ProHoster > Blog > naidheachdan eadar-lìn > Tha margaidh UEBA marbh - UEBA fada beò

Tha margaidh UEBA marbh - UEBA fada beò

Tha margaidh UEBA marbh - UEBA fada beò

An-diugh bheir sinn seachad tar-shealladh goirid air a’ mhargaidh Cleachdaiche is Buidheann Analytics Giùlan (UEBA) stèidhichte air an fheadhainn as ùire. Rannsachadh Gartner. Tha margaidh UEBA aig bonn na “ìre mì-mhisneachd” a rèir Gartner Hype Cycle for Threat-Facing Technologies, a’ nochdadh inbheachd an teicneòlais. Ach tha paradocs an t-suidheachaidh na laighe ann am fàs coitcheann aig an aon àm de thasgaidhean ann an teicneòlasan UEBA agus a’ mhargaidh a tha a ’dol à bith de fhuasglaidhean UEBA neo-eisimeileach. Tha Gartner an dùil gum bi UEBA na phàirt de ghnìomhachd fuasglaidhean tèarainteachd fiosrachaidh co-cheangailte. Tha e coltach gun tuit an teirm “UEBA” a-mach à cleachdadh agus gun tèid acronaim eile a chuir na àite le fòcas air raon tagraidh nas cumhainge (me, “anailis giùlan neach-cleachdaidh”), raon tagraidh coltach ris (me, “anailis dàta”), no dìreach a bhith na cuid facal ùr (mar eisimpleir, tha am facal "fiosrachadh fuadain" [AI] a 'coimhead inntinneach, ged nach eil e a' dèanamh ciall sam bith do luchd-dèanamh UEBA an latha an-diugh).

Faodar geàrr-chunntas a dhèanamh air na prìomh thoraidhean bho sgrùdadh Gartner mar a leanas:

  • Tha inbheachd a’ mhargaidh airson mion-sgrùdadh giùlan luchd-cleachdaidh agus buidhnean air a dhearbhadh leis gu bheil na teicneòlasan sin air an cleachdadh leis an roinn chorporra meadhanach agus mòr gus grunn dhuilgheadasan gnìomhachais fhuasgladh;
  • Tha comasan anailis UEBA air an togail a-steach do raon farsaing de theicneòlasan tèarainteachd fiosrachaidh co-cheangailte, leithid brocairean tèarainteachd ruigsinneachd sgòthan (CASBn), riaghladh dearbh-aithne agus rianachd (IGA) siostaman SIEM;
  • Tha an hype timcheall air luchd-reic UEBA agus cleachdadh ceàrr an fhacail “fiosrachadh fuadain” ga dhèanamh duilich do luchd-ceannach an fhìor eadar-dhealachadh eadar teicneòlasan luchd-saothrachaidh agus gnìomhachd fhuasglaidhean a thuigsinn gun a bhith a’ dèanamh pròiseact pìleat;
  • Tha luchd-ceannach a’ toirt fa-near gum faod ùine buileachaidh agus cleachdadh làitheil de fhuasglaidhean UEBA a bhith nas saothair-dian agus ùine nas fhaide na tha an neach-dèanamh a’ gealltainn, eadhon nuair a thathar a’ beachdachadh air modalan lorg bagairt a-mhàin. Faodaidh a bhith gu math duilich cùisean cleachdadh àbhaisteach no iomaill a chuir ris agus feumaidh eòlas ann an saidheans dàta agus anailisean.

Ro-shealladh leasachadh margaidh ro-innleachdail:

  • Ro 2021, sguir a’ mhargaidh airson siostaman anailis giùlan luchd-cleachdaidh is eintiteas (UEBA) a bhith ann mar raon air leth agus gluaisidh iad a dh’ ionnsaigh fuasglaidhean eile le comas-gnìomh UEBA;
  • Ro 2020, bidh 95% de chleachdadh UEBA gu lèir mar phàirt de àrd-ùrlar tèarainteachd nas fharsainge.

Mìneachadh air fuasglaidhean UEBA

Bidh fuasglaidhean UEBA a’ cleachdadh mion-sgrùdaidhean togte gus gnìomhachd luchd-cleachdaidh agus buidhnean eile a mheasadh (leithid luchd-aoigheachd, tagraidhean, trafaic lìonraidh agus stòran dàta).
Bidh iad a’ lorg chunnartan agus thachartasan a dh’ fhaodadh a bhith ann, mar as trice a’ riochdachadh gnìomhachd neo-riaghailteach an coimeas ri ìomhaigh àbhaisteach agus giùlan luchd-cleachdaidh agus buidhnean ann am buidhnean coltach ris thar ùine.

