ProHoster > Pūnaewele > nūhou pūnaewele > Ua make ka mākeke UEBA - ola UEBA

Ua make ka mākeke UEBA - ola UEBA

Ua make ka mākeke UEBA - ola UEBA

I kēia lā e hāʻawi mākou i kahi ʻike pōkole o ka mākeke User and Entity Behavioral Analytics (UEBA) e pili ana i ka mea hou loa. ʻO ka noiʻi ʻo Gartner. Aia ka mākeke UEBA ma lalo o ka "disllusionment stage" e like me ka Gartner Hype Cycle for Threat-Facing Technologies, e hōʻike ana i ke oʻo o ka ʻenehana. Akā ʻo ka paradox o ke kūlana aia i ka ulu like ʻana o nā hoʻopukapuka kālā i nā ʻenehana UEBA a me ka nalo ʻana o ka mākeke o nā hoʻonā kūʻokoʻa UEBA. Ua wānana ʻo Gartner e lilo ʻo UEBA i ʻāpana o ka hana o nā ʻōnaehana palekana ʻike pili. E pau paha ka hoʻohana ʻana o ka huaʻōlelo "UEBA" a hoʻololi ʻia e kekahi acronym ʻē aʻe i kālele ʻia ma kahi wahi noi haiki (e laʻa. ʻO ka huaʻōlelo hou (no ka laʻana, ʻike ʻia ka huaʻōlelo "artificial intelligence" [AI], ʻoiai ʻaʻole ia he manaʻo i nā mea hana UEBA hou).

Hiki ke hōʻuluʻulu ʻia nā ʻike nui mai ka haʻawina ʻo Gartner penei:

  • Ua hōʻoia ʻia ka oʻo ʻana o ka mākeke no ka loiloi ʻano o nā mea hoʻohana a me nā hui e ka ʻoiaʻiʻo e hoʻohana ʻia kēia mau ʻenehana e ka ʻāpana waena a me ka ʻoihana nui e hoʻoponopono i kekahi mau pilikia ʻoihana;
  • Hoʻokumu ʻia nā mana ʻikepili UEBA i loko o kahi ākea o nā ʻenehana palekana ʻike pili, e like me nā cloud access secure brokers (CASBs), ka hoʻokele ʻike a me ka hoʻokele (IGA) ʻōnaehana SIEM;
  • ʻO ka hype e pili ana i nā mea kūʻai aku UEBA a me ka hoʻohana hewa ʻana i ka huaʻōlelo "artificial intelligence" he mea paʻakikī i nā mea kūʻai aku ke hoʻomaopopo i ka ʻokoʻa maoli ma waena o nā ʻenehana hana a me ka hana o nā hoʻonā me ka ʻole o ka hana ʻana i kahi papahana pilot;
  • Hoʻomaopopo ka poʻe kūʻai aku i ka manawa hoʻokō a me ka hoʻohana ʻana i kēlā me kēia lā i nā hoʻonā UEBA hiki ke ʻoi aku ka paʻakikī o ka hana a me ka hoʻopau manawa ma mua o ka ʻōlelo hoʻohiki a ka mea hana, ʻoiai ke noʻonoʻo nei i nā hiʻohiʻona ʻike hoʻoweliweli kumu wale nō. Hiki ke paʻakikī loa ka hoʻohui ʻana i nā hihia hoʻohana maʻamau a koi ʻia i ka ʻike i ka ʻepekema ʻikepili a me ka analytics.

ʻO ka wānana hoʻomohala mākeke hoʻolālā:

  • Ma ka makahiki 2021, e pau ana ka mākeke no ka mea hoʻohana a me nā ʻōnaehana behavioral analytics (UEBA) ma ke ʻano he wahi ʻokoʻa a e neʻe i nā ʻōnaehana ʻē aʻe me ka hana UEBA;
  • Ma ka 2020, 95% o nā hoʻolālā UEBA āpau e lilo i ʻāpana o kahi kahua palekana ākea.

Wehewehe ʻana o nā haʻina UEBA

Hoʻohana nā ʻōnaehana UEBA i ka ʻikepili i kūkulu ʻia e loiloi i ka hana a nā mea hoʻohana a me nā mea ʻē aʻe (e like me nā host, nā noi, nā ʻoihana pūnaewele a me nā hale kūʻai ʻikepili).
ʻIke lākou i nā mea hoʻoweliweli a me nā mea e hiki mai ana, e hōʻike ana i ka hana anomalous i hoʻohālikelike ʻia i ka ʻaoʻao maʻamau a me ka ʻano o nā mea hoʻohana a me nā hui i nā hui like i kekahi manawa.

