ProHoster > Blog > noticias de internet > O mercado da UEBA está morto - viva a UEBA

O mercado da UEBA está morto - viva a UEBA

O mercado da UEBA está morto - viva a UEBA

Hoxe ofreceremos unha breve visión xeral do mercado de análise de comportamento de usuarios e entidades (UEBA) baseado nas últimas Investigación de Gartner. O mercado da UEBA está na parte inferior da "etapa de desilusión" segundo o Gartner Hype Cycle for Threat-Facing Technologies, o que indica a madurez da tecnoloxía. Pero o paradoxo da situación reside no crecemento xeral simultáneo dos investimentos en tecnoloxías UEBA e na desaparición do mercado das solucións independentes da UEBA. Gartner prevé que a UEBA pasará a formar parte da funcionalidade das solucións de seguridade da información relacionadas. Probablemente o termo "UEBA" quedará sen uso e será substituído por outro acrónimo centrado nunha área de aplicación máis estreita (por exemplo, "analítica do comportamento do usuario"), unha área de aplicación similar (por exemplo, "analítica de datos"), ou simplemente se converterá nun nova palabra de moda (por exemplo, o termo "intelixencia artificial" [AI] parece interesante, aínda que non ten ningún sentido para os fabricantes modernos de UEBA).

As principais conclusións do estudo de Gartner pódense resumir do seguinte xeito:

  • A madurez do mercado de análise de comportamento de usuarios e entidades está confirmada polo feito de que estas tecnoloxías son utilizadas polo segmento corporativo mediano e grande para resolver unha serie de problemas comerciais;
  • As capacidades de análise de UEBA están integradas nunha ampla gama de tecnoloxías de seguridade da información relacionadas, como os corredores de seguridade de acceso á nube (CASB), os sistemas SIEM de goberno e administración de identidades (IGA);
  • O bombo en torno aos provedores da UEBA e o uso incorrecto do termo "intelixencia artificial" dificulta que os clientes comprendan a verdadeira diferenza entre as tecnoloxías dos fabricantes e a funcionalidade das solucións sen levar a cabo un proxecto piloto;
  • Os clientes sinalan que o tempo de implementación e o uso diario das solucións UEBA poden ser máis laboriosos e lentos do que promete o fabricante, mesmo cando se consideran só modelos básicos de detección de ameazas. Engadir casos de uso personalizados ou de borde pode ser extremadamente difícil e require experiencia en ciencia de datos e análise.

Previsión de desenvolvemento estratéxico do mercado:

  • Para 2021, o mercado dos sistemas de análise do comportamento de usuarios e entidades (UEBA) deixará de existir como unha área separada e desprazarase cara a outras solucións con funcionalidade UEBA;
  • Para 2020, o 95 % de todas as implementacións de UEBA formarán parte dunha plataforma de seguridade máis ampla.

Definición de solucións UEBA

As solucións UEBA usan análises integradas para avaliar a actividade dos usuarios e outras entidades (como hosts, aplicacións, tráfico de rede e almacéns de datos).
Detectan ameazas e incidentes potenciais, que normalmente representan unha actividade anómala en comparación co perfil e comportamento estándar de usuarios e entidades de grupos similares durante un período de tempo.

Os casos de uso máis comúns no segmento empresarial son a detección e resposta de ameazas, así como a detección e resposta a ameazas internas (principalmente persoas internas comprometidas; ás veces atacantes internos).

UEBA é como decisiónE función, integrado nunha ferramenta específica:

  • A solución son os fabricantes de plataformas UEBA "puras", incluíndo provedores que tamén venden solucións SIEM por separado. Centrado nunha ampla gama de problemas empresariais en análise de comportamento tanto de usuarios como de entidades.
  • Integrado: fabricantes/divisións que integran funcións e tecnoloxías da UEBA nas súas solucións. Normalmente céntrase nun conxunto máis específico de problemas empresariais. Neste caso, a UEBA utilízase para analizar o comportamento dos usuarios e/ou entidades.

