Illum se nipprovdu ħarsa ġenerali fil-qosor tas-suq tal-Analiżi tal-Imġieba tal-Utenti u tal-Entitajiet (UEBA) ibbażat fuq l-aħħar riċerka Gartner. Is-suq UEBA jinsab fil-qiegħ tal-"istadju tad-diżillużjoni" skont Gartner Hype Cycle għal Teknoloġiji li jiffaċċjaw Theddida, li jindika l-maturità tat-teknoloġija. Iżda l-paradoss tas-sitwazzjoni jinsab fit-tkabbir ġenerali simultanju ta 'investimenti fit-teknoloġiji UEBA u s-suq li jisparixxi ta' soluzzjonijiet UEBA indipendenti. Gartner tbassar li l-UEBA se ssir parti mill-funzjonalità tas-soluzzjonijiet relatati tas-sigurtà tal-informazzjoni. It-terminu "UEBA" x'aktarx ma jibqax jintuża u jiġi sostitwit b'akronimu ieħor iffukat fuq żona ta' applikazzjoni dejqa (eż., "analitika tal-imġiba tal-utent"), żona ta' applikazzjoni simili (eż. "analitika tad-dejta"), jew sempliċiment issir xi ftit. buzzword ġdid (pereżempju, it-terminu "intelliġenza artifiċjali" [AI] jidher interessanti, għalkemm ma jagħmel l-ebda sens għall-manifatturi moderni tal-UEBA).
Is-sejbiet ewlenin mill-istudju Gartner jistgħu jinġabru fil-qosor kif ġej:
Il-maturità tas-suq għall-analiżi tal-imġieba tal-utenti u l-entitajiet hija kkonfermata mill-fatt li dawn it-teknoloġiji jintużaw mis-segment korporattiv medju u kbir biex isolvu numru ta 'problemi tan-negozju;
Il-kapaċitajiet analitiċi tal-UEBA huma mibnija f'firxa wiesgħa ta' teknoloġiji tas-sigurtà tal-informazzjoni relatati, bħal sensara tas-sigurtà tal-aċċess għall-cloud (CASBs), sistemi SIEM ta' governanza u amministrazzjoni tal-identità (IGA);
Il-hype madwar il-bejjiegħa UEBA u l-użu ħażin tat-terminu "intelliġenza artifiċjali" jagħmilha diffiċli għall-klijenti biex jifhmu d-differenza reali bejn it-teknoloġiji tal-manifatturi u l-funzjonalità tas-soluzzjonijiet mingħajr ma jwettqu proġett pilota;
Il-klijenti jinnotaw li l-ħin tal-implimentazzjoni u l-użu ta 'kuljum tas-soluzzjonijiet UEBA jistgħu jkunu aktar xogħol intensiv u jieħdu ħafna ħin milli jwiegħed il-manifattur, anke meta jitqiesu biss mudelli bażiċi ta' skoperta ta 'theddid. Iż-żieda ta' każijiet ta' użu tad-dwana jew tat-tarf tista' tkun estremament diffiċli u teħtieġ għarfien espert fix-xjenza u l-analitika tad-dejta.
Tbassir strateġiku għall-iżvilupp tas-suq:
Sal-2021, is-suq għas-sistemi ta' analitiċi tal-imġiba tal-utenti u tal-entitajiet (UEBA) se ma jibqax jeżisti bħala qasam separat u se jmur lejn soluzzjonijiet oħra b'funzjonalità UEBA;
Sal-2020, 95% tal-iskjeramenti kollha tal-UEBA se jkunu parti minn pjattaforma ta' sigurtà usa'.
Definizzjoni ta' soluzzjonijiet UEBA
Is-soluzzjonijiet UEBA jużaw analitika integrata biex jevalwaw l-attività tal-utenti u entitajiet oħra (bħal hosts, applikazzjonijiet, traffiku tan-netwerk u mħażen tad-dejta).
Huma jiskopru theddid u inċidenti potenzjali, li tipikament jirrappreżentaw attività anomala meta mqabbla mal-profil standard u l-imġiba ta 'utenti u entitajiet fi gruppi simili fuq perjodu ta' żmien.
