ProHoster > blog > internetnieuws > De UEBA-markt is dood - lang leve UEBA

De UEBA-markt is dood - lang leve UEBA

De UEBA-markt is dood - lang leve UEBA

Vandaag zullen we een kort overzicht geven van de markt voor gebruikers- en entiteitsgedragsanalyses (UEBA) op basis van de laatste stand van zaken Gartner-onderzoek. Volgens Gartner Hype Cycle for Threat-Facing Technologies bevindt de UEBA-markt zich op de bodem van de ‘desillusiefase’, wat de volwassenheid van de technologie aangeeft. Maar de paradox van de situatie ligt in de gelijktijdige algemene groei van investeringen in UEBA-technologieën en de verdwijnende markt van onafhankelijke UEBA-oplossingen. Gartner voorspelt dat UEBA onderdeel zal worden van de functionaliteit van gerelateerde informatiebeveiligingsoplossingen. De term ‘UEBA’ zal waarschijnlijk buiten gebruik raken en vervangen worden door een ander acroniem dat zich richt op een beperkter toepassingsgebied (bijvoorbeeld ‘user behavior analytics’), een vergelijkbaar toepassingsgebied (bijvoorbeeld ‘data analytics’), of simpelweg een nieuw modewoord (de term 'kunstmatige intelligentie' [AI] ziet er bijvoorbeeld interessant uit, hoewel deze voor moderne UEBA-fabrikanten geen enkele betekenis heeft).

De belangrijkste bevindingen uit het Gartner-onderzoek kunnen als volgt worden samengevat:

  • De volwassenheid van de markt voor gedragsanalyses van gebruikers en entiteiten wordt bevestigd door het feit dat deze technologieën door het middelgrote en grote bedrijfssegment worden gebruikt om een ​​aantal zakelijke problemen op te lossen;
  • De analysemogelijkheden van UEBA zijn ingebouwd in een breed scala aan gerelateerde informatiebeveiligingstechnologieën, zoals cloud access security brokers (CASB's), Identity Governance and Administration (IGA) SIEM-systemen;
  • De hype rond UEBA-leveranciers en het onjuiste gebruik van de term ‘kunstmatige intelligentie’ maakt het moeilijk voor klanten om het echte verschil tussen de technologieën van fabrikanten en de functionaliteit van oplossingen te begrijpen zonder een proefproject uit te voeren;
  • Klanten merken op dat de implementatietijd en het dagelijkse gebruik van UEBA-oplossingen arbeidsintensiever en tijdrovender kunnen zijn dan de fabrikant belooft, zelfs als alleen wordt gekeken naar basismodellen voor bedreigingsdetectie. Het toevoegen van aangepaste of edge-gebruiksscenario's kan uiterst moeilijk zijn en vereist expertise op het gebied van datawetenschap en -analyse.

Strategische marktontwikkelingsvoorspelling:

  • Tegen 2021 zal de markt voor systemen voor gebruikers- en entiteitsgedragsanalyse (UEBA) niet langer als een apart gebied bestaan ​​en zal deze verschuiven naar andere oplossingen met UEBA-functionaliteit;
  • Tegen 2020 zal 95% van alle UEBA-implementaties deel uitmaken van een breder beveiligingsplatform.

Definitie van UEBA-oplossingen

UEBA-oplossingen maken gebruik van ingebouwde analyses om de activiteit van gebruikers en andere entiteiten (zoals hosts, applicaties, netwerkverkeer en dataopslag) te evalueren.
Ze detecteren bedreigingen en potentiële incidenten, die doorgaans abnormale activiteiten vertegenwoordigen in vergelijking met het standaardprofiel en gedrag van gebruikers en entiteiten in vergelijkbare groepen gedurende een bepaalde periode.

De meest voorkomende gebruiksscenario's in het zakelijke segment zijn de detectie en reactie op bedreigingen, evenals de detectie en reactie op bedreigingen van binnenuit (meestal gecompromitteerde insiders; soms interne aanvallers).

