Այսօր մենք կտրամադրենք Օգտագործողների և կազմակերպությունների վարքագծային վերլուծության (UEBA) շուկայի համառոտ ակնարկ՝ հիմնված վերջին նորությունների վրա: . UEBA-ի շուկան գտնվում է «հիասթափության փուլի» ներքևում, ըստ Gartner Hype Cycle for Threat-Facing Technologies-ի, ինչը ցույց է տալիս տեխնոլոգիայի հասունությունը: Սակայն իրավիճակի պարադոքսը կայանում է UEBA-ի տեխնոլոգիաներում ներդրումների համընդհանուր աճի և UEBA-ի անկախ լուծումների անհետացող շուկայի մեջ: Gartner-ը կանխատեսում է, որ UEBA-ն կդառնա տեղեկատվական անվտանգության հետ կապված լուծումների գործառույթի մաս: «UEBA» տերմինը, ամենայն հավանականությամբ, դուրս կգա կիրառությունից և կփոխարինվի մեկ այլ հապավումով, որը կենտրոնացած է ավելի նեղ կիրառական տարածքի վրա (օրինակ՝ «օգտագործողի վարքագծի վերլուծություն»), կիրառական նմանատիպ տարածքի վրա (օրինակ՝ «տվյալների վերլուծություն») կամ պարզապես կդառնա որոշ։ նոր բառ (օրինակ, «արհեստական ինտելեկտ» [AI] տերմինը հետաքրքիր է թվում, թեև UEBA-ի ժամանակակից արտադրողների համար դա որևէ իմաստ չունի):
Gartner-ի ուսումնասիրության հիմնական բացահայտումները կարելի է ամփոփել հետևյալ կերպ.
- Օգտագործողների և սուբյեկտների վարքագծային վերլուծության շուկայի հասունությունը հաստատվում է նրանով, որ այդ տեխնոլոգիաները օգտագործվում են միջին և խոշոր կորպորատիվ սեգմենտի կողմից մի շարք բիզնես խնդիրներ լուծելու համար.
- UEBA-ի վերլուծական հնարավորությունները ներկառուցված են տեղեկատվական անվտանգության տեխնոլոգիաների լայն շրջանակի մեջ, ինչպիսիք են ամպային հասանելիության անվտանգության բրոքերները (CASBs), ինքնության կառավարման և կառավարման (IGA) SIEM համակարգերը.
- UEBA-ի վաճառողների շուրջ բարձրացված աղմուկը և «արհեստական ինտելեկտ» տերմինի սխալ օգտագործումը հաճախորդների համար դժվարացնում է իրական տարբերությունը արտադրողների տեխնոլոգիաների և լուծումների ֆունկցիոնալության միջև՝ առանց փորձնական ծրագրի իրականացման:
- Հաճախորդները նշում են, որ UEBA-ի լուծումների իրականացման ժամանակն ու ամենօրյա օգտագործումը կարող են ավելի աշխատատար և ժամանակատար լինել, քան խոստանում է արտադրողը, նույնիսկ երբ դիտարկվում են միայն սպառնալիքների հայտնաբերման հիմնական մոդելները: Պատվերով կամ ծայրամասային օգտագործման դեպքերի ավելացումը կարող է չափազանց դժվար լինել և պահանջել փորձաքննություն տվյալների գիտության և վերլուծության մեջ:
Ռազմավարական շուկայի զարգացման կանխատեսում.
- Մինչև 2021 թվականը օգտատերերի և կազմակերպությունների վարքագծային վերլուծության (UEBA) համակարգերի շուկան կդադարի գոյություն ունենալ որպես առանձին տարածք և կանցնի դեպի UEBA ֆունկցիոնալությամբ այլ լուծումներ.
- Մինչև 2020 թվականը UEBA-ի բոլոր տեղակայումների 95%-ը կդառնա ավելի լայն անվտանգության հարթակի մաս:
UEBA-ի լուծումների սահմանում
UEBA-ի լուծումներն օգտագործում են ներկառուցված վերլուծություններ՝ գնահատելու օգտատերերի և այլ կազմակերպությունների գործունեությունը (օրինակ՝ հոսթեր, հավելվածներ, ցանցային տրաֆիկ և տվյալների պահեստներ):
Նրանք հայտնաբերում են սպառնալիքներ և պոտենցիալ միջադեպեր, որոնք սովորաբար ներկայացնում են անոմալ գործունեություն՝ համեմատած որոշակի ժամանակահատվածում նմանատիպ խմբերի օգտատերերի և կազմակերպությունների ստանդարտ պրոֆիլի և վարքագծի հետ:
Ձեռնարկությունների հատվածում ամենատարածված օգտագործման դեպքերն են սպառնալիքների հայտնաբերումն ու պատասխանը, ինչպես նաև ինսայդերական սպառնալիքների հայտնաբերումն ու պատասխանը (հիմնականում վտանգված ինսայդերները, երբեմն՝ ներքին հարձակվողները):
ՈՒԵԲԱ-ն նման է որոշումըԻսկ ֆունկցիան, ներկառուցված հատուկ գործիքի մեջ.
