ProHoster > وبلاگ > اخبار اینترنتی > بازار UEBA مرده است - زنده باد UEBA

بازار UEBA مرده است - زنده باد UEBA

بازار UEBA مرده است - زنده باد UEBA

امروز مروری کوتاه بر بازار تحلیل رفتاری کاربر و نهاد (UEBA) بر اساس آخرین تحقیق گارتنر. بر اساس چرخه هایپ گارتنر برای فناوری های مقابله با تهدید، بازار UEBA در انتهای "مرحله سرخوردگی" قرار دارد که نشان دهنده بلوغ این فناوری است. اما تناقض وضعیت در رشد عمومی همزمان سرمایه گذاری در فناوری های UEBA و بازار ناپدید شدن راه حل های مستقل UEBA نهفته است. گارتنر پیش بینی می کند که UEBA بخشی از عملکرد راه حل های امنیت اطلاعات مرتبط خواهد شد. اصطلاح «UEBA» احتمالاً از کاربرد خارج می‌شود و با مخفف دیگری جایگزین می‌شود که بر روی یک منطقه کاربردی باریک‌تر (مثلاً «تجزیه و تحلیل رفتار کاربر»)، یک منطقه کاربردی مشابه (مثلاً «تجزیه و تحلیل داده‌ها»)، یا به سادگی تبدیل به یک منطقه کاربردی می‌شود. کلمه کلیدی جدید (به عنوان مثال، اصطلاح "هوش مصنوعی" [AI] جالب به نظر می رسد، اگرچه برای سازندگان مدرن UEBA معنی ندارد).

یافته های کلیدی مطالعه گارتنر را می توان به صورت زیر خلاصه کرد:

  • بلوغ بازار برای تجزیه و تحلیل رفتاری کاربران و نهادها با این واقعیت تأیید می شود که این فناوری ها توسط بخش شرکت های متوسط ​​و بزرگ برای حل تعدادی از مشکلات تجاری استفاده می شود.
  • قابلیت‌های تحلیلی UEBA در طیف گسترده‌ای از فناوری‌های امنیت اطلاعات مرتبط، مانند کارگزاران امنیتی دسترسی ابری (CASB)، سیستم‌های SIEM حاکمیت و مدیریت هویت (IGA) تعبیه شده است.
  • هیاهوی فروشندگان UEBA و استفاده نادرست از اصطلاح «هوش مصنوعی» درک تفاوت واقعی بین فناوری‌های تولیدکنندگان و عملکرد راه‌حل‌ها را بدون اجرای یک پروژه آزمایشی برای مشتریان دشوار می‌کند.
  • مشتریان توجه دارند که زمان پیاده‌سازی و استفاده روزمره از راه‌حل‌های UEBA می‌تواند بیشتر از آنچه سازنده وعده می‌دهد، کار فشرده‌تر و زمان‌برتر باشد، حتی زمانی که فقط مدل‌های تشخیص تهدید اولیه را در نظر می‌گیریم. افزودن موارد استفاده سفارشی یا لبه می تواند بسیار دشوار باشد و به تخصص در علم داده و تجزیه و تحلیل نیاز دارد.

پیش بینی توسعه استراتژیک بازار:

  • تا سال 2021، بازار سیستم‌های تحلیل رفتاری کاربر و نهاد (UEBA) به عنوان یک منطقه جداگانه وجود نخواهد داشت و به سمت راه‌حل‌های دیگر با عملکرد UEBA سوق داده می‌شود.
  • تا سال 2020، 95 درصد از تمام استقرارهای UEBA بخشی از یک پلت فرم امنیتی گسترده تر خواهد بود.

تعریف راه حل های UEBA

راه حل های UEBA از تجزیه و تحلیل داخلی برای ارزیابی فعالیت کاربران و سایر نهادها (مانند هاست ها، برنامه ها، ترافیک شبکه و فروشگاه های داده) استفاده می کنند.
آنها تهدیدها و حوادث بالقوه را شناسایی می کنند که معمولاً نشان دهنده فعالیت غیرعادی در مقایسه با مشخصات استاندارد و رفتار کاربران و نهادها در گروه های مشابه در یک دوره زمانی است.

