ProHoster > blog > aħbarijiet fuq l-internet > Is-suq UEBA huwa mejjet - ħajja UEBA

Is-suq UEBA huwa mejjet - ħajja UEBA

Is-suq UEBA huwa mejjet - ħajja UEBA

Illum se nipprovdu ħarsa ġenerali fil-qosor tas-suq tal-Analiżi tal-Imġieba tal-Utenti u tal-Entitajiet (UEBA) ibbażat fuq l-aħħar riċerka Gartner. Is-suq UEBA jinsab fil-qiegħ tal-"istadju tad-diżillużjoni" skont Gartner Hype Cycle għal Teknoloġiji li jiffaċċjaw Theddida, li jindika l-maturità tat-teknoloġija. Iżda l-paradoss tas-sitwazzjoni jinsab fit-tkabbir ġenerali simultanju ta 'investimenti fit-teknoloġiji UEBA u s-suq li jisparixxi ta' soluzzjonijiet UEBA indipendenti. Gartner tbassar li l-UEBA se ssir parti mill-funzjonalità tas-soluzzjonijiet relatati tas-sigurtà tal-informazzjoni. It-terminu "UEBA" x'aktarx ma jibqax jintuża u jiġi sostitwit b'akronimu ieħor iffukat fuq żona ta' applikazzjoni dejqa (eż., "analitika tal-imġiba tal-utent"), żona ta' applikazzjoni simili (eż. "analitika tad-dejta"), jew sempliċiment issir xi ftit. buzzword ġdid (pereżempju, it-terminu "intelliġenza artifiċjali" [AI] jidher interessanti, għalkemm ma jagħmel l-ebda sens għall-manifatturi moderni tal-UEBA).

Is-sejbiet ewlenin mill-istudju Gartner jistgħu jinġabru fil-qosor kif ġej:

  • Il-maturità tas-suq għall-analiżi tal-imġieba tal-utenti u l-entitajiet hija kkonfermata mill-fatt li dawn it-teknoloġiji jintużaw mis-segment korporattiv medju u kbir biex isolvu numru ta 'problemi tan-negozju;
  • Il-kapaċitajiet analitiċi tal-UEBA huma mibnija f'firxa wiesgħa ta' teknoloġiji tas-sigurtà tal-informazzjoni relatati, bħal sensara tas-sigurtà tal-aċċess għall-cloud (CASBs), sistemi SIEM ta' governanza u amministrazzjoni tal-identità (IGA);
  • Il-hype madwar il-bejjiegħa UEBA u l-użu ħażin tat-terminu "intelliġenza artifiċjali" jagħmilha diffiċli għall-klijenti biex jifhmu d-differenza reali bejn it-teknoloġiji tal-manifatturi u l-funzjonalità tas-soluzzjonijiet mingħajr ma jwettqu proġett pilota;
  • Il-klijenti jinnotaw li l-ħin tal-implimentazzjoni u l-użu ta 'kuljum tas-soluzzjonijiet UEBA jistgħu jkunu aktar xogħol intensiv u jieħdu ħafna ħin milli jwiegħed il-manifattur, anke meta jitqiesu biss mudelli bażiċi ta' skoperta ta 'theddid. Iż-żieda ta' każijiet ta' użu tad-dwana jew tat-tarf tista' tkun estremament diffiċli u teħtieġ għarfien espert fix-xjenza u l-analitika tad-dejta.

Tbassir strateġiku għall-iżvilupp tas-suq:

  • Sal-2021, is-suq għas-sistemi ta' analitiċi tal-imġiba tal-utenti u tal-entitajiet (UEBA) se ma jibqax jeżisti bħala qasam separat u se jmur lejn soluzzjonijiet oħra b'funzjonalità UEBA;
  • Sal-2020, 95% tal-iskjeramenti kollha tal-UEBA se jkunu parti minn pjattaforma ta' sigurtà usa'.

Definizzjoni ta' soluzzjonijiet UEBA

Is-soluzzjonijiet UEBA jużaw analitika integrata biex jevalwaw l-attività tal-utenti u entitajiet oħra (bħal hosts, applikazzjonijiet, traffiku tan-netwerk u mħażen tad-dejta).
Huma jiskopru theddid u inċidenti potenzjali, li tipikament jirrappreżentaw attività anomala meta mqabbla mal-profil standard u l-imġiba ta 'utenti u entitajiet fi gruppi simili fuq perjodu ta' żmien.