Is e na cùisean cleachdaidh as cumanta anns an roinn iomairt lorg agus freagairt chunnartan, a bharrachd air lorg agus freagairt do bhagairtean taobh a-staigh (mar as trice luchd-ionnsaigh a-staigh; uaireannan luchd-ionnsaigh a-staigh).

Tha UEBA coltach ri co-dhùnadh, agus gnìomh, air a thogail a-steach do inneal sònraichte:

  • Is e am fuasgladh luchd-saothrachaidh àrd-ùrlaran UEBA “fìor-ghlan”, a ’toirt a-steach luchd-reic a bhios cuideachd a’ reic fuasglaidhean SIEM air leth. Ag amas air raon farsaing de dhuilgheadasan gnìomhachais ann an anailisean giùlain an dà chuid luchd-cleachdaidh agus buidhnean.
  • Leabachadh - Luchd-saothrachaidh / roinnean a bhios ag amalachadh gnìomhan agus teicneòlasan UEBA a-steach do na fuasglaidhean aca. Mar as trice bidh fòcas air seata nas sònraichte de dhuilgheadasan gnìomhachais. Anns a’ chùis seo, bithear a’ cleachdadh UEBA gus giùlan luchd-cleachdaidh agus/no bhuidhnean a sgrùdadh.

Bidh Gartner a’ coimhead air UEBA air trì tuaghan, a’ toirt a-steach luchd-fuasglaidh cheistean, anailisean, agus tobraichean dàta (faic am figear).

Tha margaidh UEBA marbh - UEBA fada beò

Àrd-ùrlaran UEBA “fìor-ghlan” an coimeas ri UEBA togte

Tha Gartner den bheachd gu bheil àrd-ùrlar UEBA “fìor-ghlan” mar fhuasglaidhean a tha:

  • fuasgladh fhaighinn air grunn dhuilgheadasan sònraichte, leithid a bhith a’ cumail sùil air luchd-cleachdaidh sochair no a’ cur a-mach dàta taobh a-muigh na buidhne, agus chan e dìreach an eas-chruthach “cumail sùil air gnìomhachd cleachdaiche neo-riaghailteach”;
  • gabhail a-steach cleachdadh anailisean iom-fhillte, gu riatanach stèidhichte air modhan mion-sgrùdaidh bunaiteach;
  • thoir seachad grunn roghainnean airson cruinneachadh dàta, a’ gabhail a-steach an dà chuid innealan stòr dàta togte agus bho innealan riaghlaidh log, loch dàta agus / no siostaman SIEM, gun fheum èigneachail riochdairean fa leth a chuir a-steach don bhun-structar;
  • faodar a cheannach agus a chleachdadh mar fhuasglaidhean leotha fhèin seach a bhith air an toirt a-steach
    co-dhèanamh de thoraidhean eile.

Tha an clàr gu h-ìosal a’ dèanamh coimeas eadar an dà dhòigh-obrach.

Clàr 1. Fuasglaidhean “fìor-ghlan” UEBA vs feadhainn a tha air an togail a-steach

