ProHoster > blog > notizie internet > Il mercato UEBA è morto: lunga vita all’UEBA

Il mercato UEBA è morto: lunga vita all’UEBA

Il mercato UEBA è morto: lunga vita all’UEBA

Oggi forniremo una breve panoramica del mercato Analisi comportamentale degli utenti e delle entità (UEBA) basata sulle ultime novità. Ricerca Gartner. Secondo Gartner Hype Cycle for Threat-Facing Technologies, il mercato UEBA si trova al fondo della “fase di disillusione”, indicando la maturità della tecnologia. Ma il paradosso della situazione risiede nella simultanea crescita generale degli investimenti nelle tecnologie UEBA e nella scomparsa del mercato delle soluzioni UEBA indipendenti. Gartner prevede che l'UEBA diventerà parte delle funzionalità delle relative soluzioni di sicurezza delle informazioni. Il termine "UEBA" probabilmente cadrà in disuso e sarà sostituito da un altro acronimo focalizzato su un'area di applicazione più ristretta (ad esempio, "analisi del comportamento degli utenti"), un'area di applicazione simile (ad esempio, "analisi dei dati"), o semplicemente diventerà qualche nuova parola d'ordine (ad esempio, il termine "intelligenza artificiale" [AI] sembra interessante, sebbene non abbia alcun senso per i moderni produttori UEBA).

I principali risultati dello studio Gartner possono essere riassunti come segue:

  • La maturità del mercato dell'analisi comportamentale di utenti ed enti è confermata dal fatto che queste tecnologie vengono utilizzate dal segmento delle medie e grandi aziende per risolvere una serie di problemi aziendali;
  • Le funzionalità di analisi UEBA sono integrate in un'ampia gamma di tecnologie di sicurezza delle informazioni correlate, come i broker di sicurezza per l'accesso al cloud (CASB), i sistemi SIEM di governance e amministrazione delle identità (IGA);
  • Il clamore attorno ai fornitori UEBA e l’uso errato del termine “intelligenza artificiale” rendono difficile per i clienti comprendere la reale differenza tra le tecnologie dei produttori e la funzionalità delle soluzioni senza condurre un progetto pilota;
  • I clienti notano che i tempi di implementazione e l’uso quotidiano delle soluzioni UEBA possono richiedere più tempo e manodopera rispetto a quanto promesso dal produttore, anche considerando solo i modelli di rilevamento delle minacce di base. L'aggiunta di casi d'uso personalizzati o edge può essere estremamente difficile e richiedere competenze in data science e analisi.

Previsioni di sviluppo strategico del mercato:

  • Entro il 2021, il mercato dei sistemi di analisi comportamentale degli utenti e delle entità (UEBA) cesserà di esistere come area separata e si sposterà verso altre soluzioni con funzionalità UEBA;
  • Entro il 2020, il 95% di tutte le implementazioni UEBA faranno parte di una piattaforma di sicurezza più ampia.

Definizione delle soluzioni UEBA

Le soluzioni UEBA utilizzano analisi integrate per valutare l'attività degli utenti e di altre entità (come host, applicazioni, traffico di rete e archivi dati).
Rilevano minacce e potenziali incidenti, che in genere rappresentano attività anomale rispetto al profilo e al comportamento standard di utenti ed entità in gruppi simili in un periodo di tempo.

I casi d'uso più comuni nel segmento aziendale sono il rilevamento e la risposta alle minacce, nonché il rilevamento e la risposta alle minacce interne (per lo più interni compromessi, a volte aggressori interni).

L'UEBA è come decisioneE функцией, integrato in uno strumento specifico:

  • La soluzione sono i produttori di piattaforme UEBA “pure”, compresi i fornitori che vendono anche soluzioni SIEM separatamente. Focalizzato su un'ampia gamma di problemi aziendali nell'analisi comportamentale di utenti ed entità.
  • Embedded – Produttori/divisioni che integrano funzioni e tecnologie UEBA nelle loro soluzioni. Solitamente focalizzato su una serie più specifica di problemi aziendali. In questo caso, l'UEBA viene utilizzato per analizzare il comportamento degli utenti e/o delle entità.