L-aktar każijiet ta’ użu komuni fis-segment tal-intrapriża huma l-iskoperta u r-rispons tat-theddid, kif ukoll l-iskoperta u r-rispons għal theddid minn ġewwa (l-aktar persuni minn ġewwa kompromessi; xi drabi attakkanti interni).
UEBA hija simili deċiżjoniU funzjoni, mibnija f'għodda speċifika:
Is-soluzzjoni hija manifatturi ta 'pjattaformi UEBA "puri", inklużi bejjiegħa li wkoll ibiegħu soluzzjonijiet SIEM separatament. Iffukat fuq firxa wiesgħa ta 'problemi tan-negozju fl-analiżi tal-imġieba kemm tal-utenti kif ukoll tal-entitajiet.
Inkorporat – Manifatturi/diviżjonijiet li jintegraw funzjonijiet u teknoloġiji UEBA fis-soluzzjonijiet tagħhom. Tipikament iffukat fuq sett aktar speċifiku ta 'problemi tan-negozju. F'dan il-każ, UEBA tintuża biex tanalizza l-imġiba tal-utenti u/jew entitajiet.
Gartner jara l-UEBA tul tliet assi, inklużi dawk li jsolvu l-problemi, l-analiżi, u s-sorsi tad-dejta (ara l-figura).
Pjattaformi UEBA "puri" versus UEBA integrata
Gartner iqis pjattaforma UEBA "pura" bħala soluzzjonijiet li:
issolvi diversi problemi speċifiċi, bħall-monitoraġġ ta 'utenti privileġġjati jew il-ħruġ ta' dejta barra l-organizzazzjoni, u mhux biss il-"monitoraġġ ta 'attività anomala tal-utent" astratt;
jinvolvu l-użu ta’ analitika kumplessa, neċessarjament ibbażata fuq approċċi analitiċi bażiċi;
jipprovdu diversi għażliet għall-ġbir tad-dejta, inklużi kemm mekkaniżmi ta’ sors tad-dejta integrati kif ukoll minn għodod ta’ ġestjoni ta’ log, Data lake u/jew sistemi SIEM, mingħajr il-ħtieġa obbligatorja li jiġu skjerati aġenti separati fl-infrastruttura;
jistgħu jinxtraw u jiġu skjerati bħala soluzzjonijiet waħedhom aktar milli inklużi fihom
kompożizzjoni ta' prodotti oħra.
It-tabella hawn taħt tqabbel iż-żewġ approċċi.
Tabella 1. Soluzzjonijiet UEBA "puri" vs dawk integrati
Kategorija
Pjattaformi UEBA "puri".
Soluzzjonijiet oħra b'UEBA integrata
Problema li trid tissolva
Analiżi tal-imġiba tal-utent u entitajiet.
Nuqqas ta' dejta jista' jillimita lill-UEBA biex tanalizza l-imġieba ta' utenti jew entitajiet biss.
Problema li trid tissolva
Iservi biex issolvi firxa wiesgħa ta 'problemi
Jispeċjalizza f'sett limitat ta 'kompiti
Analytics
Sejbien ta' anomaliji bl-użu ta' diversi metodi analitiċi - prinċipalment permezz ta' mudelli statistiċi u tagħlim tal-magni, flimkien ma' regoli u firem. Jiġi b'analitika integrata biex toħloq u tqabbel l-attività tal-utent u tal-entità mal-profili tagħhom u tal-kollegi.
Simili għal UEBA pura, iżda l-analiżi tista' tkun limitata għall-utenti u/jew entitajiet biss.
Analytics
Kapaċitajiet analitiċi avvanzati, mhux limitati biss mir-regoli. Pereżempju, algoritmu ta' raggruppament bi raggruppament dinamiku ta' entitajiet.
Simili għal UEBA "pura", iżda l-grupp ta' entitajiet f'xi mudelli ta' theddid inkorporat jista' jinbidel biss manwalment.
Analytics
Korrelazzjoni ta' attività u mġiba ta' utenti u entitajiet oħra (pereżempju, bl-użu ta' netwerks Bayesjani) u aggregazzjoni ta' mġiba ta' riskju individwali sabiex tiġi identifikata attività anomala.