Gartner ve a UEBA ao longo de tres eixes, que inclúen solucionadores de problemas, análises e fontes de datos (ver figura).

O mercado da UEBA está morto - viva a UEBA

Plataformas UEBA "puras" fronte a UEBA integrada

Gartner considera que unha plataforma UEBA "pura" son solucións que:

  • resolver varios problemas específicos, como o seguimento de usuarios privilexiados ou a saída de datos fóra da organización, e non só o abstracto "seguimento da actividade anómala do usuario";
  • implican o uso de análises complexas, necesariamente baseadas en enfoques analíticos básicos;
  • proporcionar varias opcións para a recollida de datos, incluíndo mecanismos de fonte de datos integrados e ferramentas de xestión de rexistros, Data lake e/ou sistemas SIEM, sen a necesidade obrigatoria de implantar axentes separados na infraestrutura;
  • pódese mercar e implementar como solucións autónomas en lugar de incluír
    composición doutros produtos.

A seguinte táboa compara os dous enfoques.

Táboa 1. Solucións UEBA "puras" fronte ás integradas

categoría Plataformas UEBA "puras". Outras solucións con UEBA incorporada
Problema por resolver Análise do comportamento e das entidades dos usuarios. A falta de datos pode limitar a UEBA para analizar o comportamento só de usuarios ou entidades.
Problema por resolver Serve para resolver unha ampla gama de problemas Especializado nun conxunto limitado de tarefas
Analítica Detección de anomalías mediante diversos métodos analíticos, principalmente mediante modelos estatísticos e aprendizaxe automática, xunto con regras e sinaturas. Vén con análises integradas para crear e comparar a actividade dos usuarios e das entidades cos perfís dos seus e dos seus compañeiros. Similar á UEBA pura, pero a análise pode limitarse só a usuarios e/ou entidades.
Analítica Capacidades analíticas avanzadas, non limitadas só por regras. Por exemplo, un algoritmo de agrupación con agrupación dinámica de entidades. Similar á UEBA "pura", pero a agrupación de entidades nalgúns modelos de ameazas incorporadas só se pode cambiar manualmente.
Analítica Correlación de actividade e comportamento de usuarios e outras entidades (por exemplo, utilizando redes bayesianas) e agregación de comportamentos individuais de risco para identificar a actividade anómala. Similar á UEBA pura, pero a análise pode limitarse só a usuarios e/ou entidades.
Fontes de datos Recibir eventos sobre usuarios e entidades desde fontes de datos directamente a través de mecanismos integrados ou almacéns de datos existentes, como SIEM ou Data lake. Os mecanismos de obtención de datos adoitan ser só directos e afectan só aos usuarios e/ou a outras entidades. Non use ferramentas de xestión de rexistros / SIEM / Data Lake.
Fontes de datos A solución non debe depender só do tráfico de rede como fonte principal de datos, nin debe depender só dos seus propios axentes para recoller a telemetría. A solución só pode centrarse no tráfico de rede (por exemplo, NTA - análise de tráfico de rede) e/ou usar os seus axentes en dispositivos finais (por exemplo, as utilidades de seguimento dos empregados).
Fontes de datos Saturar os datos de usuario/entidade co contexto. Admite a recollida de eventos estruturados en tempo real, así como datos cohesivos estruturados/non estruturados de directorios de TI, por exemplo, Active Directory (AD) ou outros recursos de información lexibles por máquinas (por exemplo, bases de datos de recursos humanos). Semellante á UEBA pura, pero o alcance dos datos contextuais pode diferir dun caso a outro. AD e LDAP son os almacéns de datos contextuais máis comúns utilizados polas solucións integradas de UEBA.
Dispoñibilidade Ofrece as funcións enumeradas como produto autónomo. É imposible mercar a funcionalidade integrada de UEBA sen mercar unha solución externa na que está construída.
Fonte: Gartner (maio de 2019)

Así, para resolver certos problemas, a UEBA integrada pode usar análises básicas de UEBA (por exemplo, aprendizaxe automática simple sen supervisión), pero ao mesmo tempo, debido ao acceso a exactamente os datos necesarios, pode ser, en xeral, máis eficaz que un "puro" Solución UEBA. Ao mesmo tempo, as plataformas UEBA "puras", como era de esperar, ofrecen análises máis complexas como principal coñecemento en comparación coa ferramenta integrada de UEBA. Estes resultados resúmense na táboa 2.

