ProHoster > Blog > интернет жаңылыктары > UEBA базары өлдү - жашасын UEBA

UEBA базары өлдү - жашасын UEBA

UEBA базары өлдү - жашасын UEBA

Бүгүн биз акыркы маалыматтарга негизделген Колдонуучунун жана субъекттин жүрүм-турум анализинин (UEBA) рыногуна кыскача сереп салабыз. Gartner изилдөө. UEBA рыногу Gartner Hype Cycle for Threat-Facing Technologies ылайык, технологиянын жетилгендигин көрсөтүп, “көңүл калуу стадиясынын” түбүндө турат. Бирок кырдаалдын парадоксу UEBA технологияларына инвестициялардын бир эле учурда жалпы өсүшү жана UEBAнын көз карандысыз чечимдеринин жок болуп бара жаткан рыногунда. Gartner UEBA тиешелүү маалыматтык коопсуздук чечимдеринин функцияларынын бир бөлүгү болуп калат деп болжолдойт. "UEBA" термини колдонуудан чыгып, башка кыскартууга алмаштырылышы мүмкүн, ал тарыраак колдонуу чөйрөсүнө (мисалы, "колдонуучунун жүрүм-турумунун аналитикасы"), окшош колдонуу аймагына (мисалы, "маалыматтын аналитикасы") же жөн эле айрымдары болуп калат. жаңы сөз (мисалы, "жасалма интеллект" термини [AI] кызыктуу көрүнөт, бирок азыркы UEBA өндүрүүчүлөрү үчүн мааниси жок).

Гартнер изилдөөсүнүн негизги жыйынтыктарын төмөнкүчө чагылдырууга болот:

  • Колдонуучулардын жана субъектилердин жүрүм-турум аналитикасы рыногунун жетилгендиги бул технологиялардын бир катар бизнес көйгөйлөрүн чечүү үчүн орто жана ири корпоративдик сегмент тарабынан колдонулушу менен тастыкталат;
  • UEBA аналитикалык мүмкүнчүлүктөрү булуттун коопсуз брокерлери (CASBs), SIEM системалары, идентификацияны башкаруу жана башкаруу (IGA) сыяктуу тиешелүү маалыматтык коопсуздук технологияларынын кеңири спектринде камтылган;
  • UEBA сатуучуларынын айланасындагы ызы-чуу жана "жасалма интеллект" терминин туура эмес колдонуу кардарларга пилоттук долбоорду өткөрбөстөн өндүрүүчүлөрдүн технологиялары менен чечимдердин функционалдуулугунун ортосундагы чыныгы айырманы түшүнүүнү кыйындатат;
  • Кардарлар UEBA чечимдерин ишке ашыруу убактысы жана күнүмдүк колдонулушу, коркунучтарды аныктоонун негизги моделдерин эске алганда да, өндүрүүчү убада кылганга караганда көбүрөөк эмгекти жана көп убакытты талап кылаарын белгилешет. Ыңгайлаштырылган же четки колдонуу учурларын кошуу өтө кыйын болушу мүмкүн жана маалымат илими жана аналитика боюнча тажрыйбаны талап кылат.

Рынокту өнүктүрүүнүн стратегиялык болжолу:

  • 2021-жылга карата колдонуучу жана субъекттин жүрүм-турум аналитикасы (UEBA) системаларынын рыногу өзүнчө аймак катары жашоосун токтотот жана UEBA функциясы менен башка чечимдерге өтөт;
  • 2020-жылга карата, бардык UEBA жайылтууларынын 95% кененирээк коопсуздук платформасынын бир бөлүгү болот.

UEBA чечимдеринин аныктамасы

UEBA чечимдери колдонуучулардын жана башка объекттердин (мисалы, хосттор, тиркемелер, тармак трафиги жана маалымат дүкөндөрү) активдүүлүгүн баалоо үчүн орнотулган аналитиканы колдонот.
Алар коркунучтарды жана потенциалдуу инциденттерди аныкташат, адатта стандарттуу профилге жана белгилүү бир убакыт аралыгындагы окшош топтордогу колдонуучулардын жана субъекттердин жүрүм-турумуна салыштырмалуу аномалдуу иш-аракеттерди билдирет.

Ишкана сегментинде эң кеңири таралган колдонуу учурлары коркунучтарды аныктоо жана аларга жооп берүү, ошондой эле инсайдердик коркунучтарды аныктоо жана аларга жооп берүү (негизинен бузулган инсайдерлер; кээде ички чабуулчулар).

UEBA окшош чечимжана функция, белгилүү бир куралга курулган:

  • Чечим "таза" UEBA платформаларынын өндүрүүчүлөрү, анын ичинде SIEM чечимдерин өзүнчө саткан сатуучулар. Колдонуучулардын жана субъекттердин жүрүм-турум анализиндеги бизнес көйгөйлөрүнүн кеңири спектрине багытталган.
  • Камтылган - UEBA функцияларын жана технологияларын өз чечимдерине бириктирген өндүрүүчүлөр/бөлүмдөр. Адатта, бизнес көйгөйлөрүнүн конкреттүү топтомуна багытталган. Бул учурда, UEBA колдонуучулардын жана/же субъекттердин жүрүм-турумун талдоо үчүн колдонулат.

Gartner UEBAны үч ок боюнча карайт, анын ичинде көйгөйлөрдү чечүүчүлөрдү, аналитиканы жана маалымат булактарын (сүрөттү караңыз).

UEBA базары өлдү - жашасын UEBA

"Таза" UEBA платформалары орнотулган UEBA менен

Gartner "таза" UEBA платформасын төмөнкүдөй чечимдер деп эсептейт:

  • абстракттуу “колдонуучулардын аномалдуу активдүүлүгүнө мониторинг” гана эмес, артыкчылыктуу колдонуучуларды көзөмөлдөө же уюмдан тышкары маалыматтарды чыгаруу сыяктуу бир нече конкреттүү маселелерди чечүү;
  • сөзсүз түрдө негизги аналитикалык ыкмаларга негизделген комплекстүү аналитиканы колдонууну тартуу;
  • инфраструктурада өзүнчө агенттерди милдеттүү түрдө жайгаштыруунун зарылдыгы жок маалыматтарды чогултуунун бир нече варианттарын, анын ичинде орнотулган маалымат булагы механизмдерин жана журналды башкаруу куралдарын, Data Lake жана/же SIEM системаларын камсыз кылуу;
  • камтылган эмес, өз алдынча чечимдер катары сатып алууга жана жайгаштырууга болот
    башка буюмдардын курамы.

Төмөнкү таблица эки ыкманы салыштырат.

Таблица 1. "Таза" UEBA чечимдери жана орнотулган чечимдер

категория "Таза" UEBA платформалары Камтылган UEBA менен башка чечимдер
Маселе чечилет Колдонуучунун жүрүм-турумун жана объекттерин талдоо. Маалыматтын жетишсиздиги UEBAны колдонуучулардын же уюмдардын гана жүрүм-турумун талдоо үчүн чектеши мүмкүн.
Маселе чечилет проблемалардын кенири чейресун чечууге кызмат кылат Чектелген тапшырмалар боюнча адистешкен
аналитикасы Ар кандай аналитикалык ыкмаларды колдонуу менен аномалияны аныктоо - негизинен статистикалык моделдер жана машина үйрөнүү, эрежелер жана кол коюулар аркылуу. Колдонуучунун жана субъекттин ишмердүүлүгүн алардын жана кесиптештеринин профилдерин түзүү жана салыштыруу үчүн орнотулган аналитика менен келет. Таза UEBAга окшош, бирок талдоо колдонуучулар жана/же уюмдар менен гана чектелиши мүмкүн.
аналитикасы Эрежелер менен гана чектелбестен, өркүндөтүлгөн аналитикалык мүмкүнчүлүктөр. Мисалы, объекттерди динамикалык топтоо менен кластерлөө алгоритми. "Таза" UEBAга окшош, бирок кээ бир кыналган коркунуч моделдериндеги объекттерди топтоону кол менен гана өзгөртүүгө болот.
аналитикасы Колдонуучулардын жана башка субъекттердин активдүүлүгүнүн жана жүрүм-турумунун корреляциясы (мисалы, Bayesian тармактарын колдонуу) жана аномалдуу активдүүлүктү аныктоо үчүн жеке тобокелдик жүрүм-турумунун жыйындысы. Таза UEBAга окшош, бирок талдоо колдонуучулар жана/же уюмдар менен гана чектелиши мүмкүн.
Маалымат булагы Түздөн-түз орнотулган механизмдер же SIEM же Маалымат көлү сыяктуу учурдагы маалымат дүкөндөрү аркылуу маалымат булактарынан колдонуучулар жана объекттер боюнча окуяларды кабыл алуу. Маалыматтарды алуу механизмдери, адатта, түз гана жана колдонуучуларга жана/же башка жактарга гана таасир этет. Журналды башкаруу куралдарын / SIEM / Маалымат көлүн колдонбоңуз.
Маалымат булагы Чечим маалыматтын негизги булагы катары тармак трафигине гана ишенбестен, телеметрияны чогултуу үчүн өзүнүн агенттерине гана ишенбеши керек. Чечим тармак трафигине гана көңүл бура алат (мисалы, NTA - тармактык трафиктин анализи) жана/же анын агенттерин акыркы түзмөктөрдө (мисалы, кызматкерлердин мониторингинин утилиталары) колдоно алат.
Маалымат булагы Колдонуучунун/объекттин маалыматтарын контекстке толтуруу. Реалдуу убакытта структураланган окуяларды, ошондой эле IT каталогдорунан структураланган/структураланбаган бирдиктүү маалыматтарды чогултууну колдойт - мисалы, Active Directory (AD) же башка машина окуй турган маалымат ресурстары (мисалы, HR маалымат базалары). Таза UEBAга окшош, бирок контексттик маалыматтардын көлөмү ар бир учурда ар башка болушу мүмкүн. AD жана LDAP камтылган UEBA чечимдери тарабынан колдонулган эң кеңири таралган контексттик маалымат дүкөндөрү.
болушу Саналган өзгөчөлүктөрдү өз алдынча продукт катары камсыз кылат. Камтылган UEBA функционалдуулугун, ал курулган тышкы чечимди сатып албай туруп сатып алуу мүмкүн эмес.
Булак: Gartner (2019-жылдын майы)

Ошентип, белгилүү бир көйгөйлөрдү чечүү үчүн, орнотулган UEBA негизги UEBA аналитикасын колдоно алат (мисалы, жөнөкөй көзөмөлсүз машина үйрөнүү), бирок ошол эле учурда, так керектүү маалыматтарга жетүү үчүн, ал жалпысынан "таза" караганда натыйжалуураак болушу мүмкүн. UEBA чечими. Ошол эле учурда, "таза" UEBA платформалары, күтүлгөндөй, орнотулган UEBA куралына салыштырмалуу негизги ноу-хау катары татаал аналитиканы сунуштайт. Бул жыйынтыктар 2-таблицада жалпыланган.

Таблица 2. "Таза" жана орнотулган UEBA ортосундагы айырмачылыктардын натыйжасы

категория "Таза" UEBA платформалары Камтылган UEBA менен башка чечимдер
аналитикасы Ар кандай бизнес көйгөйлөрүн чечүү үчүн колдонулушу татаалыраак аналитикага жана машина үйрөнүү моделдерине басым жасоо менен UEBA функцияларынын универсалдуу топтомун билдирет. Бизнес көйгөйлөрүнүн кичирээк топтомуна көңүл буруу жөнөкөй логикага ээ болгон колдонмого тиешелүү моделдерге багытталган жогорку адистештирилген функцияларды билдирет.
аналитикасы Ар бир колдонуу сценарийи үчүн аналитикалык моделди ыңгайлаштыруу зарыл. Аналитикалык моделдер UEBA орнотулган курал үчүн алдын ала конфигурацияланган. UEBA орнотулган курал жалпысынан айрым бизнес көйгөйлөрүн чечүүдө тезирээк натыйжаларга жетишет.
Маалымат булагы Корпоративдик инфраструктуранын бардык бурчтарынан маалымат булактарына жетүү. Азыраак маалымат булактары, адатта алар үчүн агенттердин болушу же UEBA функциялары менен куралдын өзү менен чектелген.
Маалымат булагы Ар бир журналда камтылган маалымат маалымат булагы менен чектелиши мүмкүн жана борборлоштурулган UEBA куралы үчүн бардык керектүү маалыматтарды камтыбашы мүмкүн. Агент тарабынан чогултулган жана UEBAга өткөрүлүп берилген чийки маалыматтардын көлөмү жана деталдары атайын конфигурацияланышы мүмкүн.
архитектура Бул уюм үчүн толук UEBA продуктусу. SIEM тутумунун же Маалымат көлүнүн мүмкүнчүлүктөрүн колдонуу менен интеграция оңой. UEBA орнотулган чечимдердин ар бири үчүн UEBA өзгөчөлүктөрүнүн өзүнчө топтомун талап кылат. Камтылган UEBA чечимдери көбүнчө агенттерди орнотууну жана маалыматтарды башкарууну талап кылат.
жуурулушуу UEBA чечиминин ар бир учурда башка куралдар менен кол менен интеграциясы. Уюмга "аналогдор арасында эң мыкты" ыкманын негизинде өзүнүн технологиялык стектерин түзүүгө мүмкүндүк берет. UEBA функцияларынын негизги топтомдору буга чейин даярдоочу тарабынан куралдын өзүнө киргизилген. UEBA модулу орнотулган жана аны алып салуу мүмкүн эмес, андыктан кардарлар аны өз алдынча бир нерсе менен алмаштыра албайт.
Булак: Gartner (2019-жылдын майы)

UEBA функциясы катары

UEBA кошумча аналитикадан пайда ала турган киберкоопсуздук чечимдеринин өзгөчөлүгүнө айланууда. UEBA бул чечимдердин негизин түзөт, бул колдонуучунун жана/же субъекттин жүрүм-турум үлгүлөрүнө негизделген өнүккөн аналитиканын күчтүү катмарын камсыз кылат.

Учурда рынокто, орнотулган UEBA функциясы технологиялык масштабы боюнча топтоштурулган төмөнкү чечимдерде ишке ашырылат:

  • Маалыматтарга багытталган аудит жана коргоо, структураланган жана структураланбаган маалыматтарды сактоонун коопсуздугун жогорулатууга багытталган сатуучулар (ака DCAP).

    Сатуучулардын бул категориясында, Gartner белгилейт, башка нерселер менен катар, Varonis киберкоопсуздук платформасы, ал ар кандай маалымат дүкөндөрүндө структураланбаган берилиштерге уруксаттардагы өзгөрүүлөрдү, кирүү мүмкүнчүлүгүн жана колдонулушун көзөмөлдөө үчүн колдонуучунун жүрүм-турумунун аналитикасын сунуш кылат.

  • CASB системалары, булутка негизделген SaaS тиркемелеринде ар кандай коркунучтардан коргоону сунуштайт, ыңгайлаштырылган кирүүнү башкаруу тутумун колдонуу менен керексиз түзмөктөр, колдонуучулар жана тиркеме версиялары үчүн булут кызматтарына кирүү мүмкүнчүлүгүн бөгөттөө.

    Бардык рыноктун алдыңкы CASB чечимдери UEBA мүмкүнчүлүктөрүн камтыйт.

  • DLP чечимдери - уюмдан тышкары маанилүү маалыматтардын берилишин же аны кыянаттык менен пайдаланууну аныктоого багытталган.

    DLP жетишкендиктери негизинен мазмунду түшүнүүгө негизделген, ал эми колдонуучу, колдонмо, жайгашкан жер, убакыт, окуялардын ылдамдыгы жана башка тышкы факторлор сыяктуу контекстти түшүнүүгө азыраак көңүл бурулат. Натыйжалуу болушу үчүн, DLP өнүмдөрү мазмунду да, контекстти да таануусу керек. Ошондуктан көптөгөн өндүрүүчүлөр UEBA функцияларын өз чечимдерине киргизе башташат.

  • Кызматкерлердин мониторинги Адатта соттук териштирүүгө ылайыктуу маалымат форматында (зарыл болсо) кызматкерлердин аракеттерин жазуу жана кайра ойнотуу мүмкүнчүлүгү.

    Колдонуучулардын дайыма мониторинги көбүнчө кол менен чыпкалоону жана адамдын анализин талап кылган өтө көп маалыматтарды жаратат. Ошондуктан, UEBA бул чечимдердин иштешин жакшыртуу жана жогорку тобокелдиктеги инциденттерди гана аныктоо үчүн мониторинг системаларынын ичинде колдонулат.

  • Endpoint Security – Акыркы чекиттерди аныктоо жана жооп берүү (EDR) чечимдери жана акыркы чекиттерди коргоо платформалары (EPP) күчтүү приборлорду жана операциялык системанын телеметриясын камсыз кылат.
    акыркы түзмөктөр.

    Мындай колдонуучуга байланыштуу телеметрия UEBAнын орнотулган иштешин камсыз кылуу үчүн талданышы мүмкүн.

  • Онлайн алдамчылык – Онлайн алдамчылыкты аныктоо чечимдери спуф, кесепеттүү программа же корголбогон байланыштарды пайдалануу/браузер трафиктин бөгөт коюу аркылуу кардардын эсебинин бузулушун көрсөткөн девиантты аракетти аныктайт.

    Көпчүлүк алдамчылык чечимдери UEBAнын маңызын, транзакцияларды талдоону жана аппаратты өлчөөнү колдонушат, мында өнүккөн тутумдар аларды иденттүүлүк маалымат базасында дал келген мамилелер менен толуктайт.

  • IAM жана кирүү башкаруу – Gartner кирүүнү башкаруу тутумунун сатуучулары арасында таза сатуучулар менен интеграциялануу жана алардын өнүмдөрүндө UEBA функцияларын түзүү үчүн эволюциялык тенденцияны белгилейт.
  • IAM жана Identity Governance and Administration (IGA) системалары аномалияны аныктоо, окшош объекттерди динамикалык топтоо анализи, кирүү анализи жана кирүү саясатын талдоо сыяктуу жүрүм-турум жана инсандык аналитика сценарийлерин камтуу үчүн UEBA колдонуңуз.
  • IAM жана Privileged Access Management (PAM) – Административдик эсептердин колдонулушун көзөмөлдөө ролуна байланыштуу, PAM чечимдеринде административдик эсептердин кантип, эмне үчүн, качан жана кайда колдонулганын көрсөтүү үчүн телеметрия бар. Бул маалыматтар администраторлордун аномалдуу жүрүм-турумунун же зыяндуу ниетинин бар-жогу үчүн UEBAнын орнотулган функционалдуулугунун жардамы менен талданса болот.
  • Өндүрүүчүлөр NTA (Network Traffic Analysis) – корпоративдик тармактарда шектүү аракеттерди аныктоо үчүн машина үйрөнүү, өркүндөтүлгөн аналитика жана эрежеге негизделген аныктоонун айкалышын колдонуңуз.

    NTA куралдары кадимки тармактын жүрүм-турумун чагылдырган моделдерди түзүү үчүн булак трафигин жана/же агымдын жазууларын (мисалы, NetFlow) тынымсыз талдап, биринчи кезекте объекттин жүрүм-турумунун аналитикасына басым жасайт.

  • сием – Көптөгөн SIEM сатуучулары азыр SIEMге, же өзүнчө UEBA модулу катары орнотулган өркүндөтүлгөн маалымат аналитикасына ээ. 2018-жылга чейин жана 2019-жылга чейин макалада талкуулангандай, SIEM жана UEBA функцияларынын ортосундагы чек аралар үзгүлтүксүз бүдөмүк болуп келген. "Заманбап SIEM үчүн технологиялык түшүнүк". SIEM системалары аналитика менен иштөөдө жана колдонуунун татаал сценарийлерин сунуштоодо жакшыраак болуп калды.

UEBA Колдонмо сценарийлери

UEBA чечимдери көйгөйлөрдүн кеңири спектрин чече алат. Бирок, Gartner кардарлары негизги колдонуу учуру колдонуучунун жүрүм-туруму менен башка объектилердин ортосундагы тез-тез корреляцияларды көрсөтүү жана талдоо аркылуу жетишилген коркунучтардын ар кандай категорияларын аныктоону камтыйт деп макулдашат:

  • маалыматтардын уруксатсыз кирүүсү жана кыймылы;
  • артыкчылыктуу колдонуучулардын шектүү жүрүм-туруму, кызматкерлердин зыяндуу же уруксатсыз аракеттери;
  • стандарттуу эмес кирүү жана булут ресурстарын пайдалануу;
  • жана башка.

Ошондой эле алдамчылык же кызматкерлердин мониторинги сыяктуу киберкоопсуздукту колдонуунун бир катар типтүү эмес учурлары бар, алар үчүн UEBA акталышы мүмкүн. Бирок, алар көбүнчө IT жана маалымат коопсуздугунан тышкары маалымат булактарын же бул чөйрөнү терең түшүнгөн конкреттүү аналитикалык моделдерди талап кылат. UEBA өндүрүүчүлөрү жана алардын кардарлары макул болгон беш негизги сценарий жана тиркемелер төмөндө сүрөттөлөт.

"Зыяндуу инсайдер"

Бул сценарийди камтыган UEBA чечим провайдерлери адаттан тыш, "жаман" же зыяндуу жүрүм-турум үчүн кызматкерлерди жана ишенимдүү подрядчыларды гана көзөмөлдөйт. Экспертизанын бул чөйрөсүндөгү сатуучулар кызмат эсептеринин же башка адам эмес жактардын жүрүм-турумун көзөмөлдөбөйт же талдабайт. Негизинен ушундан улам, алар хакерлер учурдагы эсептерди басып алган өнүккөн коркунучтарды аныктоого көңүл бурушпайт. Анын ордуна, алар зыяндуу иш менен алектенген кызматкерлерди аныктоого багытталган.

Негизи, "зыяндуу инсайдер" түшүнүгү иш берүүчүгө зыян келтирүүнүн жолдорун издеген зыяндуу ниети бар ишенимдүү колдонуучулардан келип чыгат. Зыяндуу ниетти өлчөө кыйын болгондуктан, бул категориядагы мыкты сатуучулар аудит журналдарында оңой жеткиликтүү болбогон контексттик жүрүм-турум маалыматтарын талдайт.

Бул мейкиндикте чечим провайдерлери жүрүм-турум үчүн контекстти камсыз кылуу үчүн электрондук почтанын мазмуну, өндүрүмдүүлүк отчеттору же социалдык медиа маалыматы сыяктуу структураланбаган маалыматтарды оптималдуу түрдө кошуп жана талдап чыгышат.

Инсайдердик жана интрузивдик коркунучтар

Чабуулчу уюмга кирүү мүмкүнчүлүгүнө ээ болгондо жана IT инфраструктурасынын ичинде жылып баштагандан кийин "жаман" жүрүм-турумду тез аныктоо жана талдоо милдети турат.
Белгисиз же али толук түшүнө элек коркунучтар сыяктуу ырастуучу коркунучтарды (APTs) аныктоо өтө кыйын жана көп учурда мыйзамдуу колдонуучу аракетинин же кызмат эсептеринин артына жашынып калат. Мындай коркунучтар, адатта, татаал иштөө моделине ээ (мисалы, макаланы караңыз " Кибер өлтүрүү чынжырына кайрылуу") же алардын жүрүм-туруму азырынча зыяндуу деп баалана элек. Бул аларды жөнөкөй аналитика аркылуу аныктоону кыйындатат (мисалы, үлгүлөр, босоголор же корреляция эрежелери боюнча дал келүү).

Бирок, бул интрузивдик коркунучтардын көбү стандарттуу эмес жүрүм-турумга алып келет, көбүнчө бейкапар колдонуучуларды же субъекттерди (башкача айтканда, бузулган инсайдерлерди) камтыйт. UEBA ыкмалары мындай коркунучтарды аныктоо, сигналдын ызы-чуу катышын жакшыртуу, билдирмелердин көлөмүн консолидациялоо жана азайтуу, калган эскертүүлөргө артыкчылык берүү жана инциденттерге эффективдүү жооп кайтарууну жана иликтөөнү жеңилдетүү үчүн бир нече кызыктуу мүмкүнчүлүктөрдү сунуштайт.

Бул көйгөйлүү аймакка багытталган UEBA сатуучулары көбүнчө уюмдун SIEM системалары менен эки багыттуу интеграцияга ээ.

Маалыматтарды эксфильтрациялоо

Бул учурда милдети маалымат уюмдан тышкары өткөрүлүп жатканын аныктоо болуп саналат.
Бул көйгөйгө көңүл бурушкан сатуучулар, адатта, аномалияларды аныктоо жана өркүндөтүлгөн аналитика менен DLP же DAG мүмкүнчүлүктөрүн колдонушат, ошону менен сигналдын ызы-чуу катышын жакшыртышат, билдирмелердин көлөмүн консолидациялашат жана калган триггерлерге артыкчылык беришет. Кошумча контекст үчүн сатуучулар, адатта, тармак трафигине (мисалы, веб-проксилер) жана акыркы чекит маалыматтарына көбүрөөк ишенишет, анткени бул маалымат булактарын талдоо маалыматтарды эксфильтрациялоону иликтөөгө жардам берет.

Маалыматтарды эксфильтрациялоону аныктоо уюмга коркунуч туудурган инсайдерлерди жана тышкы хакерлерди кармоо үчүн колдонулат.

Артыкчылыктарды аныктоо жана башкаруу

Экспертизанын бул чөйрөсүндөгү көз карандысыз UEBA чечимдерин өндүрүүчүлөр ашыкча артыкчылыктарды же аномалдуу кирүү мүмкүнчүлүгүн аныктоо үчүн буга чейин түзүлгөн укуктар системасынын фонунда колдонуучунун жүрүм-турумун байкап, талдап турушат. Бул колдонуучулардын жана каттоо эсептеринин бардык түрлөрүнө, анын ичинде артыкчылыктуу жана кызматтык эсептерге тиешелүү. Уюмдар ошондой эле талап кылынгандан жогору болгон уктоочу эсептерден жана колдонуучу артыкчылыктарынан арылуу үчүн UEBA колдонушат.

Окуяга артыкчылык берүү

Бул тапшырманын максаты - биринчи кезекте кайсы инциденттерди же потенциалдуу инциденттерди чечүү керектигин түшүнүү үчүн алардын технологиялык стекиндеги чечимдер тарабынан түзүлгөн эскертмелерге артыкчылык берүү. UEBA методологиялары жана инструменттери белгилүү бир уюм үчүн өзгөчө аномалдуу же өзгөчө кооптуу болгон окуяларды аныктоодо пайдалуу. Бул учурда, UEBA механизми иш-аракеттин базалык деңгээлин жана коркунуч моделдерин гана колдонбостон, ошондой эле компаниянын уюштуруу түзүмү (мисалы, критикалык ресурстар же ролдор жана кызматкерлердин жеткиликтүүлүк деңгээли) жөнүндө маалымат менен маалыматтарды каныктырат.

UEBA чечимдерин ишке ашыруу көйгөйлөрү

UEBA чечимдеринин рыноктук азабы алардын жогорку баасы, комплекстүү ишке ашыруу, тейлөө жана колдонуу. Компаниялар ар кандай ички порталдардын саны менен күрөшүп жатышканда, алар дагы бир консолду алып жатышат. Жаңы куралга убакытты жана ресурстарды инвестициялоонун көлөмү коюлган милдеттерге жана аларды чечүү үчүн зарыл болгон аналитиканын түрлөрүнө жараша болот жана көбүнчө чоң инвестицияларды талап кылат.

Көптөгөн өндүрүүчүлөр айткандай, UEBA бир нече күн бою тынымсыз иштей турган "аны коюп, унутуп" куралы эмес.
Gartner кардарлары, мисалы, бул чечим ишке ашырылган көйгөйлөрдү чечүүнүн биринчи натыйжаларын алуу үчүн UEBA демилгесин нөлдөн баштап баштоо үчүн 3 айдан 6 айга чейин убакыт талап кылынарын белгилешет. Уюмдагы инсайдердик коркунучтарды аныктоо сыяктуу татаал тапшырмалар үчүн бул мөөнөт 18 айга чейин көбөйөт.

UEBAны ишке ашыруунун кыйынчылыгына жана куралдын келечектеги натыйжалуулугуна таасир этүүчү факторлор:

  • Уюмдун архитектурасынын, тармак топологиясынын жана маалыматтарды башкаруу саясатынын татаалдыгы
  • Туура маалыматтардын деталдын туура деңгээлинде болушу
  • Сатуучунун аналитика алгоритмдеринин татаалдыгы — мисалы, статистикалык моделдерди жана машинаны үйрөнүүнү жөнөкөй үлгүлөргө жана эрежелерге каршы колдонуу.
  • Алдын ала конфигурацияланган аналитиканын көлөмү камтылган, башкача айтканда, өндүрүүчүнүн ар бир тапшырма үчүн кандай маалыматтар чогултулушу керек экендигин жана талдоо жүргүзүү үчүн кандай өзгөрмөлөр жана атрибуттар эң маанилүү экенин түшүнүүсү.
  • Өндүрүүчүгө керектүү маалыматтар менен автоматтык түрдө интеграциялоо канчалык оңой.

    Мисалы:

    • Эгерде UEBA чечими SIEM системасын маалыматтардын негизги булагы катары колдонсо, SIEM керектүү маалымат булактарынан маалыматты чогултабы?
    • Керектүү окуялар журналдарын жана уюштуруу контексттик маалыматтарын UEBA чечимине багыттаса болобу?
    • Эгерде SIEM системасы UEBA чечими үчүн зарыл болгон маалымат булактарын чогултуп, көзөмөлдөй албаса, анда аларды кантип ал жакка өткөрүп берүүгө болот?

  • Колдонмо сценарийи уюм үчүн канчалык маанилүү, ал канча маалымат булактарын талап кылат жана бул милдет өндүрүүчүнүн экспертиза чөйрөсү менен канчалык дал келет.
  • Кандай деңгээлде уюштуруучулук жетилгендик жана катышуу талап кылынат – мисалы, эрежелерди жана моделдерди түзүү, иштеп чыгуу жана тактоо; баалоо үчүн өзгөрмөлөргө салмактарды берүү; же тобокелдикти баалоо босогосун тууралоо.
  • Уюмдун учурдагы көлөмүнө жана анын келечектеги талаптарына салыштырмалуу сатуучунун чечими жана анын архитектурасы канчалык масштабдуу.
  • Негизги моделдерди, профилдерди жана негизги топторду курууга убакыт келди. Өндүрүүчүлөр көбүнчө "нормалдуу" түшүнүктөрдү аныктоо үчүн талдоо жүргүзүү үчүн жок дегенде 30 күн (кээде 90 күнгө чейин) талап кылынат. Тарыхый маалыматтарды бир жолу жүктөө моделди окутууну тездетет. Кээ бир кызыктуу учурларды укмуштуудай аз өлчөмдөгү баштапкы маалыматтар менен машина үйрөнүүсүнө караганда эрежелерди колдонуу менен тезирээк аныктоого болот.
  • Динамикалык топторду жана эсеп профилин түзүү үчүн талап кылынган күч-аракеттин деңгээли (кызмат/адам) чечимдердин ортосунда абдан айырмаланышы мүмкүн.

Source: www.habr.com

Комментарий кошуу