- Լուծումը UEBA-ի «մաքուր» պլատֆորմների արտադրողներն են, ներառյալ վաճառողները, ովքեր նաև առանձին վաճառում են SIEM լուծումները: Կենտրոնացած է բիզնես խնդիրների լայն շրջանակի վրա՝ ինչպես օգտագործողների, այնպես էլ կազմակերպությունների վարքագծային վերլուծության մեջ:
- Ներկառուցված – Արտադրողներ/բաժիններ, որոնք ինտեգրում են UEBA-ի գործառույթներն ու տեխնոլոգիաները իրենց լուծումների մեջ: Սովորաբար կենտրոնացած է բիզնես խնդիրների ավելի կոնկրետ շարքի վրա: Այս դեպքում UEBA-ն օգտագործվում է օգտատերերի և/կամ կազմակերպությունների վարքագիծը վերլուծելու համար:
Gartner-ը դիտարկում է UEBA-ն երեք առանցքներով, ներառյալ խնդիրներ լուծողները, վերլուծությունը և տվյալների աղբյուրները (տես նկարը):
«Մաքուր» UEBA հարթակներն ընդդեմ ներկառուցված UEBA-ի
Gartner-ը UEBA-ի «մաքուր» հարթակը համարում է լուծումներ, որոնք.
- լուծել մի քանի կոնկրետ խնդիրներ, ինչպիսիք են արտոնյալ օգտատերերի մոնիտորինգը կամ կազմակերպությունից դուրս տվյալների դուրսբերումը, և ոչ միայն վերացական «անոմալ օգտատերերի գործունեության մոնիտորինգը».
- ներառում է բարդ վերլուծության օգտագործումը, որը պետք է հիմնված լինի հիմնական վերլուծական մոտեցումների վրա.
- Տվյալների հավաքագրման մի քանի տարբերակներ տրամադրել, ներառյալ տվյալների աղբյուրների ներկառուցված մեխանիզմները և տեղեկամատյանների կառավարման գործիքները, Data lake և/կամ SIEM համակարգերը, առանց ենթակառուցվածքում առանձին գործակալներ տեղակայելու պարտադիր անհրաժեշտության.
- կարելի է գնել և կիրառել որպես ինքնուրույն լուծումներ, այլ ոչ թե ներառել
այլ ապրանքների կազմը.
Ստորև բերված աղյուսակը համեմատում է երկու մոտեցումները:
Աղյուսակ 1. «Մաքուր» UEBA լուծումներն ընդդեմ ներկառուցվածի
| Աստիճան | «Մաքուր» UEBA հարթակներ | Այլ լուծումներ ներկառուցված UEBA-ով |
| Լուծվող խնդիր | Օգտագործողի վարքագծի և սուբյեկտների վերլուծություն: | Տվյալների բացակայությունը կարող է սահմանափակել UEBA-ին վերլուծել միայն օգտատերերի կամ կազմակերպությունների վարքագիծը: |
| Լուծվող խնդիր | Ծառայում է խնդիրների լայն շրջանակի լուծմանը | Մասնագիտացված է սահմանափակ առաջադրանքների շարքում |
| Վերլուծություն | Անոմալիաների հայտնաբերում տարբեր վերլուծական մեթոդների միջոցով՝ հիմնականում վիճակագրական մոդելների և մեքենայական ուսուցման միջոցով՝ կանոնների և ստորագրությունների հետ միասին: Գալիս է ներկառուցված վերլուծություններ՝ օգտատերերի և կազմակերպությունների գործունեությունը ստեղծելու և համեմատելու նրանց և գործընկերների պրոֆիլների հետ: | Մաքուր UEBA-ի նման, բայց վերլուծությունը կարող է սահմանափակվել միայն օգտագործողների և/կամ կազմակերպությունների համար: |
| Վերլուծություն | Ընդլայնված վերլուծական հնարավորություններ, որոնք չեն սահմանափակվում միայն կանոններով: Օրինակ՝ կլաստերավորման ալգորիթմ՝ սուբյեկտների դինամիկ խմբավորմամբ։ | Նման է «մաքուր» UEBA-ին, բայց որոշ ներկառուցված սպառնալիքների մոդելներում կազմակերպությունների խմբավորումը կարող է փոխվել միայն ձեռքով: |
