ProHoster > Blogi > netin uutisia > UEBA-markkinat ovat kuolleet - eläköön UEBA

UEBA-markkinat ovat kuolleet - eläköön UEBA

UEBA-markkinat ovat kuolleet - eläköön UEBA

Tänään tarjoamme lyhyen yleiskatsauksen UEBA (User and Entity Behavioral Analytics) -markkinoista viimeisimpien tietojen perusteella. Gartnerin tutkimus. UEBA-markkinat ovat Gartner Hype Cycle for Threat-Facing Technologiesin mukaan "pettymysvaiheen" pohjalla, mikä osoittaa teknologian kypsyyden. Mutta tilanteen paradoksi piilee UEBA-teknologioihin tehtyjen investointien samanaikaisessa yleisessä kasvussa ja itsenäisten UEBA-ratkaisujen markkinoiden katoamisessa. Gartner ennustaa, että UEBA tulee osaksi siihen liittyvien tietoturvaratkaisujen toimintoja. Termi "UEBA" jää todennäköisesti pois käytöstä ja se korvataan toisella lyhenteellä, joka keskittyy kapeampaan sovellusalueeseen (esim. "käyttäjäkäyttäytymisen analytiikka"), samanlaiseen sovellusalueeseen (esim. "data analytics") tai siitä tulee yksinkertaisesti jokin uusi muotisana (esimerkiksi termi "tekoäly" [AI] näyttää mielenkiintoiselta, vaikka sillä ei ole mitään järkeä nykyaikaisille UEBA-valmistajille).

Gartnerin tutkimuksen keskeiset havainnot voidaan tiivistää seuraavasti:

  • Käyttäjien ja yksiköiden käyttäytymisanalytiikan markkinoiden kypsyyden vahvistaa se tosiasia, että keskisuuret ja suuret yrityssegmentit käyttävät näitä tekniikoita useiden liiketoimintaongelmien ratkaisemiseen.
  • UEBA:n analytiikkaominaisuudet on sisäänrakennettu moniin asiaan liittyviin tietoturvateknologioihin, kuten pilvipalvelun suojattuihin välittäjiin (CASB), identiteetin hallintaan ja hallintaan (IGA) SIEM-järjestelmiin;
  • UEBA-myyjien ympärillä oleva hype ja termin "tekoäly" virheellinen käyttö tekee asiakkaiden vaikeaksi ymmärtää todellista eroa valmistajien teknologioiden ja ratkaisujen toimivuuden välillä ilman pilottiprojektia.
  • Asiakkaat toteavat, että UEBA-ratkaisujen käyttöönottoaika ja päivittäinen käyttö voi olla valmistajan lupaamaa työvoimavaltaisempaa ja aikaavievämpää, vaikka otettaisiin huomioon vain perusuhanhavaitsemismallit. Mukautettujen tai reunakäyttötapausten lisääminen voi olla äärimmäisen vaikeaa ja vaatia tietotieteen ja analytiikan asiantuntemusta.

Strateginen markkinakehitysennuste:

  • Vuoteen 2021 mennessä UEBA-järjestelmien markkinat lakkaavat olemasta erillisinä alueina ja siirtyvät kohti muita UEBA-toiminnallisia ratkaisuja;
  • Vuoteen 2020 mennessä 95 % kaikista UEBA-asetuksista on osa laajempaa tietoturva-alustaa.

UEBA-ratkaisujen määritelmä

UEBA-ratkaisut käyttävät sisäänrakennettua analytiikkaa käyttäjien ja muiden yksiköiden (kuten isäntien, sovellusten, verkkoliikenteen ja tietovarastojen) toiminnan arvioimiseen.
Ne havaitsevat uhat ja mahdolliset tapahtumat, jotka tyypillisesti edustavat poikkeavaa toimintaa verrattuna käyttäjien ja entiteettien vakioprofiiliin ja käyttäytymiseen samanlaisissa ryhmissä tietyn ajanjakson aikana.

Yrityssegmentin yleisimmät käyttötapaukset ovat uhkien havaitseminen ja niihin reagoiminen sekä sisäpiiriuhkien havaitseminen ja niihin reagoiminen (enimmäkseen vaarantuneet sisäpiiriläiset, joskus sisäiset hyökkääjät).