Gartner vede l'UEBA lungo tre assi, inclusi risolutori di problemi, analisi e fonti di dati (vedi figura).

Il mercato UEBA è morto: lunga vita all’UEBA

Piattaforme UEBA "pure" rispetto a UEBA integrata

Gartner considera una piattaforma UEBA “pura” quella soluzione che:

  • risolvere diversi problemi specifici, come il monitoraggio degli utenti privilegiati o l'output di dati all'esterno dell'organizzazione, e non solo l'astratto “monitoraggio dell'attività anomala degli utenti”;
  • implicano l’uso di analisi complesse, necessariamente basate su approcci analitici di base;
  • fornire diverse opzioni per la raccolta dei dati, inclusi sia meccanismi di origine dati integrati che strumenti di gestione dei log, Data Lake e/o sistemi SIEM, senza la necessità obbligatoria di implementare agenti separati nell'infrastruttura;
  • possono essere acquistati e distribuiti come soluzioni autonome anziché incluse
    composizione di altri prodotti.

La tabella seguente mette a confronto i due approcci.

Tabella 1. Soluzioni UEBA “pure” rispetto a quelle integrate

categoria Piattaforme UEBA "pure". Altre soluzioni con UEBA integrata
Problema da risolvere Analisi del comportamento e delle entità degli utenti. La mancanza di dati può limitare l'UEBA ad analizzare il comportamento dei soli utenti o entità.
Problema da risolvere Serve a risolvere una vasta gamma di problemi Specializzato in una serie limitata di compiti
Analitica Rilevamento di anomalie utilizzando vari metodi analitici, principalmente attraverso modelli statistici e apprendimento automatico, insieme a regole e firme. Viene fornito con analisi integrate per creare e confrontare l'attività di utenti ed entità con i profili loro e dei colleghi. Simile all'UEBA puro, ma l'analisi può essere limitata solo agli utenti e/o alle entità.
Analitica Capacità analitiche avanzate, non limitate solo dalle regole. Ad esempio, un algoritmo di clustering con raggruppamento dinamico di entità. Simile all’UEBA “puro”, ma il raggruppamento di entità in alcuni modelli di minaccia incorporati può essere modificato solo manualmente.
Analitica Correlazione dell'attività e del comportamento degli utenti e di altre entità (ad esempio, utilizzando le reti bayesiane) e aggregazione dei comportamenti a rischio individuali al fine di identificare attività anomale. Simile all'UEBA puro, ma l'analisi può essere limitata solo agli utenti e/o alle entità.
Origine dei dati Ricevere eventi su utenti ed entità da origini dati direttamente tramite meccanismi integrati o archivi dati esistenti, come SIEM o Data Lake. I meccanismi di ottenimento dei dati sono solitamente solo diretti e riguardano solo gli utenti e/o altri soggetti. Non utilizzare strumenti di gestione dei log/SIEM/Data Lake.
Origine dei dati La soluzione non dovrebbe fare affidamento solo sul traffico di rete come principale fonte di dati, né dovrebbe fare affidamento esclusivamente sui propri agenti per raccogliere i dati di telemetria. La soluzione può concentrarsi solo sul traffico di rete (ad esempio, NTA - analisi del traffico di rete) e/o utilizzare i suoi agenti sui dispositivi finali (ad esempio, utilità di monitoraggio dei dipendenti).
Origine dei dati Saturazione dei dati utente/entità con il contesto. Supporta la raccolta di eventi strutturati in tempo reale, nonché dati coesi strutturati/non strutturati da directory IT, ad esempio Active Directory (AD) o altre risorse informative leggibili dalla macchina (ad esempio, database HR). Simile all'UEBA puro, ma la portata dei dati contestuali può variare da caso a caso. AD e LDAP sono gli archivi dati contestuali più comuni utilizzati dalle soluzioni UEBA integrate.
Disponibilità Fornisce le funzionalità elencate come prodotto autonomo. È impossibile acquistare la funzionalità UEBA integrata senza acquistare una soluzione esterna in cui è integrata.
Fonte: Gartner (maggio 2019)

Pertanto, per risolvere determinati problemi, l'UEBA integrato può utilizzare l'analisi UEBA di base (ad esempio, il semplice apprendimento automatico non supervisionato), ma allo stesso tempo, grazie all'accesso esattamente ai dati necessari, può essere nel complesso più efficace di un sistema "puro" Soluzione UEBA. Allo stesso tempo, le piattaforme UEBA “pure”, come previsto, offrono analisi più complesse come know-how principale rispetto allo strumento UEBA integrato. Questi risultati sono riassunti nella Tabella 2.