رایج‌ترین موارد استفاده در بخش سازمانی، شناسایی و پاسخ تهدید، و همچنین شناسایی و پاسخ به تهدیدات داخلی (عمدتاً خودی‌های در معرض خطر، گاهی اوقات مهاجمان داخلی) است.

UEBA مانند است تصمیم گیریو عملکرد، در یک ابزار خاص تعبیه شده است:

  • راه‌حل، تولیدکنندگان پلت‌فرم‌های «خالص» UEBA، از جمله فروشندگانی است که راه‌حل‌های SIEM را نیز جداگانه می‌فروشند. تمرکز بر طیف گسترده ای از مشکلات تجاری در تجزیه و تحلیل رفتار کاربران و نهادها.
  • جاسازی شده – تولیدکنندگان/بخش هایی که توابع و فناوری های UEBA را در راه حل های خود ادغام می کنند. به طور معمول بر روی مجموعه ای خاص از مشکلات تجاری متمرکز است. در این مورد، UEBA برای تجزیه و تحلیل رفتار کاربران و/یا موجودیت ها استفاده می شود.

گارتنر UEBA را در سه محور، از جمله حل‌کننده‌های مشکل، تجزیه و تحلیل، و منابع داده مشاهده می‌کند (شکل را ببینید).

بازار UEBA مرده است - زنده باد UEBA

پلتفرم‌های UEBA خالص در مقابل UEBA داخلی

گارتنر پلتفرم UEBA خالص را راه حل هایی می داند که:

  • حل چندین مشکل خاص، مانند نظارت بر کاربران ممتاز یا خروجی داده‌های خارج از سازمان، و نه فقط «نظارت بر فعالیت غیرعادی کاربر» انتزاعی.
  • شامل استفاده از تجزیه و تحلیل پیچیده، لزوما بر اساس رویکردهای تحلیلی اساسی.
  • ارائه چندین گزینه برای جمع‌آوری داده‌ها، از جمله مکانیسم‌های داخلی منبع داده و ابزارهای مدیریت گزارش، داده‌ها و/یا سیستم‌های SIEM، بدون نیاز اجباری به استقرار عوامل جداگانه در زیرساخت.
  • را می توان به عنوان راه حل های مستقل خریداری و به کار برد تا اینکه در آن گنجانده شود
    ترکیب سایر محصولات

جدول زیر این دو رویکرد را با هم مقایسه می کند.