Simili għal UEBA pura, iżda l-analiżi tista' tkun limitata għall-utenti u/jew entitajiet biss.
Sorsi tad-dejta
Jirċievu avvenimenti fuq utenti u entitajiet minn sorsi tad-dejta direttament permezz ta’ mekkaniżmi integrati jew ħwienet tad-dejta eżistenti, bħal SIEM jew Data lake.
Il-mekkaniżmi għall-kisba tad-dejta huma ġeneralment diretti biss u jaffettwaw biss lill-utenti u/jew entitajiet oħra. Tużax għodod għall-ġestjoni taz-zkuk / SIEM / Data lake.
Sorsi tad-dejta
Is-soluzzjoni m'għandhiex tiddependi biss fuq it-traffiku tan-netwerk bħala s-sors ewlieni tad-dejta, u lanqas m'għandha tiddependi biss fuq l-aġenti tagħha stess biex tiġbor it-telemetrija.
Is-soluzzjoni tista 'tiffoka biss fuq it-traffiku tan-netwerk (per eżempju, NTA - analiżi tat-traffiku tan-netwerk) u/jew tuża l-aġenti tagħha fuq apparat finali (per eżempju, utilitajiet ta' monitoraġġ tal-impjegati).
Sorsi tad-dejta
Saturazzjoni tad-dejta tal-utent/entità bil-kuntest. Jappoġġja l-ġbir ta 'avvenimenti strutturati f'ħin reali, kif ukoll dejta koeżiva strutturata/mhux strutturata minn direttorji tal-IT - pereżempju, Active Directory (AD), jew riżorsi oħra ta' informazzjoni li jinqraw mill-magni (per eżempju, databases HR).
Simili għal UEBA pura, iżda l-ambitu tad-dejta kuntestwali jista’ jvarja minn każ għal każ. AD u LDAP huma l-aktar ħwienet tad-dejta kuntestwali komuni użati minn soluzzjonijiet UEBA inkorporati.
Disponibbiltà
Jipprovdi l-karatteristiċi elenkati bħala prodott waħdu.
Huwa impossibbli li tixtri l-funzjonalità integrata tal-UEBA mingħajr ma tixtri soluzzjoni esterna li fiha hija mibnija.
Sors: Gartner (Mejju 2019)
Għalhekk, biex issolvi ċerti problemi, UEBA inkorporat jista 'juża analitika UEBA bażika (per eżempju, tagħlim tal-magni sempliċi mhux sorveljat), iżda fl-istess ħin, minħabba aċċess għal eżattament id-dejta meħtieġa, jista' jkun b'mod ġenerali aktar effettiv minn "pur" Soluzzjoni UEBA. Fl-istess ħin, pjattaformi UEBA "puri", kif mistenni, joffru analitika aktar kumplessa bħala l-għarfien ewlieni meta mqabbel mal-għodda UEBA integrata. Dawn ir-riżultati huma miġbura fil-qosor fit-Tabella 2.
Tabella 2. Ir-riżultat tad-differenzi bejn UEBA "pura" u integrata
Kategorija
Pjattaformi UEBA "puri".
Soluzzjonijiet oħra b'UEBA integrata
Analytics
L-applikabbiltà għas-soluzzjoni ta' varjetà ta' problemi tan-negozju timplika sett aktar universali ta' funzjonijiet UEBA b'enfasi fuq mudelli ta' tagħlim tal-magni u analitiċi aktar kumplessi.
Li tiffoka fuq sett iżgħar ta 'problemi tan-negozju tfisser karatteristiċi speċjalizzati ħafna li jiffokaw fuq mudelli speċifiċi għall-applikazzjoni b'loġika aktar sempliċi.
Analytics
L-adattament tal-mudell analitiku huwa meħtieġ għal kull xenarju ta' applikazzjoni.
Mudelli analitiċi huma kkonfigurati minn qabel għall-għodda li għandha l-UEBA mibni fiha. Għodda b'UEBA integrata ġeneralment tikseb riżultati aktar mgħaġġla biex issolvi ċerti problemi tan-negozju.
Sorsi tad-dejta
Aċċess għal sorsi tad-dejta mill-irkejjen kollha tal-infrastruttura korporattiva.
