ProHoster > Dienoraštis > interneto naujienos > UEBA rinka mirusi – tegyvuoja UEBA

UEBA rinka mirusi – tegyvuoja UEBA

UEBA rinka mirusi – tegyvuoja UEBA

Šiandien pateiksime trumpą naudotojų ir subjektų elgesio analizės (UEBA) rinkos apžvalgą, pagrįstą naujausiais Gartner tyrimas. Remiantis „Gartner Hype Cycle for Threat-Facing Technologies“, UEBA rinka yra „nusivylimo stadijos“ apačioje, o tai rodo technologijos brandą. Tačiau situacijos paradoksas slypi bendrame investicijų į UEBA technologijas augime ir nykstančioje nepriklausomų UEBA sprendimų rinkoje. „Gartner“ prognozuoja, kad UEBA taps susijusių informacijos saugumo sprendimų funkcionalumo dalimi. Tikėtina, kad terminas „UEBA“ nebebus vartojamas ir bus pakeistas kitu akronimu, orientuotu į siauresnę taikymo sritį (pvz., „vartotojo elgsenos analizė“), panašią taikymo sritį (pvz., „duomenų analizė“) arba tiesiog taps kokia nors. naujas madingas žodis (pavyzdžiui, terminas „dirbtinis intelektas“ [AI] atrodo įdomiai, nors šiuolaikiniams UEBA gamintojams jis neturi jokios prasmės).

Pagrindinius „Gartner“ tyrimo rezultatus galima apibendrinti taip:

  • Vartotojų ir subjektų elgsenos analizės rinkos brandą patvirtina tai, kad šias technologijas naudoja vidutinis ir didelis įmonių segmentas, sprendžiant daugybę verslo problemų;
  • UEBA analizės galimybės yra integruotos į daugybę susijusių informacijos saugos technologijų, tokių kaip debesų prieigos saugos brokeriai (CASB), tapatybės valdymo ir administravimo (IGA) SIEM sistemos;
  • Ažiotažas apie UEBA pardavėjus ir neteisingas termino „dirbtinis intelektas“ vartojimas neleidžia klientams suprasti tikrąjį skirtumą tarp gamintojų technologijų ir sprendimų funkcionalumo nevykdant bandomojo projekto;
  • Klientai pastebi, kad UEBA sprendimų diegimo laikas ir kasdienis naudojimas gali būti daug darbo ir laiko reikalaujantis daugiau nei žada gamintojas, net ir įvertinus tik pagrindinius grėsmių aptikimo modelius. Pridėti pasirinktinius arba kraštutinius naudojimo atvejus gali būti labai sudėtinga ir reikalauja duomenų mokslo ir analizės patirties.

Strateginė rinkos plėtros prognozė:

  • Iki 2021 m. vartotojų ir subjektų elgesio analizės (UEBA) sistemų rinka nustos egzistuoti kaip atskira sritis ir pereis prie kitų sprendimų su UEBA funkcionalumu;
  • Iki 2020 m. 95 % visų UEBA diegimų bus platesnės saugumo platformos dalis.

UEBA sprendimų apibrėžimas

UEBA sprendimai naudoja integruotą analizę, kad įvertintų vartotojų ir kitų subjektų veiklą (pvz., pagrindinius kompiuterius, programas, tinklo srautą ir duomenų saugyklas).
Jie aptinka grėsmes ir galimus incidentus, paprastai vaizduojančius neįprastą veiklą, palyginti su standartiniu vartotojų ir subjektų, priklausančių panašioms grupėms, profiliu ir elgesiu per tam tikrą laikotarpį.

Dažniausiai pasitaikantys naudojimo atvejai įmonių segmente yra grėsmių aptikimas ir atsakas, taip pat vidinių grėsmių aptikimas ir atsakas į jas (dažniausiai pažeisti viešai neatskleista informacija; kartais vidiniai užpuolikai).