UEBA on kuin päätösJa toiminto, sisäänrakennettu tiettyyn työkaluun:

  • Ratkaisu on "puhtaiden" UEBA-alustojen valmistajat, mukaan lukien myyjät, jotka myyvät myös SIEM-ratkaisuja erikseen. Keskittyy monenlaisiin liiketoimintaongelmiin sekä käyttäjien että entiteettien käyttäytymisanalytiikassa.
  • Embedded – Valmistajat/jaostot, jotka integroivat UEBA:n toimintoja ja teknologioita ratkaisuihinsa. Keskittyy tyypillisesti tiettyihin liiketoiminnan ongelmiin. Tässä tapauksessa UEBA:ta käytetään analysoimaan käyttäjien ja/tai entiteettien käyttäytymistä.

Gartner tarkastelee UEBAa kolmella akselilla, mukaan lukien ongelmanratkaisijat, analytiikka ja tietolähteet (katso kuva).

UEBA-markkinat ovat kuolleet - eläköön UEBA

"Putraat" UEBA-alustat vs. sisäänrakennettu UEBA

Gartner pitää "puhdasta" UEBA-alustaa ratkaisuina, jotka:

  • ratkaisemaan useita erityisongelmia, kuten etuoikeutettujen käyttäjien valvontaa tai tietojen tulostamista organisaation ulkopuolelle, ei vain abstraktia "poikkeavien käyttäjien toiminnan seurantaa";
  • sisältää monimutkaisen analytiikan käytön, joka perustuu välttämättä perusanalyyttisiin lähestymistapoihin;
  • tarjota useita tiedonkeruuvaihtoehtoja, mukaan lukien sekä sisäänrakennetut tietolähdemekanismit että lokinhallintatyökalut, Data Lake- ja/tai SIEM-järjestelmät ilman pakollista tarvetta ottaa käyttöön erillisiä agentteja infrastruktuurissa;
  • voidaan ostaa ja ottaa käyttöön erillisinä ratkaisuina sen sijaan, että ne olisivat mukana
    muiden tuotteiden koostumus.

Alla olevassa taulukossa verrataan kahta lähestymistapaa.

Taulukko 1. Puhtaat UEBA-ratkaisut vs. sisäänrakennettu

Категория "Puhaat" UEBA-alustat Muita ratkaisuja, joissa on sisäänrakennettu UEBA
Ongelma ratkaistava Analyysi käyttäjien käyttäytymisestä ja kokonaisuuksista. Tietojen puute voi rajoittaa UEBAa analysoimaan vain käyttäjien tai entiteettien käyttäytymistä.
Ongelma ratkaistava Se palvelee monenlaisten ongelmien ratkaisemista Erikoistunut rajoitettuun joukkoon tehtäviä
Analytics Poikkeamien havaitseminen erilaisilla analyyttisilla menetelmillä - pääasiassa tilastollisilla malleilla ja koneoppimisella sekä säännöillä ja allekirjoituksilla. Mukana sisäänrakennettu analytiikka, jonka avulla voit luoda ja vertailla käyttäjien ja entiteettien toimintaa heidän ja kollegoidensa profiileihin. Samanlainen kuin puhdas UEBA, mutta analyysi voidaan rajoittaa vain käyttäjiin ja/tai entiteeteihin.
Analytics Kehittyneet analyyttiset ominaisuudet, joita eivät rajoita vain säännöt. Esimerkiksi klusterointialgoritmi dynaamisella entiteettien ryhmittelyllä. Samanlainen kuin "puhdas" UEBA, mutta kokonaisuuksien ryhmittelyä joissakin sulautetuissa uhkamalleissa voidaan muuttaa vain manuaalisesti.
Analytics Käyttäjien ja muiden yksiköiden toiminnan ja käyttäytymisen korrelaatio (esimerkiksi Bayesin verkkoja käyttämällä) ja yksittäisten riskikäyttäytymisen aggregointi poikkeavan toiminnan tunnistamiseksi. Samanlainen kuin puhdas UEBA, mutta analyysi voidaan rajoittaa vain käyttäjiin ja/tai entiteeteihin.
Tietolähteet Käyttäjien ja entiteettien tapahtumien vastaanottaminen tietolähteistä suoraan sisäänrakennettujen mekanismien tai olemassa olevien tietovarastojen, kuten SIEM:n tai Data Laken, kautta. Tietojen hankintamekanismit ovat yleensä vain suoria ja vaikuttavat vain käyttäjiin ja/tai muihin yksiköihin. Älä käytä lokinhallintatyökaluja / SIEM / Data Lake.
Tietolähteet Ratkaisun ei tulisi luottaa pelkästään verkkoliikenteeseen pääasiallisena tietolähteenä, eikä sen tulisi luottaa pelkästään omiin agentteihinsa telemetrian keräämisessä. Ratkaisu voi keskittyä vain verkkoliikenteeseen (esim. NTA - verkkoliikenteen analyysi) ja/tai käyttää agenttejaan päätelaitteissa (esim. työntekijöiden valvontaapuohjelmat).
Tietolähteet Käyttäjän/entiteetin tietojen kyllästäminen kontekstilla. Tukee strukturoitujen tapahtumien keräämistä reaaliajassa sekä strukturoidun/strukturoimattoman koheesion datan keräämistä IT-hakemistoista - esimerkiksi Active Directorysta (AD) tai muista koneellisesti luettavissa olevista tietoresursseista (esimerkiksi HR-tietokannat). Samanlainen kuin puhdas UEBA, mutta kontekstuaalisen datan laajuus voi vaihdella tapauskohtaisesti. AD ja LDAP ovat sulautettujen UEBA-ratkaisujen yleisimmät kontekstuaaliset tietovarastot.
saatavuus Tarjoaa luetellut ominaisuudet erillisenä tuotteena. On mahdotonta ostaa sisäänrakennettua UEBA-toimintoa ostamatta ulkoista ratkaisua, johon se on rakennettu.
Lähde: Gartner (toukokuu 2019)

