ProHoster > Блог > интернет жаңалықтары > UEBA нарығы өлді - UEBA өмір сүрсін

UEBA нарығы өлді - UEBA өмір сүрсін

UEBA нарығы өлді - UEBA өмір сүрсін

Бүгін біз соңғы деректерге негізделген пайдаланушы және субъектінің мінез-құлық талдауы (UEBA) нарығына қысқаша шолу жасаймыз. Gartner зерттеуі. UEBA нарығы Gartner Hype Cycle for Threat-Facing Technologies сәйкес технологияның жетілгендігін көрсетеді. Бірақ жағдайдың парадоксы UEBA технологияларына инвестициялардың бір мезгілде жалпы өсуі мен UEBA тәуелсіз шешімдерінің жойылып бара жатқан нарығында жатыр. Gartner UEBA тиісті ақпараттық қауіпсіздік шешімдерінің функционалдық бөлігі болады деп болжайды. «UEBA» термині қолданыстан шығып қалуы мүмкін және оның орнына тар қолданба аймағына (мысалы, «пайдаланушы мінез-құлқының талдауы»), ұқсас қолданба аймағына (мысалы, «деректер талдауы») бағытталған басқа аббревиатураға ауысуы мүмкін немесе жай ғана кейбір терминдерге айналады. жаңа сөз (мысалы, «жасанды интеллект» [AI] термині қазіргі UEBA өндірушілері үшін мағынасы жоқ болса да, қызықты көрінеді).

Gartner зерттеуінің негізгі нәтижелерін төмендегідей қорытындылауға болады:

  • Пайдаланушылар мен субъектілердің мінез-құлық аналитикасы нарығының жетілгендігі бұл технологияларды бизнестің бірқатар мәселелерін шешу үшін орта және ірі корпоративтік сегментте пайдалануымен расталады;
  • UEBA аналитикалық мүмкіндіктері бұлттық қолжетімділік қауіпсіздігі брокерлері (CASBs), сәйкестендіруді басқару және басқару (IGA) SIEM жүйелері сияқты байланысты ақпараттық қауіпсіздік технологияларының кең ауқымына енгізілген;
  • UEBA жеткізушілерінің айналасындағы дүрбелең және «жасанды интеллект» терминін дұрыс қолданбау тұтынушыларға пилоттық жобаны жүргізбестен өндірушілердің технологиялары мен шешімдердің функционалдығы арасындағы нақты айырмашылықты түсінуді қиындатады;
  • Тұтынушылар UEBA шешімдерін енгізу уақыты мен күнделікті пайдалану, тіпті қауіпті анықтаудың негізгі үлгілерін қарастырғанда да өндіруші уәде еткеннен гөрі көп еңбекті қажет ететінін және көп уақытты қажет ететінін атап өтеді. Теңшелетін немесе шеткі пайдалану жағдайларын қосу өте қиын болуы мүмкін және деректер ғылымы мен аналитика саласында тәжірибені қажет етеді.

Нарықтың стратегиялық даму болжамы:

  • 2021 жылға қарай пайдаланушылар мен субъектілердің мінез-құлық аналитикасы (UEBA) жүйелері нарығы жеке аймақ ретінде өмір сүруін тоқтатады және UEBA функционалдығы бар басқа шешімдерге ауысады;
  • 2020 жылға қарай барлық UEBA орналастыруларының 95%-ы кеңірек қауіпсіздік платформасының бөлігі болады.

UEBA шешімдерінің анықтамасы

UEBA шешімдері пайдаланушылардың және басқа нысандардың (мысалы, хосттар, қолданбалар, желі трафигі және деректер қоймалары) белсенділігін бағалау үшін кірістірілген аналитиканы пайдаланады.
Олар қауіптер мен ықтимал оқиғаларды анықтайды, әдетте белгілі бір уақыт аралығындағы ұқсас топтардағы пайдаланушылар мен нысандардың стандартты профилімен және мінез-құлқымен салыстырғанда әдеттен тыс әрекетті көрсетеді.

Кәсіпорын сегментіндегі ең көп таралған қолдану жағдайлары қауіпті анықтау және әрекет ету, сондай-ақ инсайдерлік қауіптерді анықтау және оларға жауап беру (негізінен бұзылған инсайдерлер; кейде ішкі шабуылдаушылар).