UEBA yra kaip sprendimasIr funkcija, integruotas į konkretų įrankį:

  • Sprendimas yra „grynųjų“ UEBA platformų gamintojai, įskaitant pardavėjus, kurie taip pat parduoda SIEM sprendimus atskirai. Sutelktas į įvairias verslo problemas tiek vartotojų, tiek subjektų elgsenos analizėje.
  • Įterptieji – gamintojai/padaliniai, integruojantys UEBA funkcijas ir technologijas į savo sprendimus. Paprastai dėmesys sutelkiamas į konkretesnį verslo problemų rinkinį. Šiuo atveju UEBA naudojama vartotojų ir (arba) subjektų elgesiui analizuoti.

„Gartner“ UEBA žiūri trimis ašimis, įskaitant problemų sprendimus, analizę ir duomenų šaltinius (žr. pav.).

UEBA rinka mirusi – tegyvuoja UEBA

„Grynos“ UEBA platformos, palyginti su integruota UEBA

„Gartner“ mano, kad „gryna“ UEBA platforma yra sprendimai, kurie:

  • išspręsti kelias konkrečias problemas, tokias kaip privilegijuotų vartotojų stebėjimas arba duomenų išvedimas už organizacijos ribų, o ne tik abstraktus „anomalios vartotojų veiklos stebėjimas“;
  • apima sudėtingos analizės, būtinai pagrįstos pagrindiniais analitiniais metodais, naudojimą;
  • suteikti kelias duomenų rinkimo parinktis, įskaitant įtaisytuosius duomenų šaltinio mechanizmus ir žurnalų valdymo įrankius, Data Lake ir (arba) SIEM sistemas, be privalomo poreikio infrastruktūroje diegti atskirus agentus;
  • galima įsigyti ir įdiegti kaip atskirus sprendimus, o ne įtraukti į
    kitų produktų sudėtis.

Žemiau esančioje lentelėje palyginami du metodai.

1 lentelė. „Gryni“ UEBA sprendimai, palyginti su integruotais

kategorija „Grynos“ UEBA platformos Kiti sprendimai su integruota UEBA
Problema, kurią reikia išspręsti Vartotojų elgsenos ir subjektų analizė. Duomenų trūkumas gali apriboti UEBA analizuoti tik vartotojų ar subjektų elgesį.
Problema, kurią reikia išspręsti Tarnauja sprendžiant daugybę problemų Specializuojasi atliekant ribotą užduočių rinkinį
Analytics " Anomalijų aptikimas naudojant įvairius analitinius metodus – daugiausia naudojant statistinius modelius ir mašininį mokymąsi, kartu su taisyklėmis ir parašais. Yra integruota analizė, skirta kurti ir palyginti vartotojų ir subjektų veiklą su jų ir kolegų profiliais. Panašus į gryną UEBA, tačiau analizė gali būti taikoma tik vartotojams ir (arba) subjektams.
Analytics " Pažangios analizės galimybės, neapribotos tik taisyklėmis. Pavyzdžiui, klasterizacijos algoritmas su dinaminiu objektų grupavimu. Panašiai kaip „grynoji“ UEBA, tačiau objektų grupavimą kai kuriuose įterptųjų grėsmių modeliuose galima keisti tik rankiniu būdu.
Analytics " Vartotojų ir kitų subjektų veiklos ir elgsenos koreliacija (pavyzdžiui, naudojant Bajeso tinklus) ir individualaus rizikingo elgesio agregavimas, siekiant nustatyti anomalią veiklą. Panašus į gryną UEBA, tačiau analizė gali būti taikoma tik vartotojams ir (arba) subjektams.
Duomenų šaltinis Vartotojų ir objektų įvykių gavimas iš duomenų šaltinių tiesiogiai naudojant integruotus mechanizmus arba esamas duomenų saugyklas, pvz., SIEM arba Data Lake. Duomenų gavimo mechanizmai dažniausiai yra tik tiesioginiai ir veikia tik vartotojus ir (arba) kitus subjektus. Nenaudokite žurnalų tvarkymo įrankių / SIEM / Data Lake.
Duomenų šaltinis Sprendimas neturėtų pasikliauti tik tinklo srautu kaip pagrindiniu duomenų šaltiniu, taip pat neturėtų pasikliauti tik savo agentais, renkančiais telemetriją. Sprendimas gali sutelkti dėmesį tik į tinklo srautą (pavyzdžiui, NTA – tinklo srauto analizė) ir (arba) naudoti savo agentus galutiniuose įrenginiuose (pavyzdžiui, darbuotojų stebėjimo komunalinėse paslaugose).
Duomenų šaltinis Vartotojo / subjekto duomenų prisotinimas kontekstu. Palaiko struktūrizuotų įvykių rinkimą realiuoju laiku, taip pat struktūrizuotus / nestruktūrizuotus nuoseklius duomenis iš IT katalogų, pavyzdžiui, „Active Directory“ (AD) arba kitų mašininiu būdu nuskaitomų informacijos išteklių (pavyzdžiui, personalo duomenų bazių). Panašus į gryną UEBA, tačiau kontekstinių duomenų apimtis kiekvienu atveju gali skirtis. AD ir LDAP yra labiausiai paplitusios kontekstinių duomenų saugyklos, kurias naudoja įterptieji UEBA sprendimai.
Prieinamumas Teikia išvardytas funkcijas kaip atskirą produktą. Neįmanoma nusipirkti integruoto UEBA funkcionalumo neįsigijus išorinio sprendimo, kuriame jis yra įmontuotas.
Šaltinis: Gartner (2019 m. gegužės mėn.)

