ProHoster > Блог > xov xwm hauv internet > Kev ua lag luam UEBA tuag - UEBA nyob ntev

Kev ua lag luam UEBA tuag - UEBA nyob ntev

Kev ua lag luam UEBA tuag - UEBA nyob ntev

Niaj hnub no peb yuav muab cov ntsiab lus luv luv ntawm Cov Neeg Siv Khoom thiab Qhov Chaw Coj Tus Cwj Pwm (UEBA) kev ua lag luam raws li qhov tseeb Kev tshawb nrhiav Gartner. Kev ua lag luam UEBA yog nyob rau hauv qab ntawm "theem tsis txaus siab" raws li Gartner Hype Cycle for Threat-Facing Technologies, qhia txog kev loj hlob ntawm cov thev naus laus zis. Tab sis qhov tsis zoo ntawm qhov xwm txheej yog nyob rau tib lub sijhawm kev loj hlob ntawm kev nqis peev hauv UEBA thev naus laus zis thiab kev lag luam ploj ntawm kev ywj pheej UEBA kev daws teeb meem. Gartner kwv yees tias UEBA yuav dhau los ua ib feem ntawm kev ua haujlwm ntawm cov ntaub ntawv ntsig txog kev ruaj ntseg daws teeb meem. Lo lus "UEBA" yuav zoo li poob ntawm kev siv thiab raug hloov los ntawm lwm lub ntsiab lus tsom rau thaj tsam ntawm daim ntawv thov nqaim (piv txwv li, "neeg siv tus cwj pwm analytics"), thaj chaw thov zoo sib xws (piv txwv li, "cov ntaub ntawv analytics"), lossis tsuas yog qee qhov. tshiab buzzword (piv txwv li, lo lus "artificial txawj ntse" [AI] zoo li nthuav, txawm hais tias nws tsis ua rau muaj kev nkag siab rau cov tuam txhab UEBA niaj hnub no).

Cov kev tshawb pom tseem ceeb los ntawm txoj kev tshawb fawb Gartner tuaj yeem sau tseg raws li hauv qab no:

  • Kev loj hlob ntawm kev lag luam rau kev coj tus cwj pwm kev soj ntsuam ntawm cov neeg siv thiab cov koom haum tau lees paub los ntawm qhov tseeb tias cov thev naus laus zis no tau siv los ntawm cov tuam txhab nruab nrab thiab cov lag luam loj los daws cov teeb meem kev lag luam;
  • UEBA analytics muaj peev xwm tsim tau rau hauv ntau yam ntawm cov ntaub ntawv kev ruaj ntseg technologies, xws li huab nkag mus rau kev ruaj ntseg brokers (CASBs), kev tswj tus kheej thiab kev tswj hwm (IGA) SIEM systems;
  • Lub hype nyob ib ncig ntawm UEBA cov neeg muag khoom thiab kev siv tsis raug ntawm lo lus "kev txawj ntse" ua rau nws nyuaj rau cov neeg siv khoom kom nkag siab qhov sib txawv tiag tiag ntawm cov tuam txhab cov thev naus laus zis thiab kev ua haujlwm ntawm cov kev daws teeb meem yam tsis muaj kev sim ua haujlwm;
  • Cov neeg siv khoom nco ntsoov tias lub sijhawm ua haujlwm thiab kev siv txhua hnub ntawm UEBA cov kev daws teeb meem tuaj yeem ua haujlwm hnyav thiab siv sijhawm ntau dua li cov chaw tsim khoom cog lus, txawm tias thaum txiav txim siab tsuas yog cov qauv ntsuas kev hem thawj. Ntxiv cov kev cai lossis kev siv ntug tuaj yeem nyuaj heev thiab xav tau kev txawj ntse hauv cov ntaub ntawv tshawb fawb thiab kev tshuaj xyuas.

Strategic market development forecast:

  • Los ntawm 2021, kev ua lag luam rau cov neeg siv thiab cov neeg siv kev coj tus cwj pwm (UEBA) cov tshuab yuav tsum tsis muaj nyob hauv ib cheeb tsam thiab yuav hloov mus rau lwm cov kev daws teeb meem nrog UEBA kev ua haujlwm;
  • Los ntawm 2020, 95% ntawm tag nrho UEBA xa mus yuav yog ib feem ntawm lub dav dav kev ruaj ntseg platform.

Cov ntsiab lus ntawm UEBA cov kev daws teeb meem

UEBA cov kev daws teeb meem siv cov kev tshuaj ntsuam ua ke los ntsuas cov haujlwm ntawm cov neeg siv thiab lwm lub koom haum (xws li cov tswv tsev, cov ntawv thov, kev sib txuas hauv network thiab cov khw muag ntaub ntawv).
Lawv tshawb pom cov kev hem thawj thiab cov xwm txheej tshwm sim, feem ntau sawv cev rau cov haujlwm tsis zoo piv rau tus qauv profile thiab tus cwj pwm ntawm cov neeg siv thiab cov koom haum hauv cov pab pawg zoo sib xws nyob rau lub sijhawm.