Siten sulautettu UEBA voi tiettyjen ongelmien ratkaisemiseksi käyttää UEBA:n perusanalytiikkaa (esimerkiksi yksinkertaista valvomatonta koneoppimista), mutta samaan aikaan, koska se pääsee käsiksi tarkalleen tarvittaviin tietoihin, se voi olla kaiken kaikkiaan tehokkaampi kuin "puhdas" UEBA ratkaisu. Samaan aikaan "puhtaat" UEBA-alustat tarjoavat, kuten odotettiin, monimutkaisempaa analytiikkaa tärkeimpänä osaamisena kuin sisäänrakennettu UEBA-työkalu. Nämä tulokset on koottu taulukkoon 2.

Taulukko 2. Tulos "puhtaan" ja sisäänrakennetun UEBA:n välisistä eroista

Категория "Puhaat" UEBA-alustat Muita ratkaisuja, joissa on sisäänrakennettu UEBA
Analytics Soveltuvuus erilaisten liiketoimintaongelmien ratkaisemiseen edellyttää yleisempää UEBA-toimintosarjaa, jossa painotetaan monimutkaisempaa analytiikkaa ja koneoppimismalleja. Keskittyminen pienempään joukkoon liiketoimintaongelmia tarkoittaa pitkälle erikoistuneita ominaisuuksia, jotka keskittyvät sovelluskohtaisiin malleihin, joissa on yksinkertaisempi logiikka.
Analytics Analyyttisen mallin mukauttaminen on tarpeen jokaisessa sovellusskenaariossa. Analyyttiset mallit on esikonfiguroitu työkalulle, jossa on sisäänrakennettu UEBA. Työkalu, jossa on sisäänrakennettu UEBA, saavuttaa yleensä nopeampia tuloksia tiettyjen liiketoimintaongelmien ratkaisemisessa.
Tietolähteet Pääsy tietolähteisiin yrityksen infrastruktuurin kaikista kulmista. Vähemmän tietolähteitä, joita yleensä rajoittaa agenttien saatavuus heille tai itse työkalu UEBA-toiminnoilla.
Tietolähteet Tietolähde saattaa rajoittaa kunkin lokin sisältämiä tietoja, eivätkä ne välttämättä sisällä kaikkia keskitetyn UEBA-työkalun tarvittavia tietoja. Agentin keräämien ja UEBA:lle lähetettyjen raakatietojen määrä ja yksityiskohdat voidaan määrittää erikseen.
Arkkitehtuuri Se on täydellinen UEBA-tuote organisaatiolle. Integrointi on helpompaa käyttämällä SIEM-järjestelmän tai Data Laken ominaisuuksia. Vaatii erillisen joukon UEBA-ominaisuuksia jokaiselle ratkaisulle, jossa on sisäänrakennettu UEBA. Sulautetut UEBA-ratkaisut vaativat usein agenttien asentamista ja tietojen hallintaa.
integraatio UEBA-ratkaisun manuaalinen integrointi muihin työkaluihin kussakin tapauksessa. Mahdollistaa organisaation rakentaa teknologiapinonsa "paras analogien joukossa" -lähestymistavan perusteella. Valmistaja on jo sisällyttänyt tärkeimmät UEBA-toimintojen niput itse työkaluun. UEBA-moduuli on sisäänrakennettu eikä sitä voi irrottaa, joten asiakkaat eivät voi korvata sitä jollain omalla.
Lähde: Gartner (toukokuu 2019)