roinn-seòrsa Àrd-ùrlaran UEBA “fìor-ghlan”. Fuasglaidhean eile le UEBA togte
Trioblaid ri fhuasgladh Mion-sgrùdadh air giùlan luchd-cleachdaidh agus buidhnean. Faodaidh dìth dàta casg a chuir air UEBA gus giùlan luchd-cleachdaidh no buidhnean a-mhàin a sgrùdadh.
Trioblaid ri fhuasgladh A 'frithealadh gus fuasgladh fhaighinn air raon farsaing de dhuilgheadasan Sònraichte ann an seata cuingealaichte de ghnìomhan
Analytics Lorg neo-riaghailteachd a’ cleachdadh diofar dhòighean mion-sgrùdaidh - gu sònraichte tro mhodalan staitistigeil agus ionnsachadh innealan, còmhla ri riaghailtean agus ainmean-sgrìobhte. A’ tighinn le mion-sgrùdaidhean togte gus gnìomhachd luchd-cleachdaidh is eintiteas a chruthachadh agus a choimeas ri pròifilean an cuid agus co-obraichean. Coltach ri UEBA fìor-ghlan, ach faodar mion-sgrùdadh a chuingealachadh ri luchd-cleachdaidh agus / no buidhnean a-mhàin.
Analytics Comasan anailis adhartach, gun a bhith cuibhrichte le riaghailtean a-mhàin. Mar eisimpleir, algorithm cnuasachaidh le cruinneachadh fiùghantach de bhuidhnean. Coltach ri UEBA “fìor-ghlan”, ach chan urrainnear cruinneachadh eintiteas ann an cuid de mhodalan bagairt freumhaichte atharrachadh ach le làimh.
Analytics Co-dhàimh de ghnìomhachd agus giùlan luchd-cleachdaidh agus buidhnean eile (mar eisimpleir, a’ cleachdadh lìonraidhean Bayesian) agus co-chruinneachadh giùlan cunnairt fa leth gus gnìomhachd neo-riaghailteach a chomharrachadh. Coltach ri UEBA fìor-ghlan, ach faodar mion-sgrùdadh a chuingealachadh ri luchd-cleachdaidh agus / no buidhnean a-mhàin.
Stòran dàta A’ faighinn tachartasan air luchd-cleachdaidh agus buidhnean bho stòran dàta gu dìreach tro uidheamachdan togte no stòran dàta a tha ann mar-thà, leithid SIEM no Data lake. Mar as trice chan eil dòighean airson dàta fhaighinn ach dìreach agus a’ toirt buaidh air luchd-cleachdaidh agus/no buidhnean eile a-mhàin. Na cleachd innealan riaghlaidh log / SIEM / loch dàta.
Stòran dàta Bu chòir don fhuasgladh chan ann a-mhàin a bhith an urra ri trafaic lìonraidh mar phrìomh thùs dàta, agus cha bu chòir dha a bhith an urra ris na riochdairean aige fhèin a-mhàin gus telemetry a chruinneachadh. Chan urrainn don fhuasgladh fòcas a chuir air trafaic lìonraidh a-mhàin (mar eisimpleir, NTA - mion-sgrùdadh trafaic lìonraidh) agus / no na riochdairean aige a chleachdadh air innealan crìochnachaidh (mar eisimpleir, goireasan sgrùdaidh luchd-obrach).
Stòran dàta A ’sàthadh dàta cleachdaiche / eintiteas le co-theacsa. A’ toirt taic do chruinneachadh thachartasan structaraichte ann an àm fìor, a bharrachd air dàta co-leanailteach structaraichte/neo-structaraichte bho chlàran IT - mar eisimpleir, Active Directory (AD), no goireasan fiosrachaidh eile a ghabhas leughadh le inneal (mar eisimpleir, stòran-dàta HR). Coltach ri UEBA fìor-ghlan, ach faodaidh farsaingeachd dàta co-theacsa a bhith eadar-dhealaichte bho chùis gu cùis. Is e AD agus LDAP na stòran dàta co-theacsail as cumanta a chleachdar le fuasglaidhean freumhaichte UEBA.
Ri fhaotainn A’ toirt seachad na feartan clàraichte mar thoradh air leth. Tha e do-dhèanta gnìomhachd UEBA togte a cheannach gun a bhith a’ ceannach fuasgladh bhon taobh a-muigh anns a bheil e air a thogail.
Stòr: Gartner (Cèitean 2019)

Mar sin, gus fuasgladh fhaighinn air duilgheadasan sònraichte, faodaidh UEBA freumhaichte mion-sgrùdadh bunaiteach UEBA a chleachdadh (mar eisimpleir, ionnsachadh inneal sìmplidh gun stiùireadh), ach aig an aon àm, air sgàth ruigsinneachd air an dàta riatanach, faodaidh e a bhith gu h-iomlan nas èifeachdaiche na “fìor-ghlan”. Fuasgladh UEBA. Aig an aon àm, tha àrd-ùrlaran UEBA “fìor-ghlan”, mar a bhiodh dùil, a’ tabhann mion-sgrùdaidhean nas iom-fhillte mar am prìomh eòlas an taca ris an inneal UEBA togte. Tha geàrr-chunntas air na toraidhean sin ann an Clàr 2.