Cov xwm txheej siv ntau tshaj plaws hauv ntu kev lag luam yog kev hem thawj thiab kev teb, nrog rau kev tshawb nrhiav thiab teb rau cov kev hem thawj sab hauv (feem ntau cuam tshuam cov neeg sab hauv; qee zaum cov neeg tawm tsam sab hauv).

UEBA zoo li kev txiav txim siab, thiab muaj nuj nqi, ua rau hauv ib qho cuab yeej tshwj xeeb:

  • Qhov kev daws teeb meem yog cov chaw tsim khoom ntawm "ntshiab" UEBA platforms, suav nrog cov neeg muag khoom uas tseem muag SIEM cov kev daws teeb meem sib cais. Kev tsom mus rau ntau yam teeb meem kev lag luam hauv kev coj tus cwj pwm analytics ntawm ob tus neeg siv thiab cov koom haum.
  • Embedded - Chaw tsim khoom / kev faib ua ke uas koom ua ke UEBA lub luag haujlwm thiab thev naus laus zis rau hauv lawv cov kev daws teeb meem. Feem ntau tsom rau ib qho teeb meem tshwj xeeb ntawm kev lag luam. Hauv qhov no, UEBA yog siv los txheeb xyuas tus cwj pwm ntawm cov neeg siv thiab / lossis cov koom haum.

Gartner saib UEBA raws li peb axes, suav nrog cov kev daws teeb meem, kev txheeb xyuas, thiab cov ntaub ntawv (saib daim duab).

Kev ua lag luam UEBA tuag - UEBA nyob ntev

"Ntshiab" UEBA platforms piv rau built-in UEBA

Gartner txiav txim siab "dawb huv" UEBA platform los ua cov kev daws teeb meem uas:

  • daws ob peb yam teeb meem tshwj xeeb, xws li saib xyuas cov neeg siv muaj cai lossis tso cov ntaub ntawv tawm sab nraud lub koom haum, thiab tsis yog qhov kev paub daws teeb meem "kev saib xyuas cov neeg siv tsis zoo";
  • koom nrog kev siv cov kev txheeb xyuas nyuaj, yuav tsum ua raws li cov txheej txheem kev tshuaj xyuas yooj yim;
  • muab ntau txoj kev xaiv rau kev sau cov ntaub ntawv, suav nrog ob qho tib si hauv cov ntaub ntawv hauv cov txheej txheem thiab los ntawm cov cuab yeej tswj xyuas, cov ntaub ntawv pas dej thiab / lossis SIEM systems, tsis tas yuav tsum tau xa cov neeg sawv cev sib cais hauv cov txheej txheem;
  • tuaj yeem yuav thiab siv tau raws li cov kev daws teeb meem nyob ib leeg es tsis suav nrog
    muaj pes tsawg leeg ntawm lwm yam khoom.

Cov lus hauv qab no sib piv ob txoj hauv kev.

