ProHoster > BLOG > știri pe internet > Piața UEBA este moartă - trăiește UEBA

Piața UEBA este moartă - trăiește UEBA

Piața UEBA este moartă - trăiește UEBA

Astăzi vom oferi o scurtă prezentare a pieței de analiză comportamentală a utilizatorilor și entităților (UEBA), pe baza celor mai recente Cercetarea Gartner. Piața UEBA se află în partea de jos a „etapei de deziluzie”, conform Gartner Hype Cycle for Threat-Facing Technologies, indicând maturitatea tehnologiei. Dar paradoxul situației constă în creșterea generală simultană a investițiilor în tehnologii UEBA și în dispariția pieței soluțiilor independente UEBA. Gartner prezice că UEBA va deveni parte a funcționalității soluțiilor de securitate a informațiilor aferente. Termenul „UEBA” va pierde probabil uzul și va fi înlocuit cu un alt acronim axat pe o zonă de aplicație mai restrânsă (de exemplu, „analiza comportamentului utilizatorului”), o zonă de aplicație similară (de exemplu, „analitica datelor”) sau pur și simplu va deveni ceva un nou cuvânt la modă (de exemplu, termenul „inteligență artificială” [AI] pare interesant, deși nu are niciun sens pentru producătorii moderni UEBA).

Constatările cheie ale studiului Gartner pot fi rezumate după cum urmează:

  • Maturitatea pieței de analiză comportamentală a utilizatorilor și entităților este confirmată de faptul că aceste tehnologii sunt utilizate de segmentul corporativ mediu și mare pentru a rezolva o serie de probleme de business;
  • Capacitățile de analiză UEBA sunt integrate într-o gamă largă de tehnologii de securitate a informațiilor conexe, cum ar fi brokerii de securitate pentru acces la cloud (CASB), sistemele SIEM de guvernare și administrare a identității (IGA);
  • hype-ul din jurul furnizorilor UEBA și utilizarea incorectă a termenului „inteligență artificială” îngreunează clienților să înțeleagă diferența reală dintre tehnologiile producătorilor și funcționalitatea soluțiilor fără a derula un proiect pilot;
  • Clienții observă că timpul de implementare și utilizarea de zi cu zi a soluțiilor UEBA pot fi mai laborioase și mai consumatoare de timp decât promite producătorul, chiar și atunci când iau în considerare doar modelele de bază de detectare a amenințărilor. Adăugarea de cazuri de utilizare personalizate sau edge poate fi extrem de dificilă și necesită experiență în știința datelor și analiză.

Prognoza de dezvoltare strategică a pieței:

  • Până în 2021, piața sistemelor de analiză comportamentală a utilizatorilor și entităților (UEBA) va înceta să mai existe ca zonă separată și se va muta către alte soluții cu funcționalitate UEBA;
  • Până în 2020, 95% din toate implementările UEBA vor face parte dintr-o platformă de securitate mai largă.

Definiția soluțiilor UEBA

Soluțiile UEBA folosesc analize încorporate pentru a evalua activitatea utilizatorilor și a altor entități (cum ar fi gazde, aplicații, trafic de rețea și depozite de date).
Acestea detectează amenințări și incidente potențiale, reprezentând de obicei activitate anormală în comparație cu profilul și comportamentul standard al utilizatorilor și entităților din grupuri similare pe o perioadă de timp.

Cele mai frecvente cazuri de utilizare în segmentul întreprinderilor sunt detectarea și răspunsul amenințărilor, precum și detectarea și răspunsul la amenințările interne (în mare parte persoane din interior compromise; uneori atacatori interni).

UEBA este ca decizieȘi funcţie, integrat într-un instrument specific:

  • Soluția o reprezintă producătorii de platforme UEBA „pure”, inclusiv furnizorii care vând și soluții SIEM separat. Concentrat pe o gamă largă de probleme de afaceri în analiza comportamentală atât a utilizatorilor, cât și a entităților.
  • Încorporat – Producători/divizii care integrează funcțiile și tehnologiile UEBA în soluțiile lor. De obicei concentrat pe un set mai specific de probleme de afaceri. În acest caz, UEBA este utilizat pentru a analiza comportamentul utilizatorilor și/sau al entităților.