| Վերլուծություն | Օգտատերերի և այլ սուբյեկտների գործունեության և վարքագծի հարաբերակցությունը (օրինակ՝ օգտագործելով Բայեսյան ցանցերը) և անհատական ռիսկային վարքագծի համախմբում՝ անոմալ գործունեությունը բացահայտելու համար: | Մաքուր UEBA-ի նման, բայց վերլուծությունը կարող է սահմանափակվել միայն օգտագործողների և/կամ կազմակերպությունների համար: |
| Տվյալների աղբյուրները | Օգտագործողների և կազմակերպությունների վերաբերյալ իրադարձությունների ստացում տվյալների աղբյուրներից անմիջապես ներկառուցված մեխանիզմների կամ տվյալների առկա պահեստների միջոցով, ինչպիսիք են SIEM-ը կամ Data lake-ը: | Տվյալների ստացման մեխանիզմները սովորաբար ուղղակի են և ազդում են միայն օգտվողների և/կամ այլ անձանց վրա: Մի օգտագործեք տեղեկամատյանների կառավարման գործիքներ / SIEM / Data lake: |
| Տվյալների աղբյուրները | Լուծումը պետք է հիմնվի ոչ միայն ցանցային տրաֆիկի վրա՝ որպես տվյալների հիմնական աղբյուրի, ոչ էլ պետք է ապավինի բացառապես սեփական գործակալներին՝ հեռաչափություն հավաքելու համար: | Լուծումը կարող է կենտրոնանալ միայն ցանցային տրաֆիկի վրա (օրինակ՝ NTA - ցանցային տրաֆիկի վերլուծություն) և/կամ օգտագործել իր գործակալները վերջնական սարքերում (օրինակ՝ աշխատակիցների մոնիտորինգի կոմունալ ծառայություններ): |
| Տվյալների աղբյուրները | Օգտատիրոջ/անձի տվյալների համատեքստով հագեցում: Աջակցում է իրական ժամանակում կառուցվածքային իրադարձությունների հավաքագրմանը, ինչպես նաև ՏՏ դիրեկտորիաներից կառուցված/չկառուցված համահունչ տվյալների հավաքագրմանը, օրինակ՝ Active Directory-ից (AD) կամ մեքենայի ընթեռնելի այլ տեղեկատվական ռեսուրսներից (օրինակ՝ HR տվյալների բազաներից): | Նման է մաքուր UEBA-ին, սակայն համատեքստային տվյալների շրջանակը կարող է տարբեր լինել դեպքից դեպք: AD-ը և LDAP-ը համատեքստային տվյալների ամենատարածված պահեստներն են, որոնք օգտագործվում են ներկառուցված UEBA լուծումների կողմից: |
| Հասանելիություն | Ապահովում է նշված հատկանիշները որպես ինքնուրույն արտադրանք: | Անհնար է գնել ներկառուցված UEBA ֆունկցիոնալությունը՝ առանց արտաքին լուծում գնելու, որում այն կառուցված է: |
| Աղբյուր՝ Gartner (մայիս 2019) |
Այսպիսով, որոշ խնդիրներ լուծելու համար ներկառուցված UEBA-ն կարող է օգտագործել հիմնական UEBA-ի վերլուծությունը (օրինակ՝ պարզ չվերահսկվող մեքենայական ուսուցում), բայց միևնույն ժամանակ, ճշգրիտ անհրաժեշտ տվյալների հասանելիության շնորհիվ, այն կարող է ընդհանուր առմամբ ավելի արդյունավետ լինել, քան «մաքուրը»: ՈՒԵԲԱ-ի լուծում. Միևնույն ժամանակ, UEBA-ի «մաքուր» հարթակները, ինչպես և սպասվում էր, առաջարկում են ավելի բարդ վերլուծություններ՝ որպես հիմնական նոու-հաու՝ համեմատած ներկառուցված UEBA գործիքի հետ: Այս արդյունքներն ամփոփված են Աղյուսակ 2-ում:
Աղյուսակ 2. «Մաքուր» և ներկառուցված UEBA-ի միջև տարբերությունների արդյունքը
