Å odien mÄs sniegsim Ä«su pÄrskatu par lietotÄju un entÄ«tiju uzvedÄ«bas analÄ«zes (UEBA) tirgu, pamatojoties uz jaunÄkajiem Gartnera pÄtÄ«jums. SaskaÅÄ ar Gartner Hype Cycle for Threat-Facing Technologies datiem UEBA tirgus ir āvilÅ”anÄs stadijasā apakÅ”Ä, kas norÄda uz tehnoloÄ£ijas briedumu. TaÄu situÄcijas paradokss slÄpjas vienlaicÄ«gÄ vispÄrÄjÄ investÄ«ciju pieaugumÄ UEBA tehnoloÄ£ijÄs un neatkarÄ«go UEBA risinÄjumu tirgus izzÅ«doÅ”ajÄ. Gartner prognozÄ, ka UEBA kļūs par daļu no saistÄ«to informÄcijas droŔības risinÄjumu funkcionalitÄtes. Termins "UEBA", visticamÄk, vairs netiks lietots un tiks aizstÄts ar citu saÄ«sinÄjumu, kas vÄrsts uz Å”aurÄku lietojuma jomu (piemÄram, "lietotÄja uzvedÄ«bas analÄ«ze"), lÄ«dzÄ«gu lietojuma jomu (piemÄram, "datu analÄ«ze") vai vienkÄrÅ”i kļūs par kÄdu citu. jauns buzzword (piemÄram, termins "mÄkslÄ«gais intelekts" [AI] izskatÄs interesants, lai gan mÅ«sdienu UEBA ražotÄjiem tam nav nekÄdas jÄgas).
Galvenos Gartnera pÄtÄ«juma rezultÄtus var apkopot Å”Ädi:
LietotÄju un uzÅÄmumu uzvedÄ«bas analÄ«zes tirgus briedumu apliecina fakts, ka Ŕīs tehnoloÄ£ijas izmanto vidÄja un liela uzÅÄmumu segments, lai atrisinÄtu vairÄkas biznesa problÄmas;
AžiotÄža ap UEBA pÄrdevÄjiem un termina āmÄkslÄ«gais intelektsā nepareizais lietojums apgrÅ«tina klientu izpratni par patieso atŔķirÄ«bu starp ražotÄju tehnoloÄ£ijÄm un risinÄjumu funkcionalitÄti, neveicot pilotprojektu;
Klienti atzÄ«mÄ, ka UEBA risinÄjumu ievieÅ”anas laiks un ikdienas lietoÅ”ana var bÅ«t darbietilpÄ«gÄka un laikietilpÄ«gÄka, nekÄ sola ražotÄjs, pat Åemot vÄrÄ tikai pamata draudu noteikÅ”anas modeļus. PielÄgotu vai malu lietoÅ”anas gadÄ«jumu pievienoÅ”ana var bÅ«t ÄrkÄrtÄ«gi sarežģīta, un tai ir nepiecieÅ”amas zinÄÅ”anas datu zinÄtnÄ un analÄ«zÄ.
StratÄÄ£iskÄ tirgus attÄ«stÄ«bas prognoze:
LÄ«dz 2021. gadam lietotÄju un entÄ«tiju uzvedÄ«bas analÄ«tikas (UEBA) sistÄmu tirgus pÄrstÄs pastÄvÄt kÄ atseviŔķa joma un pÄries uz citiem risinÄjumiem ar UEBA funkcionalitÄti;
LÄ«dz 2020. gadam 95% no visiem UEBA izvietojumiem bÅ«s daļa no plaÅ”Äkas droŔības platformas.
UEBA risinÄjumu definÄ«cija
UEBA risinÄjumi izmanto iebÅ«vÄto analÄ«zi, lai novÄrtÄtu lietotÄju un citu entÄ«tiju (piemÄram, saimniekdatoru, lietojumprogrammu, tÄ«kla trafika un datu krÄtuves) darbÄ«bu.
Tie atklÄj draudus un potenciÄlus incidentus, kas parasti atspoguļo anomÄlu darbÄ«bu salÄ«dzinÄjumÄ ar lietotÄju un entÄ«tiju standarta profilu un uzvedÄ«bu lÄ«dzÄ«gÄs grupÄs noteiktÄ laika periodÄ.
VisizplatÄ«tÄkie lietoÅ”anas gadÄ«jumi uzÅÄmumu segmentÄ ir draudu atklÄÅ”ana un reaÄ£ÄÅ”ana, kÄ arÄ« iekÅ”ÄjÄs informÄcijas (galvenokÄrt uzlauztas iekÅ”ÄjÄs personas; dažreiz iekÅ”Äjie uzbrucÄji) atklÄÅ”ana un reaÄ£ÄÅ”ana uz tiem.