Clàr 2. Toradh nan eadar-dhealachaidhean eadar UEBA “fìor-ghlan” agus togte

roinn-seòrsa Àrd-ùrlaran UEBA “fìor-ghlan”. Fuasglaidhean eile le UEBA togte
Analytics Tha iomchaidheachd airson fuasgladh fhaighinn air grunn dhuilgheadasan gnìomhachais a’ ciallachadh seata de ghnìomhan UEBA nas uile-choitcheann le cuideam air mion-sgrùdadh nas iom-fhillte agus modalan ionnsachaidh inneal. Tha fòcas air seata nas lugha de dhuilgheadasan gnìomhachais a’ ciallachadh feartan air leth sònraichte a tha ag amas air modalan a tha sònraichte do thagradh le loidsig nas sìmplidhe.
Analytics Tha feum air gnàthachadh a’ mhodail anailis airson gach suidheachadh tagraidh. Tha modalan anailis air an ro-dhealbhadh airson an inneal anns a bheil UEBA air a thogail a-steach dha. Mar as trice bidh inneal le UEBA togte a’ coileanadh toraidhean nas luaithe ann a bhith a’ fuasgladh cuid de dhuilgheadasan gnìomhachais.
Stòran dàta Cothrom air stòran dàta bho gach ceàrnaidh den bhun-structar corporra. Nas lugha de stòran dàta, mar as trice cuibhrichte leis na tha ri fhaighinn de riochdairean dhaibh no an inneal fhèin le gnìomhan UEBA.
Stòran dàta Faodaidh am fiosrachadh a tha anns gach log a bhith cuibhrichte leis an stòr dàta agus is dòcha nach bi an dàta riatanach gu lèir ann airson inneal meadhanaichte UEBA. Faodar meud agus mion-fhiosrachadh an dàta amh a chruinnich an neach-ionaid agus a chuir gu UEBA a dhealbhadh gu sònraichte.
ailtireachd Is e toradh UEBA iomlan a th’ ann airson buidheann. Tha amalachadh nas fhasa le bhith a’ cleachdadh comasan siostam SIEM no loch Dàta. Tha feum air seata air leth de fheartan UEBA airson gach aon de na fuasglaidhean a tha air UEBA a thogail a-steach. Gu tric feumaidh fuasglaidhean freumhaichte UEBA riochdairean stàlaidh agus riaghladh dàta.
Integreachadh Amalachadh làimhe de fhuasgladh UEBA le innealan eile anns gach cùis. A’ leigeil le buidheann a chruach teicneòlais a thogail stèidhichte air an dòigh-obrach “as fheàrr am measg analogues”. Tha na prìomh phasgan de ghnìomhan UEBA air an toirt a-steach don inneal fhèin leis an neach-dèanamh. Tha modal UEBA air a thogail a-steach agus chan urrainnear a thoirt air falbh, agus mar sin chan urrainn do luchd-ceannach rudeigin aca fhèin a chuir na àite.
Stòr: Gartner (Cèitean 2019)

UEBA mar ghnìomh

Tha UEBA a’ fàs na fheart de fhuasglaidhean cybersecurity deireadh-gu-deireadh a gheibh buannachd bho anailisean a bharrachd. Tha UEBA mar bhunait ris na fuasglaidhean sin, a’ toirt seachad sreath chumhachdach de mhion-sgrùdadh adhartach stèidhichte air pàtrain giùlan luchd-cleachdaidh agus/no eintiteas.

An-dràsta air a’ mhargaidh, tha comas-gnìomh UEBA togte air a chuir an gnìomh anns na fuasglaidhean a leanas, air an cruinneachadh a rèir raon teicneòlais:

  • Sgrùdadh agus dìon stèidhichte air dàta, nan luchd-reic a tha ag amas air leasachadh tèarainteachd stòradh dàta structaraichte agus neo-structaraichte (aka DCAP).

    Anns an roinn seo de luchd-reic, tha Gartner a 'toirt fa-near, am measg rudan eile, Àrd-ùrlar cybersecurity Varonis, a tha a’ tabhann anailisean giùlan luchd-cleachdaidh gus sùil a chumail air atharrachaidhean ann an ceadan dàta neo-structaraichte, ruigsinneachd, agus cleachdadh thar diofar stòran fiosrachaidh.

  • siostaman CASB, a’ tabhann dìon an aghaidh diofar chunnartan ann an tagraidhean SaaS stèidhichte air sgòthan le bhith a’ bacadh ruigsinneachd air seirbheisean sgòthan airson innealan, luchd-cleachdaidh agus dreachan tagraidh nach eileas ag iarraidh a’ cleachdadh siostam smachd ruigsinneachd atharrachail.

    Tha a h-uile fuasgladh CASB a tha air thoiseach air a’ mhargaidh a’ toirt a-steach comasan UEBA.

  • Fuasglaidhean DLP - le fòcas air a bhith a’ lorg gluasad dàta èiginneach taobh a-muigh na buidhne no a dhroch dhìol.

