ProHoster > Blog > wiadomości internetowe > Rynek UEBA jest martwy – niech żyje UEBA

Rynek UEBA jest martwy – niech żyje UEBA

Rynek UEBA jest martwy – niech żyje UEBA

Dzisiaj przedstawimy krótki przegląd rynku User and Entity Behavioral Analytics (UEBA) w oparciu o najnowsze informacje Badania Gartnera. Według Gartner Hype Cycle for Threat-Facing Technologies, rynek UEBA znajduje się na samym dole „etapu rozczarowania”, co wskazuje na dojrzałość technologii. Paradoks sytuacji polega jednak na jednoczesnym ogólnym wzroście inwestycji w technologie UEBA i zanikaniu rynku niezależnych rozwiązań UEBA. Gartner przewiduje, że UEBA stanie się częścią funkcjonalności powiązanych rozwiązań z zakresu bezpieczeństwa informacji. Termin „UEBA” prawdopodobnie wyjdzie z użycia i zostanie zastąpiony innym akronimem skupiającym się na węższym obszarze zastosowań (np. „analityka zachowań użytkowników”), podobnym obszarze zastosowań (np. „analityka danych”) lub po prostu stanie się pewnym nowe modne hasło (np. termin „sztuczna inteligencja” [AI] wygląda interesująco, choć dla współczesnych producentów UEBA nie ma żadnego sensu).

Najważniejsze wnioski z badania Gartnera można podsumować w następujący sposób:

  • Dojrzałość rynku analityki behawioralnej użytkowników i podmiotów potwierdza fakt, że technologie te wykorzystywane są przez segment średnich i dużych przedsiębiorstw do rozwiązywania szeregu problemów biznesowych;
  • Możliwości analityczne UEBA są wbudowane w szeroką gamę powiązanych technologii bezpieczeństwa informacji, takich jak brokerzy bezpieczeństwa dostępu do chmury (CASB), systemy zarządzania i administrowania tożsamością (IGA) SIEM;
  • Szum wokół dostawców UEBA i błędne użycie terminu „sztuczna inteligencja” sprawia, że ​​klientom trudno jest zrozumieć prawdziwą różnicę pomiędzy technologiami producentów a funkcjonalnością rozwiązań bez przeprowadzenia projektu pilotażowego;
  • Klienci zauważają, że czas wdrożenia i codzienne użytkowanie rozwiązań UEBA może być bardziej pracochłonne i czasochłonne, niż obiecuje producent, nawet przy uwzględnieniu jedynie podstawowych modeli wykrywania zagrożeń. Dodawanie niestandardowych lub brzegowych przypadków użycia może być niezwykle trudne i wymagać specjalistycznej wiedzy w zakresie nauki i analityki danych.

Strategiczna prognoza rozwoju rynku:

  • Do 2021 roku rynek systemów analityki behawioralnej użytkowników i podmiotów (UEBA) przestanie istnieć jako odrębny obszar i przesunie się w stronę innych rozwiązań z funkcjonalnością UEBA;
  • Do 2020 r. 95% wszystkich wdrożeń UEBA będzie stanowić część szerszej platformy bezpieczeństwa.

Definicja rozwiązań UEBA

Rozwiązania UEBA wykorzystują wbudowaną analitykę do oceny aktywności użytkowników i innych podmiotów (takich jak hosty, aplikacje, ruch sieciowy i magazyny danych).
Wykrywają zagrożenia i potencjalne incydenty, zazwyczaj reprezentujące anomalną aktywność w porównaniu ze standardowym profilem i zachowaniem użytkowników i podmiotów w podobnych grupach na przestrzeni czasu.

Najczęstszymi przypadkami użycia w segmencie przedsiębiorstw są wykrywanie zagrożeń i reagowanie na nie, a także wykrywanie i reagowanie na zagrożenia wewnętrzne (głównie osoby mające dostęp do poufnych informacji, czasami osoby atakujące wewnętrznie).