Táboa 2. O resultado das diferenzas entre UEBA “pura” e incorporada

categoría Plataformas UEBA "puras". Outras solucións con UEBA incorporada
Analítica A aplicabilidade para resolver unha variedade de problemas empresariais implica un conxunto máis universal de funcións UEBA con énfase en modelos máis complexos de análise e aprendizaxe automática. Centrarse nun conxunto menor de problemas empresariais significa características altamente especializadas que se centran en modelos específicos de aplicacións cunha lóxica máis sinxela.
Analítica A personalización do modelo analítico é necesaria para cada escenario de aplicación. Os modelos analíticos están preconfigurados para a ferramenta que incorpora UEBA. Unha ferramenta con UEBA incorporada xeralmente consegue resultados máis rápidos na resolución de certos problemas empresariais.
Fontes de datos Acceso a fontes de datos de todos os recunchos da infraestrutura corporativa. Menos fontes de datos, normalmente limitadas pola dispoñibilidade de axentes para elas ou pola propia ferramenta con funcións UEBA.
Fontes de datos A información contida en cada rexistro pode estar limitada pola fonte de datos e pode non conter todos os datos necesarios para a ferramenta centralizada UEBA. A cantidade e o detalle dos datos en bruto recollidos polo axente e transmitidos a UEBA pódense configurar especificamente.
Arquitectura É un produto completo da UEBA para unha organización. A integración é máis sinxela usando as capacidades dun sistema SIEM ou Data Lake. Require un conxunto separado de funcións UEBA para cada unha das solucións que teñan UEBA incorporada. As solucións integradas de UEBA adoitan necesitar instalar axentes e xestionar datos.
Integración Integración manual da solución UEBA con outras ferramentas en cada caso. Permite a unha organización construír a súa pila de tecnoloxía baseándose no enfoque do "mellor entre análogos". Os principais paquetes de funcións UEBA xa están incluídos na propia ferramenta polo fabricante. O módulo UEBA está integrado e non se pode eliminar, polo que os clientes non poden substituílo por algo propio.
Fonte: Gartner (maio de 2019)

UEBA como función

UEBA estase a converter nunha característica das solucións de ciberseguridade de extremo a extremo que poden beneficiarse de análises adicionais. UEBA subxace nestas solucións, proporcionando unha poderosa capa de análise avanzada baseada en patróns de comportamento de usuarios e/ou entidades.

Actualmente no mercado, a funcionalidade integrada de UEBA está implementada nas seguintes solucións, agrupadas por ámbito tecnolóxico:

  • Auditoría e protección centradas en datos, son provedores que se centran en mellorar a seguridade do almacenamento de datos estruturados e non estruturados (tamén coñecido como DCAP).

    Nesta categoría de provedores, Gartner sinala, entre outras cousas, Plataforma de ciberseguridade Varonis, que ofrece análises de comportamento dos usuarios para supervisar os cambios nos permisos de datos non estruturados, o acceso e o uso en diferentes almacéns de información.

  • Sistemas CASB, que ofrece protección contra varias ameazas en aplicacións SaaS baseadas na nube ao bloquear o acceso aos servizos na nube para dispositivos, usuarios e versións de aplicacións non desexadas mediante un sistema de control de acceso adaptativo.

    Todas as solucións CASB líderes no mercado inclúen capacidades UEBA.

  • Solucións DLP – enfocado a detectar a transferencia de datos críticos fóra da organización ou o seu abuso.