ʻO nā hihia hoʻohana maʻamau i ka ʻoihana ʻoihana ʻo ka ʻike hoʻoweliweli a me ka pane ʻana, a me ka ʻike a me ka pane ʻana i nā hoʻoweliweli insider (ka hapa nui o nā mea hoʻoweliweli;

Ua like ka UEBA hoʻoholo, a hana, i kūkulu ʻia i loko o kahi mea hana kikoʻī:

  • ʻO ka hoʻonā nā mea hana o nā kahua UEBA "maʻemaʻe", me nā mea kūʻai aku e kūʻai kaʻawale i nā ʻōnaehana SIEM. Hoʻopaʻa ʻia i ka nui o nā pilikia ʻoihana i ka loiloi ʻano o nā mea hoʻohana a me nā hui.
  • Hoʻopili ʻia - Nā mea hana / ʻāpana e hoʻohui i nā hana a me nā ʻenehana UEBA i kā lākou hopena. Hoʻopili maʻamau i kahi hoʻonohonoho kikoʻī o nā pilikia ʻoihana. I kēia hihia, hoʻohana ʻia ʻo UEBA e nānā i ka ʻano o nā mea hoʻohana a/a i ʻole nā ​​​​hui.

Nānā ʻo Gartner iā UEBA ma nā koʻi ʻekolu, me nā mea hoʻoponopono pilikia, nā ʻikepili, a me nā kumu ʻikepili (e ʻike i ke kiʻi).

Ua make ka mākeke UEBA - ola UEBA

ʻO nā paepae UEBA "maʻemaʻe" me ka UEBA i kūkulu ʻia

Manaʻo ʻo Gartner i kahi kahua UEBA "maʻemaʻe" he mau hoʻonā e:

  • e hoʻoponopono i kekahi mau pilikia kikoʻī, e like me ka nānā ʻana i nā mea hoʻohana pono a i ʻole ka hoʻopuka ʻana i ka ʻikepili ma waho o ka hui, ʻaʻole wale ka "mākaʻikaʻi ʻana i nā hana mea hoʻohana anomali";
  • komo i ka hoʻohana ʻana i nā ʻikepili paʻakikī, pono e hoʻokumu ʻia ma nā ʻano hoʻohālikelike kumu;
  • hāʻawi i nā koho he nui no ka hōʻiliʻili ʻikepili, me nā mīkini kumu ʻikepili i kūkulu ʻia a mai nā mea hana hoʻokele lāʻau, Data lake a/a i ʻole nā ​​ʻōnaehana SIEM, me ka ʻole o ke koi ʻana e hoʻokaʻawale i nā mea ʻokoʻa i loko o ka ʻōnaehana;
  • hiki ke kūʻai ʻia a kau ʻia ma ke ʻano he hoʻonā kū hoʻokahi ma mua o ke komo ʻana i loko
    ka hui ʻana o nā huahana ʻē aʻe.

Hoʻohālikelike ka papa ma lalo i nā ala ʻelua.