UEBA ir kÄ lÄmumuUn funkcija, iebÅ«vÄts konkrÄtÄ rÄ«kÄ:
RisinÄjums ir ātÄ«roā UEBA platformu ražotÄji, tostarp pÄrdevÄji, kuri arÄ« pÄrdod SIEM risinÄjumus atseviŔķi. KoncentrÄts uz plaÅ”u biznesa problÄmu loku gan lietotÄju, gan entÄ«tiju uzvedÄ«bas analÄ«zÄ.
Embedded ā ražotÄji/nodaļas, kas savos risinÄjumos integrÄ UEBA funkcijas un tehnoloÄ£ijas. Parasti koncentrÄjas uz konkrÄtÄku biznesa problÄmu kopumu. Å ajÄ gadÄ«jumÄ UEBA izmanto, lai analizÄtu lietotÄju un/vai entÄ«tiju uzvedÄ«bu.
Gartner apskata UEBA pa trim asÄ«m, tostarp problÄmu risinÄtÄjus, analÄ«zi un datu avotus (skatiet attÄlu).
"TÄ«ras" UEBA platformas pret iebÅ«vÄto UEBA
Gartner uzskata ātÄ«ruā UEBA platformu par risinÄjumiem, kas:
atrisinÄt vairÄkas specifiskas problÄmas, piemÄram, priviliÄ£Ätu lietotÄju uzraudzÄ«bu vai datu izvadÄ«Å”anu Ärpus organizÄcijas, nevis tikai abstraktu āanomÄlu lietotÄju darbÄ«bu uzraudzÄ«buā;
ietver sarežģītas analÄ«tikas izmantoÅ”anu, kas obligÄti balstÄs uz pamata analÄ«tiskÄm pieejÄm;
nodroÅ”inÄt vairÄkas datu vÄkÅ”anas iespÄjas, tostarp gan iebÅ«vÄtos datu avotu mehÄnismus, gan žurnÄlu pÄrvaldÄ«bas rÄ«kus, Data Lake un/vai SIEM sistÄmas, bez obligÄtas nepiecieÅ”amÄ«bas infrastruktÅ«rÄ izvietot atseviŔķus aÄ£entus;
var iegÄdÄties un izvietot kÄ atseviŔķus risinÄjumus, nevis iekļaut tajos
citu produktu sastÄvs.
TÄlÄk esoÅ”ajÄ tabulÄ ir salÄ«dzinÄtas abas pieejas.
1. tabula. āTÄ«riā UEBA risinÄjumi salÄ«dzinÄjumÄ ar iebÅ«vÄtajiem
kategorija
"TÄ«ras" UEBA platformas
Citi risinÄjumi ar iebÅ«vÄtu UEBA
ProblÄma, kas jÄatrisina
LietotÄju uzvedÄ«bas un entÄ«tiju analÄ«ze.
Datu trÅ«kums var ierobežot UEBA analizÄt tikai lietotÄju vai vienÄ«bu uzvedÄ«bu.
ProblÄma, kas jÄatrisina
Kalpo dažÄdu problÄmu risinÄÅ”anai
SpecializÄjas ierobežotÄ uzdevumu komplektÄ
Analytics
AnomÄliju noteikÅ”ana, izmantojot dažÄdas analÄ«tiskÄs metodes ā galvenokÄrt izmantojot statistikas modeļus un maŔīnmÄcÄ«Å”anos, kÄ arÄ« noteikumus un parakstus. NÄk ar iebÅ«vÄtu analÄ«zi, lai izveidotu un salÄ«dzinÄtu lietotÄju un entÄ«tiju darbÄ«bas ar viÅu un kolÄÄ£u profiliem.
LÄ«dzÄ«gi kÄ tÄ«rÄ UEBA, taÄu analÄ«zi var ierobežot tikai ar lietotÄjiem un/vai entÄ«tijÄm.
Analytics
Uzlabotas analÄ«tiskÄs iespÄjas, kuras neierobežo tikai noteikumi. PiemÄram, klasterizÄcijas algoritms ar entÄ«tiju dinamisku grupÄÅ”anu.
LÄ«dzÄ«gi kÄ ātÄ«rajÄā UEBA, taÄu vienÄ«bu grupÄÅ”anu dažos iegultos draudu modeļos var mainÄ«t tikai manuÄli.
Analytics
LietotÄju un citu vienÄ«bu darbÄ«bas un uzvedÄ«bas korelÄcija (piemÄram, izmantojot Bajesa tÄ«klus) un individuÄlÄs riska uzvedÄ«bas apkopoÅ”ana, lai identificÄtu anomÄlu darbÄ«bu.
LÄ«dzÄ«gi kÄ tÄ«rÄ UEBA, taÄu analÄ«zi var ierobežot tikai ar lietotÄjiem un/vai entÄ«tijÄm.
