ProHoster > Log > Internett-nyheter > UEBA-markedet er dødt – lenge leve UEBA

UEBA-markedet er dødt – lenge leve UEBA

UEBA-markedet er dødt – lenge leve UEBA

I dag vil vi gi en kort oversikt over markedet for bruker- og entitetsatferdsanalyse (UEBA) basert på det siste Gartner-forskning. UEBA-markedet er på bunnen av "desillusjonsstadiet" ifølge Gartner Hype Cycle for Threat-Facing Technologies, noe som indikerer modenhet av teknologien. Men situasjonens paradoks ligger i den samtidige generelle veksten av investeringer i UEBA-teknologier og det forsvinnende markedet for uavhengige UEBA-løsninger. Gartner spår at UEBA vil bli en del av funksjonaliteten til relaterte informasjonssikkerhetsløsninger. Begrepet "UEBA" vil sannsynligvis falle ut av bruk og bli erstattet av et annet akronym som fokuserer på et smalere applikasjonsområde (f.eks. "brukeratferdsanalyse"), et lignende applikasjonsområde (f.eks. "dataanalyse"), eller ganske enkelt bli noe nytt buzzword (for eksempel ser begrepet "kunstig intelligens" [AI] interessant ut, selv om det ikke gir noen mening for moderne UEBA-produsenter).

De viktigste funnene fra Gartner-studien kan oppsummeres som følger:

  • Modenheten til markedet for atferdsanalyse av brukere og enheter bekreftes av det faktum at disse teknologiene brukes av mellomstore og store bedriftssegmenter for å løse en rekke forretningsproblemer;
  • UEBAs analysefunksjoner er innebygd i et bredt spekter av relaterte informasjonssikkerhetsteknologier, for eksempel sikkerhetsmeglere for skytilgang (CASB), SIEM-systemer for identitetsstyring og -administrasjon (IGA);
  • Hypen rundt UEBA-leverandører og feil bruk av begrepet «kunstig intelligens» gjør det vanskelig for kunder å forstå den virkelige forskjellen mellom produsentenes teknologier og funksjonaliteten til løsningene uten å gjennomføre et pilotprosjekt;
  • Kunder merker seg at implementeringstiden og den daglige bruken av UEBA-løsninger kan være mer arbeidskrevende og tidkrevende enn produsenten lover, selv når de kun vurderer grunnleggende trusseldeteksjonsmodeller. Å legge til tilpassede eller avanserte brukstilfeller kan være ekstremt vanskelig og krever ekspertise innen datavitenskap og analyse.

Strategisk markedsutviklingsprognose:

  • Innen 2021 vil markedet for systemer for bruker- og entitetsatferdsanalyse (UEBA) slutte å eksistere som et eget område og vil skifte mot andre løsninger med UEBA-funksjonalitet;
  • Innen 2020 vil 95 % av alle UEBA-distribusjoner være en del av en bredere sikkerhetsplattform.

Definisjon av UEBA-løsninger

UEBA-løsninger bruker innebygde analyser for å evaluere aktiviteten til brukere og andre enheter (som verter, applikasjoner, nettverkstrafikk og datalagre).
De oppdager trusler og potensielle hendelser, som vanligvis representerer unormal aktivitet sammenlignet med standardprofilen og oppførselen til brukere og enheter i lignende grupper over en tidsperiode.

De vanligste brukstilfellene i bedriftssegmentet er trusseloppdagelse og respons, samt gjenkjenning og respons på innsidetrusler (for det meste kompromitterte innsidere; noen ganger interne angripere).

UEBA er som beslutningOg funksjon, innebygd i et spesifikt verktøy:

  • Løsningen er produsenter av «rene» UEBA-plattformer, inkludert leverandører som også selger SIEM-løsninger separat. Fokusert på et bredt spekter av forretningsproblemer i atferdsanalyse av både brukere og enheter.
  • Embedded – Produsenter/divisjoner som integrerer UEBA-funksjoner og -teknologier i sine løsninger. Vanligvis fokusert på et mer spesifikt sett med forretningsproblemer. I dette tilfellet brukes UEBA til å analysere atferden til brukere og/eller enheter.