Papa 1. Nā hoʻonā UEBA "maʻemaʻe" vs nā mea i kūkulu ʻia

waeʻano "Maʻemaʻe" UEBA platform Nā hoʻonā ʻē aʻe me UEBA i kūkulu ʻia
Hoʻoholo ʻia ka pilikia Ka nānā 'ana i ka hana a me nā mea ho'ohana. Hiki i ka nele o ka ʻikepili ke kaupalena iā UEBA no ka nānā ʻana i ke ʻano o nā mea hoʻohana a i ʻole nā ​​​​hui wale nō.
Hoʻoholo ʻia ka pilikia Hoʻohana e hoʻoponopono i nā pilikia ākea Kūikawā i nā hana i kaupalena ʻia
Pāʻani Ka ʻike ʻana i ka anomaly me ka hoʻohana ʻana i nā ʻano analytical like ʻole - ʻoi loa ma o nā hiʻohiʻona helu a me ke aʻo mīkini, me nā lula a me nā pūlima. Hele mai me ka ʻikepili i kūkulu ʻia e hana a hoʻohālikelike i ka hana o ka mea hoʻohana a me ka ʻoihana i kā lākou moʻolelo a me nā hoa hana. E like me ka UEBA maʻemaʻe, akā hiki ke kaupalena ʻia ka nānā ʻana i nā mea hoʻohana a/a i nā hui wale nō.
Pāʻani ʻAʻole i kaupalena ʻia e nā lula wale nō. No ka laʻana, kahi algorithm clustering me ka hui pū ʻana o nā hui. E like me ka UEBA "maʻemaʻe", akā hiki ke hoʻololi wale ʻia ka hui ʻana i kekahi mau hiʻohiʻona hoʻoweliweli i hoʻopili ʻia.
Pāʻani Ka pilina o ka hana a me ke ʻano o nā mea hoʻohana a me nā mea ʻē aʻe (no ka laʻana, me ka hoʻohana ʻana i nā pūnaewele Bayesian) a me ka hōʻuluʻulu ʻana o nā ʻano pilikia pilikino i mea e ʻike ai i ka hana anomali. E like me ka UEBA maʻemaʻe, akā hiki ke kaupalena ʻia ka nānā ʻana i nā mea hoʻohana a/a i nā hui wale nō.
Nā kumu ʻikepili Loaʻa i nā hanana i nā mea hoʻohana a me nā hui mai nā kumu ʻikepili pololei ma o nā mīkini i kūkulu ʻia a i ʻole nā ​​hale kūʻai ʻikepili i loaʻa, e like me SIEM a i ʻole Data lake. ʻO nā mīkini no ka loaʻa ʻana o ka ʻikepili he pololei wale nō a pili wale i nā mea hoʻohana a/a i ʻole nā ​​​​mea ʻē aʻe. Mai hoʻohana i nā mea hana hoʻokele log / SIEM / Data lake.
Nā kumu ʻikepili ʻAʻole pono e hilinaʻi wale ka hoʻonā ʻana i ka neʻe ʻana o ka pūnaewele ma ke ʻano he kumu nui o ka ʻikepili, ʻaʻole pono e hilinaʻi wale i kāna mau ʻelele ponoʻī e hōʻiliʻili i ka telemetry. Hiki i ka hoʻonā ke kau wale ma luna o ka neʻe ʻana o ka pūnaewele (no ka laʻana, NTA - ka nānā ʻana i ka ʻoihana pūnaewele) a/a i ʻole e hoʻohana i kāna mau mea hana ma nā ʻaoʻao hope (no ka laʻana, nā pono nānā limahana).
Nā kumu ʻikepili Hoʻopiha i ka ʻikepili mea hoʻohana/hui me ka pōʻaiapili. Kākoʻo i ka hōʻiliʻili ʻana o nā hanana i hoʻonohonoho ʻia i ka manawa maoli, a me ka ʻikepili hui pū ʻia/unstructured mai nā papa kuhikuhi IT - no ka laʻana, Active Directory (AD), a i ʻole nā ​​kumuwaiwai ʻike hiki ke heluhelu ʻia e ka mīkini (e laʻa, HR databases). E like me ka UEBA maʻemaʻe, akā ʻokoʻa ke ʻano o ka ʻikepili ʻikepili mai kēlā me kēia hihia. ʻO AD a me LDAP nā hale kūʻai ʻikepili pilikua maʻamau i hoʻohana ʻia e nā hoʻonā UEBA i hoʻokomo ʻia.
Loaʻa Hāʻawi i nā hiʻohiʻona i helu ʻia ma ke ʻano he huahana kūʻokoʻa. ʻAʻole hiki ke kūʻai i ka hana UEBA i kūkulu ʻia me ke kūʻai ʻole ʻana i kahi hopena waho i kūkulu ʻia ai.
Puna: Gartner (Mei 2019)

No laila, no ka hoʻoponopono ʻana i kekahi mau pilikia, hiki i ka UEBA hoʻokomo ke hoʻohana i ka analytics UEBA maʻamau (no ka laʻana, ke aʻo ʻana i ka mīkini maʻalahi ʻole), akā i ka manawa like, ma muli o ke komo ʻana i ka ʻikepili kūpono, hiki ke ʻoi aku ka maikaʻi ma mua o ka "maʻemaʻe" Hoʻonā UEBA. Ma ka manawa like, "maʻemaʻe" UEBA platforms, e like me ka mea i manaʻo ʻia, hāʻawi i nā ʻikepili paʻakikī e like me ka ʻike nui i hoʻohālikelike ʻia i ka mea hana UEBA i kūkulu ʻia. Ua hōʻuluʻulu ʻia kēia mau hopena ma ka Papa 2.