Inqas sorsi ta' dejta, ġeneralment limitati mid-disponibbiltà ta' aġenti għalihom jew l-għodda nnifisha b'funzjonijiet UEBA.
Sorsi tad-dejta
L-informazzjoni li tinsab f'kull log tista' tkun limitata mis-sors tad-dejta u jista' ma jkunx fiha d-dejta kollha meħtieġa għall-għodda UEBA ċentralizzata.
L-ammont u d-dettall tad-dejta mhux ipproċessata miġbura mill-aġent u trażmessa lill-UEBA jistgħu jiġu kkonfigurati speċifikament.
arkitettura
Huwa prodott UEBA komplut għal organizzazzjoni. L-integrazzjoni hija aktar faċli bl-użu tal-kapaċitajiet ta 'sistema SIEM jew Data lake.
Jeħtieġ sett separat ta' karatteristiċi UEBA għal kull waħda mis-soluzzjonijiet li għandhom l-UEBA inkorporati. Is-soluzzjonijiet UEBA inkorporati ħafna drabi jeħtieġu l-installazzjoni ta 'aġenti u l-ġestjoni tad-dejta.
Integrazzjoni
Integrazzjoni manwali tas-soluzzjoni UEBA ma 'għodod oħra f'kull każ. Tippermetti lil organizzazzjoni tibni l-munzell tat-teknoloġija tagħha bbażata fuq l-approċċ "l-aħjar fost l-analogi".
Il-qatet ewlenin tal-funzjonijiet UEBA huma diġà inklużi fl-għodda nnifisha mill-manifattur. Il-modulu UEBA huwa mibni u ma jistax jitneħħa, għalhekk il-klijenti ma jistgħux jissostitwixxuh b'xi ħaġa tagħhom stess.
Sors: Gartner (Mejju 2019)
UEBA bħala funzjoni
L-UEBA qed issir karatteristika tas-soluzzjonijiet taċ-ċibersigurtà minn tarf sa tarf li jistgħu jibbenefikaw minn analitika addizzjonali. L-UEBA hija l-bażi ta' dawn is-soluzzjonijiet, billi tipprovdi saff qawwi ta' analitika avvanzata bbażat fuq mudelli ta' mġiba tal-utent u/jew tal-entità.
Bħalissa fis-suq, il-funzjonalità integrata tal-UEBA hija implimentata fis-soluzzjonijiet li ġejjin, miġbura skont l-ambitu teknoloġiku:
Verifika u protezzjoni ffukata fuq id-data, huma bejjiegħa li huma ffukati fuq it-titjib tas-sigurtà tal-ħażna tad-dejta strutturata u mhux strutturata (magħruf ukoll bħala DCAP).
F'din il-kategorija ta' bejjiegħa, Gartner jinnota, fost affarijiet oħra, Pjattaforma taċ-ċibersigurtà Varonis, li toffri analitika tal-imġieba tal-utent biex timmonitorja l-bidliet fil-permessi tad-dejta mhux strutturata, l-aċċess, u l-użu f’ħwienet tal-informazzjoni differenti.
Sistemi CASB, li joffri protezzjoni kontra diversi theddid f'applikazzjonijiet SaaS ibbażati fuq il-cloud billi jimblokka l-aċċess għas-servizzi tal-cloud għal apparati, utenti u verżjonijiet tal-applikazzjoni mhux mixtieqa bl-użu ta' sistema adattiva ta' kontroll tal-aċċess.
Is-soluzzjonijiet CASB kollha li jwasslu fis-suq jinkludu kapaċitajiet UEBA.
Soluzzjonijiet DLP – iffukat fuq l-iskoperta tat-trasferiment ta’ data kritika barra l-organizzazzjoni jew l-abbuż tagħha.
L-avvanzi tad-DLP huma fil-biċċa l-kbira bbażati fuq il-fehim tal-kontenut, b'inqas enfasi fuq il-fehim tal-kuntest bħall-utent, l-applikazzjoni, il-post, il-ħin, il-veloċità tal-avvenimenti, u fatturi esterni oħra. Biex ikunu effettivi, il-prodotti DLP għandhom jirrikonoxxu kemm il-kontenut kif ukoll il-kuntest. Huwa għalhekk li ħafna manifatturi qed jibdew jintegraw il-funzjonalità UEBA fis-soluzzjonijiet tagħhom.