UEBA is zoiets beslissingEn functie, ingebouwd in een specifieke tool:

  • De oplossing zijn fabrikanten van ‘pure’ UEBA-platforms, inclusief leveranciers die SIEM-oplossingen ook afzonderlijk verkopen. Gericht op een breed scala aan zakelijke problemen in gedragsanalyse van zowel gebruikers als entiteiten.
  • Embedded – Fabrikanten/divisies die UEBA-functies en -technologieën in hun oplossingen integreren. Meestal gericht op een meer specifieke reeks bedrijfsproblemen. In dit geval wordt UEBA gebruikt om het gedrag van gebruikers en/of entiteiten te analyseren.

Gartner bekijkt UEBA langs drie assen, waaronder probleemoplossers, analyses en gegevensbronnen (zie figuur).

De UEBA-markt is dood - lang leve UEBA

"Pure" UEBA-platforms versus ingebouwde UEBA

Gartner beschouwt een ‘puur’ UEBA-platform als oplossingen die:

  • een aantal specifieke problemen oplossen, zoals het monitoren van geprivilegieerde gebruikers of het uitvoeren van gegevens buiten de organisatie, en niet alleen het abstracte “monitoren van afwijkende gebruikersactiviteiten”;
  • het gebruik van complexe analyses met zich meebrengen, noodzakelijkerwijs gebaseerd op analytische basisbenaderingen;
  • het bieden van verschillende opties voor gegevensverzameling, waaronder zowel ingebouwde gegevensbronmechanismen als logbeheertools, Data Lake- en/of SIEM-systemen, zonder de verplichte noodzaak om afzonderlijke agenten in de infrastructuur in te zetten;
  • kunnen worden aangeschaft en ingezet als zelfstandige oplossingen, in plaats van dat ze daarin zijn opgenomen
    samenstelling van andere producten.

De onderstaande tabel vergelijkt de twee benaderingen.

Tabel 1. ‘Zuivere’ UEBA-oplossingen versus ingebouwde oplossingen

categorie "Pure" UEBA-platforms Andere oplossingen met ingebouwde UEBA
Probleem dat moet worden opgelost Analyse van gebruikersgedrag en entiteiten. Gebrek aan gegevens kan ervoor zorgen dat UEBA alleen het gedrag van gebruikers of entiteiten kan analyseren.
Probleem dat moet worden opgelost Dient om een ​​breed scala aan problemen op te lossen Gespecialiseerd in een beperkt takenpakket
Analytics Anomaliedetectie met behulp van verschillende analytische methoden - voornamelijk via statistische modellen en machinaal leren, samen met regels en handtekeningen. Wordt geleverd met ingebouwde analyses om gebruikers- en entiteitsactiviteiten te creëren en te vergelijken met de profielen van hen en collega's. Vergelijkbaar met pure UEBA, maar de analyse kan beperkt blijven tot alleen gebruikers en/of entiteiten.
Analytics Geavanceerde analytische mogelijkheden, niet alleen beperkt door regels. Bijvoorbeeld een clusteralgoritme met dynamische groepering van entiteiten. Vergelijkbaar met ‘pure’ UEBA, maar de entiteitsgroepering in sommige ingebedde dreigingsmodellen kan alleen handmatig worden gewijzigd.
Analytics Correlatie van activiteit en gedrag van gebruikers en andere entiteiten (bijvoorbeeld met behulp van Bayesiaanse netwerken) en aggregatie van individueel risicogedrag om afwijkende activiteit te identificeren. Vergelijkbaar met pure UEBA, maar de analyse kan beperkt blijven tot alleen gebruikers en/of entiteiten.
Data bronnen Het rechtstreeks ontvangen van gebeurtenissen over gebruikers en entiteiten uit gegevensbronnen via ingebouwde mechanismen of bestaande gegevensarchieven, zoals SIEM of Data Lake. Mechanismen voor het verkrijgen van gegevens zijn doorgaans alleen direct van aard en hebben alleen invloed op gebruikers en/of andere entiteiten. Gebruik geen logbeheertools / SIEM / Data Lake.
Data bronnen De oplossing moet niet alleen afhankelijk zijn van netwerkverkeer als de belangrijkste gegevensbron, en mag ook niet uitsluitend afhankelijk zijn van zijn eigen agenten om telemetrie te verzamelen. De oplossing kan zich alleen richten op netwerkverkeer (bijvoorbeeld NTA - analyse van netwerkverkeer) en/of zijn agenten gebruiken op eindapparaten (bijvoorbeeld hulpprogramma's voor werknemersbewaking).
Data bronnen Verzadiging van gebruikers-/entiteitsgegevens met context. Ondersteunt het verzamelen van gestructureerde gebeurtenissen in realtime, evenals gestructureerde/ongestructureerde samenhangende gegevens uit IT-directory's - bijvoorbeeld Active Directory (AD) of andere machinaal leesbare informatiebronnen (bijvoorbeeld HR-databases). Vergelijkbaar met pure UEBA, maar de reikwijdte van contextuele gegevens kan van geval tot geval verschillen. AD en LDAP zijn de meest voorkomende contextuele gegevensopslagplaatsen die worden gebruikt door ingebedde UEBA-oplossingen.
Beschikbaarheid Biedt de genoemde functies als zelfstandig product. Het is onmogelijk om ingebouwde UEBA-functionaliteit te kopen zonder een externe oplossing aan te schaffen waarin deze is ingebouwd.
Bron: Gartner (mei 2019)