Papa 2. Ka hopena o nā ʻokoʻa ma waena o ka "maʻemaʻe" a me ka UEBA i kūkulu ʻia

waeʻano "Maʻemaʻe" UEBA platform Nā hoʻonā ʻē aʻe me UEBA i kūkulu ʻia
Pāʻani ʻO ka hoʻohana ʻana no ka hoʻoponopono ʻana i nā pilikia ʻoihana ʻē aʻe e pili ana i kahi pūʻulu holoʻokoʻa o nā hana UEBA me ka manaʻo nui i ka ʻikepili paʻakikī a me nā kumu aʻo mīkini. ʻO ka nānā ʻana i kahi liʻiliʻi liʻiliʻi o nā pilikia ʻoihana ʻo ia hoʻi nā hiʻohiʻona kūikawā nui e kālele ana i nā hiʻohiʻona kikoʻī noiʻi me ka loiloi maʻalahi.
Pāʻani Pono ka hoʻopilikino ʻana i ke kumu hoʻohālike no kēlā me kēia hiʻohiʻona noi. Hoʻonohonoho mua ʻia nā hiʻohiʻona analytical no ka hāmeʻa i kūkulu ʻia ʻo UEBA i loko. ʻO kahi mea hana me ka UEBA i kūkulu ʻia e loaʻa i nā hopena wikiwiki i ka hoʻoponopono ʻana i kekahi mau pilikia ʻoihana.
Nā kumu ʻikepili Loaʻa i nā kumu ʻikepili mai nā kihi āpau o ka ʻoihana hui. ʻOi aku ka liʻiliʻi o nā kumu ʻikepili, i kaupalena ʻia e ka loaʻa ʻana o nā ʻelele no lākou a i ʻole ka hāmeʻa ponoʻī me nā hana UEBA.
Nā kumu ʻikepili Hiki ke kaupalena ʻia ka ʻike i loko o kēlā me kēia log e ke kumu ʻikepili a ʻaʻole paha i loaʻa nā ʻikepili pono āpau no ka mea hana UEBA kikowaena. Hiki ke hoʻonohonoho pono ʻia ka nui a me nā kikoʻī o ka ʻikepili maka i hōʻiliʻili ʻia e ka luna a hoʻouna ʻia i UEBA.
kuhikuhipuʻuone He huahana UEBA piha no kahi hui. ʻOi aku ka maʻalahi o ka hoʻohui ʻana me ka hoʻohana ʻana i nā mana o kahi ʻōnaehana SIEM a i ʻole ka loko Data. Pono ʻia kahi pūʻulu ʻokoʻa o nā hiʻohiʻona UEBA no kēlā me kēia hāʻina i kūkulu ʻia i loko o UEBA. Pono pinepine nā ʻōnaehana UEBA i hoʻokomo ʻia i nā ʻelele a me ka mālama ʻana i ka ʻikepili.
Hoʻohuiʻia Hoʻohui lima o ka hoʻonā UEBA me nā mea hana ʻē aʻe i kēlā me kēia hihia. Hāʻawi i kahi hui e kūkulu i kāna ʻenehana ʻenehana ma muli o ke ala "maikaʻi loa ma waena o nā analogues". Ua hoʻokomo mua ʻia nā pūʻulu nui o nā hana UEBA i ka mea hana ponoʻī e ka mea hana. Hoʻokomo ʻia ka module UEBA a ʻaʻole hiki ke wehe ʻia, no laila ʻaʻole hiki i nā mea kūʻai ke hoʻololi iā ia me kahi mea ponoʻī.
Puna: Gartner (Mei 2019)

UEBA ma ke ʻano he hana

Ke lilo nei ʻo UEBA i hiʻohiʻona o nā hopena cybersecurity end-to-end e hiki ke pōmaikaʻi mai nā ʻikepili hou. Hoʻokumu ʻo UEBA i kēia mau hoʻonā, e hāʻawi ana i kahi ʻāpana ikaika o ka ʻikepili holomua e pili ana i nā ʻano hana hoʻohana a/a i ʻole hui.

I kēia manawa ma ka mākeke, ua hoʻokō ʻia ka hana UEBA i kūkulu ʻia i loko o nā hopena aʻe, i hui pū ʻia e ka ʻenehana ʻenehana:

  • ʻIkepili-ka nānā ʻana a me ka pale, he mau mea kūʻai aku e kālele ana i ka hoʻomaikaʻi ʻana i ka palekana o ka waihona ʻikepili i kūkulu ʻia a i hoʻonohonoho ʻole ʻia (aka DCAP).

    Ma kēia māhele o nā mea kūʻai aku, ua kākau ʻo Gartner, ma waena o nā mea ʻē aʻe, ʻO Varonis cybersecurity platform, ka mea e hāʻawi ana i ka ʻikepili hoʻohana no ka nānā ʻana i nā loli i nā ʻae ʻikepili i kūkulu ʻole ʻia, ke komo ʻana, a me ka hoʻohana ʻana ma nā hale kūʻai ʻike like ʻole.

  • Pūnaehana CASB, e hāʻawi ana i ka palekana mai nā mea hoʻoweliweli like ʻole i nā noi SaaS e pili ana i ke ao ma ke kāohi ʻana i ke komo ʻana i nā lawelawe kapuaʻi no nā mea i makemake ʻole ʻia, nā mea hoʻohana a me nā mana noiʻi me ka hoʻohana ʻana i kahi ʻōnaehana hoʻokele adaptive.

    Loaʻa nā ʻōnaehana CASB alakaʻi mākeke āpau i nā mana UEBA.

  • Nā hāʻina DLP - ka nānā ʻana i ka hoʻoili ʻana o nā ʻikepili koʻikoʻi ma waho o ka hui a i ʻole kāna hana hoʻomāinoino.

