ProHoster > Blog > notícias da internet > O mercado da UEBA está morto – viva a UEBA

O mercado da UEBA está morto – viva a UEBA

O mercado da UEBA está morto – viva a UEBA

Hoje forneceremos uma breve visão geral do mercado de Análise Comportamental de Usuários e Entidades (UEBA) com base nas últimas Pesquisa do Gartner. O mercado da UEBA está no fundo do “estágio de desilusão”, de acordo com o Gartner Hype Cycle for Threat-Facing Technologies, indicando a maturidade da tecnologia. Mas o paradoxo da situação reside no crescimento geral simultâneo dos investimentos em tecnologias da UEBA e no desaparecimento do mercado de soluções independentes da UEBA. O Gartner prevê que a UEBA se tornará parte da funcionalidade das soluções de segurança da informação relacionadas. O termo "UEBA" provavelmente cairá em desuso e será substituído por outro acrônimo focado em uma área de aplicação mais restrita (por exemplo, "análise do comportamento do usuário"), uma área de aplicação semelhante (por exemplo, "análise de dados"), ou simplesmente se tornará algum nova palavra da moda (por exemplo, o termo “inteligência artificial” [IA] parece interessante, embora não faça qualquer sentido para os fabricantes modernos de UEBA).

As principais conclusões do estudo do Gartner podem ser resumidas da seguinte forma:

  • A maturidade do mercado de análise comportamental de usuários e entidades é confirmada pelo fato de essas tecnologias serem utilizadas pelo segmento corporativo de médio e grande porte para solucionar diversos problemas de negócios;
  • Os recursos analíticos da UEBA são integrados a uma ampla gama de tecnologias de segurança da informação relacionadas, como corretores de segurança de acesso à nuvem (CASBs), sistemas SIEM de governança e administração de identidade (IGA);
  • O hype em torno dos fornecedores da UEBA e o uso incorreto do termo “inteligência artificial” dificultam que os clientes entendam a real diferença entre as tecnologias dos fabricantes e a funcionalidade das soluções sem realizar um projeto piloto;
  • Os clientes observam que o tempo de implementação e o uso diário das soluções UEBA podem ser mais trabalhosos e demorados do que o fabricante promete, mesmo quando se considera apenas modelos básicos de detecção de ameaças. Adicionar casos de uso personalizados ou de ponta pode ser extremamente difícil e exigir experiência em ciência e análise de dados.

Previsão estratégica de desenvolvimento de mercado:

  • Até 2021, o mercado de sistemas de análise comportamental de utilizadores e entidades (UEBA) deixará de existir como uma área separada e mudará para outras soluções com funcionalidade UEBA;
  • Até 2020, 95% de todas as implementações da UEBA farão parte de uma plataforma de segurança mais ampla.

Definição de soluções UEBA

As soluções UEBA utilizam análises integradas para avaliar a atividade de usuários e outras entidades (como hosts, aplicativos, tráfego de rede e armazenamentos de dados).
Eles detectam ameaças e incidentes potenciais, normalmente representando atividades anômalas em comparação com o perfil e comportamento padrão de usuários e entidades em grupos semelhantes durante um período de tempo.

Os casos de uso mais comuns no segmento empresarial são detecção e resposta a ameaças, bem como detecção e resposta a ameaças internas (principalmente pessoas internas comprometidas; às vezes, invasores internos).

UEBA é como decisãoE функцией, integrado em uma ferramenta específica:

  • A solução são fabricantes de plataformas UEBA “puras”, incluindo fornecedores que também vendem soluções SIEM separadamente. Focado em uma ampla gama de problemas de negócios em análise comportamental de usuários e entidades.
  • Embarcado – Fabricantes/divisões que integram funções e tecnologias da UEBA em suas soluções. Normalmente focado em um conjunto mais específico de problemas de negócios. Neste caso, a UEBA é utilizada para analisar o comportamento dos usuários e/ou entidades.