جدول 1. راه حل های "خالص" UEBA در مقابل راه حل های داخلی

دسته پلت فرم های "خالص" UEBA راه حل های دیگر با UEBA داخلی
مشکل حل شود تجزیه و تحلیل رفتار و موجودیت های کاربر. فقدان داده ممکن است UEBA را برای تجزیه و تحلیل رفتار فقط کاربران یا نهادها محدود کند.
مشکل حل شود برای حل طیف وسیعی از مشکلات خدمت می کند در مجموعه محدودی از وظایف تخصص دارد
علم تجزیه و تحلیل تشخیص ناهنجاری با استفاده از روش‌های تحلیلی مختلف - عمدتاً از طریق مدل‌های آماری و یادگیری ماشینی، همراه با قوانین و امضاها. همراه با تجزیه و تحلیل داخلی برای ایجاد و مقایسه فعالیت کاربر و نهاد با نمایه های آنها و همکاران. مشابه UEBA خالص، اما تجزیه و تحلیل را می توان فقط به کاربران و/یا نهادها محدود کرد.
علم تجزیه و تحلیل قابلیت های تحلیلی پیشرفته، نه تنها با قوانین محدود نمی شود. به عنوان مثال، یک الگوریتم خوشه بندی با گروه بندی پویا از موجودیت ها. مشابه UEBA "خالص"، اما گروه بندی موجودیت ها در برخی از مدل های تهدید جاسازی شده را فقط می توان به صورت دستی تغییر داد.
علم تجزیه و تحلیل همبستگی فعالیت و رفتار کاربران و سایر نهادها (به عنوان مثال، استفاده از شبکه های بیزی) و تجمیع رفتار ریسک فردی به منظور شناسایی فعالیت های غیرعادی. مشابه UEBA خالص، اما تجزیه و تحلیل را می توان فقط به کاربران و/یا نهادها محدود کرد.
منابع اطلاعات دریافت رویدادهای کاربران و نهادها از منابع داده مستقیماً از طریق مکانیسم‌های داخلی یا ذخیره‌های داده موجود، مانند SIEM یا Data lake. مکانیسم های به دست آوردن داده ها معمولاً فقط مستقیم هستند و فقط بر کاربران و/یا سایر نهادها تأثیر می گذارند. از ابزارهای مدیریت لاگ / SIEM / Data lake استفاده نکنید.
منابع اطلاعات راه حل نه تنها باید بر ترافیک شبکه به عنوان منبع اصلی داده تکیه کند، و نه باید تنها به عوامل خود برای جمع آوری تله متری متکی باشد. این راه حل می تواند تنها بر ترافیک شبکه متمرکز شود (به عنوان مثال، NTA - تجزیه و تحلیل ترافیک شبکه) و/یا از عوامل آن در دستگاه های نهایی (به عنوان مثال، ابزار نظارت کارمندان) استفاده کند.
منابع اطلاعات اشباع کردن داده های کاربر/نهاد با زمینه. از مجموعه رویدادهای ساخت‌یافته در زمان واقعی، و همچنین داده‌های منسجم ساختاریافته/بدون ساختار از دایرکتوری‌های IT - به عنوان مثال، Active Directory (AD)، یا سایر منابع اطلاعاتی قابل خواندن توسط ماشین (به عنوان مثال، پایگاه‌های داده منابع انسانی) پشتیبانی می‌کند. مشابه UEBA خالص، اما دامنه داده های زمینه ای ممکن است از موردی به مورد دیگر متفاوت باشد. AD و LDAP رایج‌ترین ذخیره‌گاه‌های داده متنی هستند که توسط راه‌حل‌های تعبیه‌شده UEBA استفاده می‌شوند.
در دسترس بودن ویژگی های ذکر شده را به عنوان یک محصول مستقل ارائه می دهد. خرید عملکرد داخلی UEBA بدون خرید راه حل خارجی که در آن ساخته شده است غیرممکن است.
منبع: گارتنر (مه 2019)

بنابراین، برای حل مشکلات خاص، UEBA تعبیه‌شده می‌تواند از تجزیه و تحلیل اولیه UEBA (به عنوان مثال، یادگیری ماشین ساده بدون نظارت) استفاده کند، اما در عین حال، به دلیل دسترسی دقیق به داده‌های لازم، می‌تواند در مجموع مؤثرتر از یک «خالص» باشد. راه حل UEBA در عین حال، پلتفرم‌های «خالص» UEBA، همانطور که انتظار می‌رود، تجزیه و تحلیل پیچیده‌تری را به عنوان دانش اصلی در مقایسه با ابزار داخلی UEBA ارائه می‌دهند. این نتایج در جدول 2 خلاصه شده است.