L-aktar każijiet ta’ użu komuni fis-segment tal-intrapriża huma l-iskoperta u r-rispons tat-theddid, kif ukoll l-iskoperta u r-rispons għal theddid minn ġewwa (l-aktar persuni minn ġewwa kompromessi; xi drabi attakkanti interni).

UEBA hija simili deċiżjoniU funzjoni, mibnija f'għodda speċifika:

  • Is-soluzzjoni hija manifatturi ta 'pjattaformi UEBA "puri", inklużi bejjiegħa li wkoll ibiegħu soluzzjonijiet SIEM separatament. Iffukat fuq firxa wiesgħa ta 'problemi tan-negozju fl-analiżi tal-imġieba kemm tal-utenti kif ukoll tal-entitajiet.
  • Inkorporat – Manifatturi/diviżjonijiet li jintegraw funzjonijiet u teknoloġiji UEBA fis-soluzzjonijiet tagħhom. Tipikament iffukat fuq sett aktar speċifiku ta 'problemi tan-negozju. F'dan il-każ, UEBA tintuża biex tanalizza l-imġiba tal-utenti u/jew entitajiet.

Gartner jara l-UEBA tul tliet assi, inklużi dawk li jsolvu l-problemi, l-analiżi, u s-sorsi tad-dejta (ara l-figura).

Is-suq UEBA huwa mejjet - ħajja UEBA

Pjattaformi UEBA "puri" versus UEBA integrata

Gartner iqis pjattaforma UEBA "pura" bħala soluzzjonijiet li:

  • issolvi diversi problemi speċifiċi, bħall-monitoraġġ ta 'utenti privileġġjati jew il-ħruġ ta' dejta barra l-organizzazzjoni, u mhux biss il-"monitoraġġ ta 'attività anomala tal-utent" astratt;
  • jinvolvu l-użu ta’ analitika kumplessa, neċessarjament ibbażata fuq approċċi analitiċi bażiċi;
  • jipprovdu diversi għażliet għall-ġbir tad-dejta, inklużi kemm mekkaniżmi ta’ sors tad-dejta integrati kif ukoll minn għodod ta’ ġestjoni ta’ log, Data lake u/jew sistemi SIEM, mingħajr il-ħtieġa obbligatorja li jiġu skjerati aġenti separati fl-infrastruttura;
  • jistgħu jinxtraw u jiġu skjerati bħala soluzzjonijiet waħedhom aktar milli inklużi fihom
    kompożizzjoni ta' prodotti oħra.

It-tabella hawn taħt tqabbel iż-żewġ approċċi.