Datu avoti
LietotÄju un entÄ«tiju notikumu saÅemÅ”ana no datu avotiem tieÅ”i, izmantojot iebÅ«vÄtos mehÄnismus vai esoÅ”os datu krÄtuvjus, piemÄram, SIEM vai Data Lake.
Datu iegÅ«Å”anas mehÄnismi parasti ir tikai tieÅ”i un ietekmÄ tikai lietotÄjus un/vai citas vienÄ«bas. Neizmantojiet žurnÄlu pÄrvaldÄ«bas rÄ«kus / SIEM / Data Lake.
Datu avoti
RisinÄjumam nevajadzÄtu paļauties tikai uz tÄ«kla trafiku kÄ galveno datu avotu, kÄ arÄ« tam nevajadzÄtu paļauties tikai uz saviem aÄ£entiem telemetrijas datu vÄkÅ”anai.
RisinÄjums var koncentrÄties tikai uz tÄ«kla trafiku (piemÄram, NTA - tÄ«kla trafika analÄ«ze) un/vai izmantot savus aÄ£entus gala ierÄ«cÄs (piemÄram, darbinieku uzraudzÄ«bas utilÄ«tas).
Datu avoti
LietotÄja/vienÄ«bas datu piesÄtinÄÅ”ana ar kontekstu. Atbalsta strukturÄtu notikumu vÄkÅ”anu reÄllaikÄ, kÄ arÄ« strukturÄtu/nestrukturÄtu saskaÅotu datu apkopoÅ”anu no IT direktorijiem ā piemÄram, Active Directory (AD) vai citiem maŔīnlasÄmiem informÄcijas resursiem (piemÄram, HR datubÄzÄm).
LÄ«dzÄ«gi kÄ tÄ«rÄ UEBA, taÄu kontekstuÄlo datu apjoms katrÄ gadÄ«jumÄ var atŔķirties. AD un LDAP ir visizplatÄ«tÄkie kontekstuÄlie datu krÄtuves, ko izmanto iegultie UEBA risinÄjumi.
Pieejamība
NodroÅ”ina uzskaitÄ«tÄs funkcijas kÄ atseviŔķu produktu.
Nav iespÄjams iegÄdÄties iebÅ«vÄto UEBA funkcionalitÄti, neiegÄdÄjoties ÄrÄju risinÄjumu, kurÄ tÄ ir iebÅ«vÄta.
Avots: Gartner (2019. gada maijs)
TÄdÄjÄdi, lai atrisinÄtu noteiktas problÄmas, iegultÄ UEBA var izmantot pamata UEBA analÄ«zi (piemÄram, vienkÄrÅ”u bezuzraudzÄ«tu maŔīnmÄcÄ«Å”anos), taÄu tajÄ paÅ”Ä laikÄ, pateicoties piekļuvei tieÅ”i nepiecieÅ”amajiem datiem, tÄ kopumÄ var bÅ«t efektÄ«vÄka nekÄ ātÄ«raā UEBA risinÄjums. TajÄ paÅ”Ä laikÄ ātÄ«rÄsā UEBA platformas, kÄ paredzÄts, piedÄvÄ sarežģītÄku analÄ«zi kÄ galveno zinÄtÄ«bu, salÄ«dzinot ar iebÅ«vÄto UEBA rÄ«ku. Å ie rezultÄti ir apkopoti 2. tabulÄ.
2. tabula. ātÄ«rÄsā un iebÅ«vÄtÄs UEBA atŔķirÄ«bu rezultÄts
kategorija
"TÄ«ras" UEBA platformas
Citi risinÄjumi ar iebÅ«vÄtu UEBA
Analytics
PiemÄrojamÄ«ba dažÄdu biznesa problÄmu risinÄÅ”anai nozÄ«mÄ universÄlÄku UEBA funkciju kopumu, uzsvaru liekot uz sarežģītÄkiem analÄ«tikas un maŔīnmÄcÄ«Å”anÄs modeļiem.
KoncentrÄÅ”anÄs uz mazÄku biznesa problÄmu kopumu nozÄ«mÄ Ä¼oti specializÄtus lÄ«dzekļus, kas koncentrÄjas uz lietojumprogrammÄm specifiskiem modeļiem ar vienkÄrÅ”Äku loÄ£iku.
Analytics
AnalÄ«tiskÄ modeļa pielÄgoÅ”ana ir nepiecieÅ”ama katram lietojumprogrammas scenÄrijam.
AnalÄ«tiskie modeļi ir iepriekÅ” konfigurÄti rÄ«kam, kurÄ ir iebÅ«vÄta UEBA. RÄ«ks ar iebÅ«vÄtu UEBA parasti sasniedz ÄtrÄkus rezultÄtus noteiktu biznesa problÄmu risinÄÅ”anÄ.