O Gartner vê a UEBA em três eixos, incluindo solucionadores de problemas, análises e fontes de dados (veja a figura).

O mercado da UEBA está morto – viva a UEBA

Plataformas UEBA "puras" versus UEBA integrada

O Gartner considera uma plataforma UEBA “pura” como soluções que:

  • resolver vários problemas específicos, como monitorar usuários privilegiados ou enviar dados para fora da organização, e não apenas o abstrato “monitoramento de atividades anômalas de usuários”;
  • envolvem o uso de análises complexas, necessariamente baseadas em abordagens analíticas básicas;
  • fornecer diversas opções de coleta de dados, incluindo mecanismos de fonte de dados integrados e ferramentas de gerenciamento de logs, sistemas Data Lake e/ou SIEM, sem a necessidade obrigatória de implantar agentes separados na infraestrutura;
  • podem ser adquiridos e implantados como soluções independentes, em vez de incluídos em
    composição de outros produtos.

A tabela abaixo compara as duas abordagens.

Tabela 1. Soluções UEBA “puras” vs integradas

categoria Plataformas UEBA "puras" Outras soluções com UEBA integrado
Problema a ser resolvido Análise do comportamento do usuário e entidades. A falta de dados pode limitar a UEBA a analisar o comportamento apenas de utilizadores ou entidades.
Problema a ser resolvido Serve para resolver uma ampla gama de problemas Especializa-se em um conjunto limitado de tarefas
Analítica Detecção de anomalias utilizando diversos métodos analíticos - principalmente através de modelos estatísticos e aprendizado de máquina, juntamente com regras e assinaturas. Vem com análises integradas para criar e comparar a atividade do usuário e da entidade com os perfis deles e dos colegas. Semelhante à UEBA pura, mas a análise pode ser limitada apenas a usuários e/ou entidades.
Analítica Capacidades analíticas avançadas, não limitadas apenas por regras. Por exemplo, um algoritmo de clustering com agrupamento dinâmico de entidades. Semelhante ao UEBA “puro”, mas o agrupamento de entidades em alguns modelos de ameaças incorporados só pode ser alterado manualmente.
Analítica Correlação de atividade e comportamento de utilizadores e outras entidades (por exemplo, utilizando redes Bayesianas) e agregação de comportamentos de risco individuais para identificar atividades anómalas. Semelhante à UEBA pura, mas a análise pode ser limitada apenas a usuários e/ou entidades.
Fontes de dados Receber eventos sobre usuários e entidades de fontes de dados diretamente por meio de mecanismos integrados ou armazenamentos de dados existentes, como SIEM ou Data lake. Os mecanismos de obtenção de dados são normalmente apenas diretos e afetam apenas os utilizadores e/ou outras entidades. Não use ferramentas de gerenciamento de log/SIEM/Data lake.
Fontes de dados A solução não deve depender apenas do tráfego de rede como principal fonte de dados, nem deve depender apenas dos seus próprios agentes para recolher telemetria. A solução pode focar apenas no tráfego de rede (por exemplo, NTA - análise de tráfego de rede) e/ou usar seus agentes em dispositivos finais (por exemplo, utilitários de monitoramento de funcionários).
Fontes de dados Saturar dados de usuário/entidade com contexto. Suporta a coleta de eventos estruturados em tempo real, bem como dados coesos estruturados/não estruturados de diretórios de TI - por exemplo, Active Directory (AD) ou outros recursos de informação legíveis por máquina (por exemplo, bancos de dados de RH). Semelhante à UEBA pura, mas o escopo dos dados contextuais pode diferir de caso para caso. AD e LDAP são os armazenamentos de dados contextuais mais comuns usados ​​por soluções UEBA incorporadas.
Disponibilidade Fornece os recursos listados como um produto independente. É impossível comprar a funcionalidade UEBA integrada sem adquirir uma solução externa na qual ela esteja integrada.
Fonte: Gartner (maio de 2019)

Assim, para resolver certos problemas, o UEBA incorporado pode usar análises básicas do UEBA (por exemplo, simples aprendizado de máquina não supervisionado), mas ao mesmo tempo, devido ao acesso exatamente aos dados necessários, pode ser globalmente mais eficaz do que um “puro”. Solução UEBA. Ao mesmo tempo, as plataformas UEBA “puras”, como esperado, oferecem análises mais complexas como principal know-how em comparação com a ferramenta UEBA integrada. Esses resultados estão resumidos na Tabela 2.