UEBA jest jak decyzjaI funkcjonować, wbudowany w konkretne narzędzie:

  • Rozwiązaniem są producenci „czystych” platform UEBA, w tym dostawcy, którzy również osobno sprzedają rozwiązania SIEM. Koncentruje się na szerokim spektrum problemów biznesowych w analityce behawioralnej zarówno użytkowników, jak i podmiotów.
  • Embedded – producenci/oddziały integrujące funkcje i technologie UEBA w swoich rozwiązaniach. Zwykle koncentruje się na bardziej konkretnym zestawie problemów biznesowych. W tym przypadku UEBA służy do analizy zachowań użytkowników i/lub podmiotów.

Gartner postrzega UEBA w trzech osiach, obejmujących rozwiązania problemów, analizy i źródła danych (patrz rysunek).

Rynek UEBA jest martwy – niech żyje UEBA

„Czyste” platformy UEBA kontra wbudowane UEBA

Gartner za „czystą” platformę UEBA uważa rozwiązania, które:

  • rozwiązać kilka konkretnych problemów, takich jak monitorowanie użytkowników uprzywilejowanych lub wysyłanie danych na zewnątrz organizacji, a nie tylko abstrakcyjne „monitorowanie nietypowej aktywności użytkowników”;
  • wymagać stosowania złożonej analityki, koniecznie opartej na podstawowych podejściach analitycznych;
  • zapewniają kilka opcji gromadzenia danych, obejmujących zarówno wbudowane mechanizmy źródeł danych, jak i z narzędzi do zarządzania logami, systemy Data Lake i/lub SIEM, bez obowiązkowej konieczności wdrażania oddzielnych agentów w infrastrukturze;
  • Można je kupić i wdrożyć jako rozwiązania samodzielne, a nie dołączone do nich
    skład innych produktów.

Poniższa tabela porównuje oba podejścia.

Tabela 1. Rozwiązania „czyste” UEBA vs rozwiązania wbudowane

kategoria „Czyste” platformy UEBA Inne rozwiązania z wbudowanym UEBA
Problem do rozwiązania Analiza zachowań i podmiotów użytkowników. Brak danych może ograniczyć UEBA do analizy zachowań jedynie użytkowników lub podmiotów.
Problem do rozwiązania Służy do rozwiązywania szerokiego zakresu problemów Specjalizuje się w ograniczonym zestawie zadań
Analityka Wykrywanie anomalii przy użyciu różnych metod analitycznych – głównie poprzez modele statystyczne i uczenie maszynowe wraz z regułami i sygnaturami. Zawiera wbudowane narzędzia analityczne umożliwiające tworzenie i porównywanie aktywności użytkowników i podmiotów z profilami ich i współpracowników. Podobny do czystego UEBA, ale analizę można ograniczyć tylko do użytkowników i/lub podmiotów.
Analityka Zaawansowane możliwości analityczne, nie ograniczone jedynie regułami. Na przykład algorytm grupowania z dynamicznym grupowaniem jednostek. Podobny do „czystego” UEBA, ale grupowanie jednostek w niektórych wbudowanych modelach zagrożeń można zmienić tylko ręcznie.
Analityka Korelacja aktywności i zachowań użytkowników i innych podmiotów (np. przy wykorzystaniu sieci Bayesa) oraz agregacja indywidualnych zachowań ryzykownych w celu identyfikacji anomalnej aktywności. Podobny do czystego UEBA, ale analizę można ograniczyć tylko do użytkowników i/lub podmiotów.
Źródła danych Odbieranie zdarzeń dotyczących użytkowników i podmiotów ze źródeł danych bezpośrednio poprzez wbudowane mechanizmy lub istniejące magazyny danych, takie jak SIEM czy Data Lake. Mechanizmy pozyskiwania danych mają zazwyczaj wyłącznie charakter bezpośredni i dotyczą wyłącznie użytkowników i/lub innych podmiotów. Nie używaj narzędzi do zarządzania logami / SIEM / Data Lake.
Źródła danych Rozwiązanie nie powinno opierać się wyłącznie na ruchu sieciowym jako głównym źródle danych, ani nie powinno polegać wyłącznie na własnych agentach do gromadzenia danych telemetrycznych. Rozwiązanie może skupiać się wyłącznie na ruchu sieciowym (np. NTA - analiza ruchu sieciowego) i/lub wykorzystywać swoich agentów na urządzeniach końcowych (np. narzędzia monitorujące pracowników).
Źródła danych Nasycanie danych użytkownika/podmiotu kontekstem. Obsługuje gromadzenie ustrukturyzowanych zdarzeń w czasie rzeczywistym, a także ustrukturyzowanych/nieustrukturyzowanych spójnych danych z katalogów IT - na przykład Active Directory (AD) lub innych zasobów informacyjnych do odczytu maszynowego (na przykład baz danych HR). Podobny do czystego UEBA, ale zakres danych kontekstowych może się różnić w zależności od przypadku. AD i LDAP to najpopularniejsze magazyny danych kontekstowych wykorzystywane przez wbudowane rozwiązania UEBA.
Dostępność Zapewnia wymienione funkcje jako samodzielny produkt. Nie ma możliwości zakupu wbudowanej funkcjonalności UEBA bez zakupu rozwiązania zewnętrznego, w którym jest ona zbudowana.
Źródło: Gartner (maj 2019)

