ProHoster > Blog > internetové správy > Trh UEBA je mŕtvy – nech žije UEBA

Trh UEBA je mŕtvy – nech žije UEBA

Trh UEBA je mŕtvy – nech žije UEBA

Dnes poskytneme krátky prehľad trhu User and Entity Behavioral Analytics (UEBA) na základe najnovších Výskum Gartner. Podľa Gartner Hype Cycle for Threat-Facing Technologies je trh UEBA na dne „štádia dezilúzie“, čo naznačuje vyspelosť technológie. Paradox situácie však spočíva v súčasnom všeobecnom raste investícií do technológií UEBA a miznúcom trhu nezávislých riešení UEBA. Gartner predpovedá, že UEBA sa stane súčasťou funkčnosti súvisiacich riešení informačnej bezpečnosti. Pojem „UEBA“ sa pravdepodobne prestane používať a bude nahradený inou skratkou zameranou na užšiu oblasť použitia (napr. „analytika správania používateľov“), podobnú oblasť použitia (napr. „analytika údajov“), alebo sa jednoducho stane nejakým nový buzzword (napríklad výraz „umelá inteligencia“ [AI] vyzerá zaujímavo, hoci moderným výrobcom UEBA nedáva žiaden zmysel).

Kľúčové zistenia štúdie Gartner možno zhrnúť takto:

  • Vyspelosť trhu pre behaviorálnu analytiku používateľov a subjektov potvrdzuje skutočnosť, že tieto technológie využíva segment stredných a veľkých spoločností na riešenie množstva obchodných problémov;
  • Analytické schopnosti UEBA sú zabudované do širokej škály súvisiacich technológií informačnej bezpečnosti, ako sú napríklad zabezpečení sprostredkovatelia cloudového prístupu (CASB), systémy správy a správy identít (IGA) SIEM;
  • Humbuk okolo predajcov UEBA a nesprávne používanie termínu „umelá inteligencia“ sťažuje zákazníkom pochopiť skutočný rozdiel medzi technológiami výrobcov a funkčnosťou riešení bez vykonania pilotného projektu;
  • Zákazníci poznamenávajú, že čas implementácie a každodenné používanie riešení UEBA môže byť náročnejšie na prácu a čas, ako sľubuje výrobca, a to aj pri zohľadnení iba základných modelov detekcie hrozieb. Pridávanie vlastných alebo okrajových prípadov použitia môže byť mimoriadne náročné a vyžaduje si odborné znalosti v oblasti vedy o údajoch a analytiky.

Strategická prognóza vývoja trhu:

  • Do roku 2021 trh so systémami analýzy správania používateľov a entít (UEBA) prestane existovať ako samostatná oblasť a posunie sa smerom k iným riešeniam s funkcionalitou UEBA;
  • Do roku 2020 bude 95 % všetkých nasadení UEBA súčasťou širšej bezpečnostnej platformy.

Definícia riešení UEBA

Riešenia UEBA využívajú vstavanú analytiku na vyhodnotenie aktivity používateľov a iných subjektov (ako sú hostitelia, aplikácie, sieťová prevádzka a dátové úložiská).
Detekujú hrozby a potenciálne incidenty, ktoré zvyčajne predstavujú anomálnu aktivitu v porovnaní so štandardným profilom a správaním používateľov a subjektov v podobných skupinách počas určitého časového obdobia.

Najbežnejšími prípadmi použitia v podnikovom segmente sú detekcia a reakcia na hrozby, ako aj detekcia a reakcia na vnútorné hrozby (väčšinou ohrození insideri; niekedy interní útočníci).

UEBA je ako rozhodnutieA funkcie, zabudovaný do konkrétneho nástroja:

  • Riešením sú výrobcovia „čistých“ platforiem UEBA vrátane predajcov, ktorí predávajú SIEM riešenia aj samostatne. Zamerané na širokú škálu obchodných problémov v analytike správania používateľov aj subjektov.
  • Embedded – Výrobcovia/divízie, ktoré integrujú funkcie a technológie UEBA do svojich riešení. Zvyčajne sa zameriava na konkrétnejší súbor obchodných problémov. V tomto prípade sa UEBA používa na analýzu správania používateľov a/alebo subjektov.

Gartner sa pozerá na UEBA v troch osiach vrátane riešení problémov, analytiky a zdrojov údajov (pozri obrázok).