    Os avances do DLP baséanse en gran medida na comprensión do contido, con menos atención na comprensión do contexto como o usuario, a aplicación, a localización, o tempo, a velocidade dos eventos e outros factores externos. Para ser efectivos, os produtos DLP deben recoñecer tanto o contido como o contexto. É por iso que moitos fabricantes están empezando a integrar a funcionalidade UEBA nas súas solucións.

  • Seguimento dos empregados é a capacidade de rexistrar e reproducir as accións dos empregados, normalmente nun formato de datos axeitado para procesos xudiciais (se é necesario).

    O seguimento constante dos usuarios adoita xerar unha cantidade abafadora de datos que requiren filtrado manual e análise humana. Por iso, a UEBA utilízase dentro dos sistemas de monitorización para mellorar o rendemento destas solucións e detectar só incidentes de alto risco.

  • Seguridade do punto final – As solucións de detección e resposta de puntos finais (EDR) e as plataformas de protección de puntos finais (EPP) proporcionan unha potente instrumentación e telemetría do sistema operativo para
    dispositivos finais.

    Esta telemetría relacionada co usuario pódese analizar para proporcionar a funcionalidade integrada de UEBA.

  • Fraude en liña – As solucións de detección de fraude en liña detectan actividade desviada que indica que a conta dun cliente está comprometida mediante unha falsificación, software malicioso ou explotación de conexións non seguras/interceptación do tráfico do navegador.

    A maioría das solucións de fraude usan a esencia da UEBA, a análise de transaccións e a medición de dispositivos, con sistemas máis avanzados que as complementan mediante relacións de coincidencia na base de datos de identidades.

  • IAM e control de acceso – Gartner observa unha tendencia evolutiva entre os provedores de sistemas de control de acceso para integrarse con provedores puros e construír algunha funcionalidade UEBA nos seus produtos.
  • IAM e sistemas de goberno e administración de identidades (IGA). use UEBA para cubrir escenarios de análise de comportamento e identidade, como detección de anomalías, análise de agrupación dinámica de entidades similares, análise de inicio de sesión e análise de políticas de acceso.
  • IAM e xestión de acceso privilexiado (PAM) – Debido á función de vixiar o uso das contas administrativas, as solucións PAM teñen telemetría para mostrar como, por que, cando e onde se utilizaron as contas administrativas. Estes datos pódense analizar mediante a funcionalidade integrada de UEBA para detectar a presenza de comportamentos anómalos dos administradores ou intención maliciosa.
  • Fabricantes NTA (Network Traffic Analysis) – Use unha combinación de aprendizaxe automática, análise avanzada e detección baseada en regras para identificar actividades sospeitosas nas redes corporativas.

    As ferramentas de NTA analizan continuamente o tráfico de orixe e/ou os rexistros de fluxo (por exemplo, NetFlow) para crear modelos que reflictan o comportamento normal da rede, centrándose principalmente na análise do comportamento das entidades.

  • siem – moitos provedores de SIEM teñen agora unha funcionalidade avanzada de análise de datos integrada en SIEM ou como un módulo UEBA separado. Ao longo de 2018 e no que vai de 2019, produciuse unha continua difuminación dos límites entre a funcionalidade SIEM e UEBA, como se comenta no artigo "Perspectiva tecnolóxica para o SIEM moderno". Os sistemas SIEM foron mellores para traballar con análises e ofrecer escenarios de aplicación máis complexos.

Escenarios de aplicación da UEBA

As solucións da UEBA poden resolver unha ampla gama de problemas. Non obstante, os clientes de Gartner coinciden en que o caso de uso principal implica detectar varias categorías de ameazas, conseguidas mostrando e analizando correlacións frecuentes entre o comportamento do usuario e outras entidades:

  • acceso non autorizado e movemento de datos;
  • comportamento sospeitoso dos usuarios privilexiados, actividade maliciosa ou non autorizada dos empregados;
  • acceso e uso non estándar de recursos na nube;
  • etc

Tamén hai unha serie de casos de uso atípicos non relacionados coa ciberseguridade, como fraude ou seguimento dos empregados, para os que se pode xustificar a UEBA. Non obstante, a miúdo requiren fontes de datos fóra da seguridade da información e das TI, ou modelos analíticos específicos cun profundo coñecemento desta área. A continuación descríbense os cinco escenarios e aplicacións principais nos que coinciden os fabricantes de UEBA e os seus clientes.