جدول 2. نتیجه تفاوت بین UEBA "خالص" و داخلی

دسته پلت فرم های "خالص" UEBA راه حل های دیگر با UEBA داخلی
علم تجزیه و تحلیل کاربرد برای حل انواع مشکلات تجاری مستلزم مجموعه ای جهانی تر از توابع UEBA با تأکید بر تحلیل های پیچیده تر و مدل های یادگیری ماشین است. تمرکز بر مجموعه کوچک‌تری از مشکلات تجاری به معنای ویژگی‌های بسیار تخصصی است که بر مدل‌های خاص برنامه با منطق ساده‌تر تمرکز می‌کنند.
علم تجزیه و تحلیل سفارشی سازی مدل تحلیلی برای هر سناریوی کاربردی ضروری است. مدل‌های تحلیلی برای ابزاری که UEBA در آن تعبیه شده است، از پیش پیکربندی شده‌اند. ابزاری با UEBA داخلی معمولاً نتایج سریع‌تری را در حل مشکلات تجاری خاص به دست می‌آورد.
منابع اطلاعات دسترسی به منابع داده از تمام گوشه های زیرساخت شرکت. منابع داده کمتر، معمولاً به دلیل در دسترس بودن عوامل برای آنها یا خود ابزار با توابع UEBA محدود می شود.
منابع اطلاعات اطلاعات موجود در هر گزارش ممکن است توسط منبع داده محدود شده باشد و ممکن است شامل تمام داده های لازم برای ابزار متمرکز UEBA نباشد. مقدار و جزئیات داده های خام جمع آوری شده توسط نماینده و ارسال شده به UEBA را می توان به طور خاص پیکربندی کرد.
معماری این یک محصول کامل UEBA برای یک سازمان است. یکپارچه سازی با استفاده از قابلیت های یک سیستم SIEM یا Data Lake آسان تر است. به مجموعه جداگانه ای از ویژگی های UEBA برای هر یک از راه حل هایی که UEBA داخلی دارند، نیاز دارد. راه حل های جاسازی شده UEBA اغلب به نصب عوامل و مدیریت داده ها نیاز دارند.
ادغام ادغام دستی راه حل UEBA با ابزارهای دیگر در هر مورد. به یک سازمان اجازه می دهد تا پشته فناوری خود را بر اساس رویکرد "بهترین در میان آنالوگ ها" بسازد. بسته‌های اصلی توابع UEBA قبلاً توسط سازنده در خود ابزار گنجانده شده است. ماژول UEBA داخلی است و قابل حذف نیست، بنابراین مشتریان نمی توانند آن را با چیزی از خود جایگزین کنند.
منبع: گارتنر (مه 2019)

UEBA به عنوان یک تابع

UEBA در حال تبدیل شدن به یکی از ویژگی های راه حل های امنیت سایبری سرتاسری است که می تواند از تجزیه و تحلیل های اضافی بهره مند شود. UEBA زیربنای این راه حل ها است و یک لایه قدرتمند از تجزیه و تحلیل پیشرفته بر اساس الگوهای رفتاری کاربر و/یا موجودیت ارائه می کند.

در حال حاضر در بازار، عملکرد داخلی UEBA در راه حل های زیر، گروه بندی شده بر اساس حوزه فناوری، پیاده سازی شده است:

  • حسابرسی و حفاظت متمرکز بر داده، فروشندگانی هستند که بر بهبود امنیت ذخیره سازی داده های ساخت یافته و بدون ساختار (معروف به DCAP) تمرکز دارند.

    در این دسته از فروشندگان، گارتنر، از جمله موارد دیگر، اشاره می کند: پلتفرم امنیت سایبری Varonis، که تجزیه و تحلیل رفتار کاربر را برای نظارت بر تغییرات در مجوزهای داده های بدون ساختار، دسترسی و استفاده در فروشگاه های اطلاعات مختلف ارائه می دهد.

  • سیستم های CASBارائه حفاظت در برابر تهدیدات مختلف در برنامه‌های SaaS مبتنی بر ابر با مسدود کردن دسترسی به سرویس‌های ابری برای دستگاه‌های ناخواسته، کاربران و نسخه‌های برنامه با استفاده از یک سیستم کنترل دسترسی تطبیقی.

    همه راه حل های CASB پیشرو در بازار شامل قابلیت های UEBA هستند.

  • راه حل های DLP – تمرکز بر شناسایی انتقال داده های حیاتی به خارج از سازمان یا سوء استفاده از آن.