Tabella 2. Il risultato delle differenze tra UEBA “puro” e integrato

categoria Piattaforme UEBA "pure". Altre soluzioni con UEBA integrata
Analitica L'applicabilità per la risoluzione di una varietà di problemi aziendali implica un insieme più universale di funzioni UEBA con un'enfasi su modelli di analisi e apprendimento automatico più complessi. Concentrarsi su un insieme più ristretto di problemi aziendali significa funzionalità altamente specializzate che si concentrano su modelli specifici dell'applicazione con una logica più semplice.
Analitica La personalizzazione del modello analitico è necessaria per ogni scenario applicativo. I modelli analitici sono preconfigurati per lo strumento in cui è integrato UEBA. Uno strumento con UEBA integrato generalmente ottiene risultati più rapidi nella risoluzione di determinati problemi aziendali.
Origine dei dati Accesso alle origini dati da tutti gli angoli dell'infrastruttura aziendale. Meno fonti di dati, solitamente limitate dalla disponibilità di agenti per esse o dallo strumento stesso con funzioni UEBA.
Origine dei dati Le informazioni contenute in ciascun registro potrebbero essere limitate dall'origine dati e potrebbero non contenere tutti i dati necessari per lo strumento UEBA centralizzato. La quantità e il dettaglio dei dati grezzi raccolti dall'agente e trasmessi all'UEBA possono essere configurati in modo specifico.
Architettura È un prodotto UEBA completo per un'organizzazione. L'integrazione è più semplice utilizzando le funzionalità di un sistema SIEM o Data Lake. Richiede un set separato di funzionalità UEBA per ciascuna delle soluzioni che dispongono di UEBA integrato. Le soluzioni UEBA integrate spesso richiedono l'installazione di agenti e la gestione dei dati.
integrazione Integrazione manuale della soluzione UEBA con altri strumenti in ciascun caso. Consente a un'organizzazione di costruire il proprio stack tecnologico sulla base dell'approccio "migliore tra gli analoghi". I principali pacchetti di funzioni UEBA sono già inclusi nello strumento stesso dal produttore. Il modulo UEBA è integrato e non può essere rimosso, quindi i clienti non possono sostituirlo con qualcosa di proprio.
Fonte: Gartner (maggio 2019)

UEBA come funzione

L’UEBA sta diventando una caratteristica delle soluzioni di sicurezza informatica end-to-end che possono trarre vantaggio da analisi aggiuntive. UEBA è alla base di queste soluzioni, fornendo un potente livello di analisi avanzate basate sui modelli di comportamento degli utenti e/o delle entità.

Attualmente sul mercato, la funzionalità UEBA integrata è implementata nelle seguenti soluzioni, raggruppate per ambito tecnologico:

  • Controllo e protezione incentrati sui dati, sono fornitori che si concentrano sul miglioramento della sicurezza dell'archiviazione di dati strutturati e non strutturati (noti anche come DCAP).

    In questa categoria di fornitori, Gartner rileva, tra le altre cose, Piattaforma di sicurezza informatica Varonis, che offre analisi del comportamento degli utenti per monitorare i cambiamenti nelle autorizzazioni, nell'accesso e nell'utilizzo dei dati non strutturati in diversi archivi di informazioni.

  • Sistemi CASB, offrendo protezione contro varie minacce nelle applicazioni SaaS basate su cloud bloccando l'accesso ai servizi cloud per dispositivi, utenti e versioni delle applicazioni indesiderati utilizzando un sistema di controllo degli accessi adattivo.

    Tutte le soluzioni CASB leader di mercato includono funzionalità UEBA.

  • Soluzioni DLP – focalizzato sul rilevamento del trasferimento di dati critici all’esterno dell’organizzazione o del suo abuso.