Datu avoti
Piekļuve datu avotiem no visiem korporatÄ«vÄs infrastruktÅ«ras stÅ«riem.
MazÄk datu avotu, ko parasti ierobežo aÄ£entu pieejamÄ«ba tiem vai pats rÄ«ks ar UEBA funkcijÄm.
Datu avoti
KatrÄ Å¾urnÄlÄ ietverto informÄciju var ierobežot datu avots, un tÄ var nesaturÄt visus centralizÄtajam UEBA rÄ«kam nepiecieÅ”amos datus.
AÄ£enta savÄkto un UEBA pÄrsÅ«tÄ«to neapstrÄdÄto datu apjomu un detalizÄciju var Ä«paÅ”i konfigurÄt.
Arhitektūra
Tas ir pilnÄ«gs UEBA produkts organizÄcijai. IntegrÄcija ir vienkÄrÅ”Äka, izmantojot SIEM sistÄmas vai Data Lake iespÄjas.
NepiecieÅ”ams atseviŔķs UEBA funkciju komplekts katram risinÄjumam, kuram ir iebÅ«vÄta UEBA. Iegultiem UEBA risinÄjumiem bieži ir jÄinstalÄ aÄ£enti un jÄpÄrvalda dati.
IntegrÄcija
UEBA risinÄjuma manuÄla integrÄcija ar citiem rÄ«kiem katrÄ gadÄ«jumÄ. Ä»auj organizÄcijai izveidot savu tehnoloÄ£iju kopumu, pamatojoties uz pieeju ālabÄkais starp analogiemā.
GalvenÄs UEBA funkciju kopas ražotÄjs jau ir iekļÄvis paÅ”Ä rÄ«kÄ. UEBA modulis ir iebÅ«vÄts un to nevar noÅemt, tÄpÄc klienti nevar to aizstÄt ar kaut ko savu.
Avots: Gartner (2019. gada maijs)
UEBA kÄ funkcija
UEBA kļūst par visaptveroÅ”u kiberdroŔības risinÄjumu iezÄ«mi, kas var gÅ«t labumu no papildu analÄ«tikas. UEBA ir Å”o risinÄjumu pamatÄ, nodroÅ”inot jaudÄ«gu uzlabotas analÄ«tikas slÄni, pamatojoties uz lietotÄju un/vai subjektu uzvedÄ«bas modeļiem.
Å obrÄ«d tirgÅ« iebÅ«vÄtÄ UEBA funkcionalitÄte ir ieviesta Å”Ädos risinÄjumos, kas sagrupÄti pÄc tehnoloÄ£iskÄ apjoma:
Uz datiem vÄrsts audits un aizsardzÄ«ba, ir piegÄdÄtÄji, kuru mÄrÄ·is ir uzlabot strukturÄtu un nestrukturÄtu datu krÄtuves (pazÄ«stams arÄ« kÄ DCAP) droŔību.
Å ajÄ pÄrdevÄju kategorijÄ Gartner cita starpÄ atzÄ«mÄ Varonis kiberdroŔības platforma, kas piedÄvÄ lietotÄju uzvedÄ«bas analÄ«zi, lai pÄrraudzÄ«tu izmaiÅas nestrukturÄto datu atļaujÄs, piekļuvÄ un lietoÅ”anÄ dažÄdos informÄcijas krÄtuvÄs.
CASB sistÄmas, kas piedÄvÄ aizsardzÄ«bu pret dažÄdiem draudiem mÄkoÅa bÄzes SaaS lietojumprogrammÄs, bloÄ·Äjot piekļuvi mÄkoÅpakalpojumiem nevÄlamÄm ierÄ«cÄm, lietotÄjiem un lietojumprogrammu versijÄm, izmantojot adaptÄ«vo piekļuves kontroles sistÄmu.
Visi tirgÅ« vadoÅ”ie CASB risinÄjumi ietver UEBA iespÄjas.
DLP risinÄjumi ā vÄrsta uz kritisku datu pÄrsÅ«tÄ«Å”anas Ärpus organizÄcijas vai tÄs ļaunprÄtÄ«gas izmantoÅ”anas atklÄÅ”anu.
DLP sasniegumi lielÄ mÄrÄ ir balstÄ«ti uz satura izpratni, mazÄk koncentrÄjoties uz konteksta, piemÄram, lietotÄja, lietojumprogrammas, atraÅ”anÄs vietas, laika, notikumu Ätruma un citu ÄrÄjo faktoru izpratni. Lai DLP produkti bÅ«tu efektÄ«vi, tiem jÄatpazÄ«st gan saturs, gan konteksts. TÄpÄc daudzi ražotÄji savos risinÄjumos sÄk integrÄt UEBA funkcionalitÄti.