Gartner vede UEBA pe trei axe, inclusiv soluții de probleme, analize și surse de date (vezi figura).

Piața UEBA este moartă - trăiește UEBA

Platforme UEBA „pure” versus UEBA încorporat

Gartner consideră că o platformă UEBA „pură” sunt soluții care:

  • rezolva mai multe probleme specifice, cum ar fi monitorizarea utilizatorilor privilegiați sau ieșirea de date în afara organizației, și nu doar „monitorizarea abstractă a activității anormale a utilizatorilor”;
  • implică utilizarea unor analize complexe, bazate în mod necesar pe abordări analitice de bază;
  • să ofere mai multe opțiuni pentru colectarea datelor, inclusiv mecanisme de surse de date încorporate și instrumente de gestionare a jurnalelor, lac de date și/sau sisteme SIEM, fără a fi necesară implementarea agenților separați în infrastructură;
  • pot fi achiziționate și implementate ca soluții autonome, mai degrabă decât incluse în
    compoziția altor produse.

Tabelul de mai jos compară cele două abordări.

Tabelul 1. Soluții UEBA „pure” față de cele încorporate

categorie Platforme UEBA „pure”. Alte soluții cu UEBA încorporat
Problema de rezolvat Analiza comportamentului utilizatorului și a entităților. Lipsa datelor poate limita UEBA să analizeze comportamentul numai al utilizatorilor sau al entităților.
Problema de rezolvat Servește la rezolvarea unei game largi de probleme Specializat într-un set limitat de sarcini
Google Analytics Detectarea anomaliilor folosind diverse metode analitice - în principal prin modele statistice și învățare automată, împreună cu reguli și semnături. Vine cu analize încorporate pentru a crea și compara activitatea utilizatorilor și entităților cu profilurile lor și ale colegilor. Similar cu UEBA pur, dar analiza poate fi limitată numai la utilizatori și/sau la entități.
Google Analytics Capabilitati analitice avansate, nu limitate doar de reguli. De exemplu, un algoritm de grupare cu grupare dinamică de entități. Similar cu UEBA „pură”, dar gruparea de entități în unele modele de amenințări încorporate poate fi modificată numai manual.
Google Analytics Corelarea activității și comportamentului utilizatorilor și a altor entități (de exemplu, folosind rețele bayesiene) și agregarea comportamentului individual de risc pentru a identifica activitățile anormale. Similar cu UEBA pur, dar analiza poate fi limitată numai la utilizatori și/sau la entități.
Surse de date Primirea evenimentelor asupra utilizatorilor și entităților din surse de date direct prin mecanisme încorporate sau depozite de date existente, cum ar fi SIEM sau Data lake. Mecanismele de obținere a datelor sunt de obicei doar directe și afectează doar utilizatorii și/sau alte entități. Nu utilizați instrumente de gestionare a jurnalelor / SIEM / Data Lake.
Surse de date Soluția nu ar trebui să se bazeze doar pe traficul de rețea ca principală sursă de date și nici nu ar trebui să se bazeze doar pe proprii agenți pentru a colecta telemetria. Soluția se poate concentra doar pe traficul de rețea (de exemplu, NTA - analiză trafic de rețea) și/sau își poate folosi agenții pe dispozitivele finale (de exemplu, utilități de monitorizare a angajaților).
Surse de date Saturarea datelor utilizator/entitate cu context. Sprijină colectarea de evenimente structurate în timp real, precum și date coezive structurate/nestructurate din directoare IT - de exemplu, Active Directory (AD) sau alte resurse de informații care pot fi citite de mașină (de exemplu, baze de date HR). Similar cu UEBA pur, dar domeniul de aplicare al datelor contextuale poate diferi de la caz la caz. AD și LDAP sunt cele mai frecvente depozite de date contextuale utilizate de soluțiile UEBA încorporate.
disponibilitate Oferă caracteristicile enumerate ca produs independent. Este imposibil să cumpărați funcționalitate UEBA încorporată fără a cumpăra o soluție externă în care este construită.
Sursa: Gartner (mai 2019)

Astfel, pentru a rezolva anumite probleme, UEBA încorporat poate folosi analize UEBA de bază (de exemplu, învățarea automată simplă nesupravegheată), dar, în același timp, datorită accesului la exact datele necesare, poate fi în general mai eficient decât un „pur” Soluție UEBA. În același timp, platformele UEBA „pure”, așa cum era de așteptat, oferă analize mai complexe ca principal know-how în comparație cu instrumentul UEBA încorporat. Aceste rezultate sunt rezumate în Tabelul 2.