"Insider malicioso"

Os provedores de solucións UEBA que cobren este escenario só supervisan os empregados e os contratistas de confianza para detectar comportamentos inusuales, "malos" ou maliciosos. Os provedores desta área de especialización non supervisan nin analizan o comportamento das contas de servizos ou doutras entidades non humanas. En gran parte por iso, non se centran en detectar ameazas avanzadas onde os piratas informáticos se apoderan das contas existentes. Pola contra, teñen como obxectivo identificar aos empregados implicados en actividades prexudiciais.

Esencialmente, o concepto de "insider malicioso" deriva de usuarios de confianza con intención maliciosa que buscan formas de causar dano ao seu empregador. Debido a que a intención maliciosa é difícil de medir, os mellores provedores desta categoría analizan datos de comportamento contextuais que non están facilmente dispoñibles nos rexistros de auditoría.

Os provedores de solucións deste espazo tamén engaden e analizan de forma óptima datos non estruturados, como contido de correo electrónico, informes de produtividade ou información de redes sociais, para proporcionar contexto para o comportamento.

Ameazas internas comprometidas e intrusivas

O reto é detectar e analizar rapidamente o comportamento "malo" unha vez que o atacante teña acceso á organización e comece a moverse dentro da infraestrutura de TI.
As ameazas asertivas (APT), como as ameazas descoñecidas ou aínda non completamente comprendidas, son extremadamente difíciles de detectar e moitas veces esconden detrás da actividade lexítima dos usuarios ou das contas de servizo. Tales ameazas adoitan ter un modelo operativo complexo (ver, por exemplo, o artigo “ Abordando a cadea cibernética") ou o seu comportamento aínda non foi avaliado como prexudicial. Isto dificulta a súa detección mediante análises sinxelas (como a correspondencia por patróns, limiares ou regras de correlación).

Non obstante, moitas destas ameazas intrusivas dan lugar a un comportamento non estándar, que a miúdo inclúen usuarios ou entidades desprevenidas (tamén coñecidos como persoas comprometidas). As técnicas UEBA ofrecen varias oportunidades interesantes para detectar este tipo de ameazas, mellorar a relación sinal-ruído, consolidar e reducir o volume de notificacións, priorizar as alertas restantes e facilitar unha resposta e investigación efectivas sobre incidentes.

Os provedores de UEBA orientados a esta área problemática adoitan ter unha integración bidireccional cos sistemas SIEM da organización.

Exfiltración de datos

A tarefa neste caso é detectar o feito de que os datos se están a transferir fóra da organización.
Os provedores centrados neste desafío adoitan aproveitar as capacidades de DLP ou DAG con detección de anomalías e análises avanzadas, mellorando así a relación sinal-ruído, consolidando o volume de notificacións e priorizando os disparadores restantes. Para un contexto adicional, os provedores adoitan depender moito do tráfico de rede (como os proxies web) e dos datos de puntos finais, xa que a análise destas fontes de datos pode axudar nas investigacións de exfiltración de datos.

A detección de exfiltración de datos utilízase para atrapar aos hackers internos e externos que ameazan á organización.

Identificación e xestión de accesos privilexiados

Os fabricantes de solucións independentes de UEBA nesta área de coñecemento observan e analizan o comportamento dos usuarios no contexto dun sistema de dereitos xa formado para identificar privilexios excesivos ou accesos anómalos. Isto aplícase a todo tipo de usuarios e contas, incluídas as contas de servizos e privilexiadas. As organizacións tamén usan UEBA para desfacerse de contas inactivas e privilexios de usuario superiores aos necesarios.