Taigi, norint išspręsti tam tikras problemas, įterptoji UEBA gali naudoti pagrindinę UEBA analizę (pavyzdžiui, paprastą neprižiūrimą mašininį mokymąsi), tačiau tuo pačiu metu, dėl prieigos prie tiksliai būtinų duomenų, ji apskritai gali būti efektyvesnė nei „gryna“. UEBA sprendimas. Tuo pačiu metu „grynosios“ UEBA platformos, kaip ir tikėtasi, siūlo sudėtingesnę analizę kaip pagrindinę praktinę patirtį, palyginti su integruotu UEBA įrankiu. Šie rezultatai apibendrinti 2 lentelėje.

2 lentelė. „Grynos“ ir įmontuotos UEBA skirtumų rezultatas

kategorija „Grynos“ UEBA platformos Kiti sprendimai su integruota UEBA
Analytics " Taikomumas sprendžiant įvairias verslo problemas reiškia universalesnį UEBA funkcijų rinkinį, akcentuojant sudėtingesnę analizę ir mašininio mokymosi modelius. Dėmesys mažesniam verslo problemų rinkiniui reiškia labai specializuotas funkcijas, kurios sutelktos į konkrečių programų modelius su paprastesne logika.
Analytics " Analitinį modelį būtina pritaikyti kiekvienam taikymo scenarijui. Analitiniai modeliai yra iš anksto sukonfigūruoti įrankiui, kuriame integruota UEBA. Įrankis su integruota UEBA paprastai pasiekia greitesnių rezultatų sprendžiant tam tikras verslo problemas.
Duomenų šaltinis Prieiga prie duomenų šaltinių iš visų įmonės infrastruktūros kampelių. Mažiau duomenų šaltinių, kuriuos paprastai riboja jiems skirtų agentų prieinamumas arba pats įrankis su UEBA funkcijomis.
Duomenų šaltinis Kiekviename žurnale esanti informacija gali būti apribota duomenų šaltinio ir gali apimti ne visus centralizuotam UEBA įrankiui reikalingus duomenis. Agento surinktų ir UEBA perduodamų neapdorotų duomenų kiekį ir detalumą galima konkrečiai sukonfigūruoti.
Architektūra Tai pilnas UEBA produktas organizacijai. Integruoti lengviau naudojant SIEM sistemos arba Data Lake galimybes. Kiekvienam sprendimui, kuriame yra integruota UEBA, reikalingas atskiras UEBA funkcijų rinkinys. Įterptiesiems UEBA sprendimams dažnai reikia įdiegti agentus ir tvarkyti duomenis.
Integracija Kiekvienu atveju rankinis UEBA sprendimo integravimas su kitais įrankiais. Leidžia organizacijai sukurti savo technologijų paketą, remiantis principu „geriausias iš analogų“. Pagrindinius UEBA funkcijų paketus gamintojas jau įtraukė į patį įrankį. UEBA modulis yra įmontuotas ir jo negalima išimti, todėl klientai negali jo pakeisti kažkuo savo.
Šaltinis: Gartner (2019 m. gegužės mėn.)