    I progressi della DLP si basano in gran parte sulla comprensione dei contenuti, con meno attenzione alla comprensione del contesto come utente, applicazione, posizione, tempo, velocità degli eventi e altri fattori esterni. Per essere efficaci, i prodotti DLP devono riconoscere sia il contenuto che il contesto. Questo è il motivo per cui molti produttori stanno iniziando a integrare la funzionalità UEBA nelle loro soluzioni.

  • Monitoraggio dei dipendenti è la capacità di registrare e riprodurre le azioni dei dipendenti, solitamente in un formato dati adatto a procedimenti legali (se necessario).

    Il monitoraggio costante degli utenti spesso genera un’enorme quantità di dati che richiedono il filtraggio manuale e l’analisi umana. Pertanto, l’UEBA viene utilizzato all’interno dei sistemi di monitoraggio per migliorare le prestazioni di queste soluzioni e rilevare solo gli incidenti ad alto rischio.

  • Sicurezza degli endpoint – Le soluzioni di rilevamento e risposta degli endpoint (EDR) e le piattaforme di protezione degli endpoint (EPP) forniscono una potente strumentazione e telemetria del sistema operativo per
    dispositivi finali.

    Tale telemetria relativa all'utente può essere analizzata per fornire funzionalità UEBA integrata.

  • Frode on-line – Le soluzioni di rilevamento delle frodi online rilevano attività devianti che indicano la compromissione dell'account di un cliente attraverso spoofing, malware o sfruttamento di connessioni non protette/intercettazione del traffico del browser.

    La maggior parte delle soluzioni antifrode utilizzano l'essenza dell'UEBA, l'analisi delle transazioni e la misurazione dei dispositivi, con sistemi più avanzati che le completano abbinando le relazioni nel database delle identità.

  • IAM e controllo degli accessi – Gartner rileva una tendenza evolutiva tra i fornitori di sistemi di controllo degli accessi verso l’integrazione con fornitori puri e l’integrazione di alcune funzionalità UEBA nei loro prodotti.
  • Sistemi IAM e Identity Governance and Administration (IGA). utilizzare UEBA per coprire scenari di analisi comportamentale e dell'identità come rilevamento di anomalie, analisi di raggruppamento dinamico di entità simili, analisi di accesso e analisi di policy di accesso.
  • IAM e gestione degli accessi privilegiati (PAM) – Dato il ruolo di monitoraggio dell’utilizzo degli account amministrativi, le soluzioni PAM dispongono di telemetria per mostrare come, perché, quando e dove sono stati utilizzati gli account amministrativi. Questi dati possono essere analizzati utilizzando la funzionalità integrata di UEBA per la presenza di comportamenti anomali degli amministratori o intenti dannosi.
  • Produttori NTA (Analisi del Traffico di Rete) – utilizzare una combinazione di machine learning, analisi avanzate e rilevamento basato su regole per identificare attività sospette sulle reti aziendali.

    Gli strumenti NTA analizzano continuamente il traffico di origine e/o i record di flusso (ad esempio NetFlow) per creare modelli che riflettono il normale comportamento della rete, concentrandosi principalmente sull'analisi del comportamento delle entità.

  • SIEM – Molti fornitori SIEM ora dispongono di funzionalità avanzate di analisi dei dati integrate nel SIEM o come modulo UEBA separato. Nel corso del 2018 e finora nel 2019, c'è stata una continua sfumatura dei confini tra funzionalità SIEM e UEBA, come discusso nell'articolo "Approfondimento tecnologico per il SIEM moderno". I sistemi SIEM sono migliorati nel lavorare con l'analisi e nell'offrire scenari applicativi più complessi.

Scenari applicativi UEBA

Le soluzioni UEBA possono risolvere un'ampia gamma di problemi. Tuttavia, i clienti Gartner concordano sul fatto che il caso d'uso principale prevede il rilevamento di varie categorie di minacce, ottenuto visualizzando e analizzando le frequenti correlazioni tra il comportamento dell'utente e altre entità:

  • accesso e circolazione non autorizzati dei dati;
  • comportamento sospetto di utenti privilegiati, attività malevola o non autorizzata dei dipendenti;
  • accesso e utilizzo non standard delle risorse cloud;
  • др и.