    پیشرفت‌های DLP عمدتاً مبتنی بر درک محتوا است، با تمرکز کمتر بر درک زمینه مانند کاربر، برنامه، مکان، زمان، سرعت رویدادها و سایر عوامل خارجی. برای موثر بودن، محصولات DLP باید هم محتوا و هم زمینه را تشخیص دهند. به همین دلیل است که بسیاری از تولیدکنندگان شروع به ادغام عملکرد UEBA در راه حل های خود کرده اند.

  • نظارت بر کارکنان توانایی ضبط و پخش مجدد اقدامات کارکنان، معمولاً در قالب داده ای مناسب برای رسیدگی های قانونی (در صورت لزوم).

    نظارت مداوم بر کاربران اغلب حجم زیادی از داده ها را تولید می کند که نیاز به فیلتر دستی و تجزیه و تحلیل انسانی دارد. بنابراین، UEBA در داخل سیستم های مانیتورینگ برای بهبود عملکرد این راه حل ها و تشخیص تنها حوادث پرخطر استفاده می شود.

  • امنیت نقطه پایانی - راه حل های تشخیص و پاسخ نقطه پایانی (EDR) و پلت فرم های حفاظت نقطه پایانی (EPP) ابزار دقیق و سیستم عامل تله متری قدرتمندی را برای
    دستگاه های پایانی

    چنین تله متری مربوط به کاربر را می توان برای ارائه عملکرد داخلی UEBA تجزیه و تحلیل کرد.

  • کلاهبرداری آنلاین – راه‌حل‌های تشخیص کلاهبرداری آنلاین، فعالیت‌های انحرافی را شناسایی می‌کنند که نشان‌دهنده به خطر افتادن حساب مشتری از طریق جعل، بدافزار، یا بهره‌برداری از اتصالات ناامن / رهگیری ترافیک مرورگر است.

    اکثر راه حل های کلاهبرداری از جوهره UEBA، تجزیه و تحلیل تراکنش ها و اندازه گیری دستگاه استفاده می کنند، با سیستم های پیشرفته تر که با تطبیق روابط در پایگاه داده هویت، آنها را تکمیل می کنند.

  • IAM و کنترل دسترسی - گارتنر به یک روند تکاملی در میان فروشندگان سیستم های کنترل دسترسی اشاره می کند تا با فروشندگان خالص ادغام شوند و برخی از قابلیت های UEBA را در محصولات خود ایجاد کنند.
  • سیستم های IAM و هویت حاکمیت و مدیریت (IGA). از UEBA برای پوشش سناریوهای تجزیه و تحلیل رفتاری و هویتی مانند تشخیص ناهنجاری، تجزیه و تحلیل گروه بندی پویا موجودیت های مشابه، تجزیه و تحلیل ورود و تجزیه و تحلیل خط مشی دسترسی استفاده کنید.
  • IAM و مدیریت دسترسی ممتاز (PAM) – با توجه به نقش نظارت بر استفاده از حساب های اداری، راه حل های PAM دارای تله متری برای نشان دادن چگونگی، چرایی، زمان و مکان استفاده از حساب های اداری هستند. این داده ها را می توان با استفاده از عملکرد داخلی UEBA برای وجود رفتار غیرعادی مدیران یا اهداف مخرب تجزیه و تحلیل کرد.
  • NTA سازنده (تجزیه و تحلیل ترافیک شبکه) - از ترکیبی از یادگیری ماشین، تجزیه و تحلیل پیشرفته و تشخیص مبتنی بر قوانین برای شناسایی فعالیت های مشکوک در شبکه های شرکتی استفاده کنید.

    ابزارهای NTA به طور مداوم ترافیک منبع و/یا سوابق جریان (به عنوان مثال NetFlow) را تجزیه و تحلیل می‌کنند تا مدل‌هایی بسازند که رفتار عادی شبکه را منعکس می‌کنند و در درجه اول بر تجزیه و تحلیل رفتار موجودیت تمرکز دارند.

