ProHoster > Блог > wararka internetka > Suuqa UEBA wuu dhintay - UEBA ha noolaato

Suuqa UEBA wuu dhintay - UEBA ha noolaato

Suuqa UEBA wuu dhintay - UEBA ha noolaato

Maanta waxaan bixin doonaa dulmar kooban oo ku saabsan Isticmaalaha iyo Hay'adda Falanqaynta Dabeecadda (UEBA) suuqa oo ku salaysan kii ugu dambeeyay Cilmi-baarista Gartner. Suuqa UEBA wuxuu ku yaalaa xagga hoose ee "marxaladda niyad-jabka" sida uu qabo Gartner Hype Cycle ee Tignoolajiyada Khatarta-Wajahada, taasoo muujinaysa qaan-gaadhnimada tignoolajiyada. Laakiin isbarbardhigga xaaladdu waxay ku jirtaa kobaca guud ee isku mar ah ee maalgashiga tignoolajiyada UEBA iyo suuqa lumaya ee xalalka UEBA ee madax-bannaan. Gartner wuxuu saadaaliyay in UEBA ay noqon doonto qayb ka mid ah shaqeynta xalalka amniga macluumaadka ee la xiriira. Erayga "UEBA" waxay u badan tahay inuu ka bixi doono isticmaalka oo lagu badalo gaabin kale oo diirada saaraya aag codsi oo cidhiidhi ah (tusaale, "falanqaynta habdhaqanka isticmaalaha"), aag codsi la mid ah (tusaale, "data analysis"), ama si fudud u noqda qaar ka mid ah Buzzword cusub (tusaale ahaan, ereyga "sirdoonka macmalka ah" [AI] wuxuu u muuqdaa mid xiiso leh, inkasta oo aysan wax macno ah u samaynayn soosaarayaasha casriga ah ee UEBA).

Natiijooyinka muhiimka ah ee ka soo baxay daraasadda Gartner waxaa lagu soo koobi karaa sida soo socota:

  • Qaangaadhka suuqa ee falanqaynta habdhaqanka ee isticmaalayaasha iyo hay'adaha ayaa lagu xaqiijiyay xaqiiqda ah in tignoolajiyadan ay isticmaalaan qaybta dhexe iyo kuwa waaweyn ee shirkadaha si loo xalliyo tiro ka mid ah dhibaatooyinka ganacsiga;
  • Awoodaha falanqaynta UEBA waxaa lagu dhisay tiro balaadhan oo ah tignoolajiyada amniga macluumaadka ee laxidhiidha, sida dillaaliyeyaasha amniga gelitaanka daruuraha (CASBs), maamulka aqoonsiga iyo maamulka (IGA) nidaamyada SIEM;
  • Xoojinta ku wareegsan iibiyeyaasha UEBA iyo isticmaalka khaldan ee ereyga "sirdoonka macmalka ah" waxay ku adkeyneysaa macaamiisha inay fahmaan farqiga dhabta ah ee u dhexeeya teknoolajiyada wax soo saarka iyo shaqeynta xalalka iyada oo aan la samayn mashruuc tijaabo ah;
  • Macaamiishu waxay ogsoon yihiin in wakhtiga hirgelinta iyo isticmaalka maalinlaha ah ee xalalka UEBA ay noqon karaan kuwo xoog badan oo waqti badan qaata marka loo eego ballanqaadyada soo saaraha, xitaa marka la tixgeliyo kaliya moodooyinka ogaanshaha khatarta aasaasiga ah. Ku darida kiisaska caadada ama cidhifyada isticmaalku aad ayay u adkaan kartaa waxayna u baahan tahay khibrad xagga sayniska xogta iyo falanqaynta.

Saadaasha horumarinta suuqa istiraatijiyadeed:

  • Marka la gaaro 2021, suuqa adeegsadaha iyo nidaamyada falanqeynta dabeecadda cidda (UEBA) waxay joogsan doontaa inay u jiraan sidii aag gaar ah waxayna u wareegi doonaan xalal kale oo leh shaqeynta UEBA;
  • Marka la gaaro 2020, 95% dhammaan UEBA la geeyo waxay noqon doontaa qayb ka mid ah madal ammaan oo ballaaran.

Qeexida xalalka UEBA

Xalalka UEBA waxay isticmaalaan falanqayn ku dhex jirta si ay u qiimeeyaan waxqabadka isticmaalayaasha iyo hay'adaha kale (sida martigeliyayaasha, codsiyada, taraafikada shabakada iyo kaydinta xogta).
Waxay ogaadaan hanjabaadaha iyo shilalka iman kara, sida caadiga ah waxay matalaan waxqabad aan caadi ahayn marka la barbar dhigo astaanta caadiga ah iyo habdhaqanka isticmaalayaasha iyo hay'adaha isku midka ah ee ka tirsan kooxaha la midka ah muddo wakhti ah.