Esistono anche una serie di casi d’uso atipici non legati alla sicurezza informatica, come la frode o il monitoraggio dei dipendenti, per i quali l’UEBA può essere giustificata. Tuttavia, spesso richiedono fonti di dati esterne all’IT e alla sicurezza delle informazioni, o modelli analitici specifici con una profonda conoscenza di quest’area. Di seguito sono descritti i cinque scenari e applicazioni principali su cui concordano sia i produttori UEBA che i loro clienti.

"Insider dannoso"

I fornitori di soluzioni UEBA che coprono questo scenario monitorano solo dipendenti e collaboratori fidati per comportamenti insoliti, "cattivi" o dannosi. I fornitori in quest'area di competenza non monitorano né analizzano il comportamento degli account di servizio o di altre entità non umane. Soprattutto per questo motivo, non si concentrano sul rilevamento delle minacce avanzate in cui gli hacker prendono il controllo degli account esistenti. Mirano invece a identificare i dipendenti coinvolti in attività dannose.

In sostanza, il concetto di “interno dannoso” deriva da utenti fidati con intenti dannosi che cercano modi per causare danni al proprio datore di lavoro. Poiché l'intento dannoso è difficile da misurare, i migliori fornitori di questa categoria analizzano i dati sul comportamento contestuale che non sono facilmente disponibili nei registri di controllo.

I fornitori di soluzioni in questo ambito aggiungono e analizzano in modo ottimale anche dati non strutturati, come contenuto di posta elettronica, report sulla produttività o informazioni sui social media, per fornire un contesto per il comportamento.

Minacce interne e intrusive compromesse

La sfida è rilevare e analizzare rapidamente i comportamenti “cattivi” una volta che l’aggressore ha ottenuto l’accesso all’organizzazione e inizia a muoversi all’interno dell’infrastruttura IT.
Le minacce assertive (APT), come le minacce sconosciute o non ancora completamente comprese, sono estremamente difficili da rilevare e spesso si nascondono dietro attività utente legittime o account di servizio. Tali minacce hanno solitamente un modello operativo complesso (vedi, ad esempio, l’articolo “ Affrontare la catena di uccisione informatica") o il loro comportamento non è stato ancora valutato come dannoso. Ciò li rende difficili da rilevare utilizzando analisi semplici (come la corrispondenza in base a modelli, soglie o regole di correlazione).

Tuttavia, molte di queste minacce intrusive danno luogo a comportamenti non standard, che spesso coinvolgono utenti o entità ignari (ovvero interni compromessi). Le tecniche UEBA offrono diverse opportunità interessanti per rilevare tali minacce, migliorare il rapporto segnale-rumore, consolidare e ridurre il volume delle notifiche, dare priorità agli avvisi rimanenti e facilitare una risposta e un'indagine efficaci sugli incidenti.

I fornitori UEBA che si rivolgono a quest'area problematica spesso hanno un'integrazione bidirezionale con i sistemi SIEM dell'organizzazione.

Esfiltrazione dei dati

Il compito in questo caso è rilevare il fatto che i dati vengono trasferiti all'esterno dell'organizzazione.
I fornitori focalizzati su questa sfida in genere sfruttano le funzionalità DLP o DAG con rilevamento di anomalie e analisi avanzate, migliorando così il rapporto segnale/rumore, consolidando il volume delle notifiche e dando priorità ai trigger rimanenti. Per ulteriore contesto, i fornitori in genere fanno più affidamento sul traffico di rete (come i proxy Web) e sui dati degli endpoint, poiché l'analisi di queste origini dati può aiutare nelle indagini sull'esfiltrazione dei dati.

Il rilevamento dell'esfiltrazione dei dati viene utilizzato per individuare utenti interni e hacker esterni che minacciano l'organizzazione.

Identificazione e gestione degli accessi privilegiati

I produttori di soluzioni UEBA indipendenti in quest'area di competenza osservano e analizzano il comportamento degli utenti sullo sfondo di un sistema di diritti già formato al fine di identificare privilegi eccessivi o accessi anomali. Questo vale per tutti i tipi di utenti e account, inclusi gli account privilegiati e di servizio. Le organizzazioni utilizzano UEBA anche per eliminare account inattivi e privilegi utente superiori a quelli richiesti.

Priorità degli incidenti

L'obiettivo di questa attività è dare priorità alle notifiche generate dalle soluzioni nel relativo stack tecnologico per comprendere quali incidenti o potenziali incidenti dovrebbero essere affrontati per primi. Le metodologie e gli strumenti UEBA sono utili per identificare incidenti particolarmente anomali o particolarmente pericolosi per una determinata organizzazione. In questo caso, il meccanismo UEBA non solo utilizza il livello base dei modelli di attività e di minaccia, ma satura anche i dati con informazioni sulla struttura organizzativa dell’azienda (ad esempio risorse critiche o ruoli e livelli di accesso dei dipendenti).

Problemi di implementazione delle soluzioni UEBA

Il problema del mercato delle soluzioni UEBA è il prezzo elevato, la complessità di implementazione, manutenzione e utilizzo. Mentre le aziende sono alle prese con il numero di diversi portali interni, ottengono un'altra console. L'entità dell'investimento di tempo e risorse in un nuovo strumento dipende dalle attività da svolgere e dai tipi di analisi necessarie per risolverle e molto spesso richiedono ingenti investimenti.

Contrariamente a quanto sostengono molti produttori, UEBA non è uno strumento “impostalo e dimenticalo” che può quindi funzionare ininterrottamente per giorni interi.
I clienti Gartner, ad esempio, notano che sono necessari dai 3 ai 6 mesi per lanciare da zero un'iniziativa UEBA per ottenere i primi risultati di risoluzione dei problemi per i quali è stata implementata questa soluzione. Per compiti più complessi, come l'identificazione di minacce interne a un'organizzazione, il periodo aumenta a 18 mesi.

Fattori che influenzano la difficoltà di implementazione dell’UEBA e la futura efficacia dello strumento:

  • Complessità dell'architettura organizzativa, della topologia della rete e delle politiche di gestione dei dati
  • Disponibilità dei dati giusti al giusto livello di dettaglio
  • La complessità degli algoritmi di analisi del fornitore, ad esempio l'uso di modelli statistici e apprendimento automatico rispetto a modelli e regole semplici.
  • La quantità di analisi preconfigurate incluse, ovvero la comprensione da parte del produttore di quali dati devono essere raccolti per ciascuna attività e quali variabili e attributi sono più importanti per eseguire l'analisi.
  • Quanto è facile per il produttore integrarsi automaticamente con i dati richiesti.

    Per esempio:

    • Se una soluzione UEBA utilizza un sistema SIEM come fonte principale dei propri dati, il SIEM raccoglie informazioni dalle fonti dati richieste?
    • È possibile instradare i registri eventi e i dati del contesto organizzativo necessari a una soluzione UEBA?
    • Se il sistema SIEM non raccoglie e controlla ancora le origini dati necessarie alla soluzione UEBA, come possono essere trasferite lì?

  • Quanto è importante lo scenario applicativo per l’organizzazione, quante fonti dati richiede e quanto questo compito si sovrappone all’area di competenza del produttore.
  • Quale grado di maturità e coinvolgimento organizzativo è richiesto – ad esempio, la creazione, lo sviluppo e il perfezionamento di regole e modelli; assegnare pesi alle variabili per la valutazione; o adeguando la soglia di valutazione del rischio.
  • Quanto è scalabile la soluzione del fornitore e la sua architettura rispetto alle dimensioni attuali dell'organizzazione e ai suoi requisiti futuri.
  • È tempo di costruire modelli di base, profili e gruppi chiave. I produttori spesso richiedono almeno 30 giorni (e talvolta fino a 90 giorni) per condurre analisi prima di poter definire concetti “normali”. Il caricamento dei dati storici una volta può accelerare l'addestramento del modello. Alcuni dei casi interessanti possono essere identificati più velocemente utilizzando le regole che utilizzando l’apprendimento automatico con una quantità incredibilmente piccola di dati iniziali.
  • Il livello di impegno richiesto per creare un raggruppamento dinamico e una profilazione dell'account (servizio/persona) può variare notevolmente tra le soluzioni.

Fonte: habr.com

Aggiungi un commento