Table 1. "Ntshiab" UEBA kev daws teeb meem vs built-in

qeb "Ntshiab" UEBA platforms Lwm cov kev daws teeb meem nrog built-in UEBA
Teeb meem yuav daws tau Kev soj ntsuam ntawm tus neeg siv tus cwj pwm thiab qhov chaw. Tsis muaj cov ntaub ntawv yuav txwv UEBA los txheeb xyuas tus cwj pwm ntawm cov neeg siv lossis cov koom haum nkaus xwb.
Teeb meem yuav daws tau Pab kom daws tau ntau yam teeb meem Specializes nyob rau hauv ib tug txwv cov hauj lwm
Analytics Kev kuaj pom tsis zoo siv ntau txoj kev tshuaj ntsuam xyuas - feem ntau yog los ntawm cov qauv kev txheeb cais thiab kev kawm tshuab, suav nrog cov cai thiab kos npe. Los nrog kev txheeb xyuas ua ke los tsim thiab sib piv cov neeg siv thiab cov haujlwm ua haujlwm rau lawv cov npoj yaig thiab cov npoj yaig. Zoo ib yam li UEBA ntshiab, tab sis kev tsom xam tuaj yeem txwv rau cov neeg siv thiab / lossis cov koom haum nkaus xwb.
Analytics Advanced analytical peev xwm, tsis txwv los ntawm cov cai xwb. Piv txwv li, ib pawg algorithm nrog dynamic grouping ntawm cov chaw. Zoo ib yam li "dawb huv" UEBA, tab sis cov koom haum pab pawg hauv qee cov qauv kev hem thawj tuaj yeem hloov pauv ntawm tus kheej xwb.
Analytics Kev sib raug zoo ntawm kev ua thiab kev coj tus cwj pwm ntawm cov neeg siv thiab lwm cov koom haum (piv txwv li, siv Bayesian tes hauj lwm) thiab kev sib sau ua ke ntawm tus cwj pwm pheej hmoo rau tus kheej txhawm rau txheeb xyuas cov haujlwm tsis zoo. Zoo ib yam li UEBA ntshiab, tab sis kev tsom xam tuaj yeem txwv rau cov neeg siv thiab / lossis cov koom haum nkaus xwb.
Cov ntaub ntawv Tau txais cov xwm txheej ntawm cov neeg siv thiab cov koom haum los ntawm cov ntaub ntawv ncaj qha los ntawm cov txheej txheem tsim los lossis cov chaw khaws ntaub ntawv uas twb muaj lawm, xws li SIEM lossis Data lake. Mechanisms kom tau txais cov ntaub ntawv feem ntau tsuas yog ncaj qha thiab cuam tshuam rau cov neeg siv thiab / lossis lwm qhov chaw. Tsis txhob siv cav tswj cov cuab yeej / SIEM / Cov ntaub ntawv pas dej.
Cov ntaub ntawv Txoj kev daws teeb meem yuav tsum tsis yog tsuas yog tso siab rau kev sib txuas hauv network raws li lub hauv paus ntawm cov ntaub ntawv, thiab yuav tsum tsis txhob cia siab rau nws tus kheej cov neeg sawv cev los sau telemetry. Qhov kev daws teeb meem tuaj yeem tsom rau kev sib txuas hauv network nkaus xwb (piv txwv li, NTA - kev txheeb xyuas kev sib txuas hauv network) thiab / lossis siv nws cov neeg sawv cev ntawm cov khoom siv kawg (piv txwv li, cov neeg ua haujlwm saib xyuas cov khoom siv hluav taws xob).
Cov ntaub ntawv Saturating cov neeg siv / chaw cov ntaub ntawv nrog cov ntsiab lus. Txhawb kev sau cov txheej xwm txheej xwm hauv lub sijhawm tiag tiag, nrog rau cov ntaub ntawv tsim / tsis muaj kev sib koom ua ke los ntawm IT directory - piv txwv li, Active Directory (AD), lossis lwm cov ntaub ntawv siv tshuab nyeem tau (piv txwv li, HR databases). Zoo ib yam li UEBA ntshiab, tab sis cov ntaub ntawv ntawm cov ntsiab lus sib txawv yuav txawv ntawm rooj plaub rau rooj plaub. AD thiab LDAP yog cov khw muag khoom cov ntaub ntawv ntau tshaj plaws uas siv los ntawm cov kev daws teeb meem UEBA.
Muaj Txaus Muab cov khoom teev npe raws li cov khoom lag luam ib leeg. Nws yog tsis yooj yim sua mus yuav built-in UEBA functionality yam tsis tau yuav ib tug sab nraud tov nyob rau hauv uas nws yog tsim.
Source: Gartner (Tsib Hlis 2019)

Yog li, txhawm rau daws qee yam teeb meem, UEBA embedded siv tau yooj yim UEBA analytics (piv txwv li, yooj yim unsupervised tshuab kev kawm), tab sis nyob rau tib lub sij hawm, vim nkag tau mus rau raws nraim cov ntaub ntawv tsim nyog, nws yuav ua tau tag nrho zoo dua ib tug "ntshiab" UEBA solution. Nyob rau tib lub sijhawm, "dawb huv" UEBA platforms, raws li kev cia siab, muab ntau qhov kev tshuaj ntsuam xyuas raws li qhov kev paub tseem ceeb piv rau cov cuab yeej UEBA built-in. Cov txiaj ntsig no tau sau tseg hauv Table 2.