| Աստիճան | «Մաքուր» UEBA հարթակներ | Այլ լուծումներ ներկառուցված UEBA-ով |
| Վերլուծություն | Բիզնեսի մի շարք խնդիրների լուծման համար կիրառելիությունը ենթադրում է UEBA-ի գործառույթների ավելի ունիվերսալ շարք՝ շեշտը դնելով ավելի բարդ վերլուծության և մեքենայական ուսուցման մոդելների վրա: | Բիզնես խնդիրների ավելի փոքր շարքի վրա կենտրոնանալը նշանակում է բարձր մասնագիտացված առանձնահատկություններ, որոնք կենտրոնանում են ավելի պարզ տրամաբանությամբ կիրառական հատուկ մոդելների վրա: |
| Վերլուծություն | Յուրաքանչյուր կիրառական սցենարի համար անհրաժեշտ է վերլուծական մոդելի անհատականացում: | Վերլուծական մոդելները նախապես կազմաձևված են այն գործիքի համար, որն ունի UEBA ներդրում: Ներկառուցված UEBA-ով գործիքը սովորաբար ավելի արագ արդյունքների է հասնում որոշակի բիզնես խնդիրների լուծման գործում: |
| Տվյալների աղբյուրները | Տվյալների աղբյուրների հասանելիություն կորպորատիվ ենթակառուցվածքի բոլոր անկյուններից: | Ավելի քիչ տվյալների աղբյուրներ, որոնք սովորաբար սահմանափակվում են նրանց համար գործակալների կամ UEBA գործառույթներով գործիքի առկայությամբ: |
| Տվյալների աղբյուրները | Յուրաքանչյուր մատյանում պարունակվող տեղեկատվությունը կարող է սահմանափակված լինել տվյալների աղբյուրով և չի կարող պարունակել բոլոր անհրաժեշտ տվյալները UEBA կենտրոնացված գործիքի համար: | Գործակալի կողմից հավաքագրված և UEBA-ին փոխանցված չմշակված տվյալների քանակը և մանրամասները կարող են հատուկ կազմաձևվել: |
| ճարտարապետություն | Դա UEBA-ի ամբողջական արտադրանք է կազմակերպության համար: Ինտեգրումն ավելի հեշտ է՝ օգտագործելով SIEM համակարգի կամ Data lake-ի հնարավորությունները: | Պահանջում է UEBA-ի առանձնահատկությունների առանձին փաթեթ՝ ներկառուցված UEBA լուծումներից յուրաքանչյուրի համար: Ներկառուցված UEBA լուծումները հաճախ պահանջում են գործակալների տեղադրում և տվյալների կառավարում: |
| Ինտեգրում | UEBA-ի լուծման ձեռքով ինտեգրում այլ գործիքների հետ յուրաքանչյուր դեպքում: Թույլ է տալիս կազմակերպությանը կառուցել իր տեխնոլոգիական փաթեթը՝ հիմնվելով «լավագույնը անալոգների միջև» մոտեցման վրա: | UEBA-ի գործառույթների հիմնական փաթեթներն արդեն ներառված են հենց գործիքի մեջ՝ արտադրողի կողմից: UEBA-ի մոդուլը ներկառուցված է և հնարավոր չէ հեռացնել, ուստի հաճախորդները չեն կարող այն փոխարինել իրենցով: |
| Աղբյուր՝ Gartner (մայիս 2019) |
ՈՒԵԲԱ-ն որպես գործառույթ
UEBA-ն դառնում է կիբերանվտանգության վերջնական լուծումների հատկանիշ, որոնք կարող են օգտվել լրացուցիչ վերլուծություններից: UEBA-ն ընկած է այս լուծումների հիմքում՝ տրամադրելով առաջադեմ վերլուծությունների հզոր շերտ՝ հիմնված օգտատերերի և/կամ կազմակերպությունների վարքագծի ձևերի վրա:
Ներկայումս շուկայում ներկառուցված UEBA ֆունկցիոնալությունն իրականացվում է հետևյալ լուծումներով՝ խմբավորված ըստ տեխնոլոգիական շրջանակների.