Om bepaalde problemen op te lossen, kan ingebedde UEBA dus gebruik maken van fundamentele UEBA-analyses (bijvoorbeeld eenvoudig machinaal leren zonder toezicht), maar tegelijkertijd kan het, dankzij de toegang tot precies de noodzakelijke gegevens, over het algemeen effectiever zijn dan een “pure” UEBA-oplossing. Tegelijkertijd bieden ‘pure’ UEBA-platforms, zoals verwacht, complexere analyses als de belangrijkste knowhow vergeleken met de ingebouwde UEBA-tool. Deze resultaten zijn samengevat in Tabel 2.

Tabel 2. Het resultaat van de verschillen tussen “pure” en ingebouwde UEBA

categorie "Pure" UEBA-platforms Andere oplossingen met ingebouwde UEBA
Analytics Toepasbaarheid voor het oplossen van een verscheidenheid aan bedrijfsproblemen impliceert een meer universele reeks UEBA-functies met de nadruk op complexere analyse- en machine learning-modellen. Door zich te concentreren op een kleiner aantal bedrijfsproblemen, zijn zeer gespecialiseerde functies nodig die zich richten op toepassingsspecifieke modellen met eenvoudiger logica.
Analytics Voor elk toepassingsscenario is maatwerk van het analytische model noodzakelijk. Analytische modellen zijn vooraf geconfigureerd voor de tool waarin UEBA is ingebouwd. Een tool met ingebouwde UEBA behaalt over het algemeen snellere resultaten bij het oplossen van bepaalde bedrijfsproblemen.
Data bronnen Toegang tot databronnen vanuit alle hoeken van de bedrijfsinfrastructuur. Minder gegevensbronnen, meestal beperkt door de beschikbaarheid van agenten ervoor of door de tool zelf met UEBA-functies.
Data bronnen De informatie in elk logbestand kan beperkt zijn door de gegevensbron en bevat mogelijk niet alle noodzakelijke gegevens voor de gecentraliseerde UEBA-tool. De hoeveelheid en details van de ruwe gegevens die door de agent worden verzameld en naar UEBA worden verzonden, kunnen specifiek worden geconfigureerd.
Architectuur Het is een compleet UEBA-product voor een organisatie. Integratie is eenvoudiger met behulp van de mogelijkheden van een SIEM-systeem of Data Lake. Vereist een afzonderlijke set UEBA-functies voor elk van de oplossingen met ingebouwde UEBA. Geïntegreerde UEBA-oplossingen vereisen vaak het installeren van agents en het beheren van gegevens.
integratie In elk geval handmatige integratie van de UEBA-oplossing met andere tools. Stelt een organisatie in staat haar technologiestapel op te bouwen op basis van de ‘beste onder de analogen’-benadering. De belangrijkste bundels van UEBA-functies zijn door de fabrikant al in de tool zelf opgenomen. De UEBA-module is ingebouwd en kan niet worden verwijderd, zodat klanten deze niet kunnen vervangen door iets van zichzelf.
Bron: Gartner (mei 2019)