Gartner ser på UEBA langs tre akser, inkludert problemløsere, analyser og datakilder (se figur).

UEBA-markedet er dødt – lenge leve UEBA

"Rene" UEBA-plattformer kontra innebygd UEBA

Gartner anser en "ren" UEBA-plattform for å være løsninger som:

  • løse flere spesifikke problemer, for eksempel overvåking av privilegerte brukere eller utdata utenfor organisasjonen, og ikke bare den abstrakte "overvåkingen av unormal brukeraktivitet";
  • involvere bruk av komplekse analyser, nødvendigvis basert på grunnleggende analytiske tilnærminger;
  • tilby flere alternativer for datainnsamling, inkludert både innebygde datakildemekanismer og fra loggadministrasjonsverktøy, Data Lake og/eller SIEM-systemer, uten det obligatoriske behovet for å distribuere separate agenter i infrastrukturen;
  • kan kjøpes og distribueres som frittstående løsninger i stedet for inkludert
    sammensetning av andre produkter.

Tabellen nedenfor sammenligner de to tilnærmingene.

Tabell 1. "Rene" UEBA-løsninger kontra innebygde

kategori "Rene" UEBA-plattformer Andre løsninger med innebygd UEBA
Problem som skal løses Analyse av brukeratferd og enheter. Mangel på data kan begrense UEBA til å analysere atferden til kun brukere eller enheter.
Problem som skal løses Tjener til å løse et bredt spekter av problemer Spesialiserer seg på et begrenset sett med oppgaver
Analytics Anomalideteksjon ved hjelp av ulike analytiske metoder – hovedsakelig gjennom statistiske modeller og maskinlæring, sammen med regler og signaturer. Leveres med innebygd analyse for å opprette og sammenligne bruker- og enhetsaktivitet med deres og kollegers profiler. Ligner på ren UEBA, men analyse kan begrenses til kun brukere og/eller enheter.
Analytics Avanserte analytiske evner, ikke bare begrenset av regler. For eksempel en klyngealgoritme med dynamisk gruppering av enheter. Ligner på "ren" UEBA, men enhetsgruppering i noen innebygde trusselmodeller kan bare endres manuelt.
Analytics Korrelasjon av aktivitet og atferd til brukere og andre enheter (for eksempel ved bruk av Bayesianske nettverk) og aggregering av individuell risikoatferd for å identifisere unormal aktivitet. Ligner på ren UEBA, men analyse kan begrenses til kun brukere og/eller enheter.
Datakilder Motta hendelser på brukere og enheter fra datakilder direkte gjennom innebygde mekanismer eller eksisterende datalagre, for eksempel SIEM eller Data lake. Mekanismer for å innhente data er vanligvis bare direkte og påvirker kun brukere og/eller andre enheter. Ikke bruk verktøy for loggadministrasjon / SIEM / Datainnsjø.
Datakilder Løsningen bør ikke bare stole på nettverkstrafikk som hovedkilde for data, og den bør heller ikke kun stole på sine egne agenter for å samle inn telemetri. Løsningen kan kun fokusere på nettverkstrafikk (for eksempel NTA - nettverkstrafikkanalyse) og/eller bruke sine agenter på sluttenheter (for eksempel ansattes overvåkingsverktøy).
Datakilder Mette bruker-/enhetsdata med kontekst. Støtter innsamling av strukturerte hendelser i sanntid, samt strukturerte/ustrukturerte sammenhengende data fra IT-kataloger – for eksempel Active Directory (AD), eller andre maskinlesbare informasjonsressurser (for eksempel HR-databaser). Ligner på ren UEBA, men omfanget av kontekstuelle data kan variere fra sak til sak. AD og LDAP er de vanligste kontekstuelle datalagrene som brukes av innebygde UEBA-løsninger.
tilgjengelighet Gir de oppførte funksjonene som et frittstående produkt. Det er umulig å kjøpe innebygd UEBA-funksjonalitet uten å kjøpe en ekstern løsning den er bygget i.
Kilde: Gartner (mai 2019)

For å løse visse problemer kan innebygd UEBA derfor bruke grunnleggende UEBA-analyse (for eksempel enkel uovervåket maskinlæring), men på samme tid, på grunn av tilgang til nøyaktig de nødvendige dataene, kan den generelt sett være mer effektiv enn en "ren" UEBA-løsning. Samtidig tilbyr «rene» UEBA-plattformer, som forventet, mer komplekse analyser som hovedkunnskap sammenlignet med det innebygde UEBA-verktøyet. Disse resultatene er oppsummert i tabell 2.