Monitoraġġ tal-impjegati hija l-abbiltà li tirrekordja u terġa' tilgħab l-azzjonijiet tal-impjegati, ġeneralment f'format ta' dejta adattat għal proċedimenti legali (jekk meħtieġ).
Il-monitoraġġ kostanti tal-utenti spiss jiġġenera ammont kbir ta' dejta li teħtieġ filtrazzjoni manwali u analiżi umana. Għalhekk, UEBA tintuża ġewwa sistemi ta’ monitoraġġ biex ittejjeb il-prestazzjoni ta’ dawn is-soluzzjonijiet u tiskopri biss inċidenti ta’ riskju għoli.
Sigurtà Endpoint – Is-soluzzjonijiet għall-iskoperta u r-rispons tal-endpoint (EDR) u l-pjattaformi tal-protezzjoni tal-endpoint (EPP) jipprovdu strumentazzjoni qawwija u telemetrija tas-sistema operattiva biex
apparat tat-tmiem.
Tali telemetrija relatata mal-utent tista' tiġi analizzata biex tipprovdi funzjonalità integrata tal-UEBA.
Frodi onlajn – Soluzzjonijiet ta’ skoperta ta’ frodi onlajn jiskopru attività devjanti li tindika kompromess tal-kont ta’ klijent permezz ta’ spoof, malware, jew sfruttament ta’ konnessjonijiet mhux assigurati/interċettazzjoni tat-traffiku tal-browser.
Il-biċċa l-kbira tas-soluzzjonijiet ta’ frodi jużaw l-essenza tal-UEBA, l-analiżi tat-tranżazzjonijiet u l-kejl tal-apparat, b’sistemi aktar avvanzati li jikkumplimentawhom billi jqabblu relazzjonijiet fid-database tal-identità.
IAM u kontroll tal-aċċess – Gartner jinnota xejra evoluzzjonarja fost il-bejjiegħa tas-sistema ta 'kontroll tal-aċċess biex jintegraw ma' bejjiegħa puri u jibnu xi funzjonalità UEBA fil-prodotti tagħhom.
IAM u sistemi ta' Governanza u Amministrazzjoni tal-Identità (IGA). uża l-UEBA biex tkopri xenarji analitiċi tal-imġieba u tal-identità bħal skoperta ta’ anomaliji, analiżi ta’ raggruppament dinamiku ta’ entitajiet simili, analiżi tal-login, u analiżi tal-politika tal-aċċess.
IAM u Ġestjoni ta' Aċċess Privileġġjat (PAM) – Minħabba r-rwol tal-monitoraġġ tal-użu tal-kontijiet amministrattivi, is-soluzzjonijiet tal-PAM għandhom telemetrija biex juru kif, għaliex, meta u fejn intużaw il-kontijiet amministrattivi. Din id-dejta tista’ tiġi analizzata bl-użu tal-funzjonalità integrata tal-UEBA għall-preżenza ta’ mġiba anomalija tal-amministraturi jew intenzjoni malizzjuża.
Manifatturi NTA (Analiżi tat-Traffiku tan-Netwerk) – tuża taħlita ta’ tagħlim bil-magni, analitika avvanzata u skoperta bbażata fuq ir-regoli biex tidentifika attività suspettuża fuq netwerks korporattivi.
L-għodod tal-NTA janalizzaw kontinwament it-traffiku tas-sors u/jew ir-rekords tal-fluss (eż. NetFlow) biex jibnu mudelli li jirriflettu l-imġieba normali tan-netwerk, primarjament jiffokaw fuq l-analiżi tal-imġieba tal-entità.
siem – ħafna bejjiegħa SIEM issa għandhom funzjonalità avvanzata tal-analiżi tad-dejta mibnija fis-SIEM, jew bħala modulu UEBA separat. Matul l-2018 u s'issa fl-2019, kien hemm ċajpir kontinwu tal-konfini bejn il-funzjonalità tas-SIEM u tal-UEBA, kif diskuss fl-artiklu "Intuwizzjoni tat-Teknoloġija għas-SIEM Moderna". Is-sistemi SIEM saru aħjar biex jaħdmu ma 'l-analitiċi u joffru xenarji ta' applikazzjoni aktar kumplessi.