UEBA als een functie

UEBA wordt een onderdeel van end-to-end cyberbeveiligingsoplossingen die kunnen profiteren van aanvullende analyses. UEBA ligt ten grondslag aan deze oplossingen en biedt een krachtige laag geavanceerde analyses op basis van gedragspatronen van gebruikers en/of entiteiten.

De ingebouwde UEBA-functionaliteit is momenteel op de markt en is geïmplementeerd in de volgende oplossingen, gegroepeerd op technologische reikwijdte:

  • Gegevensgerichte audit en bescherming, zijn leveranciers die zich richten op het verbeteren van de beveiliging van gestructureerde en ongestructureerde gegevensopslag (ook wel DCAP genoemd).

    In deze categorie leveranciers merkt Gartner onder meer op: Varonis cyberbeveiligingsplatform, dat analyses van gebruikersgedrag biedt om veranderingen in ongestructureerde gegevensrechten, toegang en gebruik in verschillende informatieopslagplaatsen te monitoren.

  • CASB-systemen, dat bescherming biedt tegen verschillende bedreigingen in cloudgebaseerde SaaS-applicaties door de toegang tot clouddiensten voor ongewenste apparaten, gebruikers en applicatieversies te blokkeren met behulp van een adaptief toegangscontrolesysteem.

    Alle marktleidende CASB-oplossingen omvatten UEBA-mogelijkheden.

  • DLP-oplossingen – gericht op het opsporen van de overdracht van kritieke gegevens buiten de organisatie of het misbruik ervan.

    De vooruitgang op het gebied van DLP is grotendeels gebaseerd op het begrijpen van inhoud, met minder nadruk op het begrijpen van context zoals gebruiker, toepassing, locatie, tijd, snelheid van gebeurtenissen en andere externe factoren. Om effectief te zijn, moeten DLP-producten zowel inhoud als context herkennen. Dit is de reden waarom veel fabrikanten de UEBA-functionaliteit in hun oplossingen beginnen te integreren.

  • Toezicht op medewerkers is de mogelijkheid om acties van werknemers vast te leggen en af ​​te spelen, meestal in een gegevensformaat dat geschikt is voor juridische procedures (indien nodig).

    Het voortdurend monitoren van gebruikers genereert vaak een overweldigende hoeveelheid gegevens die handmatige filtering en menselijke analyse vereisen. Daarom wordt UEBA gebruikt binnen monitoringsystemen om de prestaties van deze oplossingen te verbeteren en alleen incidenten met een hoog risico te detecteren.

  • Eindpuntbeveiliging – Eindpuntdetectie- en responsoplossingen (EDR) en eindpuntbeschermingsplatforms (EPP) bieden krachtige instrumentatie en besturingssysteemtelemetrie om
    eind apparaten.

    Dergelijke gebruikersgerelateerde telemetrie kan worden geanalyseerd om ingebouwde UEBA-functionaliteit te bieden.

  • Onlinefraude – Online oplossingen voor fraudedetectie detecteren afwijkende activiteiten die erop wijzen dat het account van een klant is gecompromitteerd via een parodie, malware of misbruik van onbeveiligde verbindingen/onderschepping van browserverkeer.

    De meeste fraudeoplossingen maken gebruik van de essentie van UEBA, transactieanalyse en apparaatmeting, terwijl geavanceerdere systemen deze aanvullen door relaties in de identiteitsdatabase te matchen.

