا کرد و شروع به حرکت در زیرساخت فناوری اطلاعات کرد، چالش این است که به سرعت رفتار "بد" را شناسایی و تجزیه و تحلیل کنیم.
تهدیدهای قاطعانه (APT)، مانند تهدیدات ناشناخته یا هنوز کاملاً شناخته نشده، بسیار دشوار است که شناسایی شوند و اغلب در پشت فعالیت های قانونی کاربر یا حساب های خدمات پنهان می شوند. چنین تهدیدهایی معمولاً دارای یک مدل عملیاتی پیچیده هستند (به عنوان مثال، مقاله " خطاب به زنجیره کشتار سایبری") یا رفتار آنها هنوز مضر ارزیابی نشده است. این امر تشخیص آنها را با استفاده از تجزیه و تحلیل ساده (مانند مطابقت با الگوها، آستانه ها یا قوانین همبستگی) دشوار می کند.
با این حال، بسیاری از این تهدیدات مزاحم منجر به رفتارهای غیراستاندارد میشوند که اغلب شامل کاربران یا نهادهای نامطمئن (معروف به افراد داخلی در معرض خطر) میشود. تکنیکهای UEBA چندین فرصت جالب برای شناسایی چنین تهدیداتی، بهبود نسبت سیگنال به نویز، یکپارچهسازی و کاهش حجم اعلانها، اولویتبندی هشدارهای باقیمانده، و تسهیل واکنش و بررسی مؤثر حادثه ارائه میدهند.
فروشندگان UEBA که این منطقه مشکل را هدف قرار می دهند اغلب با سیستم های SIEM سازمان ادغام دو جهته دارند.
استخراج داده ها
وظیفه در این مورد تشخیص این واقعیت است که داده ها به خارج از سازمان منتقل می شوند.
فروشندگانی که روی این چالش متمرکز شدهاند، معمولاً از قابلیتهای DLP یا DAG با تشخیص ناهنجاری و تجزیه و تحلیل پیشرفته استفاده میکنند، در نتیجه نسبت سیگنال به نویز را بهبود میبخشند، حجم اعلانها را یکپارچه میکنند و محرکهای باقی مانده را اولویتبندی میکنند. برای زمینه اضافی، فروشندگان معمولاً بیشتر به ترافیک شبکه (مانند پروکسیهای وب) و دادههای نقطه پایانی متکی هستند، زیرا تجزیه و تحلیل این منابع داده میتواند به بررسیهای استخراج داده کمک کند.
تشخیص استخراج داده ها برای دستگیری هکرهای داخلی و خارجی که سازمان را تهدید می کنند استفاده می شود.
شناسایی و مدیریت دسترسی ممتاز
سازندگان راه حل های مستقل UEBA در این زمینه تخصص، رفتار کاربر را در پس زمینه یک سیستم حقوقی که قبلاً شکل گرفته است، مشاهده و تجزیه و تحلیل می کنند تا امتیازات بیش از حد یا دسترسی های غیرعادی را شناسایی کنند. این برای همه انواع کاربران و حسابها، از جمله حسابهای دارای امتیاز و خدمات اعمال میشود. سازمانها همچنین از UEBA برای خلاص شدن از شر حسابهای غیرفعال و امتیازات کاربری که بالاتر از حد نیاز هستند، استفاده میکنند.
اولویت بندی حوادث
هدف از این کار اولویت بندی اعلان های ایجاد شده توسط راه حل ها در پشته فناوری آنها است تا بفهمیم کدام حوادث یا حوادث احتمالی باید ابتدا مورد توجه قرار گیرند. روش ها و ابزارهای UEBA در شناسایی حوادثی که برای یک سازمان خاص غیرعادی یا خطرناک هستند مفید هستند. در این مورد، مکانیسم UEBA نه تنها از سطح پایه فعالیت و مدلهای تهدید استفاده میکند، بلکه دادهها را با اطلاعات مربوط به ساختار سازمانی شرکت (به عنوان مثال، منابع مهم یا نقشها و سطوح دسترسی کارکنان) اشباع میکند.