Trh UEBA je mŕtvy – nech žije UEBA

„Čisté“ platformy UEBA verzus vstavané UEBA

Gartner považuje za „čistú“ platformu UEBA riešenia, ktoré:

  • vyriešiť niekoľko špecifických problémov, ako je monitorovanie privilegovaných používateľov alebo výstup údajov mimo organizácie, a nielen abstraktné „monitorovanie anomálnej aktivity používateľov“;
  • zahŕňať použitie komplexnej analýzy nevyhnutne založenej na základných analytických prístupoch;
  • poskytnúť niekoľko možností zberu údajov vrátane vstavaných mechanizmov zdrojov údajov a nástrojov na správu protokolov, Data Lake a/alebo systémov SIEM bez povinnej potreby nasadenia samostatných agentov do infraštruktúry;
  • možno zakúpiť a nasadiť ako samostatné riešenia, nie ako súčasť
    zloženie iných produktov.

Nižšie uvedená tabuľka porovnáva tieto dva prístupy.

Tabuľka 1. „Čisté“ riešenia UEBA vs. vstavané

kategórie „čisté“ platformy UEBA Ďalšie riešenia so vstavaným UEBA
Problém, ktorý treba vyriešiť Analýza správania používateľov a entít. Nedostatok údajov môže obmedziť UEBA na analýzu správania iba používateľov alebo subjektov.
Problém, ktorý treba vyriešiť Slúži na riešenie širokého spektra problémov Špecializuje sa na obmedzený súbor úloh
Analytika Detekcia anomálií pomocou rôznych analytických metód - najmä prostredníctvom štatistických modelov a strojového učenia spolu s pravidlami a podpismi. Dodáva sa so vstavanou analytikou na vytváranie a porovnávanie aktivity používateľov a subjektov s ich profilmi a profilmi kolegov. Podobné ako čisté UEBA, ale analýza môže byť obmedzená len na používateľov a/alebo entity.
Analytika Pokročilé analytické schopnosti, ktoré nie sú obmedzené len pravidlami. Napríklad klastrovací algoritmus s dynamickým zoskupovaním entít. Podobne ako pri „čistom“ UEBA, ale zoskupenie entít v niektorých modeloch vstavaných hrozieb je možné zmeniť iba manuálne.
Analytika Korelácia aktivity a správania používateľov a iných subjektov (napríklad pomocou Bayesovských sietí) a agregácia individuálneho rizikového správania s cieľom identifikovať anomálnu aktivitu. Podobné ako čisté UEBA, ale analýza môže byť obmedzená len na používateľov a/alebo entity.
Zdroje dát Prijímanie udalostí o používateľoch a entitách zo zdrojov údajov priamo prostredníctvom vstavaných mechanizmov alebo existujúcich dátových úložísk, ako je SIEM alebo Data lake. Mechanizmy na získavanie údajov sú zvyčajne len priame a ovplyvňujú iba používateľov a/alebo iné subjekty. Nepoužívajte nástroje na správu protokolov / SIEM / Data lake.
Zdroje dát Riešenie by sa nemalo spoliehať len na sieťovú prevádzku ako hlavný zdroj údajov, ani by sa nemalo spoliehať len na svojich vlastných agentov pri zbere telemetrie. Riešenie sa môže sústrediť len na sieťovú prevádzku (napríklad NTA - analýza sieťovej prevádzky) a/alebo využívať svojich agentov na koncových zariadeniach (napríklad utility na monitorovanie zamestnancov).
Zdroje dát Nasýtenie údajov používateľa/entity kontextom. Podporuje zber štruktúrovaných udalostí v reálnom čase, ako aj štruktúrovaných/neštruktúrovaných súdržných dát z IT adresárov – napríklad Active Directory (AD) alebo iných strojovo čitateľných informačných zdrojov (napríklad HR databázy). Podobné ako čisté UEBA, ale rozsah kontextových údajov sa môže líšiť prípad od prípadu. AD a LDAP sú najbežnejšie kontextové dátové úložiská používané vstavanými riešeniami UEBA.
dostupnosť Poskytuje uvedené funkcie ako samostatný produkt. Kúpiť vstavanú funkcionalitu UEBA je nemožné bez zakúpenia externého riešenia, v ktorom je zabudovaná.
Zdroj: Gartner (máj 2019)

Na vyriešenie určitých problémov teda môže embedded UEBA využívať základnú analytiku UEBA (napríklad jednoduché strojové učenie bez dozoru), no zároveň vďaka prístupu k presne potrebným údajom môže byť celkovo efektívnejšie ako „čisté“ riešenie UEBA. Zároveň „čisté“ platformy UEBA, ako sa očakávalo, ponúkajú komplexnejšiu analytiku ako hlavné know-how v porovnaní so vstavaným nástrojom UEBA. Tieto výsledky sú zhrnuté v tabuľke 2.