  • سیم – اکنون بسیاری از فروشندگان SIEM دارای قابلیت تجزیه و تحلیل داده پیشرفته در SIEM یا به عنوان یک ماژول جداگانه UEBA هستند. در طول سال 2018 و تا کنون در سال 2019، مرزهای بین عملکرد SIEM و UEBA به طور مداوم محو شده است، همانطور که در مقاله مورد بحث قرار گرفت. "بینش فناوری برای SIEM مدرن". سیستم های SIEM در کار با تجزیه و تحلیل و ارائه سناریوهای کاربردی پیچیده تری بهتر شده اند.

سناریوهای کاربردی UEBA

راه حل های UEBA می تواند طیف گسترده ای از مشکلات را حل کند. با این حال، مشتریان گارتنر موافق هستند که مورد استفاده اولیه شامل شناسایی دسته‌های مختلف تهدیدات است که با نمایش و تجزیه و تحلیل همبستگی‌های مکرر بین رفتار کاربر و سایر موجودیت‌ها به دست می‌آید:

  • دسترسی و جابجایی غیرمجاز داده ها؛
  • رفتار مشکوک کاربران ممتاز، فعالیت مخرب یا غیرمجاز کارمندان؛
  • دسترسی و استفاده غیر استاندارد از منابع ابری؛
  • غیره

همچنین تعدادی از موارد استفاده غیرمعمول از امنیت سایبری، مانند کلاهبرداری یا نظارت کارکنان، وجود دارد که UEBA ممکن است برای آنها توجیه شود. با این حال، آنها اغلب به منابع داده خارج از فناوری اطلاعات و امنیت اطلاعات یا مدل های تحلیلی خاص با درک عمیق از این حوزه نیاز دارند. پنج سناریو و برنامه اصلی که هم سازندگان UEBA و هم مشتریانشان در مورد آنها توافق دارند در زیر توضیح داده شده است.

"خودی مخرب"

ارائه دهندگان راه حل UEBA که این سناریو را پوشش می دهند، فقط کارمندان و پیمانکاران مورد اعتماد را برای رفتار غیرعادی، "بد" یا مخرب نظارت می کنند. فروشندگان در این زمینه تخصص، رفتار حساب های خدماتی یا سایر نهادهای غیرانسانی را نظارت یا تجزیه و تحلیل نمی کنند. عمدتاً به این دلیل، آنها بر روی شناسایی تهدیدهای پیشرفته که در آن هکرها حساب های موجود را کنترل می کنند، متمرکز نیستند. در عوض، آنها با هدف شناسایی کارکنان درگیر در فعالیت های مضر هستند.

اساساً، مفهوم "خودی مخرب" از کاربران قابل اعتماد با نیت مخرب ناشی می شود که به دنبال راه هایی برای آسیب رساندن به کارفرمای خود هستند. از آنجایی که اندازه‌گیری هدف مخرب دشوار است، بهترین فروشندگان در این دسته داده‌های رفتار زمینه‌ای را تحلیل می‌کنند که به راحتی در گزارش‌های حسابرسی در دسترس نیستند.

ارائه دهندگان راه حل در این فضا همچنین داده های بدون ساختار مانند محتوای ایمیل، گزارش های بهره وری یا اطلاعات رسانه های اجتماعی را به صورت بهینه اضافه و تجزیه و تحلیل می کنند تا زمینه رفتار را فراهم کنند.

تهدیدهای داخلی و مزاحم به خطر افتاده

هنگامی که مهاجم به سازمان دسترسی پیدا کرد و شروع به حرکت در زیرساخت فناوری اطلاعات کرد، چالش این است که به سرعت رفتار "بد" را شناسایی و تجزیه و تحلیل کنیم.
تهدیدهای قاطعانه (APT)، مانند تهدیدات ناشناخته یا هنوز کاملاً شناخته نشده، بسیار دشوار است که شناسایی شوند و اغلب در پشت فعالیت های قانونی کاربر یا حساب های خدمات پنهان می شوند. چنین تهدیدهایی معمولاً دارای یک مدل عملیاتی پیچیده هستند (به عنوان مثال، مقاله " خطاب به زنجیره کشتار سایبری") یا رفتار آنها هنوز مضر ارزیابی نشده است. این امر تشخیص آنها را با استفاده از تجزیه و تحلیل ساده (مانند مطابقت با الگوها، آستانه ها یا قوانین همبستگی) دشوار می کند.