Table 2. Qhov tshwm sim ntawm qhov sib txawv ntawm "ntshiab" thiab built-in UEBA

qeb "Ntshiab" UEBA platforms Lwm cov kev daws teeb meem nrog built-in UEBA
Analytics Kev siv tau los daws ntau yam teeb meem kev lag luam txhais tau hais tias muaj ntau txoj haujlwm thoob ntiaj teb ntawm UEBA ua haujlwm nrog rau qhov tseem ceeb ntawm kev tshuaj xyuas ntau dua thiab cov qauv kev kawm tshuab. Kev tsom mus rau cov teeb meem me me ntawm kev lag luam txhais tau hais tias cov yam ntxwv tshwj xeeb uas tsom rau cov qauv tshwj xeeb nrog cov qauv yooj yim.
Analytics Customization ntawm tus qauv ntsuas yog tsim nyog rau txhua daim ntawv thov scenario. Cov qauv tshuaj ntsuam xyuas tau teeb tsa ua ntej rau lub cuab yeej uas muaj UEBA ua rau nws. Ib lub cuab yeej nrog built-in UEBA feem ntau ua tiav cov txiaj ntsig sai dua hauv kev daws teeb meem kev lag luam.
Cov ntaub ntawv Nkag mus rau cov ntaub ntawv los ntawm txhua lub ces kaum ntawm lub tuam txhab kev tsim kho vaj tse. Cov ntaub ntawv tsawg dua, feem ntau txwv los ntawm qhov muaj cov neeg sawv cev rau lawv lossis cov cuab yeej nws tus kheej nrog UEBA ua haujlwm.
Cov ntaub ntawv Cov ntaub ntawv muaj nyob rau hauv txhua lub cav yuav raug txwv los ntawm cov ntaub ntawv qhov chaw thiab tej zaum yuav tsis muaj tag nrho cov ntaub ntawv tsim nyog rau lub hauv paus ntawm UEBA cov cuab yeej. Tus nqi thiab nthuav dav ntawm cov ntaub ntawv nyoos sau los ntawm tus neeg sawv cev thiab xa mus rau UEBA tuaj yeem raug teeb tsa tshwj xeeb.
architecture Nws yog ib qho khoom ua tiav UEBA rau ib lub koom haum. Kev koom ua ke yooj yim dua siv lub peev xwm ntawm SIEM system lossis Data lake. Yuav tsum muaj cov txheej txheem tshwj xeeb ntawm UEBA rau txhua qhov kev daws teeb meem uas tau tsim hauv UEBA. Embedded UEBA cov kev daws teeb meem feem ntau xav tau kev txhim kho cov neeg sawv cev thiab tswj cov ntaub ntawv.
Kev koom ua ke Kev sib koom ua ke ntawm UEBA kev daws teeb meem nrog lwm cov cuab yeej hauv txhua kis. Tso cai rau ib lub koom haum los tsim nws cov txheej txheem thev naus laus zis raws li "zoo tshaj plaws ntawm analogues" txoj hauv kev. Cov pob khoom tseem ceeb ntawm UEBA lub luag haujlwm twb tau suav nrog hauv cov cuab yeej nws tus kheej los ntawm cov chaw tsim khoom. Lub UEBA module yog built-in thiab tsis tuaj yeem raug tshem tawm, yog li cov neeg siv khoom tsis tuaj yeem hloov nws nrog qee yam ntawm lawv tus kheej.
Source: Gartner (Tsib Hlis 2019)

UEBA ua haujlwm

UEBA tau dhau los ua qhov tshwj xeeb ntawm qhov kawg-rau-kawg cybersecurity kev daws teeb meem uas tuaj yeem tau txais txiaj ntsig los ntawm kev tshuaj xyuas ntxiv. UEBA underlies cov kev daws teeb meem no, muab cov txheej txheem muaj zog ntawm kev tshuaj ntsuam xyuas qib siab raws li tus neeg siv thiab / lossis tus qauv coj tus cwj pwm.

Tam sim no nyob rau hauv kev ua lag luam, lub built-in UEBA functionality yog siv nyob rau hauv cov nram qab no kev daws teeb meem, pab pawg neeg los ntawm technologies Scope:

  • Cov ntaub ntawv tsom xam xyuas thiab kev tiv thaiv, yog cov neeg muag khoom uas tau tsom mus rau kev txhim kho kev ruaj ntseg ntawm cov txheej txheem thiab cov ntaub ntawv tsis muaj txheej txheem cia (aka DCAP).

    Hauv qeb ntawm cov neeg muag khoom no, Gartner sau ntawv, thiab lwm yam, Varonis cybersecurity platform, uas muab cov neeg siv tus cwj pwm ntsuas ntsuas los saib xyuas cov kev hloov pauv hauv cov ntaub ntawv tsis muaj kev tso cai, nkag mus, thiab siv thoob plaws cov khw muag ntaub ntawv sib txawv.

  • CASB systems, muab kev tiv thaiv ntau yam kev hem thawj hauv huab-raws li SaaS daim ntawv thov los ntawm kev thaiv kev nkag mus rau huab kev pabcuam rau cov khoom siv tsis xav tau, cov neeg siv thiab cov ntawv thov siv los siv cov kev tswj hwm kev hloov pauv.

    Txhua qhov kev lag luam ua lag luam CASB cov kev daws teeb meem suav nrog UEBA muaj peev xwm.

  • DLP cov kev daws teeb meem - tsom rau kev txheeb xyuas qhov hloov pauv ntawm cov ntaub ntawv tseem ceeb sab nraud lub koom haum lossis nws qhov kev tsim txom.