    Hoʻokumu nui ʻia ka holomua DLP ma ka ʻike ʻana i ka ʻike, me ka liʻiliʻi o ka nānā ʻana i ka ʻike e like me ka mea hoʻohana, ka noi, ka wahi, ka manawa, ka wikiwiki o nā hanana, a me nā mea ʻē aʻe o waho. No ka maikaʻi, pono nā huahana DLP e ʻike i ka ʻike a me ka pōʻaiapili. ʻO kēia ke kumu e hoʻomaka ai nā mea hana he nui e hoʻohui i ka hana UEBA i kā lākou hopena.

  • Nānā limahana ʻo ia ka hiki ke hoʻopaʻa a hoʻopaʻa hou i nā hana a nā limahana, maʻamau ma kahi ʻano ʻikepili kūpono no nā kaʻina kānāwai (inā pono).

    Hoʻopuka pinepine ka nānā ʻana i nā mea hoʻohana i ka nui o ka ʻikepili e pono ai ke kānana lima a me ka nānā ʻana kanaka. No laila, hoʻohana ʻia ʻo UEBA i loko o nā ʻōnaehana kiaʻi e hoʻomaikaʻi i ka hana o kēia mau hopena a ʻike i nā hanana kiʻekiʻe wale nō.

  • Palekana Hopena - Hāʻawi nā hopena ʻike a me ka pane ʻana (EDR) a me nā kahua palekana endpoint (EPP) i ka mea kani ikaika a me ka telemetry ʻōnaehana hana i
    nā mea hoʻopau.

    Hiki ke nānā ʻia kēlā telemetry pili i ka mea hoʻohana e hāʻawi i ka hana UEBA i kūkulu ʻia.

  • Hoʻopunipuni pūnaewele - ʻIke ʻia nā hoʻonā hoʻopunipuni hoʻopunipuni ma ka pūnaewele e hōʻike ana i ka hoʻololi ʻana i ka moʻokāki o ka mea kūʻai aku ma o ka spoof, malware, a i ʻole ka hoʻohana ʻana i nā pilina paʻa ʻole/ka hoʻopaʻa ʻana i nā mea hoʻokele.

    Hoʻohana ka hapa nui o nā hoʻonā hoʻopunipuni i ke ʻano o ka UEBA, ka nānā ʻana i ke kālepa a me ke ana ʻana o nā mea hana, me nā ʻōnaehana ʻoi aku ka holomua e hoʻokō iā lākou ma ka hoʻohālikelike ʻana i nā pilina ma ka ʻikepili ʻike.

  • IAM a me ka mana komo - Hoʻomaopopo ʻo Gartner i kahi ʻano evolutionary ma waena o nā mea kūʻai aku i ka ʻōnaehana mana e hoʻohui pū me nā mea kūʻai maʻemaʻe a kūkulu i kekahi mau hana UEBA i kā lākou huahana.
  • IAM a me nā ʻōnaehana Identity Governance and Administration (IGA). e hoʻohana i ka UEBA e uhi i nā hiʻohiʻona ʻano hana a me ka ʻike e like me ka ʻike ʻana i ka anomaly, ka nānā ʻana i ka hui pū ʻana o nā mea like, ka nānā ʻana, a me ka nānā ʻana i nā kulekele.
  • ʻO IAM a me ka hoʻokele hoʻokele waiwai (PAM) - Ma muli o ke kuleana o ka nānā ʻana i ka hoʻohana ʻana i nā moʻokāki hoʻokele, loaʻa i nā hāmeʻa PAM nā telemetry e hōʻike ai pehea, no ke aha, i ka manawa a me kahi i hoʻohana ʻia ai nā moʻokāki hoʻokele. Hiki ke kālailai ʻia kēia ʻikepili me ka hoʻohana ʻana i ka hana i kūkulu ʻia o UEBA no ka loaʻa ʻana o nā ʻano anomalous o nā luna hoʻomalu a i ʻole ka manaʻo ʻino.
  • Nā Manufacturers NTA (Network Traffic Analysis) - hoʻohana i ka hui pū ʻana o ke aʻo ʻana o ka mīkini, ka ʻikepili kiʻekiʻe a me ka ʻike e pili ana i ka lula no ka ʻike ʻana i ka hana kānalua ma nā ʻoihana hui.

    Hoʻopili mau nā mea hana NTA i ka hoʻokele waiwai a/a i ʻole nā ​​moʻolelo kahe (e laʻa.

  • SIEMA - he nui nā mea kūʻai SIEM i kēia manawa i hana ʻia i ka ʻikepili ʻikepili holomua i kūkulu ʻia i loko o SIEM, a i ʻole he module UEBA ʻokoʻa. I ka makahiki 2018 a hiki i ka makahiki 2019, ua hoʻomau mau ʻia nā palena ma waena o SIEM a me UEBA, e like me ka mea i kūkākūkā ʻia ma ka ʻatikala. "ʻIke ʻenehana no ka SIEM o kēia wā". Ua ʻoi aku ka maikaʻi o nā ʻōnaehana SIEM i ka hana ʻana me ka analytics a hāʻawi i nā hiʻohiʻona noiʻi paʻakikī.