UEBA kaip funkcija

UEBA tampa visapusiškų kibernetinio saugumo sprendimų ypatybe, kuriai gali būti naudinga papildoma analizė. UEBA yra šių sprendimų pagrindas, suteikdamas galingą pažangios analizės sluoksnį, pagrįstą vartotojų ir (arba) subjektų elgesio modeliais.

Šiuo metu rinkoje integruotas UEBA funkcionalumas įgyvendinamas šiuose sprendimuose, sugrupuotuose pagal technologinę apimtį:

  • Į duomenis orientuotas auditas ir apsauga, yra tiekėjai, kurie siekia gerinti struktūrizuotų ir nestruktūruotų duomenų saugojimo (dar žinomo kaip DCAP) saugumą.

    Šioje pardavėjų kategorijoje „Gartner“, be kita ko, pažymi, Varonis kibernetinio saugumo platforma, kuri siūlo naudotojų elgsenos analizę, skirtą stebėti nestruktūrizuotų duomenų leidimų, prieigos ir naudojimo pokyčius įvairiose informacijos saugyklose.

  • CASB sistemos, siūlanti apsaugą nuo įvairių grėsmių debesyje pagrįstose SaaS programose, blokuojant prieigą prie debesies paslaugų nepageidaujamiems įrenginiams, vartotojams ir programų versijoms naudojant adaptyvią prieigos kontrolės sistemą.

    Visi rinkoje pirmaujantys CASB sprendimai turi UEBA galimybes.

  • DLP sprendimai – orientuota į kritinių duomenų perdavimo už organizacijos ribų ar piktnaudžiavimo ja aptikimą.

    DLP pažanga daugiausia grindžiama turinio supratimu, mažiau dėmesio skiriant konteksto, pvz., vartotojo, programos, vietos, laiko, įvykių greičio ir kitų išorinių veiksnių, supratimui. Kad DLP produktai būtų veiksmingi, jie turi atpažinti turinį ir kontekstą. Štai kodėl daugelis gamintojų į savo sprendimus pradeda integruoti UEBA funkcijas.

  • Darbuotojų stebėjimas yra galimybė įrašyti ir pakartoti darbuotojo veiksmus, dažniausiai tokiu duomenų formatu, kuris tinka teisminiams procesams (jei reikia).

    Nuolat stebint vartotojus dažnai sugeneruojamas didžiulis duomenų kiekis, kurį reikia atlikti rankiniu būdu ir atlikti žmogaus analizę. Todėl UEBA naudojama stebėjimo sistemose, siekiant pagerinti šių sprendimų veikimą ir aptikti tik didelės rizikos incidentus.

  • Endpoint Security – Galinių taškų aptikimo ir atsako (EDR) sprendimai ir galutinio taško apsaugos platformos (EPP) užtikrina galingą prietaisų ir operacinės sistemos telemetriją
    galiniai įrenginiai.

    Tokią su vartotoju susijusią telemetriją galima analizuoti, kad būtų sukurta integruota UEBA funkcija.

  • Internetinis sukčiavimas – Internetiniai sukčiavimo aptikimo sprendimai aptinka nukrypstančią veiklą, kuri rodo, kad kliento paskyra buvo pažeista dėl klastojimo, kenkėjiškų programų arba nesaugių ryšių / naršyklės srauto perėmimo.

    Dauguma sukčiavimo sprendimų naudoja UEBA esmę, transakcijų analizę ir prietaisų matavimą, o pažangesnės sistemos papildo jas suderindamos ryšius tapatybės duomenų bazėje.