Tym samym, aby rozwiązać pewne problemy, wbudowany UEBA może wykorzystywać podstawową analitykę UEBA (na przykład proste uczenie maszynowe bez nadzoru), ale jednocześnie, dzięki dostępowi do dokładnie niezbędnych danych, może być ogólnie bardziej efektywny niż „czysty” Rozwiązanie UEBA. Jednocześnie, zgodnie z oczekiwaniami, „czyste” platformy UEBA oferują bardziej złożoną analitykę jako główne know-how w porównaniu z wbudowanym narzędziem UEBA. Wyniki te podsumowano w tabeli 2.

Tabela 2. Wynik różnic pomiędzy „czystym” i wbudowanym UEBA

kategoria „Czyste” platformy UEBA Inne rozwiązania z wbudowanym UEBA
Analityka Możliwość zastosowania do rozwiązywania różnorodnych problemów biznesowych implikuje bardziej uniwersalny zestaw funkcji UEBA z naciskiem na bardziej złożone modele analityczne i uczenia maszynowego. Skoncentrowanie się na mniejszym zestawie problemów biznesowych oznacza wysoce wyspecjalizowane funkcje, które skupiają się na modelach specyficznych dla aplikacji z prostszą logiką.
Analityka Dostosowanie modelu analitycznego jest konieczne dla każdego scenariusza zastosowania. Modele analityczne są wstępnie skonfigurowane dla narzędzia, które ma wbudowane UEBA. Narzędzie z wbudowanym UEBA zazwyczaj osiąga szybsze wyniki w rozwiązywaniu niektórych problemów biznesowych.
Źródła danych Dostęp do źródeł danych ze wszystkich zakątków infrastruktury korporacyjnej. Mniejsza ilość źródeł danych, zwykle ograniczona dostępnością agentów dla nich lub samego narzędzia z funkcjami UEBA.
Źródła danych Informacje zawarte w każdym logu mogą być ograniczone przez źródło danych i mogą nie zawierać wszystkich danych niezbędnych dla scentralizowanego narzędzia UEBA. Ilość i szczegółowość surowych danych zbieranych przez agenta i przesyłanych do UEBA można szczegółowo skonfigurować.
Architektura Jest to kompletny produkt UEBA dla organizacji. Integracja jest łatwiejsza dzięki możliwościom systemu SIEM lub Data Lake. Wymaga osobnego zestawu funkcji UEBA dla każdego z rozwiązań, które mają wbudowane UEBA. Wbudowane rozwiązania UEBA często wymagają instalacji agentów i zarządzania danymi.
integracja W każdym przypadku ręczna integracja rozwiązania UEBA z innymi narzędziami. Umożliwia organizacji budowanie stosu technologii w oparciu o podejście „najlepsze spośród analogów”. Główne pakiety funkcji UEBA są już zawarte w samym narzędziu przez producenta. Moduł UEBA jest wbudowany i nie można go usunąć, dlatego klienci nie mają możliwości zastąpienia go czymś własnym.
Źródło: Gartner (maj 2019)