Tabell 2. Resultatet av forskjellene mellom «ren» og innebygd UEBA

kategori "Rene" UEBA-plattformer Andre løsninger med innebygd UEBA
Analytics Anvendbarhet for å løse en rekke forretningsproblemer innebærer et mer universelt sett med UEBA-funksjoner med vekt på mer komplekse analyser og maskinlæringsmodeller. Å fokusere på et mindre sett med forretningsproblemer betyr høyspesialiserte funksjoner som fokuserer på applikasjonsspesifikke modeller med enklere logikk.
Analytics Tilpasning av den analytiske modellen er nødvendig for hvert applikasjonsscenario. Analytiske modeller er forhåndskonfigurert for verktøyet som har UEBA innebygd. Et verktøy med innebygd UEBA oppnår generelt raskere resultater når det gjelder å løse visse forretningsproblemer.
Datakilder Tilgang til datakilder fra alle hjørner av bedriftens infrastruktur. Færre datakilder, vanligvis begrenset av tilgjengeligheten av agenter for dem eller selve verktøyet med UEBA-funksjoner.
Datakilder Informasjonen i hver logg kan være begrenset av datakilden og inneholder kanskje ikke alle nødvendige data for det sentraliserte UEBA-verktøyet. Mengden og detaljene for rådataene som samles inn av agenten og overføres til UEBA, kan konfigureres spesifikt.
arkitektur Det er et komplett UEBA-produkt for en organisasjon. Integrasjon er enklere ved å bruke egenskapene til et SIEM-system eller Data Lake. Krever et eget sett med UEBA-funksjoner for hver av løsningene som har innebygd UEBA. Innebygde UEBA-løsninger krever ofte installasjon av agenter og administrasjon av data.
integrering Manuell integrasjon av UEBA-løsningen med andre verktøy i hvert enkelt tilfelle. Lar en organisasjon bygge sin teknologistabel basert på "best blant analoger"-tilnærmingen. Hovedpakkene med UEBA-funksjoner er allerede inkludert i selve verktøyet av produsenten. UEBA-modulen er innebygd og kan ikke fjernes, så kundene kan ikke erstatte den med noe eget.
Kilde: Gartner (mai 2019)

UEBA som en funksjon

UEBA er i ferd med å bli en funksjon av ende-til-ende cybersikkerhetsløsninger som kan dra nytte av ytterligere analyser. UEBA ligger til grunn for disse løsningene, og gir et kraftig lag med avansert analyse basert på bruker- og/eller enhetsadferdsmønstre.

For tiden på markedet er den innebygde UEBA-funksjonaliteten implementert i følgende løsninger, gruppert etter teknologisk omfang:

  • Datafokusert revisjon og beskyttelse, er leverandører som fokuserer på å forbedre sikkerheten til strukturert og ustrukturert datalagring (også kalt DCAP).

    I denne kategorien av leverandører bemerker Gartner bl.a. Varonis cybersikkerhetsplattform, som tilbyr brukeratferdsanalyse for å overvåke endringer i ustrukturerte datatillatelser, tilgang og bruk på tvers av forskjellige informasjonslagre.

  • CASB-systemer, som tilbyr beskyttelse mot ulike trusler i skybaserte SaaS-applikasjoner ved å blokkere tilgang til skytjenester for uønskede enheter, brukere og applikasjonsversjoner ved hjelp av et adaptivt tilgangskontrollsystem.

    Alle markedsledende CASB-løsninger inkluderer UEBA-funksjoner.

  • DLP-løsninger – fokusert på å oppdage overføring av kritiske data utenfor organisasjonen eller misbruk av den.