Kiisaska ugu badan ee loo isticmaalo qaybta ganacsigu waa ogaanshaha iyo ka jawaabista hanjabaadda, iyo sidoo kale ogaanshaha iyo ka jawaabista hanjabaadaha gudaha (inta badan kuwa gudaha wax u galay, mararka qaarkood weerarrada gudaha ah).

UEBA waa sida go'aanka, iyo shaqayn, oo loo dhisay qalab gaar ah:

  • Xalku waa soo-saareyaasha aaladaha UEBA ee “saaxiibka ah”, oo ay ku jiraan iibiyeyaasha kuwaas oo si gaar ah u iibiya xalalka SIEM. Diirada saaratay mashaakil ganacsi oo kala duwan oo ku jira falanqaynta habdhaqanka ee isticmaalayaasha iyo qaybaha labadaba.
  • Ku-xidhan - Soo-saareyaasha/qaybaha isku-dhafaya hawlaha UEBA iyo teknoolojiyadda xalalkooda. Caadi ahaan diiradda saaraya dhibaatooyin ganacsi oo gaar ah. Xaaladdan oo kale, UEBA waxaa loo isticmaalaa in lagu falanqeeyo habdhaqanka isticmaalayaasha iyo/ama hay'adaha.

Gartner waxa uu UEBA ku eegayaa saddex faasas, oo ay ku jiraan mushkiladaha xaliya, falanqaynta, iyo ilaha xogta (eeg jaantuska).

Suuqa UEBA wuu dhintay - UEBA ha noolaato

Qalabka UEBA ee "Nadiif ah" oo ka soo horjeeda UEBA

Gartner waxa uu u arkaa madal UEBA ah “saaxiib ah” inay xal u noqoto:

  • xalliyaan dhowr mashaakil oo gaar ah, sida la socodka isticmaalayaasha mudnaanta leh ama soo saarista xogta ka baxsan ururka, ee ma aha oo kaliya "kormeerka dhaqdhaqaaqa isticmaale ee aan caadiga ahayn";
  • ku lug leh isticmaalka falanqaynta adag, oo daruuri ku salaysan hababka falanqaynta aasaasiga ah;
  • Bixi dhawr fursadood oo xog ururin ah, oo ay ku jiraan labadaba hababka ilaha xogta ee la dhisay iyo agabka maaraynta log, harada xogta iyo/ama nidaamyada SIEM, iyada oo aan loo baahnayn in la geeyo wakiilo gaar ah kaabayaasha;
  • waa la iibsan karaa oo la geyn karaa sidii xal gooni ah halkii lagu dari lahaa
    ka kooban alaabta kale.

Shaxda hoose ayaa is barbar dhig ku samaynaysa labada hab.