Tabuľka 2. Výsledok rozdielov medzi „čistým“ a vstavaným UEBA

kategórie „čisté“ platformy UEBA Ďalšie riešenia so vstavaným UEBA
Analytika Použiteľnosť na riešenie rôznych obchodných problémov predpokladá univerzálnejšiu sadu funkcií UEBA s dôrazom na komplexnejšiu analýzu a modely strojového učenia. Zameranie sa na menšiu skupinu obchodných problémov znamená vysoko špecializované funkcie, ktoré sa zameriavajú na modely špecifické pre aplikáciu s jednoduchšou logikou.
Analytika Prispôsobenie analytického modelu je potrebné pre každý scenár aplikácie. Analytické modely sú predkonfigurované pre nástroj, ktorý má v sebe zabudovaný UEBA. Nástroj so zabudovaným UEBA vo všeobecnosti dosahuje rýchlejšie výsledky pri riešení určitých obchodných problémov.
Zdroje dát Prístup k zdrojom dát zo všetkých kútov podnikovej infraštruktúry. Menej zdrojov údajov, zvyčajne obmedzených dostupnosťou agentov alebo samotného nástroja s funkciami UEBA.
Zdroje dát Informácie obsiahnuté v každom protokole môžu byť obmedzené zdrojom údajov a nemusia obsahovať všetky potrebné údaje pre centralizovaný nástroj UEBA. Množstvo a podrobnosti nespracovaných údajov zhromaždených agentom a prenesených do UEBA je možné špecificky nakonfigurovať.
architektúra Je to kompletný produkt UEBA pre organizáciu. Integrácia je jednoduchšia s využitím možností systému SIEM alebo Data lake. Vyžaduje samostatnú sadu funkcií UEBA pre každé z riešení, ktoré majú vstavané UEBA. Vstavané riešenia UEBA často vyžadujú inštaláciu agentov a správu údajov.
integrácia Manuálna integrácia riešenia UEBA s inými nástrojmi v každom prípade. Umožňuje organizácii vybudovať svoj technologický balík založený na prístupe „najlepší medzi analógmi“. Hlavné balíky funkcií UEBA už výrobca obsahuje v samotnom nástroji. Modul UEBA je zabudovaný a nedá sa vybrať, takže ho zákazníci nemôžu nahradiť niečím vlastným.
Zdroj: Gartner (máj 2019)

UEBA ako funkcia

UEBA sa stáva súčasťou komplexných riešení kybernetickej bezpečnosti, ktoré môžu využívať ďalšie analýzy. Základom týchto riešení je UEBA, ktorá poskytuje výkonnú vrstvu pokročilej analýzy založenej na vzorcoch správania používateľov a/alebo subjektov.

V súčasnosti na trhu je vstavaná funkcionalita UEBA implementovaná v nasledujúcich riešeniach, zoskupených podľa technologického rozsahu:

  • Audit a ochrana údajov, sú predajcovia, ktorí sa zameriavajú na zlepšenie bezpečnosti štruktúrovaných a neštruktúrovaných dátových úložísk (známy ako DCAP).

    V tejto kategórii predajcov Gartner okrem iného poznamenáva, Platforma kybernetickej bezpečnosti Varonis, ktorá ponúka analýzu správania používateľov na monitorovanie zmien v povoleniach, prístupe a používaní neštruktúrovaných údajov v rôznych skladoch informácií.

  • CASB systémy, ktorá ponúka ochranu pred rôznymi hrozbami v cloudových SaaS aplikáciách blokovaním prístupu ku cloudovým službám pre nechcené zariadenia, používateľov a verzie aplikácií pomocou adaptívneho systému riadenia prístupu.

    Všetky popredné riešenia CASB zahŕňajú funkcie UEBA.

  • DLP riešenia – zamerané na odhaľovanie prenosu kritických dát mimo organizácie alebo ich zneužitia.

    Pokroky v oblasti DLP sú z veľkej časti založené na porozumení obsahu, s menším zameraním na pochopenie kontextu, ako je používateľ, aplikácia, miesto, čas, rýchlosť udalostí a iné vonkajšie faktory. Aby boli produkty DLP účinné, musia rozpoznávať obsah aj kontext. To je dôvod, prečo mnohí výrobcovia začínajú integrovať funkcie UEBA do svojich riešení.