Darbinieku uzraudzÄ«ba ir iespÄja ierakstÄ«t un atkÄrtot darbinieku darbÄ«bas, parasti datu formÄtÄ, kas piemÄrots tiesvedÄ«bai (ja nepiecieÅ”ams).
PastÄvÄ«gi pÄrraugot lietotÄjus, bieži tiek Ä£enerÄts milzÄ«gs datu apjoms, kam nepiecieÅ”ama manuÄla filtrÄÅ”ana un cilvÄka analÄ«ze. TÄpÄc UEBA tiek izmantota uzraudzÄ«bas sistÄmÄs, lai uzlabotu Å”o risinÄjumu veiktspÄju un atklÄtu tikai augsta riska incidentus.
Galapunkta droŔība ā Galapunktu noteikÅ”anas un reaÄ£ÄÅ”anas (EDR) risinÄjumi un galapunktu aizsardzÄ«bas platformas (EPP) nodroÅ”ina jaudÄ«gu instrumentu un operÄtÄjsistÄmas telemetriju
gala ierīces.
Å Ädu ar lietotÄju saistÄ«to telemetriju var analizÄt, lai nodroÅ”inÄtu iebÅ«vÄtu UEBA funkcionalitÄti.
TieÅ”saistes krÄpÅ”ana - TieÅ”saistes krÄpÅ”anas atklÄÅ”anas risinÄjumi atklÄj novirzes, kas norÄda uz klienta konta uzlauÅ”anu viltoÅ”anas, ļaunprÄtÄ«gas programmatÅ«ras vai nedroÅ”u savienojumu izmantoÅ”anas/pÄrlÅ«kprogrammas trafika pÄrtverÅ”anas dÄļ.
LielÄkÄ daļa krÄpÅ”anas risinÄjumu izmanto UEBA bÅ«tÄ«bu, darÄ«jumu analÄ«zi un ierÄ«Äu mÄrÄ«jumus, un uzlabotas sistÄmas tos papildina, saskaÅojot attiecÄ«bas identitÄtes datu bÄzÄ.
IAM un piekļuves kontrole ā Gartner atzÄ«mÄ piekļuves kontroles sistÄmu pÄrdevÄju evolucionÄru tendenci integrÄties ar vienkÄrÅ”iem pÄrdevÄjiem un savos produktos iestrÄdÄt dažas UEBA funkcionalitÄtes.
IAM un identitÄtes pÄrvaldÄ«bas un administrÄÅ”anas (IGA) sistÄmas izmantojiet UEBA, lai aptvertu uzvedÄ«bas un identitÄtes analÄ«zes scenÄrijus, piemÄram, anomÄliju noteikÅ”anu, lÄ«dzÄ«gu entÄ«tiju dinamiskÄs grupÄÅ”anas analÄ«zi, pieteikÅ”anÄs analÄ«zi un piekļuves politikas analÄ«zi.
IAM un priviliÄ£ÄtÄs piekļuves pÄrvaldÄ«ba (PAM) ā Å emot vÄrÄ administratÄ«vo kontu izmantoÅ”anas uzraudzÄ«bas lomu, PAM risinÄjumiem ir telemetrija, kas parÄda, kÄ, kÄpÄc, kad un kur tika izmantoti administratÄ«vie konti. Å os datus var analizÄt, izmantojot UEBA iebÅ«vÄto funkcionalitÄti, lai noteiktu administratoru anomÄlu darbÄ«bu vai ļaunprÄtÄ«gu nolÅ«ku.
RažotÄju NTA (tÄ«kla trafika analÄ«ze) ā izmantojiet maŔīnmÄcÄ«bas, uzlabotas analÄ«tikas un uz noteikumiem balstÄ«tas noteikÅ”anas kombinÄciju, lai identificÄtu aizdomÄ«gas darbÄ«bas korporatÄ«vajos tÄ«klos.
NTA rÄ«ki nepÄrtraukti analizÄ avota trafika un/vai plÅ«smas ierakstus (piemÄram, NetFlow), lai izveidotu modeļus, kas atspoguļo normÄlu tÄ«kla darbÄ«bu, galvenokÄrt koncentrÄjoties uz entÄ«tiju uzvedÄ«bas analÄ«zi.
siem ā Daudziem SIEM pÄrdevÄjiem tagad ir uzlabota datu analÄ«zes funkcionalitÄte, kas iebÅ«vÄta SIEM vai kÄ atseviŔķs UEBA modulis. VisÄ 2018. gadÄ un lÄ«dz Å”im 2019. gadÄ ir nepÄrtraukti izplÅ«duÅ”as robežas starp SIEM un UEBA funkcionalitÄti, kÄ minÄts rakstÄ. "TehnoloÄ£iju ieskats mÅ«sdienu SIEM". SIEM sistÄmas ir kļuvuÅ”as labÄkas, strÄdÄjot ar analÄ«zi un piedÄvÄjot sarežģītÄkus lietojumprogrammu scenÄrijus.