    DLP kev nce qib feem ntau yog raws li kev nkag siab cov ntsiab lus, nrog rau kev tsom mus rau kev nkag siab cov ntsiab lus xws li cov neeg siv, daim ntawv thov, qhov chaw, sijhawm, nrawm ntawm cov xwm txheej, thiab lwm yam sab nraud. Yuav kom ua tau zoo, DLP cov khoom yuav tsum paub txog cov ntsiab lus thiab cov ntsiab lus. Qhov no yog vim li cas ntau lub tuam txhab tau pib koom ua ke UEBA kev ua haujlwm rau hauv lawv cov kev daws teeb meem.

  • Kev saib xyuas cov neeg ua haujlwm yog lub peev xwm los sau thiab rov ua cov neeg ua haujlwm ua haujlwm, feem ntau yog cov ntaub ntawv tsim nyog rau kev hais plaub ntug (yog tias tsim nyog).

    Kev saib xyuas cov neeg siv tas li feem ntau tsim cov ntaub ntawv ntau dhau los uas yuav tsum tau siv phau ntawv lim dej thiab tshuaj xyuas tib neeg. Yog li ntawd, UEBA yog siv nyob rau hauv cov kev soj ntsuam xyuas los txhim kho cov kev ua tau zoo ntawm cov kev daws teeb meem thiab ntes tsuas yog cov teeb meem uas txaus ntshai.

  • Endpoint Security - Endpoint nrhiav thiab teb (EDR) cov kev daws teeb meem thiab cov chaw tiv thaiv qhov kawg (EPP) muab cov cuab yeej muaj zog thiab kev ua haujlwm telemetry rau
    cov khoom siv kawg.

    Xws li cov neeg siv hais txog telemetry tuaj yeem txheeb xyuas los muab kev ua haujlwm hauv UEBA.

  • Kev dag hauv online - Cov kev daws teeb meem kev dag ntxias hauv online tshawb pom cov kev ua txhaum cai uas qhia txog kev cuam tshuam ntawm tus neeg siv khoom tus account los ntawm kev dag, malware, lossis kev siv cov kev sib txuas tsis ruaj ntseg / kev cuam tshuam ntawm browser.

    Feem ntau cov kev dag ntxias siv cov ntsiab lus ntawm UEBA, kev txheeb xyuas kev lag luam thiab kev ntsuas cov cuab yeej, nrog rau cov txheej txheem siab dua ntxiv los ntawm kev sib raug zoo hauv cov ntaub ntawv tus kheej.

  • IAM thiab tswj kev nkag - Gartner sau tseg qhov kev hloov pauv hloov pauv ntawm kev nkag mus rau cov neeg muag khoom tswj kev sib koom ua ke nrog cov neeg muag khoom ntshiab thiab tsim qee qhov kev ua haujlwm UEBA rau hauv lawv cov khoom.
  • IAM thiab Identity Governance and Administration (IGA) systems siv UEBA los npog cov kev coj cwj pwm thiab kev txheeb xyuas tus kheej xws li kev kuaj pom tsis zoo, kev txheeb xyuas kev sib koom ua ke ntawm cov koom haum zoo sib xws, kev txheeb xyuas kev nkag mus, thiab kev txheeb xyuas txoj cai.
  • IAM thiab Privileged Access Management (PAM) - Vim yog lub luag haujlwm ntawm kev saib xyuas kev siv cov nyiaj tswj hwm, PAM cov kev daws teeb meem muaj telemetry los qhia tias yuav siv li cas, vim li cas, thaum twg thiab qhov twg cov nyiaj tswj hwm tau siv. Cov ntaub ntawv no tuaj yeem raug txheeb xyuas los ntawm kev siv lub zog ua haujlwm ntawm UEBA rau qhov muaj tus cwj pwm tsis zoo ntawm cov thawj coj lossis kev xav phem.
  • Chaw tsim tshuaj paus NTA (Network Traffic Analysis) - siv kev sib txuas ntawm kev kawm tshuab, kev tshuaj ntsuam xyuas qib siab thiab kev kuaj xyuas raws li txoj cai los txheeb xyuas cov haujlwm tsis txaus ntseeg ntawm cov tuam txhab koom tes.

    NTA cov cuab yeej tsis tu ncua txheeb xyuas qhov chaw khiav tsheb thiab / lossis cov ntaub ntawv ntws (piv txwv li NetFlow) los tsim cov qauv uas muaj kev cuam tshuam txog kev coj tus cwj pwm hauv network, feem ntau tsom rau qhov chaw coj tus cwj pwm analytics.

  • xim - Ntau tus neeg muag khoom SIEM tam sim no muaj cov ntaub ntawv tshawb fawb ua haujlwm siab ua haujlwm ua rau SIEM, lossis raws li UEBA module cais. Thoob plaws hauv 2018 thiab txog tam sim no hauv 2019, tau muaj qhov tsis sib xws ntawm cov ciam teb ntawm SIEM thiab UEBA kev ua haujlwm, raws li tau tham hauv tsab xov xwm "Technology Insight for the Modern SIEM". SIEM systems tau dhau los ua haujlwm zoo nrog kev txheeb xyuas thiab muab cov ntawv thov nyuaj dua.