UEBA jako funkcja

UEBA staje się elementem kompleksowych rozwiązań w zakresie cyberbezpieczeństwa, które mogą korzystać z dodatkowych analiz. UEBA leży u podstaw tych rozwiązań, zapewniając potężną warstwę zaawansowanej analityki opartej na wzorcach zachowań użytkowników i/lub podmiotów.

Obecnie na rynku wbudowana funkcjonalność UEBA jest realizowana w następujących rozwiązaniach, pogrupowanych ze względu na zakres technologiczny:

  • Audyt i ochrona skoncentrowana na danych, to dostawcy skupiający się na poprawie bezpieczeństwa strukturalnych i nieustrukturyzowanych systemów przechowywania danych (inaczej DCAP).

    Gartner zauważa, że ​​w tej kategorii dostawców m.in. Platforma cyberbezpieczeństwa Varonis, która oferuje analizę zachowań użytkowników w celu monitorowania zmian w uprawnieniach, dostępie i wykorzystaniu danych nieustrukturyzowanych w różnych magazynach informacji.

  • Systemy CASB, oferujący ochronę przed różnymi zagrożeniami w aplikacjach SaaS opartych na chmurze poprzez blokowanie dostępu do usług chmurowych dla niechcianych urządzeń, użytkowników i wersji aplikacji za pomocą adaptacyjnego systemu kontroli dostępu.

    Wszystkie wiodące na rynku rozwiązania CASB zawierają funkcje UEBA.

  • Rozwiązania DLP – ukierunkowane na wykrywanie przekazania krytycznych danych poza organizację lub ich nadużycia.

    Postępy DLP opierają się w dużej mierze na zrozumieniu treści, a mniejszy nacisk na zrozumienie kontekstu, takiego jak użytkownik, aplikacja, lokalizacja, czas, prędkość zdarzeń i inne czynniki zewnętrzne. Aby produkty DLP były skuteczne, muszą rozpoznawać zarówno treść, jak i kontekst. Dlatego wielu producentów zaczyna integrować funkcjonalność UEBA w swoich rozwiązaniach.

  • Monitorowanie pracowników to możliwość rejestrowania i odtwarzania działań pracowników, zwykle w formacie danych odpowiednim dla postępowań sądowych (jeśli jest to konieczne).

    Ciągłe monitorowanie użytkowników często generuje przytłaczającą ilość danych, które wymagają ręcznego filtrowania i analizy ludzkiej. Dlatego UEBA jest wykorzystywana wewnątrz systemów monitorowania w celu poprawy wydajności tych rozwiązań i wykrywania jedynie incydentów wysokiego ryzyka.

  • Bezpieczeństwo punktów końcowych – Rozwiązania do wykrywania i reagowania punktów końcowych (EDR) oraz platformy ochrony punktów końcowych (EPP) zapewniają zaawansowane instrumentarium i telemetrię systemu operacyjnego do
    urządzenia końcowe.

    Taka telemetria związana z użytkownikiem może być analizowana w celu zapewnienia wbudowanej funkcjonalności UEBA.

  • Oszustwo w Internecie – Rozwiązania do wykrywania oszustw online wykrywają odbiegające od normy działania, które wskazują na naruszenie konta klienta poprzez fałszerstwo, złośliwe oprogramowanie lub wykorzystanie niezabezpieczonych połączeń/przechwytywanie ruchu przeglądarki.

    Większość rozwiązań oszustw wykorzystuje istotę UEBA, analizę transakcji i pomiar urządzeń, a bardziej zaawansowane systemy uzupełniają je, dopasowując relacje w bazie danych tożsamości.