UEBA pieteikÅ”anÄs scenÄriji
UEBA risinÄjumi var atrisinÄt plaÅ”u problÄmu loku. TomÄr Gartner klienti piekrÄ«t, ka primÄrais lietoÅ”anas gadÄ«jums ietver dažÄdu kategoriju apdraudÄjumu noteikÅ”anu, ko panÄk, parÄdot un analizÄjot biežas korelÄcijas starp lietotÄja uzvedÄ«bu un citÄm entÄ«tijÄm:
nesankcionÄta piekļuve datiem un to pÄrvietoÅ”ana;
priviliÄ£Ätu lietotÄju aizdomÄ«ga rÄ«cÄ«ba, darbinieku ļaunprÄtÄ«ga vai neatļauta darbÄ«ba;
nestandarta piekļuve un mÄkoÅresursu izmantoÅ”ana;
uc
Ir arÄ« vairÄki netipiski ar kiberdroŔību nesaistÄ«ti izmantoÅ”anas gadÄ«jumi, piemÄram, krÄpÅ”ana vai darbinieku uzraudzÄ«ba, par kuriem UEBA var bÅ«t pamatota. TomÄr tiem bieži ir nepiecieÅ”ami datu avoti Ärpus IT un informÄcijas droŔības vai Ä«paÅ”i analÄ«tiski modeļi ar dziļu izpratni par Å”o jomu. TÄlÄk ir aprakstÄ«ti pieci galvenie scenÄriji un lietojumprogrammas, par kurÄm vienojas gan UEBA ražotÄji, gan viÅu klienti.
"Ä»aunprÄtÄ«gs iekÅ”Äjais"
UEBA risinÄjumu nodroÅ”inÄtÄji, kas aptver Å”o scenÄriju, uzrauga tikai darbiniekus un uzticamus darbuzÅÄmÄjus, lai atklÄtu neparastu, āsliktuā vai ļaunprÄtÄ«gu rÄ«cÄ«bu. PÄrdevÄji Å”ajÄ kompetences jomÄ neuzrauga un neanalizÄ pakalpojumu kontu vai citu personu, kas nav cilvÄki, darbÄ«bu. LielÄkoties Ŕī iemesla dÄļ viÅi nav vÄrsti uz progresÄ«vu draudu atklÄÅ”anu, kad hakeri pÄrÅem esoÅ”os kontus. TÄ vietÄ to mÄrÄ·is ir identificÄt darbiniekus, kas iesaistÄ«ti kaitÄ«gÄs darbÄ«bÄs.
BÅ«tÄ«bÄ jÄdziens āļaunprÄtÄ«ga iekÅ”ÄjÄ informÄcijaā izriet no uzticamiem lietotÄjiem ar ļaunprÄtÄ«gu nolÅ«ku, kuri meklÄ veidus, kÄ nodarÄ«t kaitÄjumu savam darba devÄjam. TÄ kÄ Ä¼aunprÄtÄ«gu nolÅ«ku ir grÅ«ti izmÄrÄ«t, labÄkie Ŕīs kategorijas piegÄdÄtÄji analizÄ kontekstuÄlÄs uzvedÄ«bas datus, kas nav viegli pieejami audita žurnÄlos.
RisinÄjumu nodroÅ”inÄtÄji Å”ajÄ vietÄ arÄ« optimÄli pievieno un analizÄ nestrukturÄtus datus, piemÄram, e-pasta saturu, produktivitÄtes pÄrskatus vai sociÄlo mediju informÄciju, lai nodroÅ”inÄtu uzvedÄ«bas kontekstu.
KompromitÄti iekÅ”ÄjÄs informÄcijas un uzmÄcÄ«gi draudi
IzaicinÄjums ir Ätri atklÄt un analizÄt āsliktuā uzvedÄ«bu, tiklÄ«dz uzbrucÄjs ir ieguvis piekļuvi organizÄcijai un sÄk pÄrvietoties IT infrastruktÅ«rÄ.
PÄrliecinoÅ”us draudus (APT), piemÄram, nezinÄmus vai vÄl pilnÄ«bÄ neizprotamus draudus, ir ÄrkÄrtÄ«gi grÅ«ti noteikt, un tie bieži slÄpjas aiz likumÄ«gÄm lietotÄju darbÄ«bÄm vai pakalpojumu kontiem. Å Ädiem draudiem parasti ir sarežģīts darbÄ«bas modelis (skat., piemÄram, rakstu ā KibernogalinÄÅ”anas Ä·Ädes risinÄÅ”ana") vai viÅu uzvedÄ«ba vÄl nav novÄrtÄta kÄ kaitÄ«ga. Tas apgrÅ«tina to noteikÅ”anu, izmantojot vienkÄrÅ”u analÄ«zi (piemÄram, saskaÅoÅ”anu pÄc modeļiem, sliekÅ”Åiem vai korelÄcijas noteikumiem).