Shaxda 1. "Pure" xalalka UEBA vs kuwa la dhisay

category "Pure" goobaha UEBA Xalalka kale ee la dhisay UEBA
Dhib la xalliyo Falanqaynta habdhaqanka isticmaalaha iyo qaybaha. Xog la'aanta waxay xaddidi kartaa UEBA si ay u falanqeyso habdhaqanka isticmaalayaasha ama hay'adaha kaliya.
Dhib la xalliyo Waxay u adeegtaa xallinta mashaakil aad u ballaaran Ku takhasusay hawlo xaddidan
Analytics Ogaanshaha anomaly iyadoo la adeegsanayo habab kala duwan oo falanqayn ah - inta badan iyada oo loo marayo moodooyinka tirakoobka iyo barashada mashiinka, oo ay weheliso sharciyo iyo saxiixyo. Waxay la socotaa falanqayn ku dhex dhisan si loo abuuro oo loo barbar dhigo adeegsadaha iyo cidda wax qabad ee profileskooda iyo asxaabtooda. La mid ah UEBA saafi ah, laakiin falanqayntu waxay ku koobnaan kartaa isticmaalayaasha iyo/ama hay'adaha oo keliya.
Analytics Awoodaha gorfaynta sare, oo aan xaddidnayn oo keliya xeerar. Tusaale ahaan, algorithm ururinta oo leh kooxaynta firfircoon ee hay'adaha. Si la mid ah UEBA "saafi ah", laakiin kooxaynta kooxeed ee qaar ka mid ah moodooyinka halista ku dhex jira waxa kaliya oo lagu beddeli karaa gacanta.
Analytics Isku xirka dhaqdhaqaaqa iyo habdhaqanka isticmaalayaasha iyo hay'adaha kale (tusaale, adeegsiga shabakadaha Bayesian) iyo isu geynta dabeecadaha khatarta ah ee shaqsiga si loo aqoonsado dhaqdhaqaaqa aan caadiga ahayn. La mid ah UEBA saafi ah, laakiin falanqayntu waxay ku koobnaan kartaa isticmaalayaasha iyo/ama hay'adaha oo keliya.
Ilaha xogta Helitaanka dhacdooyinka isticmaalayaasha iyo hay'adaha ilaha xogta si toos ah iyada oo loo marayo habab la dhisay ama kaydka xogta jira, sida SIEM ama xogta harada. Hababka lagu helo xogta badanaa waa toos oo kaliya oo saameeya isticmaalayaasha iyo/ama hay'adaha kale. Ha isticmaalin agabka maaraynta log / SIEM / harada xogta.
Ilaha xogta Xalku waa inuusan kaliya ku tiirsanayn taraafikada shabakadda oo ah isha ugu weyn ee xogta, mana aha inuu ku tiirsanaado oo keliya wakiiladiisa si ay u ururiyaan telemetry. Xalku wuxuu diiradda saari karaa oo keliya taraafikada shabakadda (tusaale, NTA - falanqaynta taraafikada shabakadda) iyo/ama isticmaal wakiilladeeda aaladaha dhammaadka ah (tusaale, qalabka kormeerka shaqaalaha).
Ilaha xogta Ku buuxinta xogta isticmaalaha/qaybta oo leh macnaha guud. Waxay taageertaa ururinta dhacdooyinka habaysan wakhtiga dhabta ah, iyo sidoo kale habaysan/aan habaysan xogta isku-xidhan ee hagayaasha IT - tusaale ahaan, Hagaha Active (AD), ama agabka macluumaadka kale ee mashiinka-akhrisan (tusaale, xogta HR). La mid ah UEBA saafi ah, laakiin baaxadda xogta macnaha guud way ka duwanaan kartaa kiis ilaa kiis. AD iyo LDAP waa kaydinta xogta macnaha guud ee ugu caansan ee ay isticmaalaan xalalka UEBA.
Helitaanka Waxay bixisaa sifada liiska ku qoran sida badeecad taagan. Suurtagal maaha in la iibsado ku-shaqeynta UEBA iyada oo aan la iibsan xal dibadda ah oo lagu dhisay.
Xigasho: Gartner (May 2019)

Sidaa darteed, si loo xalliyo dhibaatooyinka qaarkood, UEBA-ku-xidhan waxay isticmaali kartaa falanqaynta aasaasiga ah ee UEBA (tusaale ahaan, barashada mashiinka fudud ee aan la kormeerin), laakiin isla mar ahaantaana, sababtoo ah helitaanka saxda ah ee xogta lagama maarmaanka ah, waxay noqon kartaa mid guud ahaan waxtar badan marka loo eego " saafi ah " Xalka UEBA. Isla mar ahaantaana, aaladaha UEBA ee “saaxiibka ah”, sida la filayo, waxay bixiyaan falanqayn aad u adag oo ah aqoonta ugu weyn marka la barbar dhigo qalabka UEBA ee ku dhex jira. Natiijooyinkan waxa lagu soo koobay shaxda 2.

Shaxda 2. Natiijooyinka kala duwanaanshaha u dhexeeya "saaxiibka ah" iyo UEBA ee la dhisay

category "Pure" goobaha UEBA Xalalka kale ee la dhisay UEBA
Analytics U-qalmitaanka xallinta mashaakilaadka ganacsi ee kala duwan waxay tusinaysaa hawlo caalami ah oo UEBA ah iyadoo xoogga la saarayo falanqaynta kakan iyo moodooyinka barashada mashiinka. Diirada saarista mushkilado ganacsi oo yar waxay la macno tahay sifooyin gaar ah oo diirada saaraya moodooyinka arjiga gaarka ah ee leh caqli fudud.
Analytics Habaynta qaabka falanqaynta ayaa lagama maarmaan u ah xaalad kasta oo codsi ah. Moodooyinka falanqaynta ayaa horay loogu habeeyey aaladda UEBA lagu dhex dhisay. Qalab leh UEBA-ku-dhismay guud ahaan wuxuu ku gaadhaa natiijooyin dhakhso leh oo lagu xalliyo dhibaatooyinka ganacsiga qaarkood.
Ilaha xogta Helitaanka ilaha xogta ee dhammaan geesaha kaabayaasha shirkadda. Ilaha xogta oo yar, badiyaa xaddidan helitaanka wakiilada iyