ProHoster > Π‘Π»ΠΎΠ³ > interrete nuntium > Forum UEBA mortuus est - dum vivere UEBA

Forum UEBA mortuus est - dum vivere UEBA

Forum UEBA mortuus est - dum vivere UEBA

Hodie brevem inspectionem Usoris et Entitatis Behaviolicorum Analyticorum (UEBA) mercatum recentissimum innixum praebebimus. Gartner investigationis. Forum UEBA est in fundo "scaeni deceptionis" secundum Gartner Hype Cycle pro comminatione Technologiae, maturitatem technologiae demonstrans. Sed paradoxum condicionis in UEBA technologiarum technologiarum incremento generali simultaneo iacet et mercatu solutionum independentium UEBA evanescens. Gartner praedicat UEBA partem facturos solutiones securitatis informationis relationis functionalitatis. Verbum "UEBA" verisimile ex usu cadere et ab alio acronymo in aream strictiorem applicationis (exempli gratia usoris analytici) referri, similem aream applicationis (exampla data analytica"), vel simpliciter quaedam fient. novum buzzword (exempli gratia, vox "intelligentiae artificialis" iucundam spectat, etsi nullum sensum ad recentiores UEBA artifices facit).

Clavis inventa e studio Gartner perstringi potest sic:

  • Maturitas mercatus in analyticis utentium et entium modus confirmatur eo quod hae technologiae adhibitae sunt per segmentum medium et magna corporatum ad plures quaestiones negotiorum solvendas;
  • UEBA facultates analyticae in amplis relatarum notitiarum securitates technologias aedificantur, ut nubes accessus sectorum secure (CASBs), administratio identitatis et administratio (IGA) SIEM systemata;
  • Hype circa UEBA concionatorum et falsae usus vocabuli "intelli- gentiae artificialis" difficilem clientibus facit intelligere realem differentiam inter artifices technologias et solutiones functionis sine gubernatoris consilio;
  • Customers notant exsecutionem solutionum UEBA temporis et diei hodierni plus laboris intensive et temporis edendi posse quam fabrica promittit, etiam cum solas minas deprehendendi exempla fundamentalia considerando. Additis consuetudinibus vel extremis casibus uti possunt difficillime et peritia in notitia scientiarum et analyticorum requirere.

Forum opportuna evolutionis praenuntiatio:

  • Per 2021, mercatum pro usuario et entitate systematum analyticorum (UEBA) separatum esse desinet et ad alias solutiones functionis UEBA transferet;
  • Per 2020, 95% omnium inceptorum UEBA pars latioris securitatis erit.

Definition of UEBA solutiones

UEBA solutiones in analyticis aedificatis utuntur ad aestimandam activitates utentium et aliorum entium (ut exercitus, applicationes, commercium retis et notitiarum thesaurorum).
Minas et incidentes potentiales deprehendunt, typice repraesentantes actionem anomalam comparatam ad vexillum profile et mores utentium et entitatum in similibus coetibus per aliquod temporis spatium.

Frequentissimi casus in incepti segmenti usus sunt minae detectionis et responsionis, necnon detectio et responsio ad minas insidentes (plerumque insidiatores suspecti, interdum oppugnatores interni).

UEBA similis arbitriumautem officiumin certum instrumentum structum;

  • Solutio fabricatores suggestorum "puri" UEBA, inclusos venditores qui solutiones SIEM etiam separatim vendunt. In amplis negotiis quaestionibus in analyticis morum analyticorum utriusque utentium et entitatum intentus est.
  • Embedded - Manufacturer/divisiones quae UEBA functiones et technologias in suas solutiones integrant. Typice notavimus subtilius negotia problemata. Hoc in casu, UEBA ad mores utentium et/vel entium resolvere adhibetur.

Gartner views UEBA per tres axes, inter problemata solvers, analytica, et fontes datos (vide figuram).

Forum UEBA mortuus est - dum vivere UEBA

"Pura" UEBA platforms versus constructus-in UEBA

Gartner considerat "puram" UEBA suggestum solutiones esse quae:

  • plures quaestiones specificae solvendas, ut vigilantia usorum privilegiatorum vel extra ordinem data extraordinaria, et non solum abstractum "magna actionis usoris anomaliae";
  • usum implicatorum analyticorum implicat, necessario nititur in accessibus analyticis fundamentalibus;
  • complura optiones pro notitia collectionis praebent, inclusas tam in machinationibus quam machinationibus et ex instrumentorum instrumentorum administratione constructis, Data lacum et/vel SIEM systemata, sine mandatorio necessitate ad explicandas personas separatas in infrastructura;
  • comparari potest et explicavit ut stet-solus solutiones quam includi
    compositio aliorum productorum.

Mensa infra duos aditus comparat.

Tabula 1. "pura" UEBA solutiones nobis constructa in istis

Category "purus" UEBA platforms Aliae solutiones cum constructo-in UEBA
Quaestio solvenda Analysis usorum morum et entitatum. Defectus notitiarum UEBA limitare potest ad mores usorum vel entium solum resolvendo.
Quaestio solvenda Ut serves amplis problems solvere Specialitas in stricto paro of negotium
analytics Deprehensio anomaliae variis modis analyticis utens β€” praesertim per exempla statistica et apparatus discendi, una cum regulas et subscriptionibus. Venit cum constructis-in analyticis ad creandum et comparandum usuario et entitate activitatis suis et collegarum profile. UEBA puris similis, sed analysis usoribus et/vel entibus tantum limitari potest.
analytics Facultates analyticae provectae non solum per regulas limitantur. Exempli gratia: racemus algorithmus cum entium aggregatione dynamica. Similia "pura" UEBA, sed entitas aggregatio in quibusdam minarum infixarum exemplaribus solum manually mutari potest.
analytics Correlatio actionis et morum utentium et aliarum rerum (exempli gratia retiacula Bayesiana utens) et aggregatio morum periculorum singularum ad cognoscendam actionem anomalam. UEBA puris similis, sed analysis usoribus et/vel entibus tantum limitari potest.
Data fontes Eventus accipientes in utentibus et entia e fontibus data directe per constructis-in machinationibus vel exsistentibus notitiarum thesaurorum, sicut SIEM seu lacum Data. Mechanismi ad notitias obtinendas plerumque tantum dirigere et afficiunt solum utentes et/vel alia entia. Noli uti instrumentorum administratione / SIEM / Data lacu.
Data fontes Solutio non solum in retis mercaturae tamquam principali notitiarum fonte niti debet, neque solum suis agentibus niti telemetriam colligere. Solutio solum in retis mercaturae (exempli gratia, NTA - retis analysin commercii) et/vel agentibus in fine machinis uti (exempli gratia, magna utilitas molestie).
Data fontes Saturans user/ens notitia cum contextu. Collectio eventuum structorum in tempore reali sustinet ac notitiarum cohaerentium structarum/instructarum ab IT directoriis - exempli gratia, Directorium activum (AD), vel alia machinamenta informabilia informabilia (exempli gratia HR databases). UEBA puris similis, sed ambitus notitiae contextualis a casu ad casum differre potest. AD et LDAP frequentissimae notitiarum contextualium thesaurorum solutiones infixae UEBA adhibitae sunt.
disponibilitate Notas enumeratas praebet ut productum standalone. Impossibile est in UEBA functionem aedificatam emere sine solutione externa in qua aedificatur.
Source: Gartner (May 2019)

Ita ut quaedam problemata solvenda, UEBA analytica basica UEBA (exempli gratia, simplex apparatus eruditionis invisus) uti potest, sed simul, ob accessum ad exacte necessarias notitias, altiore efficacius esse potest quam "purus". UEBA solutio. Eodem tempore "pura" UEBA suggesta, ut expectatur, plura analytica analytica praebent quam principalis cognitio-quomodo comparatur cum instrumento constructo-in UEBA. Hi eventus in Tabula 2 perstringuntur.

Mensa 2. Effectus differentiarum inter "puram" et constructam in UEBA

Category "purus" UEBA platforms Aliae solutiones cum constructo-in UEBA
analytics Applicabilitas ad varias quaestiones negotiorum solvendas implicat communiores functionum functionum UEBA statuta cum emphasi in multiplicioribus analyticis et apparatus discendi exemplaribus. Positus in minori statuto quaestionum negotiatorum significat valde speciales notas, quae ad exempla applicationis specialium in logica simpliciore intendunt.
analytics Consuetudinem analyticae exemplaris pro unaquaque applicatione missionis necessaria est. Exempla analytica prae figurata sunt pro instrumento quod in UEBA aedificatum est. Instrumentum in UEBA constructum plerumque consequitur velociores proventus in solvendis quibusdam quaestionibus negotiis.
Data fontes Accessus ad notitias fontes ab omnibus angulis infrastructurae corporati. Pauciores notitiae fontes, plerumque ab agentium disponibilitate limitantur ad eos vel ipsum instrumentum cum functionibus UEBA.
Data fontes Informatio in unoquoque indice contenta ab ipso fonte data limitari potest nec omnia quae necessaria sunt in instrumento centrali UEBA continere possunt. Moles et singula notitia rudis ab agente collecta et ad UEBA transmissa specie configurari possunt.
Architecture Integer UEBA productum est ad organizationem. Integratio facilior est utendi facultatibus systematis SIEM vel lacus Datae. Singula notarum solutiones in UEBA constructa requirit. Solutiones infixae UEBA saepe inaugurandi et data administrandi requirunt.
Integrationem Integratio manualis solutionis UEBA cum aliis instrumentis utrobique. Permittit organizationem ad construendum acervum technologiarum secundum accessum "optimum inter analoga". Praecipui manipulorum UEBA functionum in ipso instrumento fabricando inclusae sunt. Modulus UEBA constructus est et amoveri non potest, ergo clientes cum aliquo proprio substituere non possunt.
Source: Gartner (May 2019)

UEBA munus

UEBA proprium est finis-ad-finem solutionum cybersecurity quae prodesse potest ex analyticis adiectis. UEBA has solutiones subest, praebens validum iacum analyticorum provectorum secundum usorum et/vel ens morum exempla.

Nunc in mercatu, quod in UEBA functionem aedificatum est, perficiuntur in solutionibus sequentibus, quae a technologico ambitu continentur:

  • Data-focused audit et praesidiumvenditores sunt qui ad securitatem de notitiarum repositionis structarum et informarum (aka DCAP emendandam feruntur).

    In hoc genere concionatorum, Gartner notat, inter alia; Varonis cybersecurity platform, quae analytica usoris mores praebet ad monitor mutationes in datorum informatarum permissionum, accessu, et usu per varias informationes traduntur.

  • CASB systematapraebens tutelam contra varias minas in applicationibus Saas nubis fundatum, aditum obturando ad officia nubilum pro invitis machinis, usoribus et applicationibus versionibus utendo ad accessum moderandi adaptivam.

    Omnes solutiones CASB fori ducens facultates UEBA includunt.

  • DLP solutiones - notavimus detecta translatione notitiarum criticarum extra ordinem vel abusum eius.

    Progressiones DLP late fundantur ad contentum intelligendum, minus ad contextum intellegendum, ut user, applicatio, locus, tempus, velocitas rerum, aliaque res externa. Ut efficax sit, DLP producta recognoscere debent et contenta et contexta. Quam ob rem multi artifices UEBA functionem in suas solutiones integrare incipiant.

  • Aliquam adipiscing facultas est recordandi ac remonstrandi operariorum actuum, plerumque in forma data apta ad iudicium (si opus est).

    Constanter magnae utentes magnae saepe moles notitiarum nimiam generat, quae manualem eliquationem et humanam analysim requirit. Ergo, UEBA systemata vigilantia intus adhibetur ad emendandum harum solutionum observantiam ac solum summus periculum incidentes deprehendere.

  • Endpoint Securitatis - Endpoint detectio et responsio (EDR) solutiones et endpoint praesidium suggestuum (EPP) validum instrumenti et telemetriae ad systema operandi praebent
    nis artibus.

    Talis telemetria usuario relata inexplicari potest ut constructum-in UEBA functionem praebeat.

  • Online fraudis - Online fraudis deprehensio solutiones obliquas deprehendere activitatem quae indicat compromissum rationis emptoris per CALUMNIA, malware vel abusionem hospitum non securum / interceptionem negotiationum perambulantium.

    Plurimae solutiones fraudis utuntur essentia UEBA, transactionis analysi et mensurae fabrica, cum systemata provecta complent eas per matching relationes in datorum identitatis.

  • IAM and access control - Gartner notat evolutionis tenoris inter accessum moderandi ratiocinatores vendentes ad integrandum puris venditoribus et aliquem UEBA functionem in eorum fructus construere.
  • IAM and Identity Governance and Administration (IGA) systems utere UEBA ad operiendos missiones analyticas et modus identitatis sicut detectio anomalia, dynamica concretio analysis similium entium, analysis login, et accessus ad analysin consilium.
  • IAM et Access Management Privilegae (PAM) - Ob munus vigilantiae usus rationum administrativarum, PAM solutiones telemetria habent ut ostendat quomodo, cur, quando et ubi rationes administrativae adhibeantur. Haec notitia resolvi potest per constructum-in functionality of UEBA ad praesentiam morum anomalorum administratorum vel malitiosae intentionis.
  • Manufacturers NTA (Network Traffic Analysis) - compositum ex machina discendi utere, analytica et regula-substructio detectionis provectae ad cognoscendam suspectam actionem in retiacula corporata.

    NTA instrumenta continenter analysi fontem negotiationis et/vel monumenta (exempli gratia) exstruere (v.g. NetFlow) ad exempla aedificare quae normales mores retis reflectunt, imprimis in entitate morum analyticorum ponunt.

  • SIEM - multi SIEM concionatores nunc notas analyticas functionis in SIEM aedificatas intulerunt, vel ut moduli separati UEBA. In anno 2018 et usque ad 2019 continua inter SIEM et UEBA functionis confusio fuit, de quibus in art. "Technology Insight for the Modern SIEM". SIEM systemata meliores factae sunt operando cum analyticis et applicatione missionum multipliciori oblatione.

UEBA Application missiones

UEBA solutiones amplis problematum solvere possunt. Attamen clientes Gartner consentiunt primum usum casum involvere varias minarum genera deprehendendas, consecutum esse proponendo et dividendo crebras correlationes inter mores usorum et alia entia;

  • alienum accessum et motum notitiae;
  • suspectum mores privilegiatorum utentium, malitiosi vel alienum actuum conductorum;
  • non-vexillum accessus et usus nubium opum;
  • et al.

Sunt etiam plures casus atypicae non-cybersecuritates utentes, puta fraudes vel operariorum vigilantia, pro quibus UEBA iustificari potest. Attamen plerumque fontes extra IT notitias et securitatem notitiarum requirunt, vel specimina analytica specifica cum profunda huius regionis intellegentia. Quinque principales missiones et applicationes quae tum UEBA fabricatores et eorum clientes consentiunt infra descripti sunt.

"Malicious Insider"

UEBA solutionis provisores qui hanc missionem tegunt solum monitor operarios et confidebant redemptores pro inusitate, "malus" vel malitiosis moribus. Venditores in hac provincia peritia non monitores aut mores rationum servitii resolvent vel alias res non humanas. Maxime ob hoc, minas provectas deprehendere ubi hackers rationes exsistentes accipere non possunt. Sed ea quae in noxis actionibus implicantur, operarii cognoscendi sunt.

Essentialiter, notio "malicii insidentis" oritur ab utentibus creditis cum malitiosa intentione qui vias quaerunt ut damnum suo conductori afferat. Quia malitiosa intentio mensurare difficile est, optimi venditores in hac categoria analysin morum contextualium notantur quae in tignis computis non facile praesto sunt.

Solutio in hoc spatio provisores etiam optime addunt et enucleant informatica notitia, ut electronicae res, productivity nuntia, vel socialis instrumentorum communicationis socialis contextui ad mores praebendos.

Commissum insider et praepotentique minas

Provocatio est ut cito deprehendere ac resolvere "mala" mores semel oppugnator accessum ad ordinationem accesserit et intra IT infrastructuram incipit movere.
Minae assertivae (APTs), sicut minae ignotae vel nondum plene intellectae, difficillimae sunt deprehendere et saepe post legitimum usum activitatis vel muneris rationum occultare. Tales minae plerumque exemplar implicatum habent (videatur, exempli gratia, articulum". Adloquens Cyberum interfice Chain") vel eorum mores nondum ut noxii aestimati sunt. Inde difficilius est deprehendere utentes simplices analyticas (quales sunt adaptationes per exemplaria, limina, vel regulas reciproci).

Sed multae ex his minae praepotentiae consequuntur in moribus non-commodus, saepe incautos utentes vel entitates involventes (aka insiders suspectos). UEBA technicae artes varias opportunitates praebent ad huiusmodi minas detegendas, meliorem rationem significationis-ad strepitum, solidandum et minuendum notificationem voluminis, reliquas summas prioritizare, ac faciliorem incidentes responsionem et inquisitionem efficacem.

UEBA concionatores nisi hanc quaestionem aream saepe habent bi-directionalem integrationem cum systemata SIEM organizationis.

Data exfiltration

Munus in hac causa est deprehendere notitias extra ordinem transferri.
Venditores hanc provocationem typice levant DLP vel DAG facultates cum anomaliae detectione et analyticis provectis, ita ut signum ad tumultum augeat, notificationem voluminis consolidans, ac reliquas triggers prioritando. Pro addito contextu, venditores plerumque plus confidunt in retis negotiationis (ut telae proxies) et terminus notitiarum, sicut analysis horum fontium in notitia exfiltration investigationum iuvare possunt.

Data exfiltration detectio adhibetur ad capiendos insidentes et externas hackores ut ordo minaretur.

Lepidium sativum et administratione accessus privilegiati

Manufacturers solutiones UEBA independentium in hac regione peritiae observa et analysi mores usorum contra curriculum systematis iurium formati iam formati ad recognoscendas nimias privilegia vel accessus anomalos. Hoc pertinet ad omnes rationes utentium et rationum, inclusa rationum privilegiatorum et servitiorum. Instituta etiam UEBA utuntur ad rationes sopitas tollendas et privilegia usorum quae altiora sunt quam requiritur.

incident prioritization

Propositum huius operis est notificationes prioritizare solutiones in eorum acervo technologico generatas ad intelligendas quas incidentes vel incidentes potentiale primum debeant dirigi. UEBA methodologiae et instrumenta utilia sunt in edendis incidentibus, quae praecipue anomala vel praecipue periculosa sunt pro data ordinatione. Hoc in casu, mechanismus UEBA non solum basi actionis et minae exemplorum utitur, sed etiam notitias notitias de structura societatis structurae (exempli gratia, opes criticas vel munerum et accessus gradus opificum exercet).

Problemata de UEBA solutionibus fovendis

Mercatus dolor solutionum UEBA maxima eorum est pretium, exsequendam complexionem, sustentationem et usum. Cum societates certant cum numero portarum internarum diversarum, aliam consolantur. Magnitudo obsidionis temporis et opum in novo instrumento pendet ex operibus manibus et generibus analyticorum quae ad eas solvendas necessariae sunt et plerumque magnas collocationes requirunt.

Contra id quod multi artifices dicunt, UEBA non est "ponere et oblivisci" instrumentum, quod continuo per dies ad finem currere potest.
clientes Gartner, exempli gratia, notandum est quod ab 3 ad 6 menses accipit inceptum UEBA de integro inducunt ad primos eventus solvendas difficultates, ad quas haec solutio perducta est. Pluribus officiis implicatis, ut minas insidentes in organizatione identificantes, periodus duodeviginti mensium augetur.

Factores influentes difficultatem exsequendi UEBA et futuri instrumenti efficaciam:

  • Architectura regiminis complexio, topologia retiacula et notitia administrationis rationes
  • Iure data available at the right level of detail
  • Intricatio analyticorum venditoris algorithmorum - exempli gratia, usus exemplorum statisticorum et apparatus discendi versus simplicia exemplaria et regulas.
  • Moles analyticorum praefiguratorum comprehendit, id est, intellegentiae fabricae quaenam notitiae ad unumquemque opus colligendae sunt, et quaenam variabilium et attributorum momenti sunt ad analysin perficiendam.
  • Quam facile est fabricare cum notitia inquisita automatice integrare.

    For example:

    • Si solutio UEBA systematis SIEM utatur tamquam principale fons notitiae suae, numquid informationes colligit SIEM e fontibus inquisitis?
    • Possuntne eventus necessarii acta et contextus normae ad solutionem UEBA fusa?
    • Si ratio SIEM nondum colligit et moderatur notitias fontium quae per solutionem UEBA sunt necessariae, quomodo tunc transferri possunt?

  • Quanti momenti est applicatio missionis ad ordinationem, quot notitiae fontes requirit, et quantum hoc negotium aliudque cum area peritia fabricantis.
  • Qui gradus normae maturitatis et implicationis requiritur, verbi gratia, creatio, evolutionis et elegantiae regularum et exemplorum; pondera ad variabilium aestimationem assignans; aut periculum taxationem accommodans limina.
  • Quam scalabilis est venditoris solutio eiusque architectura comparata ad hodiernam dispositionem magnitudinem eiusque requisita futura.
  • Tempus aedificandi exempla fundamentalia, figuras et circulos clavos. Facitores saepe exigunt saltem XXX dies (et interdum usque ad 30 dies) ut analysin peragant antequam notiones "normales" definire possint. Oneratisque notitia historica semel formare formationem potest accelerare. Nonnulli casus interesting identificari possunt citius utentes regulas quam utens apparatus discendi cum incredibili parva initiali notitia.
  • Conatus gradus requiritur ad compagem dynamicam et rationem proficing (servitium/personarum) multum inter solutiones variari potest.

Source: www.habr.com