  • IAM ir prieigos kontrolė – „Gartner“ pastebi evoliucinę tendenciją tarp prieigos kontrolės sistemų pardavėjų integruotis su grynaisiais pardavėjais ir į savo gaminius įtraukti kai kurias UEBA funkcijas.
  • IAM ir tapatybės valdymo ir administravimo (IGA) sistemos naudokite UEBA elgsenos ir tapatybės analizės scenarijams, pvz., anomalijų aptikimui, panašių objektų dinaminės grupavimo analizei, prisijungimo analizei ir prieigos politikos analizei.
  • IAM ir privilegijuotosios prieigos valdymas (PAM) – Dėl administracinių paskyrų naudojimo stebėjimo vaidmens PAM sprendimai turi telemetriją, rodančią, kaip, kodėl, kada ir kur buvo naudojamos administracinės paskyros. Šiuos duomenis galima analizuoti naudojant įmontuotą UEBA funkciją, siekiant nustatyti, ar administratorių elgesys yra nenormalus ar piktavališki ketinimai.
  • Gamintojų NTA (tinklo srauto analizė) – naudokite mašininio mokymosi, pažangios analizės ir taisyklėmis pagrįsto aptikimo derinį, kad nustatytumėte įtartiną veiklą įmonių tinkluose.

    NTA įrankiai nuolat analizuoja šaltinio srauto ir (arba) srauto įrašus (pvz., NetFlow), kad sukurtų modelius, atspindinčius įprastą tinklo elgseną, daugiausia dėmesio skiriant subjekto elgsenos analizei.

  • siem – Daugelis SIEM pardavėjų dabar turi pažangias duomenų analizės funkcijas, integruotas į SIEM arba kaip atskirą UEBA modulį. Kaip aptarta straipsnyje, 2018 m. ir iki šiol 2019 m. ribos tarp SIEM ir UEBA funkcijų nuolat buvo neryškios. „Šiuolaikinio SIEM technologijų įžvalga“. SIEM sistemos geriau dirba su analitika ir siūlo sudėtingesnius taikymo scenarijus.

UEBA taikymo scenarijai

UEBA sprendimai gali išspręsti daugybę problemų. Tačiau „Gartner“ klientai sutinka, kad pagrindinis naudojimo atvejis apima įvairių kategorijų grėsmių aptikimą, pasiekiamą rodant ir analizuojant dažnas vartotojo elgesio ir kitų subjektų sąsajas:

  • neteisėta prieiga prie duomenų ir jų judėjimas;
  • įtartinas privilegijuotų vartotojų elgesys, piktybiška ar neteisėta darbuotojų veikla;
  • nestandartinė prieiga ir debesų išteklių naudojimas;
  • ir kt.

Taip pat yra keletas netipinių ne kibernetinio saugumo naudojimo atvejų, tokių kaip sukčiavimas ar darbuotojų stebėjimas, dėl kurių UEBA gali būti pagrįsta. Tačiau jiems dažnai reikia duomenų šaltinių, nesusijusių su IT ir informacijos saugumu, arba specialių analitinių modelių, turinčių gilų šios srities supratimą. Toliau aprašomi penki pagrindiniai scenarijai ir programos, dėl kurių sutaria ir UEBA gamintojai, ir jų klientai.

„Piktybinis vidinis žmogus“

UEBA sprendimų teikėjai, apimantys šį scenarijų, tik stebi darbuotojus ir patikimus rangovus dėl neįprasto, „blogo“ ar kenkėjiško elgesio. Šios kompetencijos srities pardavėjai nestebi ir neanalizuoja paslaugų sąskaitų ar kitų nežmogiškų subjektų elgesio. Daugiausia dėl šios priežasties jie nėra orientuoti į pažangių grėsmių aptikimą, kai įsilaužėliai perima esamas paskyras. Vietoj to, jais siekiama nustatyti kenksmingoje veikloje dalyvaujančius darbuotojus.

Iš esmės „piktybiško savininko“ sąvoka kyla iš patikimų vartotojų, turinčių piktų ketinimų, kurie ieško būdų, kaip padaryti žalą savo darbdaviui. Kadangi kenkėjiškus ketinimus sunku išmatuoti, geriausi šios kategorijos pardavėjai analizuoja kontekstinio elgesio duomenis, kurie nėra lengvai pasiekiami audito žurnaluose.