  • Monitorovanie zamestnancov je schopnosť zaznamenávať a prehrávať akcie zamestnancov, zvyčajne v dátovom formáte vhodnom na súdne konania (ak je to potrebné).

    Neustále monitorovanie používateľov často generuje obrovské množstvo údajov, ktoré si vyžadujú manuálne filtrovanie a ľudskú analýzu. Preto sa UEBA používa vo vnútri monitorovacích systémov na zlepšenie výkonu týchto riešení a detekciu iba vysoko rizikových incidentov.

  • Zabezpečenie koncového bodu – Riešenia detekcie a odozvy koncových bodov (EDR) a platformy ochrany koncových bodov (EPP) poskytujú výkonné prístrojové vybavenie a telemetriu operačného systému
    koncové zariadenia.

    Takáto telemetria súvisiaca s používateľom môže byť analyzovaná, aby sa poskytla vstavaná funkcia UEBA.

  • Online podvod – Online riešenia na zisťovanie podvodov zisťujú deviantnú aktivitu, ktorá naznačuje kompromitáciu účtu zákazníka prostredníctvom spoofu, malvéru alebo zneužitia nezabezpečených pripojení/zachytenia prevádzky prehliadača.

    Väčšina riešení pre podvody využíva podstatu UEBA, transakčnú analýzu a meranie zariadení, pričom pokročilejšie systémy ich dopĺňajú párovaním vzťahov v databáze identít.

  • IAM a kontrola prístupu – Gartner si všíma evolučný trend medzi predajcami systémov kontroly prístupu integrovať sa s čistými dodávateľmi a zabudovať do svojich produktov niektoré funkcie UEBA.
  • IAM a systémy riadenia a správy identity (IGA). použite UEBA na pokrytie scenárov analýzy správania a identity, ako je detekcia anomálií, analýza dynamického zoskupovania podobných entít, analýza prihlásenia a analýza politiky prístupu.
  • IAM a správa privilegovaného prístupu (PAM) – Kvôli úlohe monitorovania používania administratívnych účtov majú riešenia PAM telemetriu, ktorá ukazuje, ako, prečo, kedy a kde boli použité administratívne účty. Tieto údaje je možné analyzovať pomocou vstavanej funkcie UEBA na prítomnosť anomálneho správania administrátorov alebo škodlivých úmyslov.
  • Výrobcovia NTA (analýza sieťovej prevádzky) – používať kombináciu strojového učenia, pokročilej analýzy a detekcie založenej na pravidlách na identifikáciu podozrivej aktivity v podnikových sieťach.

    Nástroje NTA nepretržite analyzujú zdrojovú návštevnosť a/alebo záznamy tokov (napr. NetFlow), aby vytvorili modely, ktoré odzrkadľujú normálne správanie siete, pričom sa primárne zameriavajú na analýzu správania entít.

  • siem – mnohí predajcovia SIEM majú teraz pokročilé funkcie analýzy údajov zabudované do SIEM alebo ako samostatný modul UEBA. V priebehu roka 2018 a doteraz v roku 2019 dochádzalo k neustálemu stieraniu hraníc medzi funkčnosťou SIEM a UEBA, ako sa uvádza v článku "Technologický pohľad pre moderný SIEM". Systémy SIEM sa zlepšili v práci s analytikou a ponúkajú komplexnejšie scenáre aplikácií.

Aplikačné scenáre UEBA

Riešenia UEBA dokážu vyriešiť širokú škálu problémov. Klienti spoločnosti Gartner však súhlasia s tým, že primárny prípad použitia zahŕňa detekciu rôznych kategórií hrozieb, čo sa dosiahne zobrazením a analýzou častých korelácií medzi správaním používateľov a inými entitami:

  • neoprávnený prístup a pohyb údajov;
  • podozrivé správanie privilegovaných používateľov, zlomyseľná alebo neoprávnená činnosť zamestnancov;
  • neštandardný prístup a využívanie cloudových zdrojov;
  • et al.

Existuje aj množstvo atypických prípadov použitia mimo kybernetickej bezpečnosti, ako sú podvody alebo monitorovanie zamestnancov, pre ktoré môže byť UEBA opodstatnené. Často však vyžadujú zdroje údajov mimo IT a informačnej bezpečnosti alebo špecifické analytické modely s hlbokým pochopením tejto oblasti. Nižšie je popísaných päť hlavných scenárov a aplikácií, na ktorých sa zhodujú výrobcovia UEBA a ich zákazníci.