  • IAM en toegangscontrole – Gartner constateert een evolutionaire trend onder leveranciers van toegangscontrolesystemen om te integreren met pure leveranciers en enige UEBA-functionaliteit in hun producten in te bouwen.
  • IAM- en Identity Governance and Administration (IGA)-systemen gebruik UEBA voor scenario's voor gedrags- en identiteitsanalyse, zoals detectie van afwijkingen, analyse van dynamische groeperingen van vergelijkbare entiteiten, analyse van inloggegevens en analyse van toegangsbeleid.
  • IAM en Privileged Access Management (PAM) – Vanwege de rol van het monitoren van het gebruik van beheerdersaccounts, beschikken PAM-oplossingen over telemetrie om te laten zien hoe, waarom, wanneer en waar beheerdersaccounts zijn gebruikt. Deze gegevens kunnen met behulp van de ingebouwde functionaliteit van UEBA worden geanalyseerd op de aanwezigheid van afwijkend gedrag van beheerders of kwade bedoelingen.
  • Fabrikanten NTA (Netwerkverkeeranalyse) – gebruik een combinatie van machinaal leren, geavanceerde analyses en op regels gebaseerde detectie om verdachte activiteiten op bedrijfsnetwerken te identificeren.

    NTA-tools analyseren voortdurend bronverkeer en/of stroomrecords (bijv. NetFlow) om modellen te bouwen die normaal netwerkgedrag weerspiegelen, waarbij de nadruk vooral ligt op analyse van entiteitsgedrag.

  • SIEM – veel SIEM-leveranciers hebben nu geavanceerde data-analysefunctionaliteit ingebouwd in SIEM, of als een afzonderlijke UEBA-module. Gedurende 2018 en tot nu toe in 2019 is er sprake van een voortdurende vervaging van de grenzen tussen SIEM- en UEBA-functionaliteit, zoals besproken in het artikel "Technologisch inzicht voor de moderne SIEM". SIEM-systemen zijn beter geworden in het werken met analyses en het aanbieden van complexere toepassingsscenario's.

UEBA-toepassingsscenario's

UEBA-oplossingen kunnen een breed scala aan problemen oplossen. Klanten van Gartner zijn het er echter over eens dat de primaire gebruikssituatie het detecteren van verschillende categorieën bedreigingen omvat, wat wordt bereikt door frequente correlaties tussen gebruikersgedrag en andere entiteiten weer te geven en te analyseren:

  • ongeautoriseerde toegang en verplaatsing van gegevens;
  • verdacht gedrag van bevoorrechte gebruikers, kwaadwillige of ongeoorloofde activiteiten van werknemers;
  • niet-standaard toegang en gebruik van cloudbronnen;
  • и др.

Er zijn ook een aantal atypische gevallen van niet-cyberbeveiliging, zoals fraude of monitoring van werknemers, waarvoor UEBA gerechtvaardigd kan zijn. Ze hebben echter vaak gegevensbronnen nodig buiten de IT- en informatiebeveiliging, of specifieke analytische modellen met een diepgaand inzicht op dit gebied. De vijf belangrijkste scenario’s en toepassingen waarover zowel UEBA-fabrikanten als hun klanten het eens zijn, worden hieronder beschreven.

"Schadelijke insider"

Aanbieders van UEBA-oplossingen die dit scenario dekken, controleren alleen werknemers en vertrouwde contractanten op ongebruikelijk, ‘slecht’ of kwaadwillig gedrag. Leveranciers op dit expertisegebied monitoren of analyseren het gedrag van serviceaccounts of andere niet-menselijke entiteiten niet. Grotendeels hierdoor zijn ze niet gericht op het detecteren van geavanceerde bedreigingen waarbij hackers bestaande accounts overnemen. In plaats daarvan zijn ze gericht op het identificeren van werknemers die betrokken zijn bij schadelijke activiteiten.

In wezen komt het concept van een ‘kwaadwillige insider’ voort uit vertrouwde gebruikers met kwade bedoelingen die manieren zoeken om schade aan hun werkgever te berokkenen. Omdat kwade bedoelingen moeilijk te meten zijn, analyseren de beste leveranciers in deze categorie contextuele gedragsgegevens die niet gemakkelijk beschikbaar zijn in auditlogboeken.