Tabelul 2. Rezultatul diferențelor dintre UEBA „pură” și încorporată

categorie Platforme UEBA „pure”. Alte soluții cu UEBA încorporat
Google Analytics Aplicabilitatea pentru rezolvarea unei varietăți de probleme de afaceri implică un set mai universal de funcții UEBA, cu accent pe modele mai complexe de analiză și de învățare automată. Concentrarea pe un set mai mic de probleme de afaceri înseamnă caracteristici foarte specializate care se concentrează pe modele specifice aplicației cu o logică mai simplă.
Google Analytics Personalizarea modelului analitic este necesară pentru fiecare scenariu de aplicație. Modelele analitice sunt preconfigurate pentru instrumentul care are UEBA integrat. Un instrument cu UEBA încorporat obține în general rezultate mai rapide în rezolvarea anumitor probleme de afaceri.
Surse de date Acces la surse de date din toate colțurile infrastructurii corporative. Mai puține surse de date, de obicei limitate de disponibilitatea agenților pentru aceștia sau de instrumentul însuși cu funcții UEBA.
Surse de date Informațiile conținute în fiecare jurnal pot fi limitate de sursa de date și pot să nu conțină toate datele necesare pentru instrumentul centralizat UEBA. Cantitatea și detaliile datelor brute colectate de agent și transmise către UEBA pot fi configurate în mod specific.
Arhitectură Este un produs UEBA complet pentru o organizație. Integrarea este mai ușoară folosind capacitățile unui sistem SIEM sau Data Lake. Necesită un set separat de caracteristici UEBA pentru fiecare dintre soluțiile care au încorporat UEBA. Soluțiile UEBA încorporate necesită adesea instalarea de agenți și gestionarea datelor.
integrare Integrarea manuală a soluției UEBA cu alte instrumente în fiecare caz. Permite unei organizații să-și construiască tehnologia bazată pe abordarea „cel mai bun dintre analogi”. Principalele pachete de funcții UEBA sunt deja incluse în instrumentul propriu-zis de către producător. Modulul UEBA este încorporat și nu poate fi îndepărtat, astfel încât clienții nu îl pot înlocui cu ceva propriu.
Sursa: Gartner (mai 2019)

UEBA ca o funcție

UEBA devine o caracteristică a soluțiilor de securitate cibernetică end-to-end care pot beneficia de analize suplimentare. UEBA stă la baza acestor soluții, oferind un strat puternic de analiză avansată bazată pe modele de comportament ale utilizatorilor și/sau ale entității.

În prezent pe piață, funcționalitatea integrată UEBA este implementată în următoarele soluții, grupate pe sfera tehnologică:

  • Audit și protecție axată pe date, sunt furnizori care se concentrează pe îmbunătățirea securității stocării datelor structurate și nestructurate (aka DCAP).

    În această categorie de furnizori, Gartner notează, printre altele, Platforma de securitate cibernetică Varonis, care oferă analize ale comportamentului utilizatorilor pentru a monitoriza modificările permisiunilor pentru date nestructurate, accesul și utilizarea în diferite magazine de informații.

  • sisteme CASB, oferind protecție împotriva diferitelor amenințări în aplicațiile SaaS bazate pe cloud prin blocarea accesului la serviciile cloud pentru dispozitive, utilizatori și versiuni de aplicații nedorite folosind un sistem adaptiv de control al accesului.

    Toate soluțiile CASB lider pe piață includ capabilități UEBA.

  • Soluții DLP – concentrat pe detectarea transferului de date critice în afara organizației sau abuzului acesteia.