    DLP-fremskritt er i stor grad basert på å forstå innhold, med mindre fokus på å forstå kontekst som bruker, applikasjon, plassering, tid, hendelseshastighet og andre eksterne faktorer. For å være effektive må DLP-produkter gjenkjenne både innhold og kontekst. Dette er grunnen til at mange produsenter begynner å integrere UEBA-funksjonalitet i sine løsninger.

  • Overvåking av ansatte er evnen til å registrere og spille av ansattes handlinger, vanligvis i et dataformat som er egnet for rettslige prosesser (om nødvendig).

    Konstant overvåking av brukere genererer ofte en overveldende mengde data som krever manuell filtrering og menneskelig analyse. Derfor brukes UEBA i overvåkingssystemer for å forbedre ytelsen til disse løsningene og kun oppdage høyrisikohendelser.

  • Endpoint Security – Endpoint detection and response (EDR)-løsninger og endepunktbeskyttelsesplattformer (EPP) gir kraftig instrumentering og operativsystem-telemetri til
    sluttenheter.

    Slik brukerrelatert telemetri kan analyseres for å gi innebygd UEBA-funksjonalitet.

  • Nettsvindel – Online svindeloppdagingsløsninger oppdager avvikende aktivitet som indikerer kompromittering av en kundes konto gjennom forfalskning, skadelig programvare eller utnyttelse av usikrede tilkoblinger/nettlesertrafikkavskjæring.

    De fleste svindelløsninger bruker essensen av UEBA, transaksjonsanalyse og enhetsmåling, med mer avanserte systemer som utfyller dem ved å matche relasjoner i identitetsdatabasen.

  • IAM og tilgangskontroll – Gartner noterer seg en evolusjonær trend blant leverandører av adgangskontrollsystemer til å integrere med rene leverandører og bygge noe UEBA-funksjonalitet inn i produktene deres.
  • IAM og Identity Governance and Administration (IGA) systemer bruk UEBA til å dekke atferds- og identitetsanalysescenarier som avviksdeteksjon, dynamisk grupperingsanalyse av lignende enheter, påloggingsanalyse og tilgangspolicyanalyse.
  • IAM og Privileged Access Management (PAM) – På grunn av rollen som overvåking av bruken av administrative kontoer, har PAM-løsninger telemetri for å vise hvordan, hvorfor, når og hvor administrative kontoer ble brukt. Disse dataene kan analyseres ved hjelp av den innebygde funksjonaliteten til UEBA for tilstedeværelse av unormal oppførsel fra administratorer eller ondsinnet hensikt.
  • Produsenter NTA (Network Traffic Analysis) – bruk en kombinasjon av maskinlæring, avansert analyse og regelbasert deteksjon for å identifisere mistenkelig aktivitet på bedriftsnettverk.

    NTA-verktøy analyserer kontinuerlig kildetrafikk og/eller flytposter (f.eks. NetFlow) for å bygge modeller som reflekterer normal nettverksatferd, primært med fokus på analyse av enhetsatferd.

  • siem – mange SIEM-leverandører har nå avansert dataanalysefunksjonalitet innebygd i SIEM, eller som en separat UEBA-modul. Gjennom 2018 og så langt i 2019 har det vært en kontinuerlig utvisking av grensene mellom SIEM- og UEBA-funksjonalitet, som diskutert i artikkelen "Teknologiinnsikt for moderne SIEM". SIEM-systemer har blitt bedre til å jobbe med analyser og tilby mer komplekse applikasjonsscenarier.

UEBA Application Scenarios

UEBA-løsninger kan løse en lang rekke problemer. Gartner-kunder er imidlertid enige om at den primære brukssaken innebærer å oppdage ulike kategorier av trusler, oppnådd ved å vise og analysere hyppige korrelasjoner mellom brukeratferd og andre enheter:

  • uautorisert tilgang og bevegelse av data;
  • mistenkelig oppførsel av privilegerte brukere, ondsinnet eller uautorisert aktivitet av ansatte;
  • ikke-standard tilgang og bruk av skyressurser;
  • etc.