- Տվյալների վրա հիմնված աուդիտ և պաշտպանություն, վաճառողներ են, որոնք կենտրոնացած են կառուցվածքային և չկառուցված տվյալների պահպանման անվտանգության բարելավման վրա (aka DCAP):
Վաճառողների այս կատեգորիայում Gartner-ը, ի թիվս այլ բաների, նշում է. , որն առաջարկում է օգտատերերի վարքագծի վերլուծություն՝ վերահսկելու չկառուցված տվյալների թույլտվությունների, մուտքի և օգտագործման փոփոխությունները տարբեր տեղեկատվական խանութներում:
- CASB համակարգեր, առաջարկելով պաշտպանություն ամպի վրա հիմնված SaaS հավելվածներում տարբեր սպառնալիքներից՝ արգելափակելով մուտքը դեպի ամպային ծառայություններ անցանկալի սարքերի, օգտատերերի և հավելվածների տարբերակների համար՝ օգտագործելով հարմարվողական մուտքի վերահսկման համակարգը:
Շուկայի առաջատար CASB լուծումները ներառում են UEBA-ի հնարավորությունները:
- DLP լուծումներ – կենտրոնացած է կազմակերպությունից դուրս կարևոր տվյալների փոխանցման կամ դրա չարաշահման հայտնաբերման վրա:
DLP-ի առաջընթացը հիմնականում հիմնված է բովանդակության ըմբռնման վրա՝ ավելի քիչ ուշադրություն դարձնելով համատեքստի ըմբռնմանը, ինչպիսիք են՝ օգտագործողը, հավելվածը, գտնվելու վայրը, ժամանակը, իրադարձությունների արագությունը և այլ արտաքին գործոններ: Արդյունավետ լինելու համար DLP արտադրանքը պետք է ճանաչի և՛ բովանդակությունը, և՛ համատեքստը: Ահա թե ինչու շատ արտադրողներ սկսում են ինտեգրել UEBA ֆունկցիոնալությունը իրենց լուծումների մեջ:
- Աշխատակիցների մոնիտորինգ աշխատողի գործողությունները գրանցելու և վերարտադրելու ունակությունն է, սովորաբար տվյալների ձևաչափով, որը հարմար է դատական գործընթացների համար (անհրաժեշտության դեպքում):
Օգտագործողների մշտական մոնիտորինգը հաճախ առաջացնում է տվյալների ճնշող քանակություն, որը պահանջում է ձեռքով զտում և մարդկային վերլուծություն: Հետևաբար, UEBA-ն օգտագործվում է մոնիտորինգի համակարգերի ներսում՝ բարելավելու այս լուծումների աշխատանքը և հայտնաբերելու միայն բարձր ռիսկային միջադեպերը:
- Վերջնակետի անվտանգություն – Վերջնակետի հայտնաբերման և արձագանքման (EDR) լուծումները և վերջնակետի պաշտպանության հարթակները (EPP) ապահովում են հզոր գործիքավորում և օպերացիոն համակարգի հեռաչափություն
վերջնական սարքեր.Օգտատիրոջ հետ կապված նման հեռաչափությունը կարող է վերլուծվել՝ ապահովելու ներկառուցված UEBA ֆունկցիոնալությունը:
- Առցանց խարդախություն – Առցանց խարդախության հայտնաբերման լուծումները հայտնաբերում են շեղված գործունեությունը, որը ցույց է տալիս հաճախորդի հաշվի խախտումը կեղծիքի, չարամիտ ծրագրի կամ անապահով կապերի/բրաուզերի թրաֆիկի գաղտնալսման միջոցով:
Խարդախության լուծումների մեծ մասն օգտագործում է UEBA-ի, գործարքների վերլուծության և սարքի չափման էությունը, ավելի առաջադեմ համակարգերով, որոնք լրացնում են դրանք՝ համապատասխանեցնելով հարաբերությունները ինքնության տվյալների բազայում:
- IAM և մուտքի վերահսկում – Gartner-ը նշում է էվոլյուցիոն միտում մուտքի վերահսկման համակարգերի վաճառողների շրջանում՝ ինտեգրվելու մաքուր վաճառողների հետ և UEBA-ի որոշ գործառույթներ կառուցելու իրենց արտադրանքներում:
- IAM և Identity Governance and Administration (IGA) համակարգեր օգտագործել UEBA-ն՝ լուսաբանելու վարքագծային և ինքնության վերլուծության սցենարները, ինչպիսիք են անոմալիաների հայտնաբերումը, նմանատիպ կազմակերպությունների դինամիկ խմբավորման վերլուծությունը, մուտքի վերլուծությունը և մուտքի քաղաքականության վերլուծությունը:
- IAM և արտոնյալ մուտքի կառավարում (PAM) – Ադմինիստրատիվ հաշիվների օգտագործման մոնիտորինգի դերի շնորհիվ PAM լուծումներն ունեն հեռաչափություն՝ ցույց տալու, թե ինչպես, ինչու, երբ և որտեղ են օգտագործվել վարչական հաշիվները: Այս տվյալները կարող են վերլուծվել՝ օգտագործելով UEBA-ի ներկառուցված ֆունկցիոնալությունը՝ ադմինիստրատորների անոմալ վարքագծի կամ չարամիտ մտադրության առկայության համար:
- Արտադրողների NTA (Ցանցային տրաֆիկի վերլուծություն) – օգտագործեք մեքենայական ուսուցման, առաջադեմ վերլուծության և կանոնների վրա հիմնված հայտնաբերման համադրություն՝ կորպորատիվ ցանցերում կասկածելի գործունեությունը հայտնաբերելու համար:
NTA գործիքները շարունակաբար վերլուծում են աղբյուրի տրաֆիկը և/կամ հոսքի գրառումները (օրինակ՝ NetFlow)՝ ցանցի նորմալ վարքագիծը արտացոլող մոդելներ կառուցելու համար՝ հիմնականում կենտրոնանալով կազմակերպության վարքագծի վերլուծության վրա:
- ՍԻԵՄ – SIEM-ի շատ վաճառողներ այժմ ունեն տվյալների վերլուծության առաջադեմ գործառույթ՝ ներկառուցված SIEM-ում կամ որպես առանձին UEBA մոդուլ: 2018 թվականի ընթացքում և մինչ այժմ՝ 2019 թվականին, SIEM-ի և UEBA-ի ֆունկցիոնալության միջև սահմանների շարունակական լղոզում է եղել, ինչպես քննարկվում է հոդվածում: . SIEM համակարգերն ավելի լավ են աշխատել վերլուծության հետ և առաջարկել ավելի բարդ կիրառական սցենարներ:
ՈՒԵԲԱ-ի կիրառման սցենարներ
UEBA-ի լուծումները կարող են լուծել խնդիրների լայն շրջանակ: Այնուամենայնիվ, Gartner-ի հաճախորդները համաձայն են, որ առաջնային օգտագործման դեպքը ներառում է սպառնալիքների տարբեր կատեգորիաների հայտնաբերում, որոնք ձեռք են բերվում օգտվողների վարքագծի և այլ սուբյեկտների միջև հաճախակի փոխկապակցվածությունների ցուցադրմամբ և վերլուծությամբ.