UEBA сияқты шешім, Сонымен функциясы, арнайы құралға енгізілген:

  • Шешім – «таза» UEBA платформаларын өндірушілер, соның ішінде SIEM шешімдерін бөлек сататын жеткізушілер. Пайдаланушылардың да, нысандардың да мінез-құлық талдауындағы бизнес мәселелерінің кең ауқымына бағытталған.
  • Енгізілген – UEBA функциялары мен технологияларын шешімдеріне біріктіретін өндірушілер/бөлімшелер. Әдетте бизнес мәселелерінің нақты жиынтығына бағытталған. Бұл жағдайда UEBA пайдаланушылардың және/немесе субъектілердің мінез-құлқын талдау үшін пайдаланылады.

Gartner UEBA-ны үш ось бойынша қарастырады, соның ішінде проблемаларды шешушілер, аналитика және деректер көздері (суретті қараңыз).

UEBA нарығы өлді - UEBA өмір сүрсін

«Таза» UEBA платформалары кіріктірілген UEBA-ға қарсы

Gartner «таза» UEBA платформасын келесі шешімдер деп санайды:

  • абстрактылы «пайдаланушының аномальды әрекетін бақылау» ғана емес, артықшылықты пайдаланушыларды бақылау немесе деректерді ұйымнан тыс шығару сияқты бірнеше нақты мәселелерді шешу;
  • міндетті түрде негізгі аналитикалық тәсілдерге негізделген күрделі аналитиканы қолдануды тарту;
  • инфрақұрылымда бөлек агенттерді міндетті түрде орналастыру қажеттілігінсіз, кірістірілген деректер көзі механизмдерін және журналды басқару құралдарын, Data lake және/немесе SIEM жүйелерін қоса, деректерді жинаудың бірнеше опцияларын қамтамасыз ету;
  • ішінен емес, дербес шешімдер ретінде сатып алуға және орналастыруға болады
    басқа өнімдердің құрамы.

Төмендегі кесте екі тәсілді салыстырады.

Кесте 1. «Таза» UEBA шешімдері және кірістірілген шешімдер

санат «Таза» UEBA платформалары Кірістірілген UEBA бар басқа шешімдер
Шешілетін мәселе Пайдаланушылардың мінез-құлқын және нысандарын талдау. Деректердің жетіспеушілігі UEBA-ны тек пайдаланушылардың немесе нысандардың әрекетін талдауға шектеуі мүмкін.
Шешілетін мәселе Кең ауқымды мәселелерді шешуге қызмет етеді Тапсырмалардың шектеулі жиынтығына маманданған
аналитика Әртүрлі аналитикалық әдістерді қолдану арқылы аномалияны анықтау - негізінен статистикалық модельдер мен машиналық оқыту арқылы ережелер мен қолтаңбалармен бірге. Пайдаланушы мен нысан әрекетін олардың және әріптестерінің профильдерімен салыстыру және салыстыру үшін кірістірілген аналитикамен бірге жеткізіледі. Таза UEBA-ға ұқсас, бірақ талдау тек пайдаланушыларға және/немесе нысандарға ғана шектелуі мүмкін.
аналитика Ережелермен ғана шектелмейтін жетілдірілген аналитикалық мүмкіндіктер. Мысалы, нысандарды динамикалық топтастырумен кластерлеу алгоритмі. «Таза» UEBA-ға ұқсас, бірақ кейбір енгізілген қауіп үлгілеріндегі нысандарды топтастыруды тек қолмен өзгертуге болады.
аналитика Пайдаланушылар мен басқа субъектілердің белсенділігі мен мінез-құлқының корреляциясы (мысалы, Bayesian желілерін пайдалану) және аномальды белсенділікті анықтау үшін жеке тәуекел мінез-құлқын біріктіру. Таза UEBA-ға ұқсас, бірақ талдау тек пайдаланушыларға және/немесе нысандарға ғана шектелуі мүмкін.
Деректер көздері Деректер көздерінен пайдаланушылар мен нысандардағы оқиғаларды тікелей кірістірілген механизмдер немесе SIEM немесе Деректер көлі сияқты бар деректер қоймалары арқылы қабылдау. Деректерді алу тетіктері әдетте тек тікелей болып табылады және тек пайдаланушыларға және/немесе басқа нысандарға әсер етеді. Журналды басқару құралдарын / SIEM / Data lake қолданбаңыз.
Деректер көздері Шешім деректердің негізгі көзі ретінде желілік трафикке ғана емес, телеметрияны жинау үшін тек өз агенттеріне ғана сенбеуі керек. Шешім тек желілік трафикке (мысалы, NTA - желілік трафикті талдау) назар аудара алады және/немесе оның агенттерін соңғы құрылғыларда пайдалана алады (мысалы, қызметкерлерді бақылау утилиталары).
Деректер көздері Пайдаланушы/нысан деректерін мәтінмәнмен қанықтыру. Нақты уақыт режимінде құрылымдық оқиғаларды, сондай-ақ АТ каталогтарынан - мысалы, Active Directory (AD) немесе басқа машина оқи алатын ақпараттық ресурстар (мысалы, HR дерекқорлары) құрылымдық/құрылымданбаған біріктірілген деректерді жинауды қолдайды. Таза UEBA-ға ұқсас, бірақ мәтінмәндік деректердің көлемі әр жағдайда әр түрлі болуы мүмкін. AD және LDAP – ендірілген UEBA шешімдері пайдаланатын ең көп таралған мәтінмәндік деректер қоймалары.
Қол жетімділік Тізімделген мүмкіндіктерді дербес өнім ретінде қамтамасыз етеді. Кірістірілген UEBA функционалдығын ол салынған сыртқы шешімді сатып алмай сатып алу мүмкін емес.
Дереккөз: Gartner (2019 жылдың мамыры)