Tabela 2. Resultado das diferenças entre UEBA “puro” e integrado

categoria Plataformas UEBA "puras" Outras soluções com UEBA integrado
Analítica A aplicabilidade para resolver uma variedade de problemas de negócios implica um conjunto mais universal de funções da UEBA, com ênfase em análises mais complexas e modelos de aprendizado de máquina. Concentrar-se em um conjunto menor de problemas de negócios significa recursos altamente especializados que se concentram em modelos específicos de aplicativos com lógica mais simples.
Analítica A customização do modelo analítico é necessária para cada cenário de aplicação. Os modelos analíticos são pré-configurados para a ferramenta que possui o UEBA integrado. Uma ferramenta com UEBA integrada geralmente alcança resultados mais rápidos na resolução de determinados problemas de negócio.
Fontes de dados Acesso a fontes de dados de todos os cantos da infraestrutura corporativa. Menos fontes de dados, geralmente limitadas pela disponibilidade de agentes para elas ou pela própria ferramenta com funções da UEBA.
Fontes de dados As informações contidas em cada log podem ser limitadas pela fonte de dados e podem não conter todos os dados necessários para a ferramenta UEBA centralizada. A quantidade e o detalhe dos dados brutos coletados pelo agente e transmitidos à UEBA podem ser configurados especificamente.
Arquitetura É um produto UEBA completo para uma organização. A integração é mais fácil usando os recursos de um sistema SIEM ou Data Lake. Requer um conjunto separado de recursos UEBA para cada uma das soluções que possuem UEBA integrado. As soluções UEBA incorporadas geralmente exigem a instalação de agentes e o gerenciamento de dados.
integração Integração manual da solução UEBA com outras ferramentas em cada caso. Permite que uma organização construa sua pilha de tecnologia com base na abordagem “melhor entre análogos”. Os principais pacotes de funções da UEBA já estão incluídos na própria ferramenta pelo fabricante. O módulo UEBA é integrado e não pode ser removido, portanto os clientes não podem substituí-lo por algo próprio.
Fonte: Gartner (maio de 2019)

UEBA como função

A UEBA está se tornando um recurso de soluções completas de segurança cibernética que pode se beneficiar de análises adicionais. A UEBA é a base dessas soluções, fornecendo uma camada poderosa de análises avançadas baseadas em padrões de comportamento de usuários e/ou entidades.

Atualmente no mercado, a funcionalidade UEBA integrada está implementada nas seguintes soluções, agrupadas por âmbito tecnológico:

  • Auditoria e proteção focadas em dados, são fornecedores focados em melhorar a segurança do armazenamento de dados estruturados e não estruturados (também conhecido como DCAP).

    Nesta categoria de fornecedores, o Gartner observa, entre outras coisas, Plataforma de cibersegurança Varonis, que oferece análise do comportamento do usuário para monitorar mudanças nas permissões, acesso e uso de dados não estruturados em diferentes armazenamentos de informações.

  • Sistemas CASB, oferecendo proteção contra diversas ameaças em aplicativos SaaS baseados em nuvem, bloqueando o acesso a serviços em nuvem para dispositivos, usuários e versões de aplicativos indesejados usando um sistema de controle de acesso adaptativo.

    Todas as soluções CASB líderes de mercado incluem recursos UEBA.

  • Soluções DLP – focado em detectar a transferência de dados críticos para fora da organização ou seu abuso.

    Os avanços do DLP são amplamente baseados na compreensão do conteúdo, com menos foco na compreensão do contexto, como usuário, aplicativo, localização, tempo, velocidade dos eventos e outros fatores externos. Para serem eficazes, os produtos DLP devem reconhecer o conteúdo e o contexto. É por isso que muitos fabricantes estão começando a integrar a funcionalidade UEBA em suas soluções.

  • Monitoramento de funcionários é a capacidade de registrar e reproduzir as ações dos funcionários, geralmente em um formato de dados adequado para processos judiciais (se necessário).

    O monitoramento constante dos usuários geralmente gera uma quantidade enorme de dados que requer filtragem manual e análise humana. Portanto, o UEBA é utilizado dentro de sistemas de monitoramento para melhorar o desempenho dessas soluções e detectar apenas incidentes de alto risco.

  • Segurança de terminais – Soluções de detecção e resposta de endpoint (EDR) e plataformas de proteção de endpoint (EPP) fornecem instrumentação poderosa e telemetria de sistema operacional para
    dispositivos finais.

    Essa telemetria relacionada ao usuário pode ser analisada para fornecer funcionalidade UEBA integrada.

  • Fraude on-line – As soluções de detecção de fraude online detectam atividades desviantes que indicam comprometimento da conta de um cliente por meio de falsificação, malware ou exploração de conexões não seguras/interceptação de tráfego do navegador.

    A maioria das soluções antifraude utiliza a essência da UEBA, análise de transações e medição de dispositivos, com sistemas mais avançados complementando-as através da correspondência de relacionamentos no banco de dados de identidade.

  • IAM e controle de acesso – O Gartner observa uma tendência evolutiva entre os fornecedores de sistemas de controle de acesso para integração com fornecedores puros e incorporação de algumas funcionalidades da UEBA em seus produtos.
  • Sistemas IAM e de governança e administração de identidade (IGA) use a UEBA para cobrir cenários de análise comportamental e de identidade, como detecção de anomalias, análise de agrupamento dinâmico de entidades semelhantes, análise de login e análise de política de acesso.
  • IAM e gerenciamento de acesso privilegiado (PAM) – Devido ao papel de monitorar a utilização das contas administrativas, as soluções PAM possuem telemetria para mostrar como, por que, quando e onde as contas administrativas foram utilizadas. Esses dados podem ser analisados ​​usando a funcionalidade integrada da UEBA quanto à presença de comportamento anômalo de administradores ou intenção maliciosa.
  • Fabricantes NTA (Análise de Tráfego de Rede) – usar uma combinação de aprendizado de máquina, análises avançadas e detecção baseada em regras para identificar atividades suspeitas em redes corporativas.

    As ferramentas NTA analisam continuamente o tráfego de origem e/ou registros de fluxo (por exemplo, NetFlow) para construir modelos que reflitam o comportamento normal da rede, concentrando-se principalmente na análise do comportamento da entidade.

  • SIEM – muitos fornecedores de SIEM agora possuem funcionalidades avançadas de análise de dados integradas ao SIEM ou como um módulo UEBA separado. Ao longo de 2018 e até agora em 2019, tem havido uma indefinição contínua dos limites entre as funcionalidades do SIEM e da UEBA, conforme discutido no artigo "Insight de tecnologia para o SIEM moderno". Os sistemas SIEM tornaram-se melhores no trabalho com análises e na oferta de cenários de aplicativos mais complexos.

Cenários de aplicação da UEBA

As soluções da UEBA podem resolver uma ampla gama de problemas. No entanto, os clientes do Gartner concordam que o caso de uso principal envolve a detecção de várias categorias de ameaças, conseguidas através da exibição e análise de correlações frequentes entre o comportamento do usuário e outras entidades:

  • acesso não autorizado e movimentação de dados;
  • comportamento suspeito de usuários privilegiados, atividades maliciosas ou não autorizadas de funcionários;
  • acesso não padronizado e uso de recursos da nuvem;
  • etc

Há também uma série de casos de uso atípicos não relacionados à segurança cibernética, como fraude ou monitoramento de funcionários, para os quais a UEBA pode ser justificada. No entanto, muitas vezes exigem fontes de dados fora da TI e da segurança da informação, ou modelos analíticos específicos com um profundo conhecimento desta área. Os cinco principais cenários e aplicações com os quais os fabricantes da UEBA e seus clientes concordam são descritos abaixo.