UEBA funktiona

UEBA:sta on tulossa ominaisuus päästä päähän kyberturvallisuusratkaisuille, jotka voivat hyötyä lisäanalytiikasta. UEBA on näiden ratkaisujen taustalla ja tarjoaa tehokkaan kerroksen kehittynyttä analytiikkaa, joka perustuu käyttäjien ja/tai yksiköiden käyttäytymismalleihin.

Tällä hetkellä markkinoilla oleva sisäänrakennettu UEBA-toiminto on toteutettu seuraavissa ratkaisuissa, jotka on ryhmitelty teknologisen laajuuden mukaan:

  • Tietoihin keskittyvä tarkastus ja suojaus, ovat toimittajia, jotka ovat keskittyneet parantamaan strukturoidun ja strukturoimattoman tiedontallennustilan (alias DCAP) turvallisuutta.

    Gartner toteaa tässä myyjien luokassa mm. Varonis kyberturvallisuusalusta, joka tarjoaa käyttäjien käyttäytymisanalytiikkaa, jonka avulla voidaan seurata muutoksia jäsentämättömissä datan käyttöoikeuksissa, pääsyssä ja käytössä eri tietovarastoissa.

  • CASB-järjestelmät, joka tarjoaa suojan erilaisia ​​uhkia vastaan ​​pilvipohjaisissa SaaS-sovelluksissa estämällä ei-toivottujen laitteiden, käyttäjien ja sovellusversioiden pääsyn pilvipalveluihin mukautuvan kulunvalvontajärjestelmän avulla.

    Kaikki markkinoiden johtavat CASB-ratkaisut sisältävät UEBA-ominaisuudet.

  • DLP ratkaisut – keskittynyt kriittisen tiedon siirron organisaation ulkopuolelle tai sen väärinkäytön havaitsemiseen.

    DLP:n edistyminen perustuu suurelta osin sisällön ymmärtämiseen, mutta vähemmän keskittyä kontekstin, kuten käyttäjän, sovelluksen, sijainnin, ajan, tapahtumien nopeuden ja muiden ulkoisten tekijöiden ymmärtämiseen. Ollakseen tehokkaita DLP-tuotteiden on tunnistettava sekä sisältö että konteksti. Tästä syystä monet valmistajat ovat alkaneet integroida UEBA-toiminnallisuutta ratkaisuihinsa.

  • Työntekijöiden seuranta on kyky tallentaa ja toistaa työntekijöiden toimia, yleensä oikeuskäsittelyyn sopivassa tietomuodossa (tarvittaessa).

    Käyttäjien jatkuva seuranta tuottaa usein valtavan määrän dataa, joka vaatii manuaalista suodatusta ja ihmisen analysointia. Siksi UEBAa käytetään valvontajärjestelmissä parantamaan näiden ratkaisujen suorituskykyä ja havaitsemaan vain korkean riskin vaaratilanteita.

  • Päätepisteen suojaus – Päätepisteiden tunnistus- ja vastausratkaisut (EDR) ja päätepisteiden suojausalustat (EPP) tarjoavat tehokkaan instrumentoinnin ja käyttöjärjestelmän telemetrian
    päätelaitteet.

    Tällainen käyttäjäkohtainen telemetria voidaan analysoida sisäänrakennetun UEBA-toiminnallisuuden tarjoamiseksi.

  • Online-petos – Online-petosten havaitsemisratkaisut havaitsevat poikkeavan toiminnan, joka viittaa asiakkaan tilin vaarantumiseen huijauksen, haittaohjelmien tai suojaamattomien yhteyksien/selainliikenteen sieppauksen avulla.

    Useimmat petosratkaisut hyödyntävät UEBA:n ydintä, tapahtuma-analyysiä ja laitemittausta, ja kehittyneemmät järjestelmät täydentävät niitä identiteettitietokannassa olevilla suhteilla.