    Tha adhartasan DLP stèidhichte gu ìre mhòr air tuigse susbaint, le nas lugha de chuimse air a bhith a’ tuigsinn co-theacsa leithid neach-cleachdaidh, cleachdadh, àite, ùine, astar thachartasan, agus nithean eile bhon taobh a-muigh. Gus a bhith èifeachdach, feumaidh toraidhean DLP an dà chuid susbaint agus co-theacsa aithneachadh. Sin as coireach gu bheil mòran de luchd-saothrachaidh a’ tòiseachadh air gnìomhachd UEBA fhilleadh a-steach do na fuasglaidhean aca.

  • Sgrùdadh luchd-obrach an comas gnìomhan luchd-obrach a chlàradh agus ath-chluich, mar as trice ann an cruth dàta a tha iomchaidh airson cùisean laghail (ma tha sin riatanach).

    Bidh a bhith a’ cumail sùil air luchd-cleachdaidh gu tric a’ gineadh cus dàta a dh’ fheumas sìoladh làimhe agus mion-sgrùdadh daonna. Mar sin, thathas a’ cleachdadh UEBA taobh a-staigh siostaman sgrùdaidh gus coileanadh nam fuasglaidhean sin a leasachadh agus dìreach tachartasan àrd-chunnart a lorg.

  • Tèarainteachd Endpoint - Bidh fuasglaidhean lorg agus freagairt Endpoint (EDR) agus àrd-ùrlaran dìon endpoint (EPP) a’ toirt seachad ionnstramaid cumhachdach agus telemetry siostam obrachaidh gu
    innealan crìochnachaidh.

    Faodar an leithid de telemetry co-cheangailte ri luchd-cleachdaidh a sgrùdadh gus comas-gnìomh UEBA a thoirt a-steach.

  • Foill air-loidhne - Bidh fuasglaidhean lorg foill air-loidhne a’ lorg gnìomhachd meallta a tha a’ nochdadh co-rèiteachadh air cunntas neach-ceannach tro spoof, malware, no brath air ceanglaichean neo-thèarainte / eadar-bheachd trafaic brabhsair.

    Bidh a’ mhòr-chuid de fhuasglaidhean foill a’ cleachdadh brìgh UEBA, mion-sgrùdadh malairt agus tomhas innealan, le siostaman nas adhartaiche a’ cur riutha le bhith a’ maidseadh dhàimhean anns an stòr-dàta dearbh-aithne.

  • IAM agus smachd ruigsinneachd - Tha Gartner a’ toirt fa-near gluasad mean-fhàs am measg luchd-reic siostaman smachd ruigsinneachd gus amalachadh le luchd-reic fìor agus cuid de ghnìomhachd UEBA a thogail a-steach do na toraidhean aca.
  • IAM agus siostaman Riaghladh agus Rianachd Dearbh-aithne (IGA). Cleachd UEBA gus dèiligeadh ri suidheachaidhean anailis giùlain is dearbh-aithne leithid lorg neo-riaghailteachd, mion-sgrùdadh buidheann fiùghantach de bhuidhnean coltach ris, mion-sgrùdadh logadh a-steach, agus mion-sgrùdadh poileasaidh ruigsinneachd.
  • IAM agus Riaghladh Ruigsinneachd Sochair (PAM) - Mar thoradh air an àite a bhith a’ cumail sùil air cleachdadh chunntasan rianachd, tha telemetry aig fuasglaidhean PAM gus sealltainn ciamar, carson, cuin agus càite an deach cunntasan rianachd a chleachdadh. Faodar an dàta seo a mhion-sgrùdadh a’ cleachdadh comas-gnìomh UEBA airson giùlan neo-riaghailteach luchd-rianachd no rùn droch-rùnach a bhith ann.
  • Luchd-saothrachaidh NTA (Mion-sgrùdadh Trafaic Lìonra) - cleachd measgachadh de ionnsachadh innealan, mion-sgrùdadh adhartach agus lorg stèidhichte air riaghailtean gus gnìomhachd amharasach air lìonraidhean corporra a chomharrachadh.

    Bidh innealan NTA an-còmhnaidh a’ sgrùdadh trafaic stòr agus / no clàran sruthadh (me NetFlow) gus modalan a thogail a tha a ’nochdadh giùlan lìonra àbhaisteach, gu sònraichte ag amas air anailisean giùlan eintiteas.