  • IAM i kontrola dostępu – Gartner zauważa ewolucyjną tendencję wśród dostawców systemów kontroli dostępu do integracji z dostawcami wyłącznie i wbudowywania niektórych funkcjonalności UEBA w swoje produkty.
  • Systemy IAM oraz zarządzania i administrowania tożsamością (IGA). użyj UEBA do scenariuszy analizy behawioralnej i tożsamości, takich jak wykrywanie anomalii, dynamiczna analiza grupowania podobnych podmiotów, analiza logowania i analiza zasad dostępu.
  • Zarządzanie uprawnieniami i dostępem uprzywilejowanym (PAM) – Ze względu na rolę monitorowania wykorzystania kont administracyjnych, rozwiązania PAM posiadają telemetrię, która pokazuje, jak, dlaczego, kiedy i gdzie wykorzystano konta administracyjne. Dane te można analizować za pomocą wbudowanej funkcjonalności UEBA pod kątem obecności anomalnych zachowań administratorów lub złośliwych zamiarów.
  • Producenci NTA (Analiza ruchu sieciowego) – wykorzystaj połączenie uczenia maszynowego, zaawansowanej analityki i wykrywania opartego na regułach, aby identyfikować podejrzaną aktywność w sieciach korporacyjnych.

    Narzędzia NTA stale analizują zapisy dotyczące ruchu źródłowego i/lub przepływu (np. NetFlow), aby zbudować modele odzwierciedlające normalne zachowanie sieci, koncentrując się przede wszystkim na analizie zachowania jednostek.

  • SIEM – wielu dostawców SIEM ma obecnie wbudowaną w SIEM zaawansowaną funkcjonalność analizy danych lub jako oddzielny moduł UEBA. Przez cały rok 2018 oraz dotychczas w 2019 roku obserwowano ciągłe zacieranie się granic pomiędzy funkcjonalnością SIEM i UEBA, o czym mowa w artykule „Wgląd w technologię dla nowoczesnego SIEM”. Systemy SIEM lepiej współpracują z analityką i oferują bardziej złożone scenariusze aplikacji.

Scenariusze aplikacji UEBA

Rozwiązania UEBA mogą rozwiązać szeroki zakres problemów. Klienci Gartnera zgadzają się jednak, że podstawowy przypadek użycia obejmuje wykrywanie różnych kategorii zagrożeń, osiągane poprzez wyświetlanie i analizowanie częstych korelacji pomiędzy zachowaniami użytkowników a innymi podmiotami:

  • nieuprawniony dostęp i przepływ danych;
  • podejrzane zachowanie użytkowników uprzywilejowanych, złośliwe lub nieuprawnione działanie pracowników;
  • niestandardowy dostęp i wykorzystanie zasobów chmury;
  • et al.

Istnieje również szereg nietypowych przypadków użycia niezwiązanych z cyberbezpieczeństwem, takich jak oszustwa lub monitorowanie pracowników, dla których UEBA może być uzasadniona. Często jednak wymagają źródeł danych spoza IT i bezpieczeństwa informacji lub konkretnych modeli analitycznych z głębokim zrozumieniem tego obszaru. Poniżej opisano pięć głównych scenariuszy i zastosowań, na które zgadzają się zarówno producenci UEBA, jak i ich klienci.

„Złośliwy informator”

Dostawcy rozwiązań UEBA uwzględniający ten scenariusz monitorują jedynie pracowników i zaufanych wykonawców pod kątem nietypowych, „złych” lub złośliwych zachowań. Dostawcy w tym obszarze specjalizacji nie monitorują ani nie analizują zachowania kont usług ani innych podmiotów niebędących ludźmi. Głównie z tego powodu nie skupiają się na wykrywaniu zaawansowanych zagrożeń, w których hakerzy przejmują istniejące konta. Zamiast tego mają na celu identyfikację pracowników zaangażowanych w szkodliwe działania.