Nā Hōʻike Hoʻohana UEBA

Hiki i nā hoʻonā UEBA ke hoʻoponopono i nā pilikia he nui. Eia nō naʻe, ʻae nā mea kūʻai aku ʻo Gartner ʻo ka hihia hoʻohana mua e pili ana i ka ʻike ʻana i nā ʻano ʻano hoʻoweliweli, i loaʻa ma ka hōʻike ʻana a me ka nānā ʻana i nā pilina pinepine ma waena o nā ʻano mea hoʻohana a me nā hui ʻē aʻe:

  • ke komo ʻole a me ka neʻe ʻana o ka ʻikepili;
  • ʻano kānalua o nā mea hoʻohana pono, hana ʻino a ʻae ʻole paha a nā limahana;
  • ke komo maʻamau a me ka hoʻohana ʻana i nā kumuwaiwai ao;
  • a me kekahi poʻe'ē aʻe.

Aia kekahi mau hihia hoʻohana atypical non-cybersecurity, e like me ka hoʻopunipuni a i ʻole ka nānā ʻana o nā limahana, kahi e ʻae ʻia ai ka UEBA. Eia naʻe, koi pinepine lākou i nā kumu ʻikepili ma waho o ka IT a me ka palekana ʻike, a i ʻole nā ​​hiʻohiʻona analytical kikoʻī me ka ʻike hohonu o kēia wahi. ʻO nā hiʻohiʻona nui ʻelima a me nā noi i ʻae ʻia e nā mea hana UEBA a me kā lākou mea kūʻai aku e wehewehe ʻia ma lalo nei.

"Malicious Insider"

ʻO nā mea hoʻolako hoʻonā UEBA e uhi ana i kēia hiʻohiʻona e nānā wale i nā limahana a me nā ʻaelike hilinaʻi no nā ʻano maʻamau, "ʻino," a i ʻole ka hana ʻino. ʻAʻole nānā nā mea kūʻai aku ma kēia wahi o ka ʻike a nānā i ka ʻano o nā moʻokāki lawelawe a i ʻole nā ​​​​mea ʻē aʻe ʻaʻole kanaka. ʻO ka hapa nui ma muli o kēia, ʻaʻole lākou i kālele i ka ʻike ʻana i nā hoʻoweliweli holomua kahi e lawe ai nā hacker i nā moʻolelo i loaʻa. Akā, manaʻo lākou e ʻike i nā limahana i komo i nā hana ʻino.

ʻO ka manaʻo nui, ʻo ka manaʻo o kahi "mea hoʻomāinoino ʻino" e loaʻa mai nā mea hoʻohana hilinaʻi me ka manaʻo ʻino e ʻimi nei i nā ala e hōʻino ai i kā lākou mea hana. No ka mea paʻakikī ke ana ʻana i ka manaʻo ʻino, ʻike nā mea kūʻai maikaʻi loa o kēia ʻāpana i ka ʻikepili koʻikoʻi i hiki ʻole ke loaʻa ma nā moʻolelo loiloi.

Hoʻohui maikaʻi a kālailai nā mea hoʻolako i kēia wahi i ka ʻikepili i hoʻonohonoho ʻole ʻia, e like me ka leka uila, nā hōʻike huahana, a i ʻole ka ʻike pili pūnaewele, e hāʻawi i ka pōʻaiapili no ka ʻano.

ʻO ka mea hoʻoweliweli i loko a me ka hoʻoweliweli hoʻoweliweli

ʻO ka paʻakikī ka ʻike koke a me ka nānā ʻana i ka ʻano "ʻino" i ka wā i loaʻa ai ka mea hoʻouka i ka hui a hoʻomaka e neʻe i loko o ka ʻōnaehana IT.
ʻO nā ʻōlelo hoʻoweliweli assertive (APT), e like me ka ʻike ʻole ʻia a ʻike ʻole paha i ka hoʻoweliweli, paʻakikī loa ke ʻike a hūnā pinepine ʻia ma hope o ka hana mea hoʻohana kūpono a i ʻole nā ​​moʻokāki lawelawe. ʻO ia mau mea hoʻoweliweli maʻamau he ʻano hana paʻakikī (e nānā, no ka laʻana, ka ʻatikala " Ke kamaʻilio nei i ka Cyber ​​​​Kill Chain") a ʻaʻole i helu ʻia kā lākou ʻano he mea pōʻino. ʻO kēia ka mea paʻakikī iā lākou ke ʻike me ka hoʻohana ʻana i nā ʻikepili maʻalahi (e like me ka hoʻohālikelike ʻana i nā mamana, nā paepae, a i ʻole nā ​​lula pili).