با این حال، بسیاری از این تهدیدات مزاحم منجر به رفتارهای غیراستاندارد می‌شوند که اغلب شامل کاربران یا نهادهای نامطمئن (معروف به افراد داخلی در معرض خطر) می‌شود. تکنیک‌های UEBA چندین فرصت جالب برای شناسایی چنین تهدیداتی، بهبود نسبت سیگنال به نویز، یکپارچه‌سازی و کاهش حجم اعلان‌ها، اولویت‌بندی هشدارهای باقی‌مانده، و تسهیل واکنش و بررسی مؤثر حادثه ارائه می‌دهند.

فروشندگان UEBA که این منطقه مشکل را هدف قرار می دهند اغلب با سیستم های SIEM سازمان ادغام دو جهته دارند.

استخراج داده ها

وظیفه در این مورد تشخیص این واقعیت است که داده ها به خارج از سازمان منتقل می شوند.
فروشندگانی که روی این چالش متمرکز شده‌اند، معمولاً از قابلیت‌های DLP یا DAG با تشخیص ناهنجاری و تجزیه و تحلیل پیشرفته استفاده می‌کنند، در نتیجه نسبت سیگنال به نویز را بهبود می‌بخشند، حجم اعلان‌ها را یکپارچه می‌کنند و محرک‌های باقی مانده را اولویت‌بندی می‌کنند. برای زمینه اضافی، فروشندگان معمولاً بیشتر به ترافیک شبکه (مانند پروکسی‌های وب) و داده‌های نقطه پایانی متکی هستند، زیرا تجزیه و تحلیل این منابع داده می‌تواند به بررسی‌های استخراج داده کمک کند.

تشخیص استخراج داده ها برای دستگیری هکرهای داخلی و خارجی که سازمان را تهدید می کنند استفاده می شود.

شناسایی و مدیریت دسترسی ممتاز

سازندگان راه حل های مستقل UEBA در این زمینه تخصص، رفتار کاربر را در پس زمینه یک سیستم حقوقی که قبلاً شکل گرفته است، مشاهده و تجزیه و تحلیل می کنند تا امتیازات بیش از حد یا دسترسی های غیرعادی را شناسایی کنند. این برای همه انواع کاربران و حساب‌ها، از جمله حساب‌های دارای امتیاز و خدمات اعمال می‌شود. سازمان‌ها همچنین از UEBA برای خلاص شدن از شر حساب‌های غیرفعال و امتیازات کاربری که بالاتر از حد نیاز هستند، استفاده می‌کنند.

اولویت بندی حوادث

هدف از این کار اولویت بندی اعلان های ایجاد شده توسط راه حل ها در پشته فناوری آنها است تا بفهمیم کدام حوادث یا حوادث احتمالی باید ابتدا مورد توجه قرار گیرند. روش ها و ابزارهای UEBA در شناسایی حوادثی که برای یک سازمان خاص غیرعادی یا خطرناک هستند مفید هستند. در این مورد، مکانیسم UEBA نه تنها از سطح پایه فعالیت و مدل‌های تهدید استفاده می‌کند، بلکه داده‌ها را با اطلاعات مربوط به ساختار سازمانی شرکت (به عنوان مثال، منابع مهم یا نقش‌ها و سطوح دسترسی کارکنان) اشباع می‌کند.