"Informante malicioso"

Os provedores de soluções da UEBA que cobrem esse cenário monitoram apenas funcionários e prestadores de serviços de confiança em busca de comportamento incomum, “ruim” ou malicioso. Os fornecedores nesta área de atuação não monitoram ou analisam o comportamento de contas de serviço ou outras entidades não humanas. Em grande parte por causa disso, eles não estão focados na detecção de ameaças avançadas em que hackers assumem o controle de contas existentes. Em vez disso, visam identificar funcionários envolvidos em atividades prejudiciais.

Essencialmente, o conceito de “insider malicioso” deriva de usuários confiáveis ​​com intenções maliciosas que buscam maneiras de causar danos ao seu empregador. Como a intenção maliciosa é difícil de medir, os melhores fornecedores nesta categoria analisam dados contextuais de comportamento que não estão facilmente disponíveis em logs de auditoria.

Os provedores de soluções neste espaço também adicionam e analisam dados não estruturados, como conteúdo de e-mail, relatórios de produtividade ou informações de mídia social, para fornecer contexto para o comportamento.

Ameaças internas comprometidas e invasivas

O desafio é detectar e analisar rapidamente o comportamento “ruim” assim que o invasor obtiver acesso à organização e começar a se movimentar dentro da infraestrutura de TI.
Ameaças assertivas (APTs), como ameaças desconhecidas ou ainda não totalmente compreendidas, são extremamente difíceis de detectar e muitas vezes se escondem atrás de atividades legítimas de usuários ou contas de serviço. Tais ameaças geralmente possuem um modelo operacional complexo (ver, por exemplo, o artigo “ Enfrentando a cadeia de mortes cibernéticas") ou seu comportamento ainda não foi avaliado como prejudicial. Isso os torna difíceis de detectar usando análises simples (como correspondência por padrões, limites ou regras de correlação).

No entanto, muitas dessas ameaças intrusivas resultam em comportamento fora do padrão, muitas vezes envolvendo usuários ou entidades inocentes (também conhecidos como insiders comprometidos). As técnicas da UEBA oferecem diversas oportunidades interessantes para detectar tais ameaças, melhorar a relação sinal-ruído, consolidar e reduzir o volume de notificações, priorizar os alertas restantes e facilitar a resposta e investigação eficazes a incidentes.

Os fornecedores da UEBA que visam esta área problemática geralmente têm integração bidirecional com os sistemas SIEM da organização.

Exfiltração de dados

A tarefa neste caso é detectar o fato de que os dados estão sendo transferidos para fora da organização.
Os fornecedores focados neste desafio normalmente aproveitam os recursos de DLP ou DAG com detecção de anomalias e análises avançadas, melhorando assim a relação sinal-ruído, consolidando o volume de notificações e priorizando os gatilhos restantes. Para contexto adicional, os fornecedores normalmente dependem mais do tráfego de rede (como proxies web) e de dados de endpoint, já que a análise dessas fontes de dados pode ajudar nas investigações de exfiltração de dados.

A detecção de exfiltração de dados é usada para capturar hackers internos e externos que ameaçam a organização.

Identificação e gestão de acessos privilegiados

Os fabricantes de soluções independentes da UEBA nesta área de atuação observam e analisam o comportamento do usuário no contexto de um sistema de direitos já formado, a fim de identificar privilégios excessivos ou acessos anômalos. Isso se aplica a todos os tipos de usuários e contas, incluindo contas privilegiadas e de serviço. As organizações também usam a UEBA para se livrar de contas inativas e privilégios de usuário maiores do que o necessário.