Tabella 1. Soluzzjonijiet UEBA "puri" vs dawk integrati

Kategorija Pjattaformi UEBA "puri". Soluzzjonijiet oħra b'UEBA integrata
Problema li trid tissolva Analiżi tal-imġiba tal-utent u entitajiet. Nuqqas ta' dejta jista' jillimita lill-UEBA biex tanalizza l-imġieba ta' utenti jew entitajiet biss.
Problema li trid tissolva Iservi biex issolvi firxa wiesgħa ta 'problemi Jispeċjalizza f'sett limitat ta 'kompiti
Analytics Sejbien ta' anomaliji bl-użu ta' diversi metodi analitiċi - prinċipalment permezz ta' mudelli statistiċi u tagħlim tal-magni, flimkien ma' regoli u firem. Jiġi b'analitika integrata biex toħloq u tqabbel l-attività tal-utent u tal-entità mal-profili tagħhom u tal-kollegi. Simili għal UEBA pura, iżda l-analiżi tista' tkun limitata għall-utenti u/jew entitajiet biss.
Analytics Kapaċitajiet analitiċi avvanzati, mhux limitati biss mir-regoli. Pereżempju, algoritmu ta' raggruppament bi raggruppament dinamiku ta' entitajiet. Simili għal UEBA "pura", iżda l-grupp ta' entitajiet f'xi mudelli ta' theddid inkorporat jista' jinbidel biss manwalment.
Analytics Korrelazzjoni ta' attività u mġiba ta' utenti u entitajiet oħra (pereżempju, bl-użu ta' netwerks Bayesjani) u aggregazzjoni ta' mġiba ta' riskju individwali sabiex tiġi identifikata attività anomala. Simili għal UEBA pura, iżda l-analiżi tista' tkun limitata għall-utenti u/jew entitajiet biss.
Sorsi tad-dejta Jirċievu avvenimenti fuq utenti u entitajiet minn sorsi tad-dejta direttament permezz ta’ mekkaniżmi integrati jew ħwienet tad-dejta eżistenti, bħal SIEM jew Data lake. Il-mekkaniżmi għall-kisba tad-dejta huma ġeneralment diretti biss u jaffettwaw biss lill-utenti u/jew entitajiet oħra. Tużax għodod għall-ġestjoni taz-zkuk / SIEM / Data lake.
Sorsi tad-dejta Is-soluzzjoni m'għandhiex tiddependi biss fuq it-traffiku tan-netwerk bħala s-sors ewlieni tad-dejta, u lanqas m'għandha tiddependi biss fuq l-aġenti tagħha stess biex tiġbor it-telemetrija. Is-soluzzjoni tista 'tiffoka biss fuq it-traffiku tan-netwerk (per eżempju, NTA - analiżi tat-traffiku tan-netwerk) u/jew tuża l-aġenti tagħha fuq apparat finali (per eżempju, utilitajiet ta' monitoraġġ tal-impjegati).
Sorsi tad-dejta Saturazzjoni tad-dejta tal-utent/entità bil-kuntest. Jappoġġja l-ġbir ta 'avvenimenti strutturati f'ħin reali, kif ukoll dejta koeżiva strutturata/mhux strutturata minn direttorji tal-IT - pereżempju, Active Directory (AD), jew riżorsi oħra ta' informazzjoni li jinqraw mill-magni (per eżempju, databases HR). Simili għal UEBA pura, iżda l-ambitu tad-dejta kuntestwali jista’ jvarja minn każ għal każ. AD u LDAP huma l-aktar ħwienet tad-dejta kuntestwali komuni użati minn soluzzjonijiet UEBA inkorporati.
Disponibbiltà Jipprovdi l-karatteristiċi elenkati bħala prodott waħdu. Huwa impossibbli li tixtri l-funzjonalità integrata tal-UEBA mingħajr ma tixtri soluzzjoni esterna li fiha hija mibnija.
Sors: Gartner (Mejju 2019)

Għalhekk, biex issolvi ċerti problemi, UEBA inkorporat jista 'juża analitika UEBA bażika (per eżempju, tagħlim tal-magni sempliċi mhux sorveljat), iżda fl-istess ħin, minħabba aċċess għal eżattament id-dejta meħtieġa, jista' jkun b'mod ġenerali aktar effettiv minn "pur" Soluzzjoni UEBA. Fl-istess ħin, pjattaformi UEBA "puri", kif mistenni, joffru analitika aktar kumplessa bħala l-għarfien ewlieni meta mqabbel mal-għodda UEBA integrata. Dawn ir-riżultati huma miġbura fil-qosor fit-Tabella 2.