Oplossingsaanbieders op dit gebied voegen ook optimaal ongestructureerde gegevens toe en analyseren deze, zoals e-mailinhoud, productiviteitsrapporten of sociale media-informatie, om context voor gedrag te bieden.

Gecompromitteerde insider- en opdringerige bedreigingen

De uitdaging is om ‘slecht’ gedrag snel te detecteren en analyseren zodra de aanvaller toegang heeft gekregen tot de organisatie en zich binnen de IT-infrastructuur begint te bewegen.
Assertieve bedreigingen (APT's), zoals onbekende of nog niet volledig begrepen bedreigingen, zijn uiterst moeilijk te detecteren en verbergen zich vaak achter legitieme gebruikersactiviteiten of serviceaccounts. Dergelijke bedreigingen hebben doorgaans een complex werkingsmodel (zie bijvoorbeeld het artikel “ Het aanpakken van de Cyber ​​Kill Chain") of hun gedrag is nog niet als schadelijk beoordeeld. Dit maakt ze moeilijk te detecteren met behulp van eenvoudige analyses (zoals het matchen op basis van patronen, drempels of correlatieregels).

Veel van deze opdringerige bedreigingen resulteren echter in afwijkend gedrag, waarbij vaak nietsvermoedende gebruikers of entiteiten (ook wel gecompromitteerde insiders genoemd) betrokken zijn. UEBA-technieken bieden verschillende interessante mogelijkheden om dergelijke bedreigingen te detecteren, de signaal-ruisverhouding te verbeteren, het meldingsvolume te consolideren en te verminderen, prioriteit te geven aan resterende waarschuwingen en effectieve incidentrespons en onderzoek te vergemakkelijken.

UEBA-leveranciers die zich op dit probleemgebied richten, beschikken vaak over bidirectionele integratie met de SIEM-systemen van de organisatie.

Gegevensexfiltratie

De taak in dit geval is om te detecteren dat gegevens buiten de organisatie worden overgedragen.
Leveranciers die zich op deze uitdaging richten, maken doorgaans gebruik van DLP- of DAG-mogelijkheden met anomaliedetectie en geavanceerde analyses, waardoor de signaal-ruisverhouding wordt verbeterd, het meldingsvolume wordt geconsolideerd en de resterende triggers worden geprioriteerd. Voor extra context vertrouwen leveranciers doorgaans zwaarder op netwerkverkeer (zoals webproxy's) en eindpuntgegevens, omdat analyse van deze gegevensbronnen kan helpen bij onderzoeken naar gegevensexfiltratie.

Detectie van gegevensexfiltratie wordt gebruikt om insiders en externe hackers te vangen die de organisatie bedreigen.

Identificatie en beheer van bevoorrechte toegang

Fabrikanten van onafhankelijke UEBA-oplossingen op dit vakgebied observeren en analyseren gebruikersgedrag tegen de achtergrond van een reeds gevormd rechtensysteem om buitensporige privileges of afwijkende toegang te identificeren. Dit geldt voor alle typen gebruikers en accounts, inclusief privileged- en serviceaccounts. Organisaties gebruiken UEBA ook om slapende accounts en gebruikersrechten te verwijderen die hoger zijn dan vereist.

Prioriteit voor incidenten

Het doel van deze taak is om prioriteit te geven aan meldingen die worden gegenereerd door oplossingen in hun technologiestapel, om te begrijpen welke incidenten of potentiële incidenten als eerste moeten worden aangepakt. De UEBA-methodologieën en -instrumenten zijn nuttig bij het identificeren van incidenten die bijzonder afwijkend of bijzonder gevaarlijk zijn voor een bepaalde organisatie. In dit geval maakt het UEBA-mechanisme niet alleen gebruik van het basisniveau van activiteiten en dreigingsmodellen, maar verzadigt het de gegevens ook met informatie over de organisatiestructuur van het bedrijf (bijvoorbeeld kritieke bronnen of rollen en toegangsniveaus van werknemers).