Xenarji ta' Applikazzjoni UEBA
Is-soluzzjonijiet tal-UEBA jistgħu jsolvu firxa wiesgħa ta' problemi. Madankollu, il-klijenti ta' Gartner jaqblu li l-każ ta' użu primarju jinvolvi l-iskoperta ta' diversi kategoriji ta' theddid, miksuba billi jintwerew u janalizzaw korrelazzjonijiet frekwenti bejn l-imġiba tal-utent u entitajiet oħra:
aċċess mhux awtorizzat u moviment ta' data;
imġieba suspettuża ta' utenti privileġġjati, attività malizzjuża jew mhux awtorizzata tal-impjegati;
aċċess mhux standard u użu tar-riżorsi tal-cloud;
и др.
Hemm ukoll għadd ta’ każijiet ta’ użu atipiċi mhux taċ-ċibersigurtà, bħal frodi jew monitoraġġ tal-impjegati, li għalihom l-UEBA tista’ tkun iġġustifikata. Madankollu, ħafna drabi jeħtieġu sorsi ta' dejta barra mill-IT u s-sigurtà tal-informazzjoni, jew mudelli analitiċi speċifiċi b'fehim profond ta' dan il-qasam. Il-ħames xenarji u applikazzjonijiet ewlenin li kemm il-manifatturi tal-UEBA kif ukoll il-klijenti tagħhom jaqblu dwarhom huma deskritti hawn taħt.
"Insider malizzjuż"
Fornituri tas-soluzzjoni UEBA li jkopru dan ix-xenarju jimmonitorjaw biss l-impjegati u l-kuntratturi fdati għal imġieba mhux tas-soltu, "ħażina" jew malizzjuża. Il-bejjiegħa f'dan il-qasam ta 'għarfien espert ma jimmonitorjawx jew janalizzaw l-imġieba tal-kontijiet tas-servizz jew entitajiet oħra mhux umani. Fil-biċċa l-kbira minħabba dan, mhumiex iffukati fuq l-iskoperta ta 'theddid avvanzat fejn il-hackers jieħdu f'idejhom kontijiet eżistenti. Minflok, huma mmirati biex jidentifikaw impjegati involuti f'attivitajiet ta 'ħsara.
Essenzjalment, il-kunċett ta '"insider malizzjuż" ġej minn utenti ta' fiduċja b'intenzjoni malizzjuża li jfittxu modi kif jikkawżaw ħsara lil min iħaddimhom. Minħabba li l-intenzjoni malizzjuża hija diffiċli biex titkejjel, l-aħjar bejjiegħa f'din il-kategorija janalizzaw dejta tal-imġiba kuntestwali li mhix faċilment disponibbli fir-reġistri tal-awditjar.
Fornituri tas-soluzzjoni f'dan l-ispazju wkoll iżidu u janalizzaw bl-aħjar mod data mhux strutturata, bħal kontenut ta 'email, rapporti ta' produttività, jew informazzjoni tal-midja soċjali, biex jipprovdu kuntest għall-imġieba.
Theddid minn ġewwa kompromess u intrużiv
L-isfida hija li tiskopri u tanalizza malajr imġieba "ħażina" ladarba l-attakkant ikun kiseb aċċess għall-organizzazzjoni u jibda jiċċaqlaq fi ħdan l-infrastruttura tal-IT.
Theddid assertiv (APTs), bħal theddid mhux magħruf jew li għadu mhux mifhum bis-sħiħ, huwa estremament diffiċli biex jinstab u ħafna drabi jinħbew wara attività leġittima tal-utent jew kontijiet tas-servizz. Tali theddid normalment ikollu mudell operattiv kumpless (ara, pereżempju, l-artikolu " L-indirizzar tal-Katina tal-Qtil Ċibernetiku") jew l-imġieba tagħhom għadha ma ġietx ivvalutata bħala ta' ħsara. Dan jagħmilha diffiċli biex jinstabu bl-użu ta' analitiċi sempliċi (bħal tqabbil minn mudelli, limiti, jew regoli ta' korrelazzjoni).