Priorização de incidentes

O objetivo desta tarefa é priorizar notificações geradas por soluções em sua pilha de tecnologia para entender quais incidentes ou possíveis incidentes devem ser abordados primeiro. As metodologias e ferramentas da UEBA são úteis na identificação de incidentes particularmente anómalos ou particularmente perigosos para uma determinada organização. Neste caso, o mecanismo UEBA não só utiliza o nível básico de atividade e modelos de ameaças, mas também satura os dados com informações sobre a estrutura organizacional da empresa (por exemplo, recursos críticos ou funções e níveis de acesso dos funcionários).

Problemas de implementação de soluções UEBA

O problema de mercado das soluções UEBA é o seu alto preço, implementação, manutenção e uso complexos. Enquanto as empresas lutam com o número de portais internos diferentes, elas estão adquirindo outro console. O tamanho do investimento de tempo e recursos em uma nova ferramenta depende das tarefas em mãos e dos tipos de análises necessárias para resolvê-las e, na maioria das vezes, exigem grandes investimentos.

Ao contrário do que muitos fabricantes afirmam, a UEBA não é uma ferramenta do tipo “configure e esqueça” que pode ser executada continuamente por dias a fio.
Os clientes do Gartner, por exemplo, observam que leva de 3 a 6 meses para lançar uma iniciativa UEBA do zero para obter os primeiros resultados de resolução dos problemas para os quais esta solução foi implementada. Para tarefas mais complexas, como identificar ameaças internas em uma organização, o prazo aumenta para 18 meses.

Fatores que influenciam a dificuldade de implementação da UEBA e a eficácia futura da ferramenta:

  • Complexidade da arquitetura organizacional, topologia de rede e políticas de gerenciamento de dados
  • Disponibilidade dos dados certos no nível certo de detalhe
  • A complexidade dos algoritmos analíticos do fornecedor – por exemplo, o uso de modelos estatísticos e aprendizado de máquina versus padrões e regras simples.
  • A quantidade de análises pré-configuradas incluídas – ou seja, o entendimento do fabricante sobre quais dados precisam ser coletados para cada tarefa e quais variáveis ​​e atributos são mais importantes para realizar a análise.
  • Quão fácil é para o fabricante integrar automaticamente os dados necessários.

    Por exemplo:

    • Se uma solução UEBA utiliza um sistema SIEM como principal fonte de seus dados, o SIEM coleta informações das fontes de dados necessárias?
    • Os logs de eventos e dados de contexto organizacional necessários podem ser roteados para uma solução UEBA?
    • Se o sistema SIEM ainda não recolhe e controla as fontes de dados necessárias à solução UEBA, então como podem ser transferidas para lá?

  • Qual a importância do cenário de aplicação para a organização, quantas fontes de dados ele requer e até que ponto essa tarefa se sobrepõe à área de atuação do fabricante.
  • Que grau de maturidade e envolvimento organizacional é necessário – por exemplo, a criação, desenvolvimento e refinamento de regras e modelos; atribuir pesos às variáveis ​​para avaliação; ou ajustando o limite de avaliação de risco.
  • Quão escalável é a solução do fornecedor e sua arquitetura em comparação com o tamanho atual da organização e seus requisitos futuros.
  • É hora de construir modelos básicos, perfis e grupos-chave. Os fabricantes muitas vezes necessitam de pelo menos 30 dias (e às vezes até 90 dias) para realizar análises antes de poderem definir conceitos “normais”. Carregar dados históricos uma vez pode acelerar o treinamento do modelo. Alguns dos casos interessantes podem ser identificados mais rapidamente usando regras do que usando aprendizado de máquina com uma quantidade incrivelmente pequena de dados iniciais.
  • O nível de esforço necessário para criar agrupamentos dinâmicos e perfis de contas (serviço/pessoa) pode variar muito entre soluções.

Fonte: habr.com

Adicionar um comentário