Problemen bij het implementeren van UEBA-oplossingen

De marktpijn van UEBA-oplossingen is hun hoge prijs, complexe implementatie, onderhoud en gebruik. Terwijl bedrijven worstelen met het aantal verschillende interne portalen, krijgen ze een nieuwe console. De omvang van de investering van tijd en middelen in een nieuwe tool hangt af van de uitdagingen die zich voordoen en de soorten analyses die nodig zijn om deze op te lossen, en vergen meestal grote investeringen.

In tegenstelling tot wat veel fabrikanten beweren, is UEBA geen ‘instellen en vergeten’-tool die dagenlang continu kan draaien.
Gartner-klanten merken bijvoorbeeld op dat het 3 tot 6 maanden duurt om een ​​UEBA-initiatief helemaal opnieuw te lanceren om de eerste resultaten te verkrijgen van het oplossen van de problemen waarvoor deze oplossing werd geïmplementeerd. Voor complexere taken, zoals het identificeren van bedreigingen van binnenuit in een organisatie, wordt de periode verlengd tot 18 maanden.

Factoren die van invloed zijn op de moeilijkheid van de implementatie van UEBA en de toekomstige effectiviteit van het instrument:

  • Complexiteit van organisatiearchitectuur, netwerktopologie en gegevensbeheerbeleid
  • Beschikbaarheid van de juiste data op het juiste detailniveau
  • De complexiteit van de analyse-algoritmen van de leverancier, bijvoorbeeld het gebruik van statistische modellen en machine learning versus eenvoudige patronen en regels.
  • De hoeveelheid vooraf geconfigureerde analyses die zijn inbegrepen, dat wil zeggen het inzicht van de fabrikant in welke gegevens voor elke taak moeten worden verzameld en welke variabelen en attributen het belangrijkst zijn om de analyse uit te voeren.
  • Hoe gemakkelijk het voor de fabrikant is om automatisch te integreren met de benodigde gegevens.

    Bijvoorbeeld:

    • Als een UEBA-oplossing een SIEM-systeem als de belangrijkste gegevensbron gebruikt, verzamelt de SIEM dan informatie uit de vereiste gegevensbronnen?
    • Kunnen de benodigde gebeurtenislogboeken en organisatorische contextgegevens naar een UEBA-oplossing worden gerouteerd?
    • Als het SIEM-systeem de gegevensbronnen die nodig zijn voor de UEBA-oplossing nog niet verzamelt en beheert, hoe kunnen deze dan daarheen worden overgebracht?

  • Hoe belangrijk is het toepassingsscenario voor de organisatie, hoeveel databronnen zijn daarvoor nodig en in hoeverre overlapt deze taak met het expertisegebied van de fabrikant.
  • Welke mate van organisatorische volwassenheid en betrokkenheid is vereist – bijvoorbeeld het creëren, ontwikkelen en verfijnen van regels en modellen; gewichten toekennen aan variabelen voor evaluatie; of het aanpassen van de risicobeoordelingsdrempel.
  • Hoe schaalbaar is de oplossing en de architectuur van de leverancier vergeleken met de huidige omvang van de organisatie en haar toekomstige vereisten.
  • Tijd om basismodellen, profielen en sleutelgroepen te bouwen. Fabrikanten hebben vaak minimaal 30 dagen (en soms tot 90 dagen) nodig om analyses uit te voeren voordat ze ‘normale’ concepten kunnen definiëren. Door historische gegevens één keer te laden, kunt u de modeltraining versnellen. Sommige van de interessante gevallen kunnen sneller worden geïdentificeerd met behulp van regels dan met behulp van machine learning met een ongelooflijk kleine hoeveelheid initiële gegevens.
  • Het inspanningsniveau dat nodig is om dynamische groeperingen en accountprofilering (dienst/persoon) op te bouwen, kan sterk variëren per oplossing.

Bron: www.habr.com

Voeg een reactie