Madankollu, ħafna minn dawn it-theddidiet intrużivi jirriżultaw f'imġieba mhux standard, li ħafna drabi tinvolvi utenti jew entitajiet li ma jissuspettawx (magħruf ukoll bħala persuni ta' ġewwa kompromessi). It-tekniki tal-UEBA joffru bosta opportunitajiet interessanti biex jinstabu theddid bħal dan, itejbu l-proporzjon tas-sinjal għall-istorbju, jikkonsolidaw u jnaqqsu l-volum tan-notifika, jipprijoritizzaw it-twissijiet li fadal, u jiffaċilitaw ir-rispons u l-investigazzjoni tal-inċidenti effettivi.
Bejjiegħa UEBA li jimmiraw din il-qasam problematiku spiss ikollhom integrazzjoni bi-direzzjonali mas-sistemi SIEM tal-organizzazzjoni.
Esfiltrazzjoni tad-dejta
Il-kompitu f'dan il-każ huwa li tiskopri l-fatt li d-dejta qed tiġi trasferita barra l-organizzazzjoni.
Bejjiegħa ffukati fuq din l-isfida tipikament jisfruttaw kapaċitajiet DLP jew DAG b'sejbien ta 'anomalji u analitika avvanzata, u b'hekk itejbu l-proporzjon tas-sinjal għall-istorbju, jikkonsolidaw il-volum ta' notifika, u jipprijoritizzaw il-kawżi li jifdal. Għal kuntest addizzjonali, il-bejjiegħa tipikament jiddependu aktar fuq it-traffiku tan-netwerk (bħal prokuri tal-web) u d-dejta tal-endpoint, peress li l-analiżi ta 'dawn is-sorsi tad-dejta tista' tgħin fl-investigazzjonijiet tal-esfiltrazzjoni tad-dejta.
Is-sejbien tal-esfiltrazzjoni tad-dejta jintuża biex jinqabad persuni minn ġewwa u hackers esterni li jheddu l-organizzazzjoni.
Identifikazzjoni u ġestjoni ta' aċċess privileġġjat
Il-manifatturi ta 'soluzzjonijiet UEBA indipendenti f'dan il-qasam ta' għarfien espert josservaw u janalizzaw l-imġiba tal-utent fl-isfond ta 'sistema ta' drittijiet diġà ffurmata sabiex jidentifikaw privileġġi eċċessivi jew aċċess anomali. Dan japplika għat-tipi kollha ta' utenti u kontijiet, inklużi kontijiet privileġġjati u ta' servizz. L-organizzazzjonijiet jużaw ukoll UEBA biex jeħilsu minn kontijiet inattivi u privileġġi tal-utent li huma ogħla milli meħtieġ.
Prijoritizzazzjoni tal-inċident
L-għan ta’ dan il-kompitu huwa li jiġu prijoritizzati n-notifiki ġġenerati minn soluzzjonijiet fil-munzell tat-teknoloġija tagħhom biex jifhmu liema inċidenti jew inċidenti potenzjali għandhom jiġu indirizzati l-ewwel. Il-metodoloġiji u l-għodod tal-UEBA huma utli biex jiġu identifikati inċidenti li huma partikolarment anomali jew partikolarment perikolużi għal organizzazzjoni partikolari. F'dan il-każ, il-mekkaniżmu UEBA mhux biss juża l-livell bażiku ta 'mudelli ta' attività u theddid, iżda wkoll saturat id-dejta b'informazzjoni dwar l-istruttura organizzattiva tal-kumpanija (pereżempju, riżorsi jew rwoli kritiċi u livelli ta 'aċċess tal-impjegati).
Problemi ta' implimentazzjoni ta' soluzzjonijiet UEBA
L-uġigħ fis-suq tas-soluzzjonijiet UEBA huwa l-prezz għoli, l-implimentazzjoni kumplessa, il-manutenzjoni u l-użu tagħhom. Filwaqt li l-kumpaniji qed jitħabtu man-numru ta 'portals interni differenti, qed jiksbu console oħra. Id-daqs tal-investiment tal-ħin u r-riżorsi f'għodda ġdida jiddependi fuq il-kompiti f'idejhom u t-tipi ta 'analitiċi li huma meħtieġa biex issolvihom, u ħafna drabi jeħtieġu investimenti kbar.