"Zlomyseľný zasvätenec"

Poskytovatelia riešení UEBA, ktorí pokrývajú tento scenár, iba monitorujú zamestnancov a dôveryhodných dodávateľov, či neobsahujú nezvyčajné, „zlé“ alebo zlomyseľné správanie. Predajcovia v tejto oblasti nemonitorujú ani neanalyzujú správanie servisných účtov alebo iných neľudských subjektov. Z veľkej časti z tohto dôvodu sa nezameriavajú na detekciu pokročilých hrozieb, kde hackeri preberajú existujúce účty. Namiesto toho sú zamerané na identifikáciu zamestnancov zapojených do škodlivých činností.

Pojem „škodlivý zasvätenec“ v podstate pochádza od dôveryhodných používateľov so zlými úmyslami, ktorí hľadajú spôsoby, ako spôsobiť škodu svojmu zamestnávateľovi. Keďže je ťažké zmerať zlý úmysel, najlepší predajcovia v tejto kategórii analyzujú údaje o kontextovom správaní, ktoré nie sú ľahko dostupné v protokoloch auditu.

Poskytovatelia riešení v tomto priestore tiež optimálne pridávajú a analyzujú neštruktúrované údaje, ako je obsah e-mailov, správy o produktivite alebo informácie zo sociálnych médií, aby poskytli kontext pre správanie.

Kompromitované zasvätené a dotieravé hrozby

Výzvou je rýchlo odhaliť a analyzovať „zlé“ správanie, keď útočník získa prístup k organizácii a začne sa pohybovať v rámci IT infraštruktúry.
Asertívne hrozby (APT), ako sú neznáme alebo ešte nie úplne pochopené hrozby, je mimoriadne ťažké odhaliť a často sa skrývajú za legitímne aktivity používateľov alebo účty služieb. Takéto hrozby majú zvyčajne zložitý operačný model (pozri napríklad článok „ Riešenie Cyber ​​​​Kill Chain“) alebo ich správanie nebolo doteraz vyhodnotené ako škodlivé. To sťažuje ich detekciu pomocou jednoduchej analýzy (ako je porovnávanie podľa vzorov, prahových hodnôt alebo pravidiel korelácie).

Mnohé z týchto dotieravých hrozieb však vedú k neštandardnému správaniu, ktoré často zahŕňa nič netušiacich používateľov alebo entity (známe ako ohrození zasvätení). Techniky UEBA ponúkajú niekoľko zaujímavých príležitostí na detekciu takýchto hrozieb, zlepšenie pomeru signálu k šumu, konsolidáciu a zníženie objemu upozornení, uprednostnenie zostávajúcich upozornení a uľahčenie efektívnej reakcie na incidenty a ich vyšetrovania.

Dodávatelia UEBA, ktorí sa zameriavajú na túto problémovú oblasť, majú často obojsmernú integráciu so systémami SIEM organizácie.

Exfiltrácia dát

Úlohou v tomto prípade je zistiť skutočnosť, že dáta sa prenášajú mimo organizácie.
Dodávatelia zameraní na túto výzvu zvyčajne využívajú možnosti DLP alebo DAG s detekciou anomálií a pokročilou analytikou, čím zlepšujú pomer signálu k šumu, konsolidujú objem upozornení a uprednostňujú zostávajúce spúšťače. Pre ďalší kontext sa predajcovia zvyčajne viac spoliehajú na sieťovú prevádzku (napríklad webové servery proxy) a údaje o koncových bodoch, pretože analýza týchto zdrojov údajov môže pomôcť pri vyšetrovaniach exfiltrácie údajov.

Detekcia úniku dát sa používa na zachytenie insiderov a externých hackerov ohrozujúcich organizáciu.

Identifikácia a správa privilegovaného prístupu

Výrobcovia nezávislých riešení UEBA v tejto oblasti odbornosti pozorujú a analyzujú správanie používateľov na pozadí už vytvoreného systému práv, aby identifikovali nadmerné privilégiá alebo anomálny prístup. Platí to pre všetky typy používateľov a účtov vrátane privilegovaných a servisných účtov. Organizácie tiež používajú UEBA na zbavenie sa nečinných účtov a používateľských privilégií, ktoré sú vyššie, ako sa vyžaduje.