- տվյալների չարտոնված մուտք և տեղաշարժ.
- արտոնյալ օգտվողների կասկածելի վարքագիծ, աշխատակիցների չարամիտ կամ չարտոնված գործունեություն.
- ամպային ռեսուրսների ոչ ստանդարտ մուտք և օգտագործում.
- եւ այլն:
Կան նաև ոչ տիպիկ կիբերանվտանգության օգտագործման մի շարք դեպքեր, ինչպիսիք են խարդախությունը կամ աշխատակիցների մոնիտորինգը, որոնց համար UEBA-ն կարող է արդարացված լինել: Այնուամենայնիվ, դրանք հաճախ պահանջում են տվյալների աղբյուրներ՝ ՏՏ և տեղեկատվական անվտանգության շրջանակներից դուրս կամ կոնկրետ վերլուծական մոդելներ՝ այս ոլորտի խորը ըմբռնմամբ: Հինգ հիմնական սցենարներն ու հավելվածները, որոնց շուրջ համաձայնում են և՛ UEBA-ի արտադրողները, և՛ նրանց հաճախորդները, նկարագրված են ստորև:
«Չարամիտ ներքինի»
UEBA-ի լուծումների մատակարարները, որոնք ծածկում են այս սցենարը, միայն վերահսկում են աշխատողներին և վստահելի կապալառուներին արտասովոր, «վատ» կամ չարամիտ վարքագծի համար: Փորձաքննության այս ոլորտում վաճառողները չեն վերահսկում կամ վերլուծում սպասարկման հաշիվների կամ այլ ոչ մարդկային կազմակերպությունների վարքագիծը: Հիմնականում դրա պատճառով նրանք կենտրոնացած չեն առաջադեմ սպառնալիքների հայտնաբերման վրա, որտեղ հաքերները տիրում են գոյություն ունեցող հաշիվներին: Փոխարենը, դրանք ուղղված են վնասակար գործունեության մեջ ներգրավված աշխատակիցների նույնականացմանը:
Ըստ էության, «չարամիտ ինսայդերի» հայեցակարգը բխում է վնասակար մտադրություն ունեցող վստահելի օգտատերերից, ովքեր փնտրում են իրենց գործատուին վնաս պատճառելու ուղիներ: Քանի որ վնասակար մտադրությունը դժվար է չափել, այս կատեգորիայի լավագույն վաճառողները վերլուծում են համատեքստային վարքագծի տվյալները, որոնք հեշտությամբ հասանելի չեն աուդիտի մատյաններում:
Այս տարածքում լուծումներ մատակարարողները նաև օպտիմալ կերպով ավելացնում և վերլուծում են չկառուցված տվյալներ, ինչպիսիք են էլփոստի բովանդակությունը, արտադրողականության հաշվետվությունները կամ սոցիալական մեդիայի տեղեկատվությունը, վարքագծի համատեքստ ապահովելու համար:
Վտանգված ներքին և ներխուժող սպառնալիքներ
Խնդիրն այն է, որ արագ հայտնաբերել և վերլուծել «վատ» վարքագիծը, երբ հարձակվողը մուտք գործի կազմակերպություն և սկսի շարժվել ՏՏ ենթակառուցվածքում:
Հաստատող սպառնալիքները (APT), ինչպես անհայտ կամ դեռևս լիովին չհասկացված սպառնալիքները, չափազանց դժվար է հայտնաբերել և հաճախ թաքնվել օգտատերերի օրինական գործունեության կամ ծառայության հաշիվների հետևում: Նման սպառնալիքները սովորաբար ունեն բարդ գործառնական մոդել (տե՛ս, օրինակ, հոդվածը ««) կամ նրանց վարքագիծը դեռ չի գնահատվել որպես վնասակար։ Սա դժվարացնում է դրանց հայտնաբերումը պարզ վերլուծական տվյալների միջոցով (օրինակ՝ համընկնումը ըստ նախշերի, շեմերի կամ հարաբերակցության կանոնների):
Այնուամենայնիվ, այս ներխուժող սպառնալիքներից շատերը հանգեցնում են ոչ ստանդարտ վարքագծի, որը հաճախ ներառում է կասկած չունեցող օգտատերեր կամ կազմակերպություններ (այսպես էլ՝ վտանգված ինսայդերներ): UEBA-ի տեխնիկան առաջարկում է մի քանի հետաքրքիր հնարավորություն՝ հայտնաբերելու նման սպառնալիքները, բարելավել ազդանշան-աղմուկ հարաբերակցությունը, համախմբել և նվազեցնել ծանուցումների ծավալը, առաջնահերթություն տալ մնացած ահազանգերին և հեշտացնել միջադեպերի արդյունավետ արձագանքման և հետաքննությանը:
UEBA-ի վաճառողները, որոնք ուղղված են այս խնդրի տարածքին, հաճախ երկկողմանի ինտեգրում են կազմակերպության SIEM համակարգերին:
Տվյալների արտազատում
Այս դեպքում խնդիրն այն է, որ հայտնաբերվի այն փաստը, որ տվյալները փոխանցվում են կազմակերպությունից դուրս:
Այս մարտահրավերի վրա կենտրոնացած վաճառողները սովորաբար օգտագործում են DLP կամ DAG հնարավորությունները անոմալիաների հայտնաբերման և առաջադեմ վերլուծության միջոցով՝ դրանով իսկ բարելավելով ազդանշան-աղմուկ հարաբերակցությունը, համախմբելով ծանուցման ծավալը և առաջնահերթություն տալով մնացած գործարկիչներին: Լրացուցիչ համատեքստի համար վաճառողները սովորաբար ավելի շատ ապավինում են ցանցային տրաֆիկին (օրինակ՝ վեբ պրոքսիներին) և վերջնական կետի տվյալներին, քանի որ տվյալների այս աղբյուրների վերլուծությունը կարող է օգնել տվյալների արտահանման հետաքննությանը:
Տվյալների արտազատման հայտնաբերումն օգտագործվում է կազմակերպությանը սպառնացող ինսայդերներին և արտաքին հաքերներին բռնելու համար:
Արտոնյալ մուտքի նույնականացում և կառավարում
Փորձաքննության այս ոլորտում UEBA-ի անկախ լուծումների արտադրողները դիտարկում և վերլուծում են օգտատերերի վարքագիծը արդեն ձևավորված իրավունքների համակարգի ֆոնի վրա՝ չափից դուրս արտոնությունները կամ անոմալ մուտքը հայտնաբերելու նպատակով: Սա վերաբերում է բոլոր տեսակի օգտատերերի և հաշիվների, ներառյալ արտոնյալ և սպասարկման հաշիվները: Կազմակերպությունները նաև օգտագործում են UEBA-ն՝ ազատվելու քնած հաշիվներից և օգտատերերի արտոնություններից, որոնք պահանջվածից բարձր են:
Միջադեպերի առաջնահերթություն
Այս առաջադրանքի նպատակն է առաջնահերթություն տալ լուծումների կողմից ստեղծված ծանուցումներին՝ իրենց տեխնոլոգիական փաթեթում, որպեսզի հասկանանք, թե որ միջադեպերին կամ հնարավոր միջադեպերին պետք է առաջին հերթին լուծվեն: UEBA-ի մեթոդոլոգիաներն ու գործիքները օգտակար են տվյալ կազմակերպության համար հատկապես անոմալ կամ հատկապես վտանգավոր միջադեպերը բացահայտելու համար: Այս դեպքում UEBA մեխանիզմը ոչ միայն օգտագործում է գործունեության հիմնական մակարդակը և սպառնալիքների մոդելները, այլև տվյալները հագեցնում է ընկերության կազմակերպչական կառուցվածքի մասին տեղեկություններով (օրինակ՝ կարևոր ռեսուրսներ կամ դերեր և աշխատակիցների հասանելիության մակարդակ):
ՈՒԵԲԱ-ի լուծումների ներդրման հիմնախնդիրները
UEBA-ի լուծումների շուկայական ցավը դրանց բարձր գինն է, համալիր ներդրումը, սպասարկումը և օգտագործումը: Մինչ ընկերությունները պայքարում են տարբեր ներքին պորտալների քանակի հետ, նրանք ստանում են մեկ այլ վահանակ: Նոր գործիքի մեջ ժամանակի և ռեսուրսների ներդրման չափը կախված է առաջադրանքներից և վերլուծության տեսակներից, որոնք անհրաժեշտ են դրանք լուծելու համար, և ամենից հաճախ պահանջում են մեծ ներդրումներ:
Հակառակ այն բանի, ինչ պնդում են շատ արտադրողներ, UEBA-ն «տեղադրել այն և մոռացիր այն» գործիք չէ, որը կարող է շարունակաբար աշխատել օրեր շարունակ:
Gartner-ի հաճախորդները, օրինակ, նշում են, որ UEBA-ի նախաձեռնությունը զրոյից սկսելու համար պահանջվում է 3-ից 6 ամիս՝ խնդիրների լուծման առաջին արդյունքները ստանալու համար, որոնց համար իրականացվել է այս լուծումը: Ավելի բարդ առաջադրանքների համար, ինչպիսիք են կազմակերպությունում ինսայդերական սպառնալիքների բացահայտումը, ժամկետը ավելանում է մինչև 18 ամիս:
UEBA-ի ներդրման դժվարության և գործիքի ապագա արդյունավետության վրա ազդող գործոններ.