    Progresele DLP se bazează în mare parte pe înțelegerea conținutului, cu un accent mai mic pe înțelegerea contextului, cum ar fi utilizatorul, aplicația, locația, timpul, viteza evenimentelor și alți factori externi. Pentru a fi eficiente, produsele DLP trebuie să recunoască atât conținutul, cât și contextul. Acesta este motivul pentru care mulți producători încep să integreze funcționalitatea UEBA în soluțiile lor.

  • Monitorizarea angajatilor este capacitatea de a înregistra și relua acțiunile angajaților, de obicei într-un format de date potrivit pentru procedurile judiciare (dacă este necesar).

    Monitorizarea constantă a utilizatorilor generează adesea o cantitate copleșitoare de date care necesită filtrare manuală și analiză umană. Prin urmare, UEBA este utilizat în cadrul sistemelor de monitorizare pentru a îmbunătăți performanța acestor soluții și pentru a detecta doar incidente cu risc ridicat.

  • Securitatea punctului final – Soluțiile de detectare și răspuns la punctele finale (EDR) și platformele de protecție a punctelor terminale (EPP) oferă instrumente puternice și telemetrie sistemului de operare pentru
    dispozitive finale.

    O astfel de telemetrie legată de utilizator poate fi analizată pentru a oferi funcționalitate UEBA încorporată.

  • Frauda online – Soluțiile online de detectare a fraudei detectează activități deviante care indică compromiterea contului unui client prin falsificare, programe malware sau exploatarea conexiunilor nesecurizate/interceptarea traficului de browser.

    Majoritatea soluțiilor de fraudă folosesc esența UEBA, analiza tranzacțiilor și măsurarea dispozitivelor, cu sisteme mai avansate completându-le prin potrivirea relațiilor din baza de date de identități.

  • IAM și controlul accesului – Gartner constată o tendință evolutivă în rândul furnizorilor de sisteme de control al accesului de a se integra cu furnizorii puri și de a construi unele funcționalități UEBA în produsele lor.
  • IAM și sisteme de guvernare și administrare a identității (IGA). utilizați UEBA pentru a acoperi scenarii de analiză comportamentală și identității, cum ar fi detectarea anomaliilor, analiza de grupare dinamică a entităților similare, analiza de conectare și analiza politicii de acces.
  • IAM și managementul accesului privilegiat (PAM) – Datorită rolului de monitorizare a utilizării conturilor administrative, soluțiile PAM au telemetrie pentru a arăta cum, de ce, când și unde au fost folosite conturile administrative. Aceste date pot fi analizate folosind funcționalitatea încorporată a UEBA pentru prezența unui comportament anormal al administratorilor sau a intențiilor rău intenționate.
  • Producători NTA (Network Traffic Analysis) – utilizați o combinație de învățare automată, analiză avansată și detecție bazată pe reguli pentru a identifica activitățile suspecte în rețelele corporative.

    Instrumentele NTA analizează continuu traficul sursă și/sau înregistrările fluxului (de exemplu, NetFlow) pentru a construi modele care reflectă comportamentul normal al rețelei, concentrându-se în primul rând pe analiza comportamentului entităților.

  • siem – Mulți furnizori SIEM au acum funcționalități avansate de analiză a datelor încorporate în SIEM sau ca un modul UEBA separat. Pe tot parcursul anului 2018 și până acum în 2019, a existat o estompare continuă a granițelor dintre funcționalitatea SIEM și UEBA, așa cum se discută în articol „Perspectivă tehnologică pentru SIEM modern”. Sistemele SIEM au devenit mai bune în lucrul cu analitice și oferă scenarii de aplicații mai complexe.

Scenarii de aplicare UEBA

Soluțiile UEBA pot rezolva o gamă largă de probleme. Cu toate acestea, clienții Gartner sunt de acord că cazul principal de utilizare implică detectarea diferitelor categorii de amenințări, realizate prin afișarea și analizarea corelațiilor frecvente între comportamentul utilizatorului și alte entități:

  • accesul neautorizat și mișcarea datelor;
  • comportament suspect al utilizatorilor privilegiați, activitate rău intenționată sau neautorizată a angajaților;
  • acces non-standard și utilizarea resurselor cloud;
  • etc

Există, de asemenea, o serie de cazuri de utilizare atipice în afara securității cibernetice, cum ar fi frauda sau monitorizarea angajaților, pentru care UEBA poate fi justificată. Cu toate acestea, ele necesită adesea surse de date care nu sunt legate de IT și securitatea informațiilor, sau modele analitice specifice, cu o înțelegere profundă a acestui domeniu. Cele cinci scenarii și aplicații principale cu care sunt de acord atât producătorii UEBA, cât și clienții lor sunt descrise mai jos.

„Insider rău intenționat”

Furnizorii de soluții UEBA care acoperă acest scenariu monitorizează doar angajații și contractanții de încredere pentru comportament neobișnuit, „rău” sau rău intenționat. Furnizorii din acest domeniu de expertiză nu monitorizează și nu analizează comportamentul conturilor de servicii sau al altor entități non-umane. În mare parte din acest motiv, ei nu sunt concentrați pe detectarea amenințărilor avansate în care hackerii preiau conturile existente. În schimb, acestea au ca scop identificarea angajaților implicați în activități dăunătoare.

În esență, conceptul de „insider rău intenționat” provine de la utilizatorii de încredere cu intenții rău intenționate care caută modalități de a provoca daune angajatorului lor. Deoarece intenția rău intenționată este dificil de măsurat, cei mai buni furnizori din această categorie analizează datele de comportament contextuale care nu sunt ușor disponibile în jurnalele de audit.

Furnizorii de soluții din acest spațiu adaugă și analizează în mod optim datele nestructurate, cum ar fi conținutul de e-mail, rapoartele de productivitate sau informațiile din rețelele sociale, pentru a oferi contextul comportamentului.

Amenințări interne compromise și intruzive

Provocarea este de a detecta și analiza rapid comportamentul „rău” odată ce atacatorul a obținut acces la organizație și începe să se miște în infrastructura IT.
Amenințările asertive (APT), cum ar fi amenințările necunoscute sau încă neînțelese pe deplin, sunt extrem de dificil de detectat și adesea se ascund în spatele activităților legitime ale utilizatorilor sau ale conturilor de serviciu. Astfel de amenințări au de obicei un model de operare complex (vezi, de exemplu, articolul „ Abordarea lanțului Cyber ​​​​Kill„) sau comportamentul lor nu a fost încă evaluat ca dăunător. Acest lucru le face dificil de detectat folosind analize simple (cum ar fi potrivirea după modele, praguri sau reguli de corelare).

Cu toate acestea, multe dintre aceste amenințări intruzive duc la un comportament nestandard, care implică adesea utilizatori sau entități nebănuitoare (alias persoane din interior compromise). Tehnicile UEBA oferă mai multe oportunități interesante de a detecta astfel de amenințări, de a îmbunătăți raportul semnal-zgomot, de a consolida și de a reduce volumul de notificări, de a prioritiza alertele rămase și de a facilita răspunsul și investigarea eficientă la incident.

Furnizorii UEBA care vizează această zonă cu probleme au adesea integrare bidirecțională cu sistemele SIEM ale organizației.

Exfiltrarea datelor

Sarcina în acest caz este de a detecta faptul că datele sunt transferate în afara organizației.
Furnizorii concentrați pe această provocare folosesc de obicei capabilitățile DLP sau DAG cu detectarea anomaliilor și analize avansate, îmbunătățind astfel raportul semnal-zgomot, consolidând volumul de notificări și acordând prioritate declanșatorilor rămași. Pentru context suplimentar, furnizorii se bazează, de obicei, mai mult pe traficul de rețea (cum ar fi proxy-urile web) și pe datele de la punctele finale, deoarece analiza acestor surse de date poate ajuta la investigațiile de exfiltrare a datelor.

Detectarea exfiltrării datelor este utilizată pentru a prinde persoane din interior și hackeri externi care amenință organizația.

Identificarea și gestionarea accesului privilegiat

Producătorii de soluții independente UEBA din acest domeniu de expertiză observă și analizează comportamentul utilizatorilor pe fondul unui sistem de drepturi deja format pentru a identifica privilegiile excesive sau accesul anormal. Acest lucru se aplică tuturor tipurilor de utilizatori și conturi, inclusiv conturilor privilegiate și de serviciu. Organizațiile folosesc, de asemenea, UEBA pentru a scăpa de conturile latente și privilegiile de utilizator care sunt mai mari decât cele necesare.