Sprendimų teikėjai šioje erdvėje taip pat optimaliai prideda ir analizuoja nestruktūrizuotus duomenis, pvz., el. pašto turinį, produktyvumo ataskaitas ar socialinės žiniasklaidos informaciją, kad pateiktų elgesio kontekstą.

Sukompromituoti viešai neatskleista informacija ir įkyrūs grasinimai

Iššūkis yra greitai aptikti ir analizuoti „blogą“ elgesį, kai užpuolikas gauna prieigą prie organizacijos ir pradeda judėti IT infrastruktūroje.
Tvirtinančias grėsmes (APT), kaip ir nežinomas ar dar ne visiškai suprantamas grėsmes, labai sunku aptikti ir dažnai jos slepiasi už teisėtos naudotojo veiklos ar paslaugų paskyrų. Tokios grėsmės paprastai turi sudėtingą veikimo modelį (žr., pavyzdžiui, straipsnį „ Kreipimasis į kibernetinių žudynių grandinę“) arba jų elgesys dar neįvertintas kaip žalingas. Dėl to juos sunku aptikti naudojant paprastą analizę (pvz., suderinimą pagal modelius, slenksčius ar koreliacijos taisykles).

Tačiau daugelis šių įkyrių grėsmių sukelia nestandartinį elgesį, dažnai įtraukiant nieko neįtariančius vartotojus ar subjektus (dar žinomus kaip pažeisti viešai neatskleista informacija). UEBA metodai suteikia keletą įdomių galimybių aptikti tokias grėsmes, pagerinti signalo ir triukšmo santykį, konsoliduoti ir sumažinti pranešimų kiekį, teikti pirmenybę likusiems įspėjimams ir palengvinti veiksmingą reagavimą į incidentus bei tyrimą.

UEBA pardavėjai, taikantys šią probleminę sritį, dažnai turi dvikryptę integraciją su organizacijos SIEM sistemomis.

Duomenų išfiltravimas

Šiuo atveju užduotis yra nustatyti faktą, kad duomenys perduodami už organizacijos ribų.
Pardavėjai, susitelkę į šį iššūkį, paprastai naudoja DLP arba DAG galimybes su anomalijų aptikimu ir pažangia analize, taip pagerindami signalo ir triukšmo santykį, konsoliduodami pranešimų garsumą ir pirmenybę teikdami likusiems aktyvikliams. Dėl papildomo konteksto pardavėjai paprastai labiau pasikliauja tinklo srautu (pvz., žiniatinklio tarpiniais serveriais) ir galutinio taško duomenimis, nes šių duomenų šaltinių analizė gali padėti atlikti duomenų išfiltravimo tyrimus.

Duomenų išfiltravimo aptikimas naudojamas siekiant sugauti vidinius ir išorinius įsilaužėlius, keliančius grėsmę organizacijai.

Privilegijuotos prieigos identifikavimas ir valdymas

Nepriklausomų UEBA sprendimų gamintojai šioje kompetencijos srityje stebi ir analizuoja vartotojų elgseną jau suformuotos teisių sistemos fone, siekdami nustatyti perteklines privilegijas ar nenormalią prieigą. Tai taikoma visų tipų vartotojams ir paskyroms, įskaitant privilegijuotąsias ir paslaugų paskyras. Organizacijos taip pat naudoja UEBA, kad atsikratytų neveikiančių paskyrų ir vartotojų privilegijų, kurios yra didesnės nei reikalaujama.

Incidentų prioritetų nustatymas

Šios užduoties tikslas – teikti pirmenybę pranešimams, kuriuos generuoja sprendimai jų technologijų krūvoje, kad būtų galima suprasti, kuriuos incidentus ar galimus incidentus reikėtų spręsti pirmiausia. UEBA metodikos ir įrankiai yra naudingi nustatant incidentus, kurie yra ypač anomalūs arba ypač pavojingi konkrečiai organizacijai. Šiuo atveju UEBA mechanizmas ne tik naudoja bazinio lygio veiklos ir grėsmių modelius, bet ir prisotina duomenis informacija apie įmonės organizacinę struktūrą (pavyzdžiui, kritinius išteklius ar vaidmenis ir darbuotojų prieigos lygius).