Tabella 2. Ir-riżultat tad-differenzi bejn UEBA "pura" u integrata

Kategorija Pjattaformi UEBA "puri". Soluzzjonijiet oħra b'UEBA integrata
Analytics L-applikabbiltà għas-soluzzjoni ta' varjetà ta' problemi tan-negozju timplika sett aktar universali ta' funzjonijiet UEBA b'enfasi fuq mudelli ta' tagħlim tal-magni u analitiċi aktar kumplessi. Li tiffoka fuq sett iżgħar ta 'problemi tan-negozju tfisser karatteristiċi speċjalizzati ħafna li jiffokaw fuq mudelli speċifiċi għall-applikazzjoni b'loġika aktar sempliċi.
Analytics L-adattament tal-mudell analitiku huwa meħtieġ għal kull xenarju ta' applikazzjoni. Mudelli analitiċi huma kkonfigurati minn qabel għall-għodda li għandha l-UEBA mibni fiha. Għodda b'UEBA integrata ġeneralment tikseb riżultati aktar mgħaġġla biex issolvi ċerti problemi tan-negozju.
Sorsi tad-dejta Aċċess għal sorsi tad-dejta mill-irkejjen kollha tal-infrastruttura korporattiva. Inqas sorsi ta' dejta, ġeneralment limitati mid-disponibbiltà ta' aġenti għalihom jew l-għodda nnifisha b'funzjonijiet UEBA.
Sorsi tad-dejta L-informazzjoni li tinsab f'kull log tista' tkun limitata mis-sors tad-dejta u jista' ma jkunx fiha d-dejta kollha meħtieġa għall-għodda UEBA ċentralizzata. L-ammont u d-dettall tad-dejta mhux ipproċessata miġbura mill-aġent u trażmessa lill-UEBA jistgħu jiġu kkonfigurati speċifikament.
arkitettura Huwa prodott UEBA komplut għal organizzazzjoni. L-integrazzjoni hija aktar faċli bl-użu tal-kapaċitajiet ta 'sistema SIEM jew Data lake. Jeħtieġ sett separat ta' karatteristiċi UEBA għal kull waħda mis-soluzzjonijiet li għandhom l-UEBA inkorporati. Is-soluzzjonijiet UEBA inkorporati ħafna drabi jeħtieġu l-installazzjoni ta 'aġenti u l-ġestjoni tad-dejta.
Integrazzjoni Integrazzjoni manwali tas-soluzzjoni UEBA ma 'għodod oħra f'kull każ. Tippermetti lil organizzazzjoni tibni l-munzell tat-teknoloġija tagħha bbażata fuq l-approċċ "l-aħjar fost l-analogi". Il-qatet ewlenin tal-funzjonijiet UEBA huma diġà inklużi fl-għodda nnifisha mill-manifattur. Il-modulu UEBA huwa mibni u ma jistax jitneħħa, għalhekk il-klijenti ma jistgħux jissostitwixxuh b'xi ħaġa tagħhom stess.
Sors: Gartner (Mejju 2019)

UEBA bħala funzjoni

L-UEBA qed issir karatteristika tas-soluzzjonijiet taċ-ċibersigurtà minn tarf sa tarf li jistgħu jibbenefikaw minn analitika addizzjonali. L-UEBA hija l-bażi ta' dawn is-soluzzjonijiet, billi tipprovdi saff qawwi ta' analitika avvanzata bbażat fuq mudelli ta' mġiba tal-utent u/jew tal-entità.

Bħalissa fis-suq, il-funzjonalità integrata tal-UEBA hija implimentata fis-soluzzjonijiet li ġejjin, miġbura skont l-ambitu teknoloġiku:

  • Verifika u protezzjoni ffukata fuq id-data, huma bejjiegħa li huma ffukati fuq it-titjib tas-sigurtà tal-ħażna tad-dejta strutturata u mhux strutturata (magħruf ukoll bħala DCAP).

    F'din il-kategorija ta' bejjiegħa, Gartner jinnota, fost affarijiet oħra, Pjattaforma taċ-ċibersigurtà Varonis, li toffri analitika tal-imġieba tal-utent biex timmonitorja l-bidliet fil-permessi tad-dejta mhux strutturata, l-aċċess, u l-użu f’ħwienet tal-informazzjoni differenti.

  • Sistemi CASB, li joffri protezzjoni kontra diversi theddid f'applikazzjonijiet SaaS ibbażati fuq il-cloud billi jimblokka l-aċċess għas-servizzi tal-cloud għal apparati, utenti u verżjonijiet tal-applikazzjoni mhux mixtieqa bl-użu ta' sistema adattiva ta' kontroll tal-aċċess.

    Is-soluzzjonijiet CASB kollha li jwasslu fis-suq jinkludu kapaċitajiet UEBA.

  • Soluzzjonijiet DLP – iffukat fuq l-iskoperta tat-trasferiment ta’ data kritika barra l-organizzazzjoni jew l-abbuż tagħha.

    L-avvanzi tad-DLP huma fil-biċċa l-kbira bbażati fuq il-fehim tal-kontenut, b'inqas enfasi fuq il-fehim tal-kuntest bħall-utent, l-applikazzjoni, il-post, il-ħin, il-veloċità tal-avvenimenti, u fatturi esterni oħra. Biex ikunu effettivi, il-prodotti DLP għandhom jirrikonoxxu kemm il-kontenut kif ukoll il-kuntest. Huwa għalhekk li ħafna manifatturi qed jibdew jintegraw il-funzjonalità UEBA fis-soluzzjonijiet tagħhom.