TomÄr daudzi no Å”iem uzmÄcÄ«gajiem draudiem izraisa nestandarta uzvedÄ«bu, bieži vien iesaistot nenojauÅ”us lietotÄjus vai vienÄ«bas (pazÄ«stamas arÄ« kÄ apdraudÄtas iekÅ”ÄjÄs personas). UEBA metodes piedÄvÄ vairÄkas interesantas iespÄjas atklÄt Å”Ädus draudus, uzlabot signÄla un trokÅ”Åa attiecÄ«bu, konsolidÄt un samazinÄt paziÅojumu apjomu, pieŔķirt prioritÄti atlikuÅ”ajiem brÄ«dinÄjumiem un veicinÄt efektÄ«vu incidentu reaÄ£ÄÅ”anu un izmeklÄÅ”anu.
UEBA pÄrdevÄjiem, kas mÄrÄ·Äti uz Å”o problÄmu jomu, bieži ir divvirzienu integrÄcija ar organizÄcijas SIEM sistÄmÄm.
Datu eksfiltrÄcija
Uzdevums Å”ajÄ gadÄ«jumÄ ir atklÄt faktu, ka dati tiek pÄrsÅ«tÄ«ti Ärpus organizÄcijas.
PÄrdevÄji, kas koncentrÄjas uz Å”o izaicinÄjumu, parasti izmanto DLP vai DAG iespÄjas, izmantojot anomÄliju noteikÅ”anu un uzlabotu analÄ«zi, tÄdÄjÄdi uzlabojot signÄla un trokÅ”Åa attiecÄ«bu, konsolidÄjot paziÅojumu apjomu un pieŔķirot prioritÄti atlikuÅ”ajiem aktivizÄtÄjiem. Papildu kontekstam pÄrdevÄji parasti vairÄk paļaujas uz tÄ«kla trafiku (piemÄram, tÄ«mekļa starpniekserveriem) un galapunktu datiem, jo āāÅ”o datu avotu analÄ«ze var palÄ«dzÄt datu eksfiltrÄcijas izmeklÄÅ”anÄ.
Datu eksfiltrÄcijas noteikÅ”ana tiek izmantota, lai notvertu iekÅ”Äjos un ÄrÄjos hakerus, kas apdraud organizÄciju.
PriviliÄ£Ätas piekļuves identificÄÅ”ana un pÄrvaldÄ«ba
NeatkarÄ«go UEBA risinÄjumu ražotÄji Å”ajÄ kompetences jomÄ novÄro un analizÄ lietotÄju uzvedÄ«bu uz jau izveidotas tiesÄ«bu sistÄmas fona, lai identificÄtu pÄrmÄrÄ«gas privilÄÄ£ijas vai anomÄlu piekļuvi. Tas attiecas uz visu veidu lietotÄjiem un kontiem, tostarp priviliÄ£Ätiem un pakalpojumu kontiem. OrganizÄcijas arÄ« izmanto UEBA, lai atbrÄ«votos no neaktÄ«viem kontiem un lietotÄju privilÄÄ£ijÄm, kas ir augstÄkas nekÄ nepiecieÅ”ams.
StarpgadÄ«jumu prioritÄÅ”u noteikÅ”ana
Å Ä« uzdevuma mÄrÄ·is ir noteikt prioritÄti paziÅojumiem, ko Ä£enerÄ risinÄjumi to tehnoloÄ£iju steksÄ, lai saprastu, kuri incidenti vai iespÄjamie incidenti ir jÄrisina vispirms. UEBA metodoloÄ£ijas un rÄ«ki ir noderÄ«gi, lai identificÄtu incidentus, kas ir Ä«paÅ”i anomÄli vai Ä«paÅ”i bÄ«stami konkrÄtai organizÄcijai. Å ajÄ gadÄ«jumÄ UEBA mehÄnisms izmanto ne tikai darbÄ«bas bÄzes un draudu modeļus, bet arÄ« piesÄtina datus ar informÄciju par uzÅÄmuma organizatorisko struktÅ«ru (piemÄram, kritiskajiem resursiem vai lomÄm un darbinieku piekļuves lÄ«meÅiem).