Prioritizarea incidentelor

Scopul acestei sarcini este de a prioritiza notificările generate de soluțiile din stiva lor de tehnologie pentru a înțelege care incidente sau incidente potențiale ar trebui abordate mai întâi. Metodologiile și instrumentele UEBA sunt utile în identificarea incidentelor care sunt deosebit de anormale sau deosebit de periculoase pentru o anumită organizație. În acest caz, mecanismul UEBA nu folosește doar nivelul de bază al activității și modelele de amenințare, dar și saturează datele cu informații despre structura organizațională a companiei (de exemplu, resurse sau roluri critice și niveluri de acces ale angajaților).

Probleme de implementare a soluțiilor UEBA

Durerea de piață a soluțiilor UEBA este prețul ridicat, implementarea complexă, întreținerea și utilizarea. În timp ce companiile se luptă cu numărul de portaluri interne diferite, primesc o altă consolă. Dimensiunea investiției de timp și resurse într-un nou instrument depinde de sarcinile la îndemână și de tipurile de analize necesare pentru a le rezolva și, cel mai adesea, necesită investiții mari.

Spre deosebire de ceea ce susțin mulți producători, UEBA nu este un instrument „setează-l și uită-l” care poate rula apoi continuu zile în șir.
Clienții Gartner, de exemplu, notează că este nevoie de 3 până la 6 luni pentru a lansa de la zero o inițiativă UEBA pentru a obține primele rezultate ale rezolvării problemelor pentru care a fost implementată această soluție. Pentru sarcini mai complexe, cum ar fi identificarea amenințărilor interne într-o organizație, perioada crește la 18 luni.

Factori care influențează dificultatea implementării UEBA și eficacitatea viitoare a instrumentului:

  • Complexitatea arhitecturii organizației, topologia rețelei și politicile de gestionare a datelor
  • Disponibilitatea datelor potrivite la nivelul corect de detaliu
  • Complexitatea algoritmilor de analiză ai furnizorului, de exemplu, utilizarea modelelor statistice și a învățării automate versus modele și reguli simple.
  • Cantitatea de analize preconfigurate incluse, adică înțelegerea de către producător a datelor care trebuie colectate pentru fiecare sarcină și ce variabile și atribute sunt cele mai importante pentru a efectua analiza.
  • Cât de ușor este pentru producător să se integreze automat cu datele necesare.

    De exemplu:

    • Dacă o soluție UEBA utilizează un sistem SIEM ca sursă principală a datelor sale, SIEM colectează informații din sursele de date necesare?
    • Jurnalele de evenimente necesare și datele de context organizațional pot fi direcționate către o soluție UEBA?
    • Dacă sistemul SIEM nu colectează și controlează încă sursele de date necesare soluției UEBA, atunci cum pot fi transferate acolo?

  • Cât de important este scenariul aplicației pentru organizație, câte surse de date necesită și cât de mult se suprapune această sarcină cu aria de expertiză a producătorului.
  • Ce grad de maturitate și implicare organizațională este necesar – de exemplu, crearea, dezvoltarea și rafinarea regulilor și modelelor; atribuirea de ponderi variabilelor pentru evaluare; sau ajustarea pragului de evaluare a riscului.
  • Cât de scalabilă este soluția furnizorului și arhitectura acesteia în comparație cu dimensiunea actuală a organizației și cu cerințele sale viitoare.
  • E timpul să construiești modele de bază, profiluri și grupuri cheie. Producătorii necesită adesea cel puțin 30 de zile (și uneori până la 90 de zile) pentru a efectua analize înainte de a putea defini concepte „normale”. Încărcarea datelor istorice o dată poate accelera pregătirea modelului. Unele dintre cazurile interesante pot fi identificate mai rapid folosind reguli decât folosind învățarea automată cu o cantitate incredibil de mică de date inițiale.
  • Nivelul de efort necesar pentru a construi gruparea dinamică și profilarea contului (serviciu/persoană) poate varia foarte mult între soluții.

Sursa: www.habr.com

Adauga un comentariu