مشکلات پیاده سازی راه حل های UEBA

درد بازار راه حل های UEBA قیمت بالا، پیاده سازی پیچیده، نگهداری و استفاده از آنها است. در حالی که شرکت ها با تعداد پورتال های داخلی مختلف دست و پنجه نرم می کنند، کنسول دیگری دریافت می کنند. اندازه سرمایه گذاری زمان و منابع در یک ابزار جدید به وظایف در دست و انواع تجزیه و تحلیل مورد نیاز برای حل آنها بستگی دارد و اغلب به سرمایه گذاری های کلان نیاز دارد.

برخلاف آنچه بسیاری از سازندگان ادعا می‌کنند، UEBA ابزاری برای «تنظیم آن و فراموش کردن آن» نیست که بتواند به‌طور مداوم برای روزها کار کند.
به عنوان مثال، مشتریان گارتنر توجه داشته باشند که از 3 تا 6 ماه طول می کشد تا یک طرح UEBA از ابتدا راه اندازی شود تا اولین نتایج حل مشکلاتی که این راه حل برای آنها اجرا شده است، به دست آید. برای کارهای پیچیده تر، مانند شناسایی تهدیدهای داخلی در یک سازمان، این دوره به 18 ماه افزایش می یابد.

عوامل موثر بر دشواری اجرای UEBA و اثربخشی ابزار در آینده:

  • پیچیدگی معماری سازمان، توپولوژی شبکه و سیاست های مدیریت داده
  • در دسترس بودن داده های مناسب در سطح دقیق جزئیات
  • پیچیدگی الگوریتم‌های تحلیلی فروشنده - برای مثال، استفاده از مدل‌های آماری و یادگیری ماشین در مقابل الگوها و قوانین ساده.
  • مقدار تجزیه و تحلیل از پیش پیکربندی شده شامل - یعنی درک سازنده از اینکه چه داده هایی باید برای هر کار جمع آوری شود و چه متغیرها و ویژگی هایی برای انجام تجزیه و تحلیل مهم هستند.
  • چقدر آسان است که سازنده به طور خودکار با داده های مورد نیاز یکپارچه شود.

    به عنوان مثال:

    • اگر راه حل UEBA از یک سیستم SIEM به عنوان منبع اصلی داده های خود استفاده کند، آیا SIEM اطلاعات را از منابع داده مورد نیاز جمع آوری می کند؟
    • آیا گزارش‌های رویداد لازم و داده‌های زمینه سازمانی می‌توانند به یک راه‌حل UEBA هدایت شوند؟
    • اگر سیستم SIEM هنوز منابع داده مورد نیاز راه حل UEBA را جمع آوری و کنترل نمی کند، چگونه می توان آنها را به آنجا منتقل کرد؟

  • سناریوی برنامه چقدر برای سازمان مهم است، به چند منبع داده نیاز دارد، و چقدر این وظیفه با حوزه تخصص سازنده همپوشانی دارد.
  • چه درجه ای از بلوغ و مشارکت سازمانی مورد نیاز است - به عنوان مثال، ایجاد، توسعه و اصلاح قوانین و مدل ها. تعیین وزن به متغیرها برای ارزیابی؛ یا تنظیم آستانه ارزیابی ریسک.
  • راه حل فروشنده و معماری آن در مقایسه با اندازه فعلی سازمان و الزامات آینده آن چقدر مقیاس پذیر است.
  • زمان ساخت مدل های اساسی، پروفایل ها و گروه های کلیدی است. تولیدکنندگان اغلب حداقل به 30 روز (و گاهی تا 90 روز) برای انجام تحلیل نیاز دارند تا بتوانند مفاهیم "عادی" را تعریف کنند. یک بار بارگذاری داده های تاریخی می تواند آموزش مدل را سرعت بخشد. برخی از موارد جالب را می توان با استفاده از قوانین سریعتر از استفاده از یادگیری ماشینی با مقدار بسیار کمی از داده های اولیه شناسایی کرد.
  • سطح تلاش مورد نیاز برای ایجاد گروه بندی پویا و نمایه حساب (سرویس/فرد) می تواند بین راه حل ها بسیار متفاوت باشد.

منبع: www.habr.com

اضافه کردن نظر