Eia nō naʻe, ʻo ka nui o kēia mau mea hoʻoweliweli hoʻoweliweli ka hopena i ka hana maʻamau ʻole, e pili pinepine ana i nā mea hoʻohana a i ʻole nā ​​​​mea i manaʻo ʻole ʻia (ʻo ia hoʻi nā insiders compromised). Hāʻawi nā ʻenehana UEBA i nā manawa hoihoi e ʻike i kēlā mau mea hoʻoweliweli, hoʻomaikaʻi i ka ratio signal-to-noise, hoʻohui a hoʻemi i ka leo hoʻolaha, hoʻonohonoho mua i nā mākaʻikaʻi i koe, a hoʻomaʻamaʻa i ka pane a me ka hoʻokolokolo kūpono.

Loaʻa pinepine nā mea kūʻai aku ʻo UEBA i kēia pilikia pilikia i ka hoʻohui ʻana i ka bi-directional me nā ʻōnaehana SIEM o ka hui.

ʻIkepili Exfiltration

ʻO ka hana ma kēia hihia, ʻo ia ka ʻike i ka ʻoiaʻiʻo e hoʻoili ʻia nā ʻikepili ma waho o ka hui.
Hoʻohana pinepine nā mea kūʻai aku i kēia paʻakikī i ka DLP a i ʻole DAG me ka ʻike anomaly a me nā analytics holomua, a laila e hoʻomaikaʻi ai i ka ratio signal-to-noise, hoʻohui i ka leo hoʻolaha, a me ka hoʻonohonoho mua ʻana i nā mea hoʻomaka. No ka pōʻaiapili hou aʻe, hilinaʻi nui nā mea kūʻai aku i ka hele ʻana o ka pūnaewele (e like me nā proxies pūnaewele) a me ka ʻikepili endpoint, no ka mea hiki ke kōkua i ka nānā ʻana i kēia mau kumu ʻikepili i nā noiʻi exfiltration data.

Hoʻohana ʻia ka ʻike exfiltration ʻikepili no ka hopu ʻana i nā mea loko a me nā mea hacker waho e hoʻoweliweli ana i ka hui.

ʻO ka ʻike a me ka hoʻokele ʻana i ke komo pono

ʻO nā mea hana o nā hoʻonā UEBA kūʻokoʻa ma kēia wahi o ka ʻike e nānā a nānā i ka ʻano o ka mea hoʻohana e kūʻē i ke ʻano o kahi ʻōnaehana pono i hoʻokumu ʻia i mea e ʻike ai i nā pono nui a i ʻole ke komo anomali. Pili kēia i nā ʻano mea hoʻohana a me nā moʻokāki, me nā moʻokāki pono a me nā lawelawe. Hoʻohana pū nā hui i ka UEBA e hoʻopau i nā moʻokāki dormant a me nā pono mea hoʻohana i ʻoi aku ka kiʻekiʻe ma mua o ka pono.

ʻO ka hana mua ʻana

ʻO ka pahuhopu o kēia hana, ʻo ia ka hoʻonohonoho mua ʻana i nā leka hoʻomaopopo i hana ʻia e nā hoʻonā i kā lākou ʻenehana ʻenehana e hoʻomaopopo ai i nā hanana a i ʻole nā ​​​​mea hiki ke hoʻoponopono mua ʻia. Pono nā ʻano hana a me nā hāmeʻa UEBA i ka ʻike ʻana i nā hanana i ʻike ʻole ʻia a i ʻole ka pōʻino no kahi hui. I kēia hihia, ʻaʻole hoʻohana wale ka mīkini UEBA i ka pae kumu o ka hana a me nā hiʻohiʻona hoʻoweliweli, akā hoʻopiha pū i ka ʻikepili me ka ʻike e pili ana i ka hoʻonohonoho hoʻonohonoho ʻana o ka hui (no ka laʻana, nā kumu waiwai koʻikoʻi a i ʻole nā ​​​​hana a me nā pae komo o nā limahana).

Nā pilikia o ka hoʻokō ʻana i nā hoʻonā UEBA

ʻO ka ʻeha mākeke o nā ʻōnaehana UEBA ko lākou kumukūʻai kiʻekiʻe, hoʻokō paʻakikī, mālama a hoʻohana. ʻOiai e hakakā nei nā ʻoihana me ka nui o nā puka kūloko ʻē aʻe, ke kiʻi nei lākou i kahi console hou. ʻO ka nui o ka hoʻokomo ʻana o ka manawa a me nā kumuwaiwai i kahi mea hana hou e pili ana i nā pilikia i ka lima a me nā ʻano loiloi e pono ai e hoʻoponopono iā lākou, a ʻoi aku ka nui o nā hoʻopukapuka nui.