  • Monitoraġġ tal-impjegati hija l-abbiltà li tirrekordja u terġa' tilgħab l-azzjonijiet tal-impjegati, ġeneralment f'format ta' dejta adattat għal proċedimenti legali (jekk meħtieġ).

    Il-monitoraġġ kostanti tal-utenti spiss jiġġenera ammont kbir ta' dejta li teħtieġ filtrazzjoni manwali u analiżi umana. Għalhekk, UEBA tintuża ġewwa sistemi ta’ monitoraġġ biex ittejjeb il-prestazzjoni ta’ dawn is-soluzzjonijiet u tiskopri biss inċidenti ta’ riskju għoli.

  • Sigurtà Endpoint – Is-soluzzjonijiet għall-iskoperta u r-rispons tal-endpoint (EDR) u l-pjattaformi tal-protezzjoni tal-endpoint (EPP) jipprovdu strumentazzjoni qawwija u telemetrija tas-sistema operattiva biex
    apparat tat-tmiem.

    Tali telemetrija relatata mal-utent tista' tiġi analizzata biex tipprovdi funzjonalità integrata tal-UEBA.

  • Frodi onlajn – Soluzzjonijiet ta’ skoperta ta’ frodi onlajn jiskopru attività devjanti li tindika kompromess tal-kont ta’ klijent permezz ta’ spoof, malware, jew sfruttament ta’ konnessjonijiet mhux assigurati/interċettazzjoni tat-traffiku tal-browser.

    Il-biċċa l-kbira tas-soluzzjonijiet ta’ frodi jużaw l-essenza tal-UEBA, l-analiżi tat-tranżazzjonijiet u l-kejl tal-apparat, b’sistemi aktar avvanzati li jikkumplimentawhom billi jqabblu relazzjonijiet fid-database tal-identità.

  • IAM u kontroll tal-aċċess – Gartner jinnota xejra evoluzzjonarja fost il-bejjiegħa tas-sistema ta 'kontroll tal-aċċess biex jintegraw ma' bejjiegħa puri u jibnu xi funzjonalità UEBA fil-prodotti tagħhom.
  • IAM u sistemi ta' Governanza u Amministrazzjoni tal-Identità (IGA). uża l-UEBA biex tkopri xenarji analitiċi tal-imġieba u tal-identità bħal skoperta ta’ anomaliji, analiżi ta’ raggruppament dinamiku ta’ entitajiet simili, analiżi tal-login, u analiżi tal-politika tal-aċċess.
  • IAM u Ġestjoni ta' Aċċess Privileġġjat (PAM) – Minħabba r-rwol tal-monitoraġġ tal-użu tal-kontijiet amministrattivi, is-soluzzjonijiet tal-PAM għandhom telemetrija biex juru kif, għaliex, meta u fejn intużaw il-kontijiet amministrattivi. Din id-dejta tista’ tiġi analizzata bl-użu tal-funzjonalità integrata tal-UEBA għall-preżenza ta’ mġiba anomalija tal-amministraturi jew intenzjoni malizzjuża.
  • Manifatturi NTA (Analiżi tat-Traffiku tan-Netwerk) – tuża taħlita ta’ tagħlim bil-magni, analitika avvanzata u skoperta bbażata fuq ir-regoli biex tidentifika attività suspettuża fuq netwerks korporattivi.

    L-għodod tal-NTA janalizzaw kontinwament it-traffiku tas-sors u/jew ir-rekords tal-fluss (eż. NetFlow) biex jibnu mudelli li jirriflettu l-imġieba normali tan-netwerk, primarjament jiffokaw fuq l-analiżi tal-imġieba tal-entità.

  • siem – ħafna bejjiegħa SIEM issa għandhom funzjonalità avvanzata tal-analiżi tad-dejta mibnija fis-SIEM, jew bħala modulu UEBA separat. Matul l-2018 u s'issa fl-2019, kien hemm ċajpir kontinwu tal-konfini bejn il-funzjonalità tas-SIEM u tal-UEBA, kif diskuss fl-artiklu "Intuwizzjoni tat-Teknoloġija għas-SIEM Moderna". Is-sistemi SIEM saru aħjar biex jaħdmu ma 'l-analitiċi u joffru xenarji ta' applikazzjoni aktar kumplessi.

Xenarji ta' Applikazzjoni UEBA

Is-soluzzjonijiet tal-UEBA jistgħu jsolvu firxa wiesgħa ta' problemi. Madankollu, il-klijenti ta' Gartner jaqblu li l-każ ta' użu primarju jinvolvi l-iskoperta ta' diversi kategoriji ta' theddid, miksuba billi jintwerew u janalizzaw korrelazzjonijiet frekwenti bejn l-imġiba tal-utent u entitajiet oħra:

  • aċċess mhux awtorizzat u moviment ta' data;
  • imġieba suspettuża ta' utenti privileġġjati, attività malizzjuża jew mhux awtorizzata tal-impjegati;
  • aċċess mhux standard u użu tar-riżorsi tal-cloud;
  • и др.

Hemm ukoll għadd ta’ każijiet ta’ użu atipiċi mhux taċ-ċibersigurtà, bħal frodi jew monitoraġġ tal-impjegati, li għalihom l-UEBA tista’ tkun iġġustifikata. Madankollu, ħafna drabi jeħtieġu sorsi ta' dejta barra mill-IT u s-sigurtà tal-informazzjoni, jew mudelli analitiċi speċifiċi b'fehim profond ta' dan il-qasam. Il-ħames xenarji u applikazzjonijiet ewlenin li kemm il-manifatturi tal-UEBA kif ukoll il-klijenti tagħhom jaqblu dwarhom huma deskritti hawn taħt.

"Insider malizzjuż"

Fornituri tas-soluzzjoni UEBA li jkopru dan ix-xenarju jimmonitorjaw biss l-impjegati u l-kuntratturi fdati għal imġieba mhux tas-soltu, "ħażina" jew malizzjuża. Il-bejjiegħa f'dan il-qasam ta 'għarfien espert ma jimmonitorjawx jew janalizzaw l-imġieba tal-kontijiet tas-servizz jew entitajiet oħra mhux umani. Fil-biċċa l-kbira minħabba dan, mhumiex iffukati fuq l-iskoperta ta 'theddid avvanzat fejn il-hackers jieħdu f'idejhom kontijiet eżistenti. Minflok, huma mmirati biex jidentifikaw impjegati involuti f'attivitajiet ta 'ħsara.

Essenzjalment, il-kunċett ta '"insider malizzjuż" ġej minn utenti ta' fiduċja b'intenzjoni malizzjuża li jfittxu modi kif jikkawżaw ħsara lil min iħaddimhom. Minħabba li l-intenzjoni malizzjuża hija diffiċli biex titkejjel, l-aħjar bejjiegħa f'din il-kategorija janalizzaw dejta tal-imġiba kuntestwali li mhix faċilment disponibbli fir-reġistri tal-awditjar.

Fornituri tas-soluzzjoni f'dan l-ispazju wkoll iżidu u janalizzaw bl-aħjar mod data mhux strutturata, bħal kontenut ta 'email, rapporti ta' produttività, jew informazzjoni tal-midja soċjali, biex jipprovdu kuntest għall-imġieba.

Theddid minn ġewwa kompromess u intrużiv

L-isfida hija li tiskopri u tanalizza malajr imġieba "ħażina" ladarba l-attakkant ikun kiseb aċċess għall-organizzazzjoni u jibda jiċċaqlaq fi ħdan l-infrastruttura tal-IT.
Theddid assertiv (APTs), bħal theddid mhux magħruf jew li għadu mhux mifhum bis-sħiħ, huwa estremament diffiċli biex jinstab u ħafna drabi jinħbew wara attività leġittima tal-utent jew kontijiet tas-servizz. Tali theddid normalment ikollu mudell operattiv kumpless (ara, pereżempju, l-artikolu " L-indirizzar tal-Katina tal-Qtil Ċibernetiku") jew l-imġieba tagħhom għadha ma ġietx ivvalutata bħala ta' ħsara. Dan jagħmilha diffiċli biex jinstabu bl-użu ta' analitiċi sempliċi (bħal tqabbil minn mudelli, limiti, jew regoli ta' korrelazzjoni).