UEBA risinÄjumu ievieÅ”anas problÄmas
UEBA risinÄjumu tirgus sÄpe ir to augstÄ cena, sarežģīta ievieÅ”ana, uzturÄÅ”ana un lietoÅ”ana. KamÄr uzÅÄmumi cÄ«nÄs ar dažÄdu iekÅ”Äjo portÄlu skaitu, viÅi iegÅ«st citu konsoli. Laika un resursu ieguldÄ«juma apjoms jaunÄ rÄ«kÄ ir atkarÄ«gs no veicamajiem uzdevumiem un to risinÄÅ”anai nepiecieÅ”amajiem analÄ«tikas veidiem, un visbiežÄk tie prasa lielus ieguldÄ«jumus.
PretÄji tam, ko apgalvo daudzi ražotÄji, UEBA nav āiestatiet un aizmirstietā rÄ«ks, kas pÄc tam var darboties nepÄrtraukti vairÄkas dienas.
Gartner klienti, piemÄram, atzÄ«mÄ, ka UEBA iniciatÄ«vas uzsÄkÅ”ana no nulles aizÅem no 3 lÄ«dz 6 mÄneÅ”iem, lai iegÅ«tu pirmos rezultÄtus to problÄmu risinÄÅ”anÄ, kurÄm Å”is risinÄjums tika ieviests. SarežģītÄkiem uzdevumiem, piemÄram, iekÅ”Äjo apdraudÄjumu identificÄÅ”anai organizÄcijÄ, periods palielinÄs lÄ«dz 18 mÄneÅ”iem.
Faktori, kas ietekmÄ UEBA ievieÅ”anas grÅ«tÄ«bas un rÄ«ka turpmÄko efektivitÄti:
OrganizÄcijas arhitektÅ«ras, tÄ«kla topoloÄ£ijas un datu pÄrvaldÄ«bas politiku sarežģītÄ«ba
Pareizo datu pieejamÄ«ba pareizajÄ detalizÄcijas lÄ«menÄ«
PÄrdevÄja analÄ«tisko algoritmu sarežģītÄ«ba, piemÄram, statistikas modeļu izmantoÅ”ana un maŔīnmÄcÄ«Å”anÄs pret vienkÄrÅ”iem modeļiem un noteikumiem.
Iekļauts iepriekÅ” konfigurÄtÄs analÄ«zes apjoms, tas ir, ražotÄja izpratne par to, kÄdi dati ir jÄapkopo katram uzdevumam un kÄdi mainÄ«gie un atribÅ«ti ir vissvarÄ«gÄkie analÄ«zes veikÅ”anai.
Cik viegli ražotÄjam ir automÄtiski integrÄties ar nepiecieÅ”amajiem datiem.
PiemÄram:
Ja UEBA risinÄjums izmanto SIEM sistÄmu kÄ galveno datu avotu, vai SIEM apkopo informÄciju no nepiecieÅ”amajiem datu avotiem?
Vai nepiecieÅ”amos notikumu žurnÄlus un organizatoriskÄ konteksta datus var novirzÄ«t uz UEBA risinÄjumu?
Ja SIEM sistÄma vÄl neapkopo un nekontrolÄ UEBA risinÄjumam nepiecieÅ”amos datu avotus, tad kÄ tos tur pÄrsÅ«tÄ«t?
Cik svarÄ«gs organizÄcijai ir pieteikuma scenÄrijs, cik datu avotu tas prasa un cik lielÄ mÄrÄ Å”is uzdevums pÄrklÄjas ar ražotÄja kompetences jomu.
KÄda organizÄcijas brieduma un iesaistÄ«Å”anÄs pakÄpe ir nepiecieÅ”ama ā piemÄram, noteikumu un modeļu izveide, izstrÄde un pilnveidoÅ”ana; mainÄ«gajiem lielumu pieŔķirÅ”ana novÄrtÄÅ”anai; vai pielÄgot riska novÄrtÄjuma slieksni.
Cik mÄrogojams ir pÄrdevÄja risinÄjums un tÄ arhitektÅ«ra, salÄ«dzinot ar paÅ”reizÄjo organizÄcijas lielumu un tÄs nÄkotnes prasÄ«bÄm.
Laiks izveidot pamata modeļus, profilus un galvenÄs grupas. RažotÄjiem bieži ir vajadzÄ«gas vismaz 30 dienas (un dažreiz pat 90 dienas), lai veiktu analÄ«zi, pirms viÅi var definÄt "parastos" jÄdzienus. VienreizÄja vÄsturisko datu ielÄde var paÄtrinÄt modeļu apmÄcÄ«bu. Dažus interesantos gadÄ«jumus var identificÄt ÄtrÄk, izmantojot noteikumus, nekÄ izmantojot maŔīnmÄcÄ«Å”anos ar neticami mazu sÄkotnÄjo datu apjomu.
PiepÅ«les lÄ«menis, kas nepiecieÅ”ams, lai izveidotu dinamisku grupÄÅ”anu un kontu profilÄÅ”anu (pakalpojums/persona), dažÄdos risinÄjumos var ievÄrojami atŔķirties.