Kūlike ʻole i ka ʻōlelo a nā mea hana he nui, ʻaʻole ʻo UEBA kahi mea "hoʻonohonoho a poina iā ia" hiki ke holo mau no nā lā ma ka hopena.
ʻO nā mea kūʻai mai Gartner, no ka laʻana, e hoʻomaopopo he 3 a 6 mau mahina e hoʻomaka ai i kahi hoʻolālā UEBA mai ka wā ʻōpala e loaʻa ai nā hopena mua o ka hoʻoponopono ʻana i nā pilikia i hoʻokō ʻia ai kēia hopena. No nā hana paʻakikī, e like me ka ʻike ʻana i nā mea hoʻoweliweli i loko o kahi hui, piʻi ka manawa i 18 mau mahina.

Nā mea e hoʻohuli ai i ka paʻakikī o ka hoʻokō ʻana i ka UEBA a me ka pono o ka mea hana e hiki mai ana:

  • Paʻakikī o ka hoʻolālā hui, topology pūnaewele a me nā kulekele hoʻokele data
  • Loaʻa ka ʻikepili kūpono ma ka pae kūpono o nā kikoʻī
  • ʻO ka paʻakikī o nā algorithm analytics a ka mea kūʻai aku - no ka laʻana, ka hoʻohana ʻana i nā kumu hoʻohālike helu a me ke aʻo ʻana i nā mīkini me nā ʻano maʻalahi a me nā lula.
  • ʻO ka nui o nā ʻikepili i hoʻonohonoho mua ʻia i hoʻokomo ʻia-ʻo ia hoʻi, ka ʻike o ka mea hana i nā ʻikepili e pono e hōʻiliʻili ʻia no kēlā me kēia hana a me nā ʻano ʻokoʻa a me nā ʻano mea nui e hana i ka nānā ʻana.
  • Pehea ka maʻalahi o ka mea hana e hoʻohui me ka ʻikepili i koi ʻia.

    Eia kekahi laʻana:

    • Inā hoʻohana ka ʻōnaehana UEBA i kahi ʻōnaehana SIEM ma ke ʻano he kumu nui o kāna ʻikepili, e hōʻiliʻili anei ka SIEM i ka ʻike mai nā kumu ʻikepili i koi ʻia?
    • Hiki i nā loina hanana kūpono a me ka ʻikepili pōʻaiapili hoʻonohonoho ke hoʻohuli ʻia i kahi hopena UEBA?
    • Inā ʻaʻole i hōʻiliʻili a mālama ka ʻōnaehana SIEM i nā kumu ʻikepili e pono ai ka hoʻonā UEBA, a laila pehea e hiki ai ke hoʻoili ʻia i laila?

  • Pehea ka koʻikoʻi o ka hiʻohiʻona noi no ka hui, ʻehia nā kumu ʻikepili e pono ai, a pehea ka nui o kēia hana e hoʻopili ai me ka ʻoihana o ka mea hana.
  • He aha ke kiʻekiʻe o ke kūlana o ka hui a me ke komo ʻana e koi ʻia - no ka laʻana, ka hana ʻana, hoʻomohala a me ka hoʻomaʻemaʻe ʻana i nā lula a me nā hiʻohiʻona; ka hāʻawi ʻana i nā paona i nā mea hoʻololi no ka loiloi; a i ʻole ka hoʻoponopono ʻana i ka paepae loiloi pilikia.
  • Pehea ka scalable ka hoʻonā o ka mea kūʻai aku a me kāna hoʻolālā e hoʻohālikelike ʻia i ka nui o kēia manawa o ka hui a me kāna mau koi e hiki mai ana.
  • ʻO ka manawa e kūkulu ai i nā kumu hoʻohālike kumu, nā ʻaoʻao a me nā pūʻulu koʻikoʻi. Pono pinepine nā mea hana ma kahi o 30 mau lā (a i kekahi manawa a hiki i 90 lā) e hana i ka nānā ʻana ma mua o ka hiki ke wehewehe i nā manaʻo "maʻamau". Hiki i ka hoʻouka ʻana i ka ʻikepili mōʻaukala i hoʻokahi manawa hiki ke wikiwiki i ka hoʻomaʻamaʻa ʻana. Hiki ke ʻike ʻia kekahi o nā hihia hoihoi me ka hoʻohana ʻana i nā lula ma mua o ka hoʻohana ʻana i ka mīkini aʻo me ka liʻiliʻi liʻiliʻi o ka ʻikepili mua.
  • Hiki ke ʻokoʻa ka pae o ka hoʻoikaika ʻana no ke kūkulu ʻana i ka pūʻulu ikaika a me ka hōʻike ʻana i ka moʻokāki (lawelawe/kanaka) ma waena o nā hoʻonā.

Source: www.habr.com

Pākuʻi i ka manaʻo hoʻopuka