Det er også en rekke atypiske ikke-cybersikkerhetsbrukssaker, for eksempel svindel eller overvåking av ansatte, som UEBA kan være berettiget for. Imidlertid krever de ofte datakilder utenfor IT og informasjonssikkerhet, eller spesifikke analytiske modeller med en dyp forståelse av dette området. De fem hovedscenarioene og applikasjonene som både UEBA-produsentene og deres kunder er enige om er beskrevet nedenfor.

"ondsinnet insider"

UEBA-løsningsleverandører som dekker dette scenariet overvåker kun ansatte og pålitelige kontraktører for uvanlig, "dårlig" eller ondsinnet oppførsel. Leverandører innen dette ekspertiseområdet overvåker eller analyserer ikke oppførselen til tjenestekontoer eller andre ikke-menneskelige enheter. Stort sett på grunn av dette er de ikke fokusert på å oppdage avanserte trusler der hackere tar over eksisterende kontoer. I stedet er de rettet mot å identifisere ansatte som er involvert i skadelige aktiviteter.

I hovedsak stammer konseptet med en "ondsinnet insider" fra pålitelige brukere med ondsinnet hensikt som søker måter å forårsake skade på arbeidsgiveren sin. Fordi ondsinnet hensikt er vanskelig å måle, analyserer de beste leverandørene i denne kategorien kontekstuelle atferdsdata som ikke er lett tilgjengelige i revisjonslogger.

Løsningsleverandører i dette området legger også optimalt til og analyserer ustrukturerte data, for eksempel e-postinnhold, produktivitetsrapporter eller informasjon om sosiale medier, for å gi kontekst for atferd.

Kompromitterte innsidere og påtrengende trusler

Utfordringen er å raskt oppdage og analysere «dårlig» atferd når angriperen har fått tilgang til organisasjonen og begynner å bevege seg innenfor IT-infrastrukturen.
Assertive trusler (APTs), som ukjente eller ennå ikke fullt forståtte trusler, er ekstremt vanskelig å oppdage og skjuler seg ofte bak legitim brukeraktivitet eller tjenestekontoer. Slike trusler har vanligvis en kompleks driftsmodell (se for eksempel artikkelen " Adressering av Cyber ​​​​Kill Chain") eller atferden deres ennå ikke er vurdert som skadelig. Dette gjør dem vanskelige å oppdage ved hjelp av enkle analyser (som matching etter mønstre, terskler eller korrelasjonsregler).

Imidlertid resulterer mange av disse påtrengende truslene i ikke-standard oppførsel, ofte involverer intetanende brukere eller enheter (aka kompromitterte innsidere). UEBA-teknikker tilbyr flere interessante muligheter for å oppdage slike trusler, forbedre signal-til-støy-forholdet, konsolidere og redusere varslingsvolumet, prioritere gjenværende varsler og legge til rette for effektiv respons og etterforskning av hendelser.

UEBA-leverandører som retter seg mot dette problemområdet har ofte toveis integrasjon med organisasjonens SIEM-systemer.

Dataeksfiltrering

Oppgaven i dette tilfellet er å oppdage det faktum at data overføres utenfor organisasjonen.
Leverandører som fokuserer på denne utfordringen utnytter vanligvis DLP- eller DAG-funksjoner med anomalideteksjon og avansert analyse, og forbedrer dermed signal-til-støy-forholdet, konsoliderer varslingsvolumet og prioriterer gjenværende utløsere. For ytterligere kontekst er leverandører vanligvis mer avhengige av nettverkstrafikk (som nettproxyer) og endepunktdata, ettersom analyse av disse datakildene kan hjelpe til med dataeksfiltreringsundersøkelser.

Deteksjon av dataeksfiltrering brukes til å fange innsidere og eksterne hackere som truer organisasjonen.

Identifikasjon og administrasjon av privilegert tilgang

Produsenter av uavhengige UEBA-løsninger innen dette ekspertiseområdet observerer og analyserer brukeratferd på bakgrunn av et allerede dannet rettighetssystem for å identifisere overdrevne privilegier eller unormal tilgang. Dette gjelder alle typer brukere og kontoer, inkludert privilegerte kontoer og tjenestekontoer. Organisasjoner bruker også UEBA for å kvitte seg med sovende kontoer og brukerrettigheter som er høyere enn nødvendig.