Zasadniczo koncepcja „złośliwego insidera” wywodzi się od zaufanych użytkowników o złych zamiarach, którzy szukają sposobów na wyrządzenie szkody swojemu pracodawcy. Ponieważ trudno jest zmierzyć złośliwe zamiary, najlepsi dostawcy w tej kategorii analizują kontekstowe dane dotyczące zachowań, które nie są łatwo dostępne w dziennikach audytu.

Dostawcy rozwiązań w tej przestrzeni optymalnie dodają i analizują również nieustrukturyzowane dane, takie jak treść wiadomości e-mail, raporty produktywności lub informacje z mediów społecznościowych, aby zapewnić kontekst dla zachowań.

Skompromitowane zagrożenia wewnętrzne i natrętne

Wyzwaniem jest szybkie wykrycie i przeanalizowanie „złego” zachowania, gdy osoba atakująca uzyska dostęp do organizacji i zacznie poruszać się po infrastrukturze IT.
Zagrożenia asertywne (APT), takie jak nieznane lub jeszcze w pełni zrozumiałe zagrożenia, są niezwykle trudne do wykrycia i często ukrywają się za legalną aktywnością użytkowników lub kontami usług. Takie zagrożenia mają zwykle złożony model działania (patrz np. artykuł „ Rozwiązanie problemu łańcucha cyberzabójstw") lub ich zachowanie nie zostało jeszcze ocenione jako szkodliwe. To sprawia, że ​​trudno je wykryć za pomocą prostych analiz (takich jak dopasowywanie według wzorców, progów lub reguł korelacji).

Jednak wiele z tych natrętnych zagrożeń skutkuje niestandardowym zachowaniem, często z udziałem niczego niepodejrzewających użytkowników lub podmiotów (inaczej skompromitowanych osób wewnętrznych). Techniki UEBA oferują kilka interesujących możliwości wykrywania takich zagrożeń, poprawiania stosunku sygnału do szumu, konsolidowania i zmniejszania głośności powiadomień, ustalania priorytetów pozostałych alertów oraz ułatwiania skutecznej reakcji na incydenty i badania.

Dostawcy UEBA ukierunkowani na ten obszar problemowy często mają dwukierunkową integrację z systemami SIEM organizacji.

Eksfiltracja danych

Zadaniem w tym przypadku jest wykrycie faktu, że dane są przesyłane poza organizację.
Dostawcy skupieni na tym wyzwaniu zazwyczaj wykorzystują możliwości DLP lub DAG do wykrywania anomalii i zaawansowanych analiz, poprawiając w ten sposób stosunek sygnału do szumu, konsolidując liczbę powiadomień i nadając priorytet pozostałym wyzwalaczom. Aby uzyskać dodatkowy kontekst, dostawcy zazwyczaj w większym stopniu polegają na ruchu sieciowym (takim jak serwery proxy sieci Web) i danych z punktów końcowych, ponieważ analiza tych źródeł danych może pomóc w dochodzeniach w sprawie eksfiltracji danych.

Wykrywanie wycieku danych służy do wyłapywania osób wewnętrznych i zewnętrznych hakerów zagrażających organizacji.

Identyfikacja i zarządzanie dostępem uprzywilejowanym

Producenci niezależnych rozwiązań UEBA w tym obszarze specjalizacji obserwują i analizują zachowania użytkowników na tle ukształtowanego już systemu uprawnień w celu identyfikacji nadmiernych uprawnień lub nietypowego dostępu. Dotyczy to wszystkich typów użytkowników i kont, w tym kont uprzywilejowanych i usługowych. Organizacje korzystają również z UEBA, aby pozbyć się nieaktywnych kont i uprawnień użytkowników wyższych niż wymagane.

Priorytetyzacja incydentów

Celem tego zadania jest nadanie priorytetu powiadomieniom generowanym przez rozwiązania w ich stosie technologicznym, aby zrozumieć, którymi incydentami lub potencjalnymi incydentami należy się zająć w pierwszej kolejności. Metodologie i narzędzia UEBA są przydatne w identyfikacji incydentów szczególnie nietypowych lub szczególnie niebezpiecznych dla danej organizacji. W tym przypadku mechanizm UEBA nie tylko wykorzystuje bazowy poziom aktywności i modele zagrożeń, ale także nasyca dane informacjami o strukturze organizacyjnej firmy (np. o krytycznych zasobach czy rolach i poziomach dostępu pracowników).