UEBA sprendimų įgyvendinimo problemos

UEBA sprendimų rinkos skausmas – aukšta jų kaina, kompleksinis diegimas, priežiūra ir naudojimas. Nors įmonės kovoja su įvairių vidinių portalų skaičiumi, jos gauna kitą pultą. Laiko ir išteklių investicijų į naują įrankį dydis priklauso nuo atliekamų užduočių ir joms išspręsti reikalingos analizės, dažniausiai reikalaujančios didelių investicijų.

Priešingai nei teigia daugelis gamintojų, UEBA nėra „nustatykite ir pamirškite“ įrankis, kuris gali veikti nepertraukiamai kelias dienas.
Pavyzdžiui, „Gartner“ klientai pastebi, kad UEBA iniciatyvos pradžia nuo nulio užtrunka nuo 3 iki 6 mėnesių, kad būtų gauti pirmieji problemų, kurioms šis sprendimas buvo įgyvendintas, sprendimo rezultatai. Sudėtingesnėms užduotims, tokioms kaip vidinių grėsmių organizacijoje nustatymas, laikotarpis pailgėja iki 18 mėnesių.

Veiksniai, turintys įtakos UEBA diegimo sunkumui ir būsimam priemonės veiksmingumui:

  • Organizacijos architektūros, tinklo topologijos ir duomenų valdymo politikos sudėtingumas
  • Tinkamų duomenų prieinamumas tinkamu detalumo lygiu
  • Pardavėjo analizės algoritmų sudėtingumas, pavyzdžiui, statistinių modelių ir mašininio mokymosi naudojimas, palyginti su paprastais modeliais ir taisyklėmis.
  • Įtrauktas iš anksto sukonfigūruotos analizės kiekis, ty gamintojo supratimas, kokius duomenis reikia rinkti kiekvienai užduočiai atlikti ir kokie kintamieji bei atributai yra svarbiausi analizei atlikti.
  • Kaip lengva gamintojui automatiškai integruoti reikiamus duomenis.

    Pavyzdžiui:

    • Jei UEBA sprendimas naudoja SIEM sistemą kaip pagrindinį duomenų šaltinį, ar SIEM renka informaciją iš reikiamų duomenų šaltinių?
    • Ar reikiamus įvykių žurnalus ir organizacijos konteksto duomenis galima nukreipti į UEBA sprendimą?
    • Jei SIEM sistema dar nerenka ir nekontroliuoja UEBA sprendimui reikalingų duomenų šaltinių, kaip juos ten perkelti?

  • Kiek svarbus organizacijos taikymo scenarijus, kiek duomenų šaltinių jam reikia ir kiek ši užduotis sutampa su gamintojo kompetencijos sritimi.
  • Kokio laipsnio reikia organizacijos brandos ir įsitraukimo – pavyzdžiui, taisyklių ir modelių kūrimas, kūrimas ir tobulinimas; svorių priskyrimas kintamiesiems vertinimui; arba koreguoti rizikos vertinimo ribą.
  • Kiek keičiamo dydžio yra tiekėjo sprendimas ir jo architektūra, palyginti su dabartiniu organizacijos dydžiu ir būsimais jos reikalavimais.
  • Laikas kurti pagrindinius modelius, profilius ir pagrindines grupes. Gamintojai dažnai reikalauja mažiausiai 30 dienų (o kartais iki 90 dienų), kad galėtų atlikti analizę, kad galėtų apibrėžti „įprastas“ sąvokas. Istorinių duomenų įkėlimas vieną kartą gali pagreitinti modelio mokymą. Kai kuriuos įdomius atvejus galima nustatyti greičiau naudojant taisykles nei naudojant mašininį mokymąsi su neįtikėtinai mažu pradinių duomenų kiekiu.
  • Pastangų, reikalingų kuriant dinamišką grupavimą ir paskyros profiliavimą (paslauga/asmuo), lygis gali labai skirtis priklausomai nuo sprendimų.

Šaltinis: www.habr.com

Добавить комментарий