Kuntrarjament għal dak li jsostnu ħafna manifatturi, UEBA mhix għodda "issettjaha u tinsiha" li mbagħad tista 'taħdem kontinwament għal jiem wara l-aħħar.
Il-klijenti ta’ Gartner, pereżempju, jinnutaw li tieħu minn 3 sa 6 xhur biex titnieda inizjattiva UEBA mill-bidu biex jinkisbu l-ewwel riżultati tas-soluzzjoni tal-problemi li għalihom ġiet implimentata din is-soluzzjoni. Għal kompiti aktar kumplessi, bħall-identifikazzjoni ta' theddid minn ġewwa f'organizzazzjoni, il-perjodu jiżdied għal 18-il xahar.
Fatturi li jinfluwenzaw id-diffikultà tal-implimentazzjoni tal-UEBA u l-effettività futura tal-għodda:
Il-kumplessità tal-arkitettura tal-organizzazzjoni, it-topoloġija tan-netwerk u l-politiki tal-ġestjoni tad-dejta
Disponibbiltà tad-data t-tajba fil-livell it-tajjeb ta' dettall
Il-kumplessità tal-algoritmi analitiċi tal-bejjiegħ—per eżempju, l-użu ta 'mudelli statistiċi u tagħlim tal-magni kontra mudelli u regoli sempliċi.
L-ammont ta 'analitiċi konfigurati minn qabel inklużi—jiġifieri, il-fehim tal-manifattur ta' liema data jeħtieġ li tinġabar għal kull kompitu u liema varjabbli u attributi huma l-aktar importanti biex titwettaq l-analiżi.
Kemm huwa faċli għall-manifattur li jintegra awtomatikament mad-dejta meħtieġa.
Per eżempju:
Jekk soluzzjoni UEBA tuża sistema SIEM bħala s-sors ewlieni tad-dejta tagħha, is-SIEM jiġbor informazzjoni mis-sorsi tad-dejta meħtieġa?
Jistgħu r-reġistri tal-avvenimenti meħtieġa u d-dejta tal-kuntest organizzattiv jiġu indirizzati lejn soluzzjoni UEBA?
Jekk is-sistema SIEM għadha ma tiġborx u tikkontrollax is-sorsi tad-dejta meħtieġa mis-soluzzjoni UEBA, allura kif jistgħu jiġu trasferiti hemmhekk?
Kemm hu importanti x-xenarju tal-applikazzjoni għall-organizzazzjoni, kemm jeħtieġ sorsi tad-dejta, u kemm dan il-kompitu jikkoinċidi mal-qasam tal-għarfien espert tal-manifattur.
X'grad ta' maturità organizzattiva u involviment huwa meħtieġ – pereżempju, il-ħolqien, l-iżvilupp u l-irfinar ta' regoli u mudelli; l-assenjazzjoni ta' piżijiet għal varjabbli għall-evalwazzjoni; jew l-aġġustament tal-limitu tal-valutazzjoni tar-riskju.
Kemm hija skalabbli s-soluzzjoni tal-bejjiegħ u l-arkitettura tagħha meta mqabbla mad-daqs attwali tal-organizzazzjoni u r-rekwiżiti futuri tagħha.
Żmien li nibnu mudelli bażiċi, profili u gruppi ewlenin. Il-manifatturi ħafna drabi jeħtieġu mill-inqas 30 jum (u xi kultant sa 90 jum) biex iwettqu analiżi qabel ma jkunu jistgħu jiddefinixxu kunċetti "normali". It-tagħbija ta 'data storika darba tista' tħaffef it-taħriġ tal-mudell. Uħud mill-każijiet interessanti jistgħu jiġu identifikati aktar malajr bl-użu ta 'regoli milli bl-użu ta' tagħlim tal-magni b'ammont oerhört żgħir ta 'dejta inizjali.
Il-livell ta' sforz meħtieġ biex jinbena raggruppament dinamiku u profiling tal-kontijiet (servizz/persuna) jista' jvarja ħafna bejn is-soluzzjonijiet.