مشکلات پیاده سازی راه حل های UEBA
درد بازار راه حل های UEBA قیمت بالا، پیاده سازی پیچیده، نگهداری و استفاده از آنها است. در حالی که شرکت ها با تعداد پورتال های داخلی مختلف دست و پنجه نرم می کنند، کنسول دیگری دریافت می کنند. اندازه سرمایه گذاری زمان و منابع در یک ابزار جدید به وظایف در دست و انواع تجزیه و تحلیل مورد نیاز برای حل آنها بستگی دارد و اغلب به سرمایه گذاری های کلان نیاز دارد.
برخلاف آنچه بسیاری از سازندگان ادعا میکنند، UEBA ابزاری برای «تنظیم آن و فراموش کردن آن» نیست که بتواند بهطور مداوم برای روزها کار کند.
به عنوان مثال، مشتریان گارتنر توجه داشته باشند که از 3 تا 6 ماه طول می کشد تا یک طرح UEBA از ابتدا راه اندازی شود تا اولین نتایج حل مشکلاتی که این راه حل برای آنها اجرا شده است، به دست آید. برای کارهای پیچیده تر، مانند شناسایی تهدیدهای داخلی در یک سازمان، این دوره به 18 ماه افزایش می یابد.
عوامل موثر بر دشواری اجرای UEBA و اثربخشی ابزار در آینده:
پیچیدگی معماری سازمان، توپولوژی شبکه و سیاست های مدیریت داده
در دسترس بودن داده های مناسب در سطح دقیق جزئیات
پیچیدگی الگوریتمهای تحلیلی فروشنده - برای مثال، استفاده از مدلهای آماری و یادگیری ماشین در مقابل الگوها و قوانین ساده.
مقدار تجزیه و تحلیل از پیش پیکربندی شده شامل - یعنی درک سازنده از اینکه چه داده هایی باید برای هر کار جمع آوری شود و چه متغیرها و ویژگی هایی برای انجام تجزیه و تحلیل مهم هستند.
چقدر آسان است که سازنده به طور خودکار با داده های مورد نیاز یکپارچه شود.
به عنوان مثال:
اگر راه حل UEBA از یک سیستم SIEM به عنوان منبع اصلی داده های خود استفاده کند، آیا SIEM اطلاعات را از منابع داده مورد نیاز جمع آوری می کند؟
آیا گزارشهای رویداد لازم و دادههای زمینه سازمانی میتوانند به یک راهحل UEBA هدایت شوند؟
اگر سیستم SIEM هنوز منابع داده مورد نیاز راه حل UEBA را جمع آوری و کنترل نمی کند، چگونه می توان آنها را به آنجا منتقل کرد؟
سناریوی برنامه چقدر برای سازمان مهم است، به چند منبع داده نیاز دارد، و چقدر این وظیفه با حوزه تخصص سازنده همپوشانی دارد.
چه درجه ای از بلوغ و مشارکت سازمانی مورد نیاز است - به عنوان مثال، ایجاد، توسعه و اصلاح قوانین و مدل ها. تعیین وزن به متغیرها برای ارزیابی؛ یا تنظیم آستانه ارزیابی ریسک.
راه حل فروشنده و معماری آن در مقایسه با اندازه فعلی سازمان و الزامات آینده آن چقدر مقیاس پذیر است.
زمان ساخت مدل های اساسی، پروفایل ها و گروه های کلیدی است. تولیدکنندگان اغلب حداقل به 30 روز (و گاهی تا 90 روز) برای انجام تحلیل نیاز دارند تا بتوانند مفاهیم "عادی" را تعریف کنند. یک بار بارگذاری داده های تاریخی می تواند آموزش مدل را سرعت بخشد. برخی از موارد جالب را می توان با استفاده از قوانین سریعتر از استفاده از یادگیری ماشینی با مقدار بسیار کمی از داده های اولیه شناسایی کرد.
سطح تلاش مورد نیاز برای ایجاد گروه بندی پویا و نمایه حساب (سرویس/فرد) می تواند بین راه حل ها بسیار متفاوت باشد.