Hendelsesprioritering

Målet med denne oppgaven er å prioritere varslinger generert av løsninger i deres teknologistabel for å forstå hvilke hendelser eller potensielle hendelser som bør adresseres først. UEBAs metoder og verktøy er nyttige for å identifisere hendelser som er spesielt unormale eller spesielt farlige for en gitt organisasjon. I dette tilfellet bruker UEBA-mekanismen ikke bare basisnivået for aktivitet og trusselmodeller, men metter også dataene med informasjon om organisasjonsstrukturen til selskapet (for eksempel kritiske ressurser eller roller og tilgangsnivåer for ansatte).

Problemer med å implementere UEBA-løsninger

Markedssmerten med UEBA-løsninger er deres høye pris, komplekse implementering, vedlikehold og bruk. Mens bedrifter sliter med antall ulike interne portaler, får de enda en konsoll. Størrelsen på investeringen av tid og ressurser i et nytt verktøy avhenger av oppgavene og hvilke typer analyser som trengs for å løse dem, og krever som oftest store investeringer.

I motsetning til hva mange produsenter hevder, er ikke UEBA et "sett det og glem det"-verktøy som deretter kan kjøre kontinuerlig i flere dager.
Gartner-kunder, for eksempel, merker seg at det tar fra 3 til 6 måneder å lansere et UEBA-initiativ fra bunnen av for å oppnå de første resultatene av å løse problemene som denne løsningen ble implementert for. For mer komplekse oppgaver, som å identifisere innsidetrusler i en organisasjon, øker perioden til 18 måneder.

Faktorer som påvirker vanskeligheten med å implementere UEBA og den fremtidige effektiviteten til verktøyet:

  • Kompleksiteten til organisasjonsarkitektur, nettverkstopologi og retningslinjer for dataadministrasjon
  • Tilgjengelighet av riktig data på riktig detaljnivå
  • Kompleksiteten til leverandørens analytiske algoritmer – for eksempel bruk av statistiske modeller og maskinlæring versus enkle mønstre og regler.
  • Mengden forhåndskonfigurerte analyser inkludert – det vil si produsentens forståelse av hvilke data som må samles inn for hver oppgave og hvilke variabler og attributter som er viktigst for å utføre analysen.
  • Hvor enkelt det er for produsenten å automatisk integrere med de nødvendige dataene.

    For eksempel:

    • Hvis en UEBA-løsning bruker et SIEM-system som hovedkilde for sine data, samler SIEM inn informasjon fra de nødvendige datakildene?
    • Kan de nødvendige hendelsesloggene og organisatoriske kontekstdata rutes til en UEBA-løsning?
    • Hvis SIEM-systemet ennå ikke samler inn og kontrollerer datakildene som trengs av UEBA-løsningen, hvordan kan de så overføres dit?

  • Hvor viktig er applikasjonsscenarioet for organisasjonen, hvor mange datakilder krever det, og hvor mye overlapper denne oppgaven med produsentens kompetanseområde.
  • Hvilken grad av organisatorisk modenhet og involvering kreves – for eksempel opprettelse, utvikling og foredling av regler og modeller; å tildele vekter til variabler for evaluering; eller justering av terskelen for risikovurdering.
  • Hvor skalerbar er leverandørens løsning og dens arkitektur sammenlignet med dagens størrelse på organisasjonen og dens fremtidige krav.
  • På tide å bygge grunnleggende modeller, profiler og nøkkelgrupper. Produsenter krever ofte minst 30 dager (og noen ganger opptil 90 dager) for å utføre analyser før de kan definere "normale" konsepter. Å laste inn historiske data én gang kan øke hastigheten på modelltrening. Noen av de interessante tilfellene kan identifiseres raskere ved hjelp av regler enn å bruke maskinlæring med en utrolig liten mengde innledende data.
  • Innsatsnivået som kreves for å bygge dynamisk gruppering og kontoprofilering (tjeneste/person) kan variere mye mellom løsninger.

Kilde: www.habr.com

Legg til en kommentar