Problemy wdrażania rozwiązań UEBA

Bolączką rynku rozwiązań UEBA jest ich wysoka cena, skomplikowane wdrożenie, utrzymanie i użytkowanie. Choć firmy borykają się z liczbą różnych portali wewnętrznych, dostają kolejną konsolę. Wielkość inwestycji czasu i zasobów w nowe narzędzie zależy od postawionych zadań i rodzaju analityki potrzebnej do ich rozwiązania i najczęściej wymaga dużych inwestycji.

Wbrew temu, co twierdzi wielu producentów, UEBA nie jest narzędziem typu „ustaw i zapomnij”, które może działać nieprzerwanie przez wiele dni.
Klienci Gartnera zauważają np., że uruchomienie inicjatywy UEBA od podstaw, aby uzyskać pierwsze efekty rozwiązania problemów, dla których to rozwiązanie zostało wdrożone, zajmuje od 3 do 6 miesięcy. W przypadku bardziej złożonych zadań, takich jak identyfikacja zagrożeń wewnętrznych w organizacji, okres ten wydłuża się do 18 miesięcy.

Czynniki wpływające na trudność wdrożenia UEBA i przyszłą skuteczność narzędzia:

  • Złożoność architektury organizacji, topologii sieci i zasad zarządzania danymi
  • Dostępność właściwych danych na właściwym poziomie szczegółowości
  • Złożoność algorytmów analitycznych dostawcy — na przykład wykorzystanie modeli statystycznych i uczenia maszynowego w porównaniu z prostymi wzorcami i regułami.
  • Ilość wstępnie skonfigurowanych narzędzi analitycznych, czyli wiedza producenta na temat tego, jakie dane należy zebrać dla każdego zadania oraz jakie zmienne i atrybuty są najważniejsze do przeprowadzenia analizy.
  • Jak łatwo producent może automatycznie zintegrować się z wymaganymi danymi.

    Na przykład:

    • Jeśli rozwiązanie UEBA wykorzystuje system SIEM jako główne źródło swoich danych, czy SIEM zbiera informacje z wymaganych źródeł danych?
    • Czy niezbędne dzienniki zdarzeń i dane kontekstu organizacyjnego można skierować do rozwiązania UEBA?
    • Jeżeli system SIEM nie gromadzi jeszcze i nie kontroluje źródeł danych potrzebnych rozwiązaniu UEBA, to w jaki sposób można je tam przesłać?

  • Jak ważny dla organizacji jest scenariusz zastosowania, ile źródeł danych wymaga i w jakim stopniu to zadanie pokrywa się z obszarem specjalizacji producenta.
  • Jaki stopień dojrzałości i zaangażowania organizacji jest wymagany – na przykład tworzenie, rozwój i udoskonalanie zasad i modeli; przypisywanie wag zmiennym do oceny; lub dostosowanie progu oceny ryzyka.
  • Jak skalowalne jest rozwiązanie dostawcy i jego architektura w porównaniu z obecną wielkością organizacji i jej przyszłymi wymaganiami.
  • Czas zbudować podstawowe modele, profile i kluczowe grupy. Producenci często wymagają co najmniej 30 dni (a czasami nawet 90 dni) na przeprowadzenie analizy, zanim będą mogli zdefiniować „normalne” koncepcje. Jednorazowe załadowanie danych historycznych może przyspieszyć uczenie modelu. Niektóre z interesujących przypadków można zidentyfikować szybciej, stosując reguły, niż wykorzystując uczenie maszynowe z niewiarygodnie małą ilością danych początkowych.
  • Poziom wysiłku wymagany do zbudowania dynamicznego grupowania i profilowania konta (usługa/osoba) może się znacznie różnić w zależności od rozwiązania.

Źródło: www.habr.com

Dodaj komentarz