  • IAM ja kulunvalvonta – Gartner panee merkille kulunvalvontajärjestelmien toimittajien evoluution trendin integroida pelkkien toimittajien kanssa ja rakentaa tuotteisiinsa UEBA-toimintoja.
  • IAM ja Identity Governance and Administration (IGA) -järjestelmät käytä UEBAa kattamaan käyttäytymis- ja identiteettianalytiikkaskenaariot, kuten poikkeamien havaitseminen, samankaltaisten entiteettien dynaaminen ryhmittelyanalyysi, kirjautumisanalyysi ja pääsykäytäntöanalyysi.
  • IAM ja PAM (Privileged Access Management) – Hallinnollisten tilien käytön seurannan roolista johtuen PAM-ratkaisuissa on telemetria, joka näyttää miten, miksi, milloin ja missä hallinnollisia tilejä käytettiin. Nämä tiedot voidaan analysoida UEBA:n sisäänrakennetun toiminnon avulla järjestelmänvalvojien epänormaalin toiminnan tai haitallisten aikomusten havaitsemiseksi.
  • Valmistajien NTA (Network Traffic Analysis) – Käytä koneoppimisen, edistyneen analytiikan ja sääntöihin perustuvan tunnistuksen yhdistelmää epäilyttävän toiminnan tunnistamiseen yritysverkoissa.

    NTA-työkalut analysoivat jatkuvasti lähdeliikennettä ja/tai -tietueita (esim. NetFlow) luodakseen malleja, jotka kuvastavat normaalia verkon käyttäytymistä keskittyen ensisijaisesti entiteettien käyttäytymisen analytiikkaan.

  • SIEM – Monilla SIEM-toimittajilla on nyt edistynyt data-analytiikkatoiminto sisäänrakennettuna SIEM:iin tai erillisenä UEBA-moduulina. Koko vuoden 2018 ja toistaiseksi vuonna 2019 SIEM- ja UEBA-toimintojen väliset rajat ovat hämärtyneet jatkuvasti, kuten artikkelissa käsitellään. "Technology Insight for the Modern SIEM". SIEM-järjestelmät ovat parantuneet toimimaan paremmin analytiikan kanssa ja tarjoamaan monimutkaisempia sovellusskenaarioita.

UEBA-sovellusskenaariot

UEBA-ratkaisut voivat ratkaista monenlaisia ​​ongelmia. Gartner-asiakkaat ovat kuitenkin samaa mieltä siitä, että ensisijainen käyttötapaus sisältää erilaisten uhkien havaitsemisen, joka saavutetaan näyttämällä ja analysoimalla toistuvia korrelaatioita käyttäjien käyttäytymisen ja muiden yksiköiden välillä:

  • luvaton pääsy ja tietojen siirtäminen;
  • etuoikeutettujen käyttäjien epäilyttävä käytös, työntekijöiden ilkeä tai luvaton toiminta;
  • ei-standardi pilviresurssien käyttö ja käyttö;
  • jne.

On myös useita epätyypillisiä ei-kyberturvallisuuden käyttötapauksia, kuten petoksia tai työntekijöiden valvontaa, joille UEBA voi olla perusteltua. Ne vaativat kuitenkin usein tietolähteitä IT- ja tietoturvan ulkopuolelta tai erityisiä analyyttisiä malleja, joilla on syvällinen ymmärrys tästä alueesta. Viisi pääskenaariota ja sovellusta, joista sekä UEBA-valmistajat että heidän asiakkaat sopivat, on kuvattu alla.

"Haitallinen sisäpiiri"

Tämän skenaarion kattavat UEBA-ratkaisujen tarjoajat vain valvovat työntekijöitä ja luotettavia urakoitsijoita epätavallisen, "huonon" tai haitallisen toiminnan varalta. Tämän osaamisalueen toimittajat eivät seuraa tai analysoi palvelutilien tai muiden ei-inhimillisten yksiköiden käyttäytymistä. Suurelta osin tästä syystä ne eivät ole keskittyneet havaitsemaan kehittyneitä uhkia, joissa hakkerit ottavat haltuunsa olemassa olevia tilejä. Sen sijaan niillä pyritään tunnistamaan haitalliseen toimintaan osallistuvat työntekijät.