  • siem - tha gnìomhachd anailis dàta adhartach aig mòran de luchd-reic SIEM a-nis air an togail a-steach do SIEM, no mar mhodal UEBA air leth. Tron 2018 agus gu ruige seo ann an 2019, tha blur leantainneach air a bhith ann de na crìochan eadar gnìomhachd SIEM agus UEBA, mar a chaidh a dheasbad san artaigil "Lèirmheas Teicneòlais airson an SIEM Nuadh". Tha siostaman SIEM air fàs nas fheàrr air a bhith ag obair le anailisean agus a’ tabhann suidheachaidhean tagraidh nas iom-fhillte.

Scenarios Iarrtas UEBA

Faodaidh fuasglaidhean UEBA fuasgladh fhaighinn air raon farsaing de dhuilgheadasan. Ach, tha teachdaichean Gartner ag aontachadh gu bheil a’ phrìomh chùis cleachdaidh a’ toirt a-steach a bhith a’ lorg diofar roinnean de chunnartan, air a choileanadh le bhith a’ taisbeanadh agus a’ sgrùdadh co-dhàimhean tric eadar giùlan luchd-cleachdaidh agus buidhnean eile:

  • ruigsinneachd gun chead agus gluasad dàta;
  • giùlan amharasach luchd-cleachdaidh sochair, gnìomhan droch-rùnach no gun chead luchd-obrach;
  • ruigsinneachd neo-àbhaisteach agus cleachdadh ghoireasan neòil;
  • agus feadhainn eile.

Tha grunn chùisean cleachdaidh neo-thèarainteachd neo-àbhaisteach ann cuideachd, leithid foill no sgrùdadh luchd-obrach, air am faodadh UEBA a bhith air fhìreanachadh. Ach, gu tric bidh feum aca air tobraichean dàta nach eil co-cheangailte ri IT agus tèarainteachd fiosrachaidh, no modalan mion-sgrùdaidh sònraichte le tuigse dhomhainn air an raon seo. Tha na còig prìomh shuidheachaidhean agus tagraidhean a tha an dà chuid luchd-saothrachaidh UEBA agus an luchd-ceannach ag aontachadh air am mìneachadh gu h-ìosal.

"An taobh a-staigh droch-rùnach"

Chan eil solaraichean fuasglaidh UEBA a tha a’ còmhdach an t-suidheachaidh seo ach a’ cumail sùil air luchd-obrach agus cunnradairean earbsach airson giùlan neo-àbhaisteach, “dona,” no droch-rùnach. Cha bhith luchd-reic san raon eòlais seo a’ cumail sùil air no a’ sgrùdadh giùlan cunntasan seirbheis no buidhnean neo-dhaonna eile. Gu ìre mhòr air sgàth seo, chan eil iad a 'cuimseachadh air a bhith a' lorg bagairtean adhartach far am bi luchd-tarraing a 'gabhail thairis cunntasan a th' ann mar-thà. An àite sin, tha iad ag amas air luchd-obrach a tha an sàs ann an gnìomhan cronail a chomharrachadh.

Gu bunaiteach, tha bun-bheachd “taobh a-staigh droch-rùnach” a ’tighinn bho luchd-cleachdaidh earbsach le rùn droch-rùnach a tha a’ sireadh dhòighean air milleadh a dhèanamh air an neach-fastaidh aca. Leis gu bheil e duilich rùn droch-rùnach a thomhas, bidh na reiceadairean as fheàrr san roinn seo a’ sgrùdadh dàta giùlan co-theacsail nach eil ri fhaighinn gu furasta ann an logaichean sgrùdaidh.

Bidh solaraichean fuasglaidh san àite seo cuideachd a’ cur ris agus a’ sgrùdadh dàta neo-structaraichte, leithid susbaint post-d, aithisgean cinneasachd, no fiosrachadh meadhanan sòisealta, gus co-theacsa airson giùlan a thoirt seachad.

Cunnartan taobh a-staigh agus sàrachadh

Is e an dùbhlan giùlan “droch” a lorg agus a sgrùdadh gu sgiobalta aon uair ‘s gu bheil an neach-ionnsaigh air faighinn chun bhuidheann agus a’ tòiseachadh a ’gluasad taobh a-staigh a’ bhun-structair IT.
Tha bagairtean dearbhte (APTn), leithid bagairtean neo-aithnichte no nach eil air an làn thuigsinn fhathast, air leth duilich a lorg agus gu tric a’ falach air cùl gnìomhachd cleachdaiche dligheach no cunntasan seirbheis. Mar as trice bidh modal obrachaidh iom-fhillte aig bagairtean mar seo (faic, mar eisimpleir, an artaigil “ A 'bruidhinn air an Cyber ​​​​Kill Chain”) no nach deach an giùlan aca a mheasadh fhathast mar chron. Tha seo gan dèanamh duilich an lorg le bhith a’ cleachdadh mion-sgrùdaidhean sìmplidh (leithid maidseadh le pàtrain, stairsnich, no riaghailtean co-dhàimh).