Осылайша, белгілі бір мәселелерді шешу үшін ендірілген UEBA негізгі UEBA аналитикасын (мысалы, қарапайым бақылаусыз машиналық оқытуды) пайдалана алады, бірақ сонымен бірге дәл қажетті деректерге қол жеткізудің арқасында ол «таза» деректерге қарағанда жалпы тиімдірек болуы мүмкін. UEBA шешімі. Сонымен бірге, «таза» UEBA платформалары, күткендей, кірістірілген UEBA құралымен салыстырғанда негізгі ноу-хау ретінде күрделі аналитиканы ұсынады. Бұл нәтижелер 2-кестеде жинақталған.

Кесте 2. «Таза» және кіріктірілген UEBA арасындағы айырмашылықтардың нәтижесі

санат «Таза» UEBA платформалары Кірістірілген UEBA бар басқа шешімдер
аналитика Әртүрлі бизнес мәселелерін шешу үшін қолдану мүмкіндігі анағұрлым күрделі аналитика мен машиналық оқыту үлгілеріне баса назар аудара отырып, UEBA функцияларының әмбебап жиынтығын білдіреді. Бизнес мәселелерінің кішірек жиынына назар аудару қарапайым логикасы бар қолданбаға арналған үлгілерге бағытталған жоғары мамандандырылған мүмкіндіктерді білдіреді.
аналитика Әрбір қолданба сценарийі үшін аналитикалық үлгіні теңшеу қажет. Аналитикалық үлгілер UEBA орнатылған құрал үшін алдын ала конфигурацияланған. Кірістірілген UEBA құралы белгілі бір бизнес мәселелерін шешуде әдетте жылдамырақ нәтижелерге қол жеткізеді.
Деректер көздері Корпоративтік инфрақұрылымның барлық бұрыштарынан деректер көздеріне қол жеткізу. Деректер көздері азырақ, әдетте олар үшін агенттердің болуымен немесе UEBA функциялары бар құралдың өзімен шектеледі.
Деректер көздері Әрбір журналдағы ақпарат деректер көзімен шектелуі мүмкін және орталықтандырылған UEBA құралына қажетті барлық деректерді қамтымауы мүмкін. Агент жинаған және UEBA-ға жіберілген бастапқы деректердің көлемі мен егжей-тегжейлері арнайы конфигурациялануы мүмкін.
сәулет Бұл ұйымға арналған толық UEBA өнімі. SIEM жүйесінің немесе деректер көлінің мүмкіндіктерін пайдалану арқылы интеграция оңайырақ. Кірістірілген UEBA бар шешімдердің әрқайсысы үшін UEBA мүмкіндіктерінің бөлек жинағын талап етеді. Енгізілген UEBA шешімдері көбінесе агенттерді орнатуды және деректерді басқаруды қажет етеді.
Интеграция UEBA шешімін әр жағдайда басқа құралдармен қолмен біріктіру. Ұйымға «аналогтар арасындағы ең жақсы» тәсіл негізінде өзінің технологиялық стекін құруға мүмкіндік береді. UEBA функцияларының негізгі бумаларын өндіруші құралдың өзінде қосқан. UEBA модулі кіріктірілген және оны жою мүмкін емес, сондықтан тұтынушылар оны өздеріне тиесілі нәрсемен ауыстыра алмайды.
Дереккөз: Gartner (2019 жылдың мамыры)

UEBA функция ретінде

UEBA қосымша аналитикадан пайда алатын түпкілікті киберқауіпсіздік шешімдерінің ерекшелігіне айналуда. UEBA пайдаланушының және/немесе ұйымның мінез-құлық үлгілеріне негізделген кеңейтілген аналитиканың қуатты қабатын қамтамасыз ететін осы шешімдердің негізінде жатыр.

Қазіргі уақытта нарықта кіріктірілген UEBA функционалдығы технологиялық ауқымы бойынша топтастырылған келесі шешімдерде жүзеге асырылады:

  • Деректерге бағытталған аудит және қорғау, құрылымдық және құрылымданбаған деректерді сақтаудың қауіпсіздігін жақсартуға бағытталған жеткізушілер (aka DCAP).

    Жеткізушілердің осы санатында Gartner атап өтеді, басқалармен қатар, Varonis киберқауіпсіздік платформасы, ол әртүрлі ақпарат қоймаларында құрылымдалмаған деректер рұқсаттарындағы, қол жеткізудегі және пайдаланудағы өзгерістерді бақылау үшін пайдаланушы әрекетінің талдауын ұсынады.

  • CASB жүйелері, адаптивті қатынасты басқару жүйесін пайдалана отырып, қажетсіз құрылғылар, пайдаланушылар және қолданба нұсқалары үшін бұлттық қызметтерге кіруді блоктау арқылы бұлтқа негізделген SaaS қолданбаларында әртүрлі қауіптерден қорғауды ұсынады.

    Барлық нарықтағы жетекші CASB шешімдері UEBA мүмкіндіктерін қамтиды.

  • DLP шешімдері – маңызды деректердің ұйымнан тыс тасымалдануын немесе оны теріс пайдалануды анықтауға бағытталған.

    DLP жетістіктері негізінен пайдаланушы, қолданба, орын, уақыт, оқиғалардың жылдамдығы және басқа сыртқы факторлар сияқты контекстті түсінуге азырақ назар аудара отырып, мазмұнды түсінуге негізделген. Тиімді болу үшін DLP өнімдері мазмұнды да, мәтінмәнді де тануы керек. Сондықтан көптеген өндірушілер UEBA функционалдығын өз шешімдеріне біріктіре бастайды.

  • Қызметкерлердің мониторингі әдетте сот ісін жүргізу үшін қолайлы деректер пішімінде (қажет болған жағдайда) қызметкерлердің әрекеттерін жазу және қайталау мүмкіндігі болып табылады.

    Пайдаланушыларды үнемі бақылау жиі қолмен сүзгілеуді және адам талдауын қажет ететін деректердің үлкен көлемін жасайды. Сондықтан, UEBA осы шешімдердің өнімділігін жақсарту және тек жоғары тәуекелді оқиғаларды анықтау үшін бақылау жүйелерінде қолданылады.

  • Соңғы нүкте қауіпсіздігі – Соңғы нүктені анықтау және жауап беру (EDR) шешімдері және соңғы нүктені қорғау платформалары (EPP) қуатты аспаптар мен операциялық жүйе телеметриясын қамтамасыз етеді.
    соңғы құрылғылар.

    Кірістірілген UEBA функционалдығын қамтамасыз ету үшін пайдаланушыға қатысты мұндай телеметрияны талдауға болады.

  • Онлайн алаяқтық – Интернеттегі алаяқтықты анықтау шешімдері жалған, зиянды бағдарлама немесе қорғалмаған қосылымдарды пайдалану/браузер трафигін ұстау арқылы тұтынушы тіркелгісінің бұзылуын көрсететін ауытқу әрекетін анықтайды.

    Алаяқтық шешімдерінің көпшілігі UEBA мәнін, транзакцияларды талдауды және құрылғыны өлшеуді пайдаланады, жетілдірілген жүйелер оларды сәйкестендіру деректер базасындағы қатынастарды сәйкестендіру арқылы толықтырады.

  • IAM және қол жеткізуді басқару – Gartner қол жеткізуді басқару жүйесінің жеткізушілері арасында таза жеткізушілермен біріктіру және олардың өнімдерінде кейбір UEBA функционалдығын құру үшін эволюциялық үрдісті атап өтеді.
  • IAM және Identity Governance and Administration (IGA) жүйелері аномалияны анықтау, ұқсас нысандарды динамикалық топтастыру талдауы, логин талдауы және кіру саясатын талдау сияқты мінез-құлық және сәйкестік талдауының сценарийлерін қамту үшін UEBA пайдаланыңыз.
  • IAM және артықшылықты қол жеткізуді басқару (PAM) – Әкімшілік тіркелгілерді пайдалануды бақылау рөліне байланысты PAM шешімдерінде әкімшілік тіркелгілердің қалай, неге, қашан және қайда пайдаланылғанын көрсететін телеметрия бар. Бұл деректерді әкімшілердің аномальды мінез-құлқы немесе зиянды ниеті бар-жоғы үшін UEBA кірістірілген функционалдығы арқылы талдауға болады.
  • Өндірушілер NTA (Желілік трафикті талдау) – корпоративтік желілердегі күдікті әрекетті анықтау үшін машиналық оқыту, кеңейтілген аналитика және ережеге негізделген анықтау комбинациясын пайдаланыңыз.

    NTA құралдары қалыпты желі әрекетін көрсететін үлгілерді құру үшін бастапқы трафикті және/немесе ағын жазбаларын (мысалы, NetFlow) үздіксіз талдайды, ең алдымен нысан әрекетінің аналитикасына назар аударады.

  • сием – көптеген SIEM жеткізушілерінде қазір SIEM жүйесіне немесе жеке UEBA модулі ретінде енгізілген кеңейтілген деректерді талдау функционалдығы бар. 2018 жыл бойы және осы уақытқа дейін 2019 жылы мақалада талқыланғандай, SIEM және UEBA функциялары арасындағы шекаралардың үздіксіз бұлыңғырлануы орын алды. «Қазіргі SIEM үшін технологиялық түсінік». SIEM жүйелері аналитикамен жұмыс істеуде және қолданудың күрделі сценарийлерін ұсынуда жақсырақ болды.

UEBA қолданбасының сценарийлері

UEBA шешімдері мәселелердің кең ауқымын шеше алады. Дегенмен, Gartner клиенттері негізгі пайдалану жағдайы пайдаланушы мінез-құлқы мен басқа нысандар арасындағы жиі корреляцияны көрсету және талдау арқылы қол жеткізілетін қауіптердің әртүрлі санаттарын анықтауды қамтитынымен келіседі:

  • деректерге рұқсатсыз қол жеткізу және жылжыту;
  • артықшылықты пайдаланушылардың күдікті әрекеті, қызметкерлердің зиянды немесе рұқсат етілмеген әрекеттері;
  • стандартты емес қол жеткізу және бұлтты ресурстарды пайдалану;
  • және басқалар.

Сондай-ақ, UEBA ақталуы мүмкін алаяқтық немесе қызметкерлердің мониторингі сияқты киберқауіпсіздікке жатпайтын бірқатар типтік емес пайдалану жағдайлары бар. Дегенмен, олар көбінесе АТ және ақпараттық қауіпсіздіктен тыс деректер көздерін немесе осы саланы терең түсінетін арнайы аналитикалық үлгілерді қажет етеді. UEBA өндірушілері де, олардың тұтынушылары да келісетін бес негізгі сценарий мен қолданбалар төменде сипатталған.

«Зиянды инсайдер»

Осы сценарийді қамтитын UEBA шешім провайдерлері әдеттен тыс, «нашар» немесе зиянды әрекеттер үшін қызметкерлер мен сенімді мердігерлерді ғана бақылайды. Сараптаманың осы саласындағы сатушылар қызмет көрсету шоттарының немесе басқа адам емес тұлғалардың әрекетін қадағаламайды немесе талдамайды. Көбінесе осыған байланысты олар хакерлер бар тіркелгілерді басып алатын кеңейтілген қауіптерді анықтауға назар аудармайды. Оның орнына олар зиянды әрекеттерге қатысы бар қызметкерлерді анықтауға бағытталған.

Негізінде, «зиянды инсайдер» ұғымы жұмыс берушіге зиян келтіру жолдарын іздейтін зиянды ниеті бар сенімді пайдаланушылардан туындайды. Зиянды ниетті өлшеу қиын болғандықтан, осы санаттағы ең жақсы жеткізушілер аудит журналдарында оңай қол жетімді емес контекстік мінез-құлық деректерін талдайды.

Бұл кеңістіктегі шешім жеткізушілері мінез-құлық контекстін қамтамасыз ету үшін электрондық пошта мазмұны, өнімділік есептері немесе әлеуметтік медиа ақпараты сияқты құрылымданбаған деректерді оңтайлы түрде қосады және талдайды.

Ықтимал инсайдерлік және интрузивті қауіптер

Мәселе шабуылдаушы ұйымға қол жеткізіп, АТ инфрақұрылымында қозғала бастағаннан кейін «жаман» әрекетті жылдам анықтау және талдау болып табылады.
Белгісіз немесе әлі толық түсінілмеген қауіптер сияқты сенімді қауіптерді (APTs) анықтау өте қиын және жиі заңды пайдаланушы әрекеті немесе қызмет тіркелгілерінің артына жасырылады. Мұндай қауіптер әдетте күрделі операциялық үлгіге ие (мысалы, мақаланы қараңыз « Кибер өлтіру тізбегіне жүгіну") немесе олардың мінез-құлқы әлі зиянды деп бағаланбаған. Бұл оларды қарапайым аналитика арқылы анықтауды қиындатады (мысалы, үлгілер, шекті мәндер немесе корреляция ережелері бойынша сәйкестендіру).

Дегенмен, осы интрузивті қауіптердің көбісі әдетте күдікті пайдаланушылар немесе субъектілер (басқа да қателескен инсайдерлер) қатысатын стандартты емес мінез-құлыққа әкеледі. UEBA әдістері осындай қауіптерді анықтау, сигнал-шу арақатынасын жақсарту, хабарландыру көлемін біріктіру және азайту, қалған ескертулерге басымдық беру және оқиғаға тиімді әрекет ету мен тергеуді жеңілдету үшін бірнеше қызықты мүмкіндіктер ұсынады.

Осы проблемалық аймаққа бағытталған UEBA жеткізушілері көбінесе ұйымның SIEM жүйелерімен екі жақты интеграцияға ие.

Деректерді эксфильтрациялау

Бұл жағдайда тапсырма деректердің ұйымнан тыс тасымалдану фактісін анықтау болып табылады.
Бұл мәселеге назар аударған жеткізушілер әдетте аномалияларды анықтау және кеңейтілген аналитика арқылы DLP немесе DAG мүмкіндіктерін пайдаланады, осылайша сигнал-шу қатынасын жақсартады, хабарландыру көлемін біріктіреді және қалған триггерлерге басымдық береді. Қосымша мәтінмән үшін жеткізушілер әдетте желілік трафикке (веб-проксилер сияқты) және соңғы нүкте деректеріне көбірек сүйенеді, өйткені бұл деректер көздерін талдау деректер эксфильтрациясын тексеруге көмектеседі.

Деректер эксфильтрациясын анықтау ұйымға қауіп төндіретін инсайдерлер мен сыртқы хакерлерді ұстау үшін қолданылады.

Артықшылықты рұқсатты анықтау және басқару

Сараптаманың осы саласындағы тәуелсіз UEBA шешімдерін өндірушілер артық артықшылықтарды немесе аномальды қол жеткізуді анықтау үшін бұрыннан қалыптасқан құқықтар жүйесі аясында пайдаланушы әрекетін бақылайды және талдайды. Бұл артықшылықты және қызметтік тіркелгілерді қоса алғанда, пайдаланушылар мен тіркелгілердің барлық түрлеріне қатысты. Ұйымдар сонымен қатар UEBA-ны талап етілетіннен жоғары пайдаланушылық артықшылықтар мен әрекетсіз тіркелгілерден құтылу үшін пайдаланады.

Оқиғаға басымдық беру

Бұл тапсырманың мақсаты бірінші кезекте қандай оқиғаларды немесе ықтимал оқиғаларды шешу керектігін түсіну үшін олардың технологиялық стекіндегі шешімдер арқылы жасалған хабарландыруларға басымдық беру болып табылады. UEBA әдістемелері мен құралдары белгілі бір ұйым үшін ерекше аномальді немесе ерекше қауіпті оқиғаларды анықтауда пайдалы. Бұл жағдайда UEBA механизмі қызметтің базалық деңгейін және қауіп үлгілерін ғана пайдаланып қоймайды, сонымен қатар деректерді компанияның ұйымдық құрылымы туралы ақпаратпен қанықтырады (мысалы, маңызды ресурстар немесе рөлдер және қызметкерлердің қол жеткізу деңгейлері).