Pohjimmiltaan "haitallisen sisäpiiriläisen" käsite juontaa juurensa luotettavista käyttäjistä, joilla on ilkeä tarkoitus ja jotka etsivät tapoja aiheuttaa vahinkoa työnantajalleen. Koska haitallista tarkoitusta on vaikea mitata, tämän luokan parhaat toimittajat analysoivat kontekstuaalista käyttäytymisdataa, jota ei ole helposti saatavilla valvontalokeissa.

Tämän tilan ratkaisutoimittajat lisäävät ja analysoivat optimaalisesti jäsentämätöntä dataa, kuten sähköpostin sisältöä, tuottavuusraportteja tai sosiaalisen median tietoja, tarjotakseen kontekstin käyttäytymiselle.

Sisäpiirin vaarantuneet ja tunkeilevat uhkaukset

Haasteena on nopeasti havaita ja analysoida "huono" käyttäytyminen, kun hyökkääjä on saanut pääsyn organisaatioon ja alkaa liikkua IT-infrastruktuurin sisällä.
Assertive-uhat (APT), kuten tuntemattomat tai vielä täysin ymmärtämättömät uhat, on erittäin vaikea havaita, ja ne usein piiloutuvat laillisen käyttäjätoiminnan tai palvelutilien taakse. Tällaisilla uhilla on yleensä monimutkainen toimintamalli (katso esimerkiksi artikkeli " Käsitellään Cyber ​​​​kill -ketjua") tai heidän käyttäytymistään ei ole vielä arvioitu haitalliseksi. Tämän vuoksi niitä on vaikea havaita käyttämällä yksinkertaista analytiikkaa (kuten vastaavuuksia kuvioiden, kynnysten tai korrelaatiosääntöjen mukaan).

Monet näistä tunkeutuvista uhista johtavat kuitenkin epätyypilliseen toimintaan, johon usein liittyy pahaa-aavistamattomia käyttäjiä tai yhteisöjä (alias vaarantuneita sisäpiiriläisiä). UEBA-tekniikat tarjoavat useita mielenkiintoisia mahdollisuuksia havaita tällaisia ​​uhkia, parantaa signaali-kohinasuhdetta, vahvistaa ja vähentää ilmoitusten määrää, priorisoida jäljellä olevat hälytykset ja helpottaa tapausten tehokasta reagointia ja tutkintaa.

UEBA-toimittajilla, jotka kohdistavat tämän ongelma-alueen, on usein kaksisuuntainen integraatio organisaation SIEM-järjestelmiin.

Tietojen suodattaminen

Tehtävänä tässä tapauksessa on havaita, että tietoja siirretään organisaation ulkopuolelle.
Tähän haasteeseen keskittyneet toimittajat hyödyntävät yleensä DLP- tai DAG-ominaisuuksia poikkeamien havaitsemisen ja edistyneen analytiikan avulla, mikä parantaa signaali-kohinasuhdetta, vahvistaa ilmoitusten määrää ja priorisoi jäljellä olevat triggerit. Lisäkontekstia varten toimittajat luottavat yleensä enemmän verkkoliikenteeseen (kuten verkkovälityspalvelimiin) ja päätepistetietoihin, koska näiden tietolähteiden analysointi voi auttaa tietojen suodatustutkimuksissa.

Tietojen suodatuksen havaitsemista käytetään organisaatiota uhkaavien sisäpiiriläisten ja ulkopuolisten hakkereiden tavoittamiseen.

Etuoikeutettujen käyttöoikeuksien tunnistaminen ja hallinta

Riippumattomien UEBA-ratkaisujen valmistajat tällä osaamisalueella tarkkailevat ja analysoivat käyttäjien käyttäytymistä jo muodostuneen oikeusjärjestelmän taustalla havaitakseen liialliset oikeudet tai poikkeavat käyttöoikeudet. Tämä koskee kaikentyyppisiä käyttäjiä ja tilejä, mukaan lukien etuoikeutetut ja palvelutilit. Organisaatiot käyttävät myös UEBAa päästäkseen eroon lepotilasta ja vaadittua korkeammista käyttöoikeuksista.

Tapahtumapriorisointi

Tämän tehtävän tavoitteena on priorisoida teknologiapinossa olevien ratkaisujen tuottamat ilmoitukset, jotta voidaan ymmärtää, mitkä tapaukset tai mahdolliset tapahtumat tulisi käsitellä ensin. UEBA:n menetelmät ja työkalut ovat hyödyllisiä sellaisten tapausten tunnistamisessa, jotka ovat erityisen poikkeavia tai erityisen vaarallisia tietylle organisaatiolle. Tässä tapauksessa UEBA-mekanismi ei vain käytä perustoiminta- ja uhkamalleja, vaan myös kyllästää tiedot yrityksen organisaatiorakenteesta (esimerkiksi kriittiset resurssit tai roolit ja työntekijöiden käyttöoikeustasot).

Ongelmia UEBA-ratkaisujen toteuttamisessa

UEBA-ratkaisujen markkinakipu on niiden korkea hinta, monimutkainen toteutus, ylläpito ja käyttö. Samalla kun yritykset kamppailevat erilaisten sisäisten portaalien kanssa, ne saavat uuden konsolin. Ajan ja resurssien investoinnin suuruus uuteen työkaluun riippuu käsillä olevista tehtävistä ja niiden ratkaisemiseen tarvittavista analytiikan tyypeistä ja vaatii useimmiten suuria investointeja.

Toisin kuin monet valmistajat väittävät, UEBA ei ole "aseta ja unohda" -työkalu, joka voi sitten toimia jatkuvasti päiviä peräkkäin.
Esimerkiksi Gartner-asiakkaat huomauttavat, että UEBA-aloitteen käynnistäminen tyhjästä kestää 3–6 kuukautta, jotta saadaan ensimmäiset tulokset niiden ongelmien ratkaisemisesta, joihin tämä ratkaisu otettiin käyttöön. Monimutkaisemmissa tehtävissä, kuten organisaation sisäpiiriuhkien tunnistamisessa, aika pidennetään 18 kuukauteen.

UEBA:n käyttöönoton vaikeuteen ja työkalun tulevaan tehokkuuteen vaikuttavat tekijät:

  • Organisaation arkkitehtuurin, verkkotopologian ja tiedonhallintapolitiikan monimutkaisuus
  • Oikeiden tietojen saatavuus oikealla tarkkuudella
  • Toimittajan analytiikkaalgoritmien monimutkaisuus – esimerkiksi tilastollisten mallien käyttö ja koneoppiminen yksinkertaisia ​​malleja ja sääntöjä vastaan.
  • Mukana esikonfiguroidun analytiikan määrä eli valmistajan ymmärrys siitä, mitä tietoja kutakin tehtävää varten on kerättävä ja mitkä muuttujat ja attribuutit ovat tärkeimpiä analyysin suorittamisessa.
  • Kuinka helppoa valmistajan on automaattisesti integroida vaaditut tiedot.

    Esimerkiksi:

    • Jos UEBA-ratkaisu käyttää SIEM-järjestelmää pääasiallisena tietolähteenä, kerääkö SIEM tietoja vaadituista tietolähteistä?
    • Voidaanko tarvittavat tapahtumalokit ja organisaatiokontekstitiedot reitittää UEBA-ratkaisuun?
    • Jos SIEM-järjestelmä ei vielä kerää ja ohjaa UEBA-ratkaisun tarvitsemia tietolähteitä, niin miten ne voidaan siirtää sinne?

  • Kuinka tärkeä sovellusskenaario on organisaatiolle, kuinka monta tietolähdettä se vaatii ja kuinka paljon tämä tehtävä on päällekkäinen valmistajan osaamisalueen kanssa.
  • Millaista organisaation kypsyyttä ja osallistumista vaaditaan – esimerkiksi sääntöjen ja mallien luominen, kehittäminen ja jalostaminen; painojen antaminen muuttujille arviointia varten; tai muuttamalla riskinarviointikynnystä.
  • Kuinka skaalautuva on toimittajan ratkaisu ja sen arkkitehtuuri verrattuna organisaation nykyiseen kokoon ja sen tuleviin vaatimuksiin.
  • Aika rakentaa perusmalleja, profiileja ja avainryhmiä. Valmistajat vaativat usein vähintään 30 päivää (ja joskus jopa 90 päivää) analyysin tekemiseen ennen kuin he voivat määritellä "normaalit" käsitteet. Historiallisten tietojen lataaminen kerran voi nopeuttaa mallin koulutusta. Jotkut mielenkiintoisista tapauksista voidaan tunnistaa nopeammin sääntöjen avulla kuin käyttämällä koneoppimista uskomattoman pienellä alkudatamäärällä.
  • Dynaamisen ryhmittelyn ja tilien profiloinnin (palvelu/henkilö) luomiseen vaadittava vaiva voi vaihdella suuresti ratkaisujen välillä.

Lähde: will.com

Lisää kommentti