Ach, tha mòran de na bagairtean sàrachail sin a’ leantainn gu giùlan neo-àbhaisteach, gu tric a’ toirt a-steach luchd-cleachdaidh no buidhnean gun amharas (aka insiders a tha fo chunnart). Tha dòighean UEBA a’ tabhann grunn chothroman inntinneach airson a leithid de chunnartan a lorg, co-mheas comharra-gu-fuaim adhartachadh, daingneachadh agus lughdachadh meud fios, prìomhachas a thoirt do rabhaidhean a tha air fhàgail, agus freagairt èifeachdach agus sgrùdadh tachartais a dhèanamh comasach.

Gu tric bidh luchd-reic UEBA a tha ag amas air an raon duilgheadas seo a ’ceangal dà-stiùiridh ri siostaman SIEM na buidhne.

Sgaoileadh dàta

Is e an obair sa chùis seo faighinn a-mach gu bheil dàta ga ghluasad taobh a-muigh na buidhne.
Mar as trice bidh luchd-reic a’ cuimseachadh air an dùbhlan seo a’ luathachadh comasan DLP no DAG le lorg neo-riaghailteachd agus mion-sgrùdaidhean adhartach, mar sin a’ leasachadh co-mheas comharra-gu-fuaim, a’ daingneachadh meud fios, agus a’ toirt prìomhachas do na brosnachaidhean a tha air fhàgail. Airson co-theacsa a bharrachd, mar as trice bidh luchd-reic an urra nas motha air trafaic lìonraidh (leithid luchd-ionaid lìn) agus dàta puing crìochnachaidh, oir faodaidh mion-sgrùdadh air na stòran dàta sin cuideachadh le sgrùdaidhean às-tharraing dàta.

Thathas a’ cleachdadh lorgadh às-shìoladh dàta gus daoine a-staigh agus luchd-hackers a tha a’ bagairt air a’ bhuidheann a ghlacadh.

Comharrachadh agus riaghladh ruigsinneachd sochair

Bidh luchd-saothrachaidh fuasglaidhean neo-eisimeileach UEBA anns an raon eòlais seo a’ cumail sùil air agus a’ sgrùdadh giùlan luchd-cleachdaidh an aghaidh cùl-raon siostam chòraichean a chaidh a chruthachadh mar-thà gus cus shochairean no ruigsinneachd neo-riaghailteach a chomharrachadh. Tha seo a’ buntainn ri gach seòrsa neach-cleachdaidh agus cunntas, a’ toirt a-steach cunntasan sochair agus seirbheis. Bidh buidhnean cuideachd a’ cleachdadh UEBA gus cuidhteas fhaighinn de chunntasan dìomhain agus sochairean luchd-cleachdaidh a tha nas àirde na tha riatanach.

Prìomhachas tachartas

Is e amas na h-obrach seo prìomhachas a thoirt do fhiosan a thig bho fhuasglaidhean anns a’ chruach teicneòlais aca gus tuigsinn dè na tachartasan no na tachartasan a dh’ fhaodadh a bhith air am bu chòir dèiligeadh an toiseach. Tha dòighean-obrach agus innealan UEBA feumail ann a bhith a’ comharrachadh thachartasan a tha gu sònraichte neo-riaghailteach no gu sònraichte cunnartach airson buidheann sònraichte. Anns a 'chùis seo, chan e a-mhàin gu bheil inneal UEBA a' cleachdadh a 'bhun-ìre de ghnìomhachd agus mhodailean bagairt, ach bidh e cuideachd a' lìonadh an dàta le fiosrachadh mu structar eagrachaidh a 'chompanaidh (mar eisimpleir, goireasan no dreuchdan riatanach agus ìrean ruigsinneachd luchd-obrach).

Duilgheadasan a thaobh buileachadh fuasglaidhean UEBA

Is e pian margaidh fuasglaidhean UEBA am prìs àrd, buileachadh iom-fhillte, cumail suas agus cleachdadh. Fhad ‘s a tha companaidhean a’ strì leis an àireamh de dhiofar phuirt a-staigh, tha iad a ’faighinn tòcan eile. Tha meud an tasgadh ùine agus goireasan ann an acfhainn ùr an crochadh air na gnìomhan aig làimh agus an seòrsa analytics a tha a dhìth gus fuasgladh fhaighinn orra, agus mar as trice a 'cur feum air tasgaidhean mòra.