UEBA шешімдерін енгізу мәселелері

UEBA шешімдерінің нарықтық ауыртпалығы олардың жоғары бағасы, кешенді енгізу, техникалық қызмет көрсету және пайдалану болып табылады. Компаниялар әртүрлі ішкі порталдардың санымен күресіп жатқанда, олар басқа консольді алуда. Жаңа құралға уақыт пен ресурстарды инвестициялаудың мөлшері туындаған қиындықтарға және оларды шешу үшін қажет аналитика түрлеріне байланысты және көбінесе үлкен инвестицияларды қажет етеді.

Көптеген өндірушілер мәлімдегеніне қарамастан, UEBA «оны орнатыңыз және ұмытыңыз» құралы емес, ол бірнеше күн бойы үздіксіз жұмыс істей алады.
Gartner клиенттері, мысалы, бұл шешім жүзеге асырылған мәселелерді шешудің алғашқы нәтижелерін алу үшін UEBA бастамасын нөлден бастау үшін 3 айдан 6 айға дейін қажет екенін атап өтеді. Ұйымдағы инсайдерлік қауіптерді анықтау сияқты күрделірек тапсырмалар үшін кезең 18 айға дейін артады.

UEBA енгізу қиындығына және құралдың болашақ тиімділігіне әсер ететін факторлар:

  • Ұйым архитектурасының, желі топологиясының және деректерді басқару саясатының күрделілігі
  • Қажетті мәліметтер деңгейінде қажетті мәліметтердің болуы
  • Жеткізушінің аналитикалық алгоритмдерінің күрделілігі — мысалы, қарапайым үлгілер мен ережелерге қарсы статистикалық үлгілерді және машиналық оқытуды пайдалану.
  • Алдын ала конфигурацияланған аналитиканың көлемі, яғни өндірушінің әрбір тапсырма үшін қандай деректерді жинау керек екенін және талдауды орындау үшін қандай айнымалылар мен атрибуттардың ең маңызды екенін түсінуі.
  • Өндіруші үшін қажетті деректермен автоматты түрде біріктіру қаншалықты оңай.

    Мысалы:

    • Егер UEBA шешімі өз деректерінің негізгі көзі ретінде SIEM жүйесін пайдаланса, SIEM қажетті деректер көздерінен ақпаратты жинай ма?
    • Қажетті оқиғалар журналдары мен ұйымдық контекст деректерін UEBA шешіміне бағыттауға бола ма?
    • Егер SIEM жүйесі UEBA шешіміне қажет деректер көздерін әлі жинап, басқармаса, онда оларды қалай жіберуге болады?

  • Қолдану сценарийі ұйым үшін қаншалықты маңызды, ол қанша деректер көзін қажет етеді және бұл тапсырма өндірушінің сарапшылық саласымен қаншалықты сәйкес келеді.
  • Ұйымдастырушылық жетілу және қатысудың қандай дәрежесі қажет – мысалы, ережелер мен үлгілерді жасау, әзірлеу және нақтылау; бағалау үшін айнымалыларға салмақ беру; немесе тәуекелді бағалау шегін түзету.
  • Ұйымның ағымдағы өлшемімен және оның болашақ талаптарымен салыстырғанда жеткізушінің шешімі мен оның архитектурасы қаншалықты ауқымды.
  • Негізгі үлгілерді, профильдерді және негізгі топтарды құру уақыты. Өндірушілер көбінесе «қалыпты» ұғымдарды анықтау үшін талдау жүргізу үшін кемінде 30 күнді (кейде 90 күнге дейін) талап етеді. Тарихи деректерді бір рет жүктеу үлгіні оқытуды жылдамдатады. Кейбір қызықты жағдайларды бастапқы деректердің өте аз мөлшерімен машиналық оқытуды пайдаланудан гөрі ережелерді пайдалану арқылы тезірек анықтауға болады.
  • Динамикалық топтауды және тіркелгі профилін (қызмет/адам) құру үшін қажетті күш деңгейі шешімдер арасында айтарлықтай өзгеруі мүмкін.

Ақпарат көзі: www.habr.com

пікір қалдыру