Uprednostňovanie incidentov

Cieľom tejto úlohy je uprednostniť oznámenia generované riešeniami v ich technologickom zásobníku, aby ste pochopili, ktoré incidenty alebo potenciálne incidenty by sa mali riešiť ako prvé. Metodiky a nástroje UEBA sú užitočné pri identifikácii incidentov, ktoré sú pre danú organizáciu obzvlášť anomálne alebo obzvlášť nebezpečné. Mechanizmus UEBA v tomto prípade využíva nielen základnú úroveň modelov aktivít a hrozieb, ale tiež saturuje údaje informáciami o organizačnej štruktúre spoločnosti (napríklad kritické zdroje alebo roly a úrovne prístupu zamestnancov).

Problémy implementácie riešení UEBA

Trhovou bolesťou riešení UEBA je ich vysoká cena, zložitá implementácia, údržba a používanie. Kým firmy bojujú s množstvom rôznych interných portálov, dostávajú ďalšiu konzolu. Veľkosť investovania času a zdrojov do nového nástroja závisí od aktuálnych úloh a typov analytiky, ktoré sú potrebné na ich riešenie, a najčastejšie si vyžadujú veľké investície.

Na rozdiel od toho, čo mnohí výrobcovia tvrdia, UEBA nie je nástroj „nastav a zabudni“, ktorý potom môže bežať nepretržite celé dni.
Klienti spoločnosti Gartner napríklad poznamenávajú, že spustenie iniciatívy UEBA od nuly na získanie prvých výsledkov riešenia problémov, pre ktoré bolo toto riešenie implementované, trvá 3 až 6 mesiacov. Pre zložitejšie úlohy, ako je identifikácia vnútorných hrozieb v organizácii, sa toto obdobie zvyšuje na 18 mesiacov.

Faktory ovplyvňujúce náročnosť implementácie UEBA a budúcu účinnosť nástroja:

  • Zložitosť architektúry organizácie, topológie siete a politiky správy dát
  • Dostupnosť správnych údajov na správnej úrovni detailov
  • Zložitosť analytických algoritmov dodávateľa – napríklad použitie štatistických modelov a strojového učenia oproti jednoduchým vzorom a pravidlám.
  • Množstvo zahrnutých vopred nakonfigurovaných analýz – to znamená, že výrobca rozumie tomu, aké údaje je potrebné zhromaždiť pre každú úlohu a aké premenné a atribúty sú najdôležitejšie na vykonanie analýzy.
  • Aké jednoduché je pre výrobcu automatickú integráciu s požadovanými údajmi.

    napríklad:

    • Ak riešenie UEBA používa systém SIEM ako hlavný zdroj svojich údajov, zbiera SIEM informácie z požadovaných zdrojov údajov?
    • Môžu byť potrebné protokoly udalostí a organizačné kontextové údaje smerované do riešenia UEBA?
    • Ak systém SIEM ešte nezhromažďuje a nekontroluje zdroje údajov potrebné pre riešenie UEBA, ako ich tam potom možno preniesť?

  • Aký dôležitý je scenár aplikácie pre organizáciu, koľko zdrojov údajov si vyžaduje a nakoľko sa táto úloha prekrýva s oblasťou odbornosti výrobcu.
  • Aký stupeň organizačnej zrelosti a zapojenia sa vyžaduje – napríklad tvorba, vývoj a zdokonaľovanie pravidiel a modelov; priraďovanie váh premenným na vyhodnotenie; alebo úpravou prahu hodnotenia rizika.
  • Ako škálovateľné je riešenie dodávateľa a jeho architektúra v porovnaní so súčasnou veľkosťou organizácie a jej budúcimi požiadavkami.
  • Čas na vytvorenie základných modelov, profilov a kľúčových skupín. Výrobcovia často vyžadujú aspoň 30 dní (a niekedy až 90 dní) na vykonanie analýzy, kým budú môcť definovať „normálne“ pojmy. Jednorazové načítanie historických údajov môže urýchliť tréning modelu. Niektoré zo zaujímavých prípadov je možné identifikovať rýchlejšie pomocou pravidiel ako pomocou strojového učenia s neuveriteľne malým množstvom počiatočných údajov.
  • Úroveň úsilia potrebného na vytvorenie dynamického zoskupovania a profilovania účtov (služba/osoba) sa môže medzi jednotlivými riešeniami značne líšiť.

Zdroj: hab.com

Pridať komentár