Priorización de incidencias

O obxectivo desta tarefa é priorizar as notificacións xeradas polas solucións na súa pila tecnolóxica para comprender cales son as incidencias ou posibles incidencias que se deben abordar primeiro. As metodoloxías e ferramentas da UEBA son útiles para identificar incidentes que son particularmente anómalos ou especialmente perigosos para unha organización determinada. Neste caso, o mecanismo UEBA non só utiliza o nivel base de actividade e modelos de ameaza, senón que tamén satura os datos con información sobre a estrutura organizativa da empresa (por exemplo, recursos ou roles críticos e niveis de acceso dos empregados).

Problemas de implantación de solucións UEBA

A dor do mercado das solucións UEBA é o seu alto prezo, a complexa implementación, mantemento e uso. Mentres as empresas están loitando coa cantidade de diferentes portais internos, están a conseguir outra consola. O tamaño do investimento de tempo e recursos nunha nova ferramenta depende das tarefas a realizar e dos tipos de análises que se necesitan para resolvelas, e a maioría das veces requiren grandes investimentos.

Ao contrario do que afirman moitos fabricantes, UEBA non é unha ferramenta de "configuralo e esquéceo" que poida funcionar continuamente durante días e días.
Os clientes de Gartner, por exemplo, sinalan que leva de 3 a 6 meses poñer en marcha unha iniciativa da UEBA desde cero para obter os primeiros resultados da resolución dos problemas para os que se implantou esta solución. Para tarefas máis complexas, como identificar ameazas internas nunha organización, o período aumenta a 18 meses.

Factores que inflúen na dificultade de implantación de UEBA e na eficacia futura da ferramenta:

  • Complexidade da arquitectura da organización, topoloxía de rede e políticas de xestión de datos
  • Dispoñibilidade dos datos correctos co nivel de detalle adecuado
  • A complexidade dos algoritmos de análise do provedor, por exemplo, o uso de modelos estatísticos e aprendizaxe automática fronte a patróns e regras simples.
  • A cantidade de análises preconfiguradas incluídas, é dicir, a comprensión do fabricante de que datos hai que recoller para cada tarefa e que variables e atributos son máis importantes para realizar a análise.
  • Que fácil é para o fabricante integrarse automaticamente cos datos necesarios.

    Por exemplo:

    • Se unha solución UEBA utiliza un sistema SIEM como fonte principal dos seus datos, o SIEM recolle información das fontes de datos requiridas?
    • Pódense dirixir os rexistros de eventos e os datos do contexto organizativo necesarios a unha solución UEBA?
    • Se o sistema SIEM aínda non recolle e controla as fontes de datos que necesita a solución UEBA, como se poden transferir alí?

  • Que importante é o escenario de aplicación para a organización, cantas fontes de datos require e canto se solapa esta tarefa coa área de especialización do fabricante.
  • Que grao de madurez e implicación organizacional se require, por exemplo, a creación, desenvolvemento e perfeccionamento de regras e modelos; asignar pesos ás variables para a súa avaliación; ou axustar o limiar de avaliación do risco.
  • Que escalable é a solución do provedor e a súa arquitectura en comparación co tamaño actual da organización e os seus requisitos futuros.
  • É hora de construír modelos básicos, perfís e grupos clave. Os fabricantes a miúdo requiren polo menos 30 días (e ás veces ata 90 días) para realizar análises antes de poder definir conceptos "normais". Cargar datos históricos unha vez pode acelerar o adestramento do modelo. Algúns dos casos interesantes pódense identificar máis rápido usando regras que usando aprendizaxe automática cunha cantidade incriblemente pequena de datos iniciais.
  • O nivel de esforzo necesario para crear unha agrupación dinámica e un perfil de conta (servizo/persoa) pode variar moito entre as solucións.

Fonte: www.habr.com

Engadir un comentario