- Կազմակերպության ճարտարապետության, ցանցի տոպոլոգիայի և տվյալների կառավարման քաղաքականության բարդությունը
- Ճիշտ տվյալների առկայություն՝ մանրամասնության ճիշտ մակարդակով
- Վաճառողի վերլուծական ալգորիթմների բարդությունը, օրինակ՝ վիճակագրական մոդելների և մեքենայական ուսուցման օգտագործումն ընդդեմ պարզ օրինաչափությունների և կանոնների:
- Ներառված նախապես կազմաձևված վերլուծությունների քանակը, այսինքն՝ արտադրողի պատկերացումն այն մասին, թե ինչ տվյալներ պետք է հավաքվեն յուրաքանչյուր առաջադրանքի համար, և որ փոփոխականներն ու հատկանիշներն են ամենակարևորը վերլուծությունն իրականացնելու համար:
- Որքան հեշտ է արտադրողի համար ավտոմատ կերպով ինտեգրվել պահանջվող տվյալներին:
Օրինակ `
- Եթե UEBA-ի լուծումն օգտագործում է SIEM համակարգը որպես իր տվյալների հիմնական աղբյուր, արդյո՞ք SIEM-ը հավաքում է տեղեկատվություն անհրաժեշտ տվյալների աղբյուրներից:
- Կարո՞ղ են անհրաժեշտ իրադարձությունների տեղեկամատյանները և կազմակերպչական համատեքստի տվյալները փոխանցվել UEBA-ի լուծմանը:
- Եթե SIEM համակարգը դեռ չի հավաքում և չի վերահսկում UEBA-ի լուծման համար անհրաժեշտ տվյալների աղբյուրները, ապա ինչպե՞ս կարող են դրանք տեղափոխվել այնտեղ:
- Որքանո՞վ է կարևոր կիրառման սցենարը կազմակերպության համար, որքան տվյալների աղբյուր է այն պահանջում, և որքանո՞վ է այս առաջադրանքը համընկնում արտադրողի փորձաքննության ոլորտի հետ:
- Կազմակերպչական հասունության և ներգրավվածության ինչ աստիճան է պահանջվում, օրինակ՝ կանոնների և մոդելների ստեղծում, մշակում և կատարելագործում; գնահատման համար փոփոխականներին կշիռներ տալը. կամ ճշգրտելով ռիսկերի գնահատման շեմը:
- Որքանո՞վ է ընդլայնելի վաճառողի լուծումը և դրա ճարտարապետությունը՝ համեմատած կազմակերպության ներկայիս չափի և նրա ապագա պահանջների հետ:
- Ժամանակն է կառուցել հիմնական մոդելներ, պրոֆիլներ և հիմնական խմբեր: Արտադրողները հաճախ պահանջում են առնվազն 30 օր (և երբեմն մինչև 90 օր) վերլուծություն իրականացնելու համար, նախքան նրանք կարող են սահմանել «նորմալ» հասկացությունները: Պատմական տվյալների մեկ անգամ բեռնումը կարող է արագացնել մոդելի ուսուցումը: Հետաքրքիր դեպքերից մի քանիսը կարելի է ավելի արագ ճանաչել՝ օգտագործելով կանոնները, քան մեքենայական ուսուցումն օգտագործելով անհավատալիորեն փոքր քանակությամբ նախնական տվյալների:
- Դինամիկ խմբավորում ստեղծելու և հաշվի պրոֆիլավորման համար պահանջվող ջանքերի մակարդակը (ծառայություն/անձ) կարող է մեծապես տարբերվել լուծումների միջև:
Source: www.habr.com