UEBA Application Scenarios

UEBA cov kev daws teeb meem tuaj yeem daws tau ntau yam teeb meem. Txawm li cas los xij, cov neeg siv khoom Gartner pom zoo tias qhov kev siv thawj zaug suav nrog kev txheeb xyuas ntau yam kev hem thawj, ua tiav los ntawm kev nthuav tawm thiab tshuaj xyuas kev sib raug zoo ntawm tus neeg siv tus cwj pwm thiab lwm qhov chaw:

  • tsis tso cai nkag thiab txav ntawm cov ntaub ntawv;
  • tus cwj pwm tsis txaus ntseeg ntawm cov neeg siv tsim nyog, kev ua phem lossis tsis tau tso cai ntawm cov neeg ua haujlwm;
  • tsis yog tus qauv nkag thiab siv cov peev txheej huab;
  • thiab lwm tus.

Kuj tseem muaj ntau qhov xwm txheej uas tsis yog-cybersecurity siv, xws li kev dag ntxias lossis kev saib xyuas cov neeg ua haujlwm, uas UEBA tuaj yeem ua ncaj ncees. Txawm li cas los xij, lawv feem ntau xav tau cov ntaub ntawv tawm sab nraud ntawm IT thiab cov ntaub ntawv kev nyab xeeb, lossis cov qauv tshuaj ntsuam tshwj xeeb nrog kev nkag siab tob ntawm thaj chaw no. Tsib qhov xwm txheej tseem ceeb thiab cov ntawv thov uas ob lub tuam txhab UEBA thiab lawv cov neeg siv khoom pom zoo tau piav qhia hauv qab no.

"Malicious Insider"

UEBA cov chaw muab kev daws teeb meem uas npog qhov xwm txheej no tsuas yog saib xyuas cov neeg ua haujlwm thiab cov neeg cog lus ntseeg siab rau qhov txawv txav, "tsis zoo," lossis tus cwj pwm phem. Cov neeg muag khoom hauv cheeb tsam ntawm kev txawj ntse no tsis saib xyuas lossis txheeb xyuas tus cwj pwm ntawm cov nyiaj pabcuam lossis lwm qhov chaw tsis yog tib neeg. Feem ntau vim qhov no, lawv tsis tsom mus rau kev tshawb nrhiav cov kev hem thawj siab tshaj qhov twg hackers coj mus rau cov nyiaj uas twb muaj lawm. Hloov chaw, lawv yog tsom rau kev txheeb xyuas cov neeg ua haujlwm koom nrog hauv kev ua phem.

Qhov tseem ceeb, lub tswv yim ntawm "tus neeg sab hauv siab phem" yog los ntawm cov neeg siv kev ntseeg siab nrog lub hom phiaj siab phem uas nrhiav txoj hauv kev los ua kev puas tsuaj rau lawv qhov chaw ua haujlwm. Vim tias qhov kev xav tsis zoo yog qhov nyuaj rau kev ntsuas, cov neeg muag khoom zoo tshaj plaws hauv pawg no txheeb xyuas cov ntaub ntawv tus cwj pwm tsis zoo uas tsis yooj yim muaj nyob hauv cov ntawv txheeb xyuas.

Cov chaw muab kev daws teeb meem hauv qhov chaw no kuj zoo siab ntxiv thiab txheeb xyuas cov ntaub ntawv tsis muaj teeb meem, xws li email cov ntsiab lus, cov ntawv tshaj tawm, lossis cov ntaub ntawv xov xwm hauv social media, los muab cov ntsiab lus rau tus cwj pwm.

Kev cuam tshuam sab hauv thiab kev hem thawj

Qhov kev sib tw yog txhawm rau tshawb xyuas sai thiab txheeb xyuas tus cwj pwm "tsis zoo" thaum tus neeg tawm tsam tau nkag mus rau lub koom haum thiab pib txav mus rau hauv IT infrastructure.
Assertive hem (APTs), zoo li tsis paub lossis tseem tsis tau nkag siab txog kev hem thawj, yog qhov nyuaj heev los kuaj xyuas thiab feem ntau zais tom qab cov neeg siv khoom raug cai lossis cov nyiaj pabcuam. Cov kev hem thawj no feem ntau muaj cov qauv kev ua haujlwm nyuaj (saib, piv txwv li, kab lus " Hais txog Cyber ​​​​Kill Chain") lossis lawv tus cwj pwm tseem tsis tau raug ntsuas tias muaj kev phom sij. Qhov no ua rau lawv nyuaj rau kev txheeb xyuas siv cov kev tshuaj ntsuam xyuas yooj yim (xws li kev sib piv los ntawm cov qauv, qhov pib, lossis cov cai sib txheeb).