Madankollu, ħafna minn dawn it-theddidiet intrużivi jirriżultaw f'imġieba mhux standard, li ħafna drabi tinvolvi utenti jew entitajiet li ma jissuspettawx (magħruf ukoll bħala persuni ta' ġewwa kompromessi). It-tekniki tal-UEBA joffru bosta opportunitajiet interessanti biex jinstabu theddid bħal dan, itejbu l-proporzjon tas-sinjal għall-istorbju, jikkonsolidaw u jnaqqsu l-volum tan-notifika, jipprijoritizzaw it-twissijiet li fadal, u jiffaċilitaw ir-rispons u l-investigazzjoni tal-inċidenti effettivi.

Bejjiegħa UEBA li jimmiraw din il-qasam problematiku spiss ikollhom integrazzjoni bi-direzzjonali mas-sistemi SIEM tal-organizzazzjoni.

Esfiltrazzjoni tad-dejta

Il-kompitu f'dan il-każ huwa li tiskopri l-fatt li d-dejta qed tiġi trasferita barra l-organizzazzjoni.
Bejjiegħa ffukati fuq din l-isfida tipikament jisfruttaw kapaċitajiet DLP jew DAG b'sejbien ta 'anomalji u analitika avvanzata, u b'hekk itejbu l-proporzjon tas-sinjal għall-istorbju, jikkonsolidaw il-volum ta' notifika, u jipprijoritizzaw il-kawżi li jifdal. Għal kuntest addizzjonali, il-bejjiegħa tipikament jiddependu aktar fuq it-traffiku tan-netwerk (bħal prokuri tal-web) u d-dejta tal-endpoint, peress li l-analiżi ta 'dawn is-sorsi tad-dejta tista' tgħin fl-investigazzjonijiet tal-esfiltrazzjoni tad-dejta.

Is-sejbien tal-esfiltrazzjoni tad-dejta jintuża biex jinqabad persuni minn ġewwa u hackers esterni li jheddu l-organizzazzjoni.

Identifikazzjoni u ġestjoni ta' aċċess privileġġjat

Il-manifatturi ta 'soluzzjonijiet UEBA indipendenti f'dan il-qasam ta' għarfien espert josservaw u janalizzaw l-imġiba tal-utent fl-isfond ta 'sistema ta' drittijiet diġà ffurmata sabiex jidentifikaw privileġġi eċċessivi jew aċċess anomali. Dan japplika għat-tipi kollha ta' utenti u kontijiet, inklużi kontijiet privileġġjati u ta' servizz. L-organizzazzjonijiet jużaw ukoll UEBA biex jeħilsu minn kontijiet inattivi u privileġġi tal-utent li huma ogħla milli meħtieġ.

Prijoritizzazzjoni tal-inċident

L-għan ta’ dan il-kompitu huwa li jiġu prijoritizzati n-notifiki ġġenerati minn soluzzjonijiet fil-munzell tat-teknoloġija tagħhom biex jifhmu liema inċidenti jew inċidenti potenzjali għandhom jiġu indirizzati l-ewwel. Il-metodoloġiji u l-għodod tal-UEBA huma utli biex jiġu identifikati inċidenti li huma partikolarment anomali jew partikolarment perikolużi għal organizzazzjoni partikolari. F'dan il-każ, il-mekkaniżmu UEBA mhux biss juża l-livell bażiku ta 'mudelli ta' attività u theddid, iżda wkoll saturat id-dejta b'informazzjoni dwar l-istruttura organizzattiva tal-kumpanija (pereżempju, riżorsi jew rwoli kritiċi u livelli ta 'aċċess tal-impjegati).

Problemi ta' implimentazzjoni ta' soluzzjonijiet UEBA

L-uġigħ fis-suq tas-soluzzjonijiet UEBA huwa l-prezz għoli, l-implimentazzjoni kumplessa, il-manutenzjoni u l-użu tagħhom. Filwaqt li l-kumpaniji qed jitħabtu man-numru ta 'portals interni differenti, qed jiksbu console oħra. Id-daqs tal-investiment tal-ħin u r-riżorsi f'għodda ġdida jiddependi fuq il-kompiti f'idejhom u t-tipi ta 'analitiċi li huma meħtieġa biex issolvihom, u ħafna drabi jeħtieġu investimenti kbar.

Kuntrarjament għal dak li jsostnu ħafna manifatturi, UEBA mhix għodda "issettjaha u tinsiha" li mbagħad tista 'taħdem kontinwament għal jiem wara l-aħħar.
Il-klijenti ta’ Gartner, pereżempju, jinnutaw li tieħu minn 3 sa 6 xhur biex titnieda inizjattiva UEBA mill-bidu biex jinkisbu l-ewwel riżultati tas-soluzzjoni tal-problemi li għalihom ġiet implimentata din is-soluzzjoni. Għal kompiti aktar kumplessi, bħall-identifikazzjoni ta' theddid minn ġewwa f'organizzazzjoni, il-perjodu jiżdied għal 18-il xahar.

Fatturi li jinfluwenzaw id-diffikultà tal-implimentazzjoni tal-UEBA u l-effettività futura tal-għodda:

  • Il-kumplessità tal-arkitettura tal-organizzazzjoni, it-topoloġija tan-netwerk u l-politiki tal-ġestjoni tad-dejta
  • Disponibbiltà tad-data t-tajba fil-livell it-tajjeb ta' dettall
  • Il-kumplessità tal-algoritmi analitiċi tal-bejjiegħ—per eżempju, l-użu ta 'mudelli statistiċi u tagħlim tal-magni kontra mudelli u regoli sempliċi.
  • L-ammont ta 'analitiċi konfigurati minn qabel inklużi—jiġifieri, il-fehim tal-manifattur ta' liema data jeħtieġ li tinġabar għal kull kompitu u liema varjabbli u attributi huma l-aktar importanti biex titwettaq l-analiżi.
  • Kemm huwa faċli għall-manifattur li jintegra awtomatikament mad-dejta meħtieġa.

    Per eżempju:

    • Jekk soluzzjoni UEBA tuża sistema SIEM bħala s-sors ewlieni tad-dejta tagħha, is-SIEM jiġbor informazzjoni mis-sorsi tad-dejta meħtieġa?
    • Jistgħu r-reġistri tal-avvenimenti meħtieġa u d-dejta tal-kuntest organizzattiv jiġu indirizzati lejn soluzzjoni UEBA?
    • Jekk is-sistema SIEM għadha ma tiġborx u tikkontrollax is-sorsi tad-dejta meħtieġa mis-soluzzjoni UEBA, allura kif jistgħu jiġu trasferiti hemmhekk?

  • Kemm hu importanti x-xenarju tal-applikazzjoni għall-organizzazzjoni, kemm jeħtieġ sorsi tad-dejta, u kemm dan il-kompitu jikkoinċidi mal-qasam tal-għarfien espert tal-manifattur.
  • X'grad ta' maturità organizzattiva u involviment huwa meħtieġ – pereżempju, il-ħolqien, l-iżvilupp u l-irfinar ta' regoli u mudelli; l-assenjazzjoni ta' piżijiet għal varjabbli għall-evalwazzjoni; jew l-aġġustament tal-limitu tal-valutazzjoni tar-riskju.
  • Kemm hija skalabbli s-soluzzjoni tal-bejjiegħ u l-arkitettura tagħha meta mqabbla mad-daqs attwali tal-organizzazzjoni u r-rekwiżiti futuri tagħha.
  • Żmien li nibnu mudelli bażiċi, profili u gruppi ewlenin. Il-manifatturi ħafna drabi jeħtieġu mill-inqas 30 jum (u xi kultant sa 90 jum) biex iwettqu analiżi qabel ma jkunu jistgħu jiddefinixxu kunċetti "normali". It-tagħbija ta 'data storika darba tista' tħaffef it-taħriġ tal-mudell. Uħud mill-każijiet interessanti jistgħu jiġu identifikati aktar malajr bl-użu ta 'regoli milli bl-użu ta' tagħlim tal-magni b'ammont oerhört żgħir ta 'dejta inizjali.
  • Il-livell ta' sforz meħtieġ biex jinbena raggruppament dinamiku u profiling tal-kontijiet (servizz/persuna) jista' jvarja ħafna bejn is-soluzzjonijiet.

Sors: www.habr.com

Żid kumment