A dh’ aindeoin na tha mòran de luchd-saothrachaidh ag ràdh, chan e inneal “set it and forget it” a th’ ann an UEBA a dh’ fhaodas ruith gu leantainneach airson làithean air dheireadh.
Tha luchd-dèiligidh Gartner, mar eisimpleir, a’ toirt fa-near gu bheil e a’ toirt bho 3 gu 6 mìosan gus iomairt UEBA a chuir air bhog bhon fhìor thoiseach gus na ciad thoraidhean fhaighinn bho bhith a’ fuasgladh nan duilgheadasan airson an deach am fuasgladh seo a bhuileachadh. Airson gnìomhan nas iom-fhillte, leithid comharrachadh bagairtean taobh a-staigh buidheann, bidh an ùine ag èirigh gu 18 mìosan.

Factaran a bheir buaidh air an duilgheadas ann a bhith a’ buileachadh UEBA agus èifeachdas an inneil san àm ri teachd:

  • Iom-fhillteachd ailtireachd eagrachaidh, topology lìonra agus poileasaidhean stiùireadh dàta
  • Ri fhaighinn air an dàta cheart aig an ìre cheart de mhion-fhiosrachadh
  • Iom-fhillteachd algorithman anailis an neach-reic - mar eisimpleir, cleachdadh mhodalan staitistigeil agus ionnsachadh innealan an coimeas ri pàtrain agus riaghailtean sìmplidh.
  • An ìre de mhion-sgrùdaidhean ro-shuidhichte air an toirt a-steach - is e sin, tuigse an neach-dèanamh air dè an dàta a dh’ fheumar a chruinneachadh airson gach gnìomh agus dè na caochladairean agus na buadhan a tha as cudromaiche airson an anailis a dhèanamh.
  • Dè cho furasta ‘s a tha e don neach-dèanamh amalachadh gu fèin-ghluasadach leis an dàta riatanach.

    Mar eisimpleir:

    • Ma tha fuasgladh UEBA a’ cleachdadh siostam SIEM mar phrìomh thùs an dàta aige, am bi an SIEM a’ cruinneachadh fiosrachadh bho na stòran dàta a tha a dhìth?
    • An urrainnear na logaichean tachartais riatanach agus dàta co-theacsa eagrachaidh a chuir gu fuasgladh UEBA?
    • Mura h-eil siostam SIEM fhathast a’ cruinneachadh agus a’ cumail smachd air na stòran dàta a dh’ fheumas fuasgladh UEBA, ciamar a ghabhas an gluasad an sin?

  • Dè cho cudromach sa tha suidheachadh an tagraidh don bhuidheann, cia mheud stòr dàta a dh’ fheumas e, agus dè an ìre gu bheil an obair seo a’ dol thairis air raon eòlais an neach-dèanamh.
  • Dè an ìre de dh’ inbheachd agus com-pàirt eagrachaidh a tha a dhìth – mar eisimpleir, cruthachadh, leasachadh agus leasachadh riaghailtean agus mhodalan; a 'sònrachadh cuideaman gu caochladairean airson measadh; no atharrachadh an stairsnich measadh cunnairt.
  • Dè cho scalable ’s a tha fuasgladh an neach-reic agus an ailtireachd aige an coimeas ri meud gnàthach na buidhne agus na riatanasan aice san àm ri teachd.
  • Ùine airson modalan bunaiteach, pròifilean agus prìomh bhuidhnean a thogail. Gu tric feumaidh luchd-saothrachaidh co-dhiù 30 latha (agus uaireannan suas ri 90 latha) gus mion-sgrùdadh a dhèanamh mus urrainn dhaibh bun-bheachdan “àbhaisteach” a mhìneachadh. Faodaidh luchdachadh dàta eachdraidheil aon uair trèanadh modail a luathachadh. Faodar cuid de chùisean inntinneach a chomharrachadh nas luaithe le bhith a’ cleachdadh riaghailtean na bhith a’ cleachdadh ionnsachadh inneal le glè bheag de dhàta tòiseachaidh.
  • Faodaidh an ìre oidhirp a dh’ fheumar gus cruinneachadh fiùghantach agus pròifil cunntais (seirbheis/neach) a thogail atharrachadh gu mòr eadar fuasglaidhean.

Source: www.habr.com

Cuir beachd ann