Txawm li cas los xij, ntau qhov kev hem thawj no ua rau tus cwj pwm tsis zoo, feem ntau cuam tshuam nrog cov neeg siv tsis txaus ntseeg lossis cov koom haum (aka kev cuam tshuam sab hauv). UEBA cov txheej txheem muaj ntau lub sijhawm txaus siab los txheeb xyuas cov kev hem thawj no, txhim kho cov teeb liab-rau-suab nrov piv, sib sau thiab txo cov ntawv ceeb toom ntim, ua ntej cov lus ceeb toom tseem ceeb, thiab pab txhawb qhov xwm txheej zoo thiab kev tshawb nrhiav.

UEBA cov neeg muag khoom tsom rau thaj chaw teeb meem no feem ntau muaj kev sib koom ua ke nrog lub koom haum SIEM systems.

Cov ntaub ntawv Exfiltration

Lub luag haujlwm hauv qhov no yog txhawm rau txheeb xyuas qhov tseeb tias cov ntaub ntawv raug xa tawm sab nraud lub koom haum.
Cov neeg muag khoom tau tsom mus rau qhov kev sib tw no feem ntau siv lub peev xwm DLP lossis DAG nrog kev kuaj pom tsis zoo thiab kev tshuaj ntsuam xyuas qib siab, yog li txhim kho cov teeb liab-rau-nruab nrab, sib sau cov lus ceeb toom ntim, thiab ua ntej qhov tseem ceeb ntawm qhov tseem ceeb. Rau cov ntsiab lus ntxiv, cov neeg muag khoom feem ntau vam khom ntau ntawm kev sib txuas hauv network (xws li lub vev xaib proxies) thiab cov ntaub ntawv kawg, vim tias kev txheeb xyuas cov ntaub ntawv no tuaj yeem pab tshawb xyuas cov ntaub ntawv tshem tawm.

Cov ntaub ntawv exfiltration nrhiav tau yog siv los ntes cov neeg sab hauv thiab sab nraud hackers hem lub koom haum.

Kev txheeb xyuas thiab kev tswj hwm kev nkag tau muaj cai

Cov neeg tsim khoom ntawm kev ywj pheej UEBA cov kev daws teeb meem hauv cheeb tsam no ntawm kev txawj ntse saib thiab txheeb xyuas cov neeg siv tus cwj pwm tiv thaiv keeb kwm yav dhau los ntawm cov cai uas twb tau tsim los txhawm rau txheeb xyuas cov cai dhau los lossis kev nkag tsis zoo. Qhov no siv tau rau txhua yam ntawm cov neeg siv thiab cov nyiaj, suav nrog cov nyiaj tshwj xeeb thiab cov kev pabcuam. Cov koom haum kuj tseem siv UEBA kom tshem tawm cov nyiaj tsis nyob twj ywm thiab cov cai ntawm cov neeg siv uas siab dua qhov xav tau.

Qhov xwm txheej tseem ceeb

Lub hom phiaj ntawm txoj haujlwm no yog txhawm rau txheeb xyuas qhov tseem ceeb ntawm cov ntawv ceeb toom tsim los ntawm cov kev daws teeb meem hauv lawv cov txheej txheem thev naus laus zis kom nkag siab qhov xwm txheej twg lossis cov xwm txheej yuav tsum tau hais ua ntej. UEBA cov txheej txheem thiab cov cuab yeej muaj txiaj ntsig hauv kev txheeb xyuas qhov xwm txheej uas tsis zoo lossis tshwj xeeb txaus ntshai rau lub koom haum muab. Nyob rau hauv cov ntaub ntawv no, UEBA mechanism tsis tsuas yog siv lub hauv paus theem ntawm kev ua ub no thiab hem qauv, tab sis kuj saturates cov ntaub ntawv nrog cov ntaub ntawv hais txog lub koom haum qauv ntawm lub tuam txhab (piv txwv li, tseem ceeb cov kev pab los yog lub luag hauj lwm thiab nkag mus rau theem ntawm cov neeg ua hauj lwm).

Teeb meem ntawm kev siv UEBA cov kev daws teeb meem

Kev lag luam mob ntawm UEBA cov kev daws teeb meem yog lawv cov nqi siab, kev ua haujlwm nyuaj, kev saib xyuas thiab siv. Thaum cov tuam txhab tawm tsam nrog cov naj npawb ntawm cov portals sib txawv, lawv tau txais lwm lub console. Qhov loj ntawm kev nqis peev ntawm lub sijhawm thiab cov peev txheej hauv cov cuab yeej tshiab yog nyob ntawm cov kev cov nyom ntawm tes thiab cov hom kev ntsuas uas xav tau los daws lawv, thiab feem ntau xav tau kev nqis peev loj.

Tsis zoo li ntau tus neeg tsim khoom thov, UEBA tsis yog "teeb ​​nws thiab tsis nco qab nws" cov cuab yeej uas tuaj yeem ua haujlwm tsis tu ncua rau hnub kawg.
Gartner cov neeg siv khoom, piv txwv li, nco ntsoov tias nws yuav siv sijhawm li 3 txog 6 lub hlis los tsim lub UEBA teg num los ntawm kos kom tau txais thawj cov txiaj ntsig ntawm kev daws cov teeb meem uas qhov kev daws teeb meem no tau ua. Rau ntau txoj haujlwm nyuaj, xws li txheeb xyuas cov kev hem thawj sab hauv hauv ib lub koom haum, lub sijhawm nce mus rau 18 lub hlis.

Cov xwm txheej cuam tshuam txog qhov nyuaj ntawm kev siv UEBA thiab cov txiaj ntsig yav tom ntej ntawm cov cuab yeej:

  • Complexity ntawm lub koom haum architecture, network topology thiab cov ntaub ntawv tswj txoj cai
  • Muaj cov ntaub ntawv zoo nyob rau theem ntawm kev nthuav dav
  • Qhov nyuaj ntawm tus neeg muag khoom qhov kev tshuaj ntsuam algorithms - piv txwv li, kev siv cov qauv kev txheeb cais thiab kev kawm tshuab piv rau cov qauv yooj yim thiab cov cai.
  • Tus nqi ntawm pre-configured analytics suav nrog - uas yog, cov chaw tsim tshuaj paus kev nkag siab txog dab tsi cov ntaub ntawv yuav tsum tau muab sau rau txhua txoj hauj lwm thiab dab tsi variables thiab cwj pwm tseem ceeb tshaj plaws los ua qhov kev ntsuam xyuas.
  • Nws yooj yim npaum li cas rau cov chaw tsim khoom tuaj yeem ua ke nrog cov ntaub ntawv xav tau.

    Piv txwv li:

    • Yog tias UEBA kev daws teeb meem siv SIEM system ua qhov tseem ceeb ntawm nws cov ntaub ntawv, SIEM puas sau cov ntaub ntawv los ntawm cov ntaub ntawv xav tau?
    • Puas yog cov ntaub ntawv tsim nyog thiab cov ntaub ntawv hauv lub koom haum tuaj yeem raug xa mus rau UEBA kev daws teeb meem?
    • Yog tias SIEM system tseem tsis tau sau thiab tswj cov ntaub ntawv xav tau los ntawm UEBA kev daws teeb meem, lawv tuaj yeem xa mus rau qhov ntawd li cas?

  • Qhov tseem ceeb npaum li cas ntawm daim ntawv thov scenario rau lub koom haum, nws xav tau ntau npaum li cas cov ntaub ntawv, thiab ntau npaum li cas txoj hauj lwm no sib tshooj nrog cov chaw tsim tshuaj paus cheeb tsam ntawm kev txawj ntse.
  • Yuav tsum muaj qib twg ntawm kev loj hlob thiab kev koom tes ntawm lub koom haum - piv txwv li, kev tsim, kev loj hlob thiab kev ua kom zoo ntawm cov cai thiab cov qauv; muab qhov hnyav rau qhov sib txawv rau kev ntsuas; los yog kho qhov kev ntsuas kev pheej hmoo.
  • Yuav ua li cas scalable yog tus neeg muag khoom txoj kev daws teeb meem thiab nws cov architecture piv rau qhov loj tam sim no ntawm lub koom haum thiab nws cov kev xav tau yav tom ntej.
  • Lub sijhawm los tsim cov qauv yooj yim, profiles thiab pawg tseem ceeb. Cov neeg tsim khoom feem ntau xav tau yam tsawg kawg 30 hnub (thiab qee zaum txog 90 hnub) los ua kev tshuaj xyuas ua ntej lawv tuaj yeem txhais cov ntsiab lus "ib txwm". Kev thauj cov ntaub ntawv keeb kwm ib zaug tuaj yeem ua kom ceev cov qauv kev cob qhia. Qee qhov xwm txheej nthuav dav tuaj yeem txheeb xyuas tau sai dua siv cov cai tshaj li kev siv tshuab kev kawm nrog cov ntaub ntawv thawj zaug me me.
  • Cov theem ntawm kev siv zog tsim nyog los tsim kom muaj kev sib koom ua ke thiab kev siv nyiaj profile (kev pabcuam / tus neeg) tuaj yeem sib txawv ntawm cov kev daws teeb meem.

Tau qhov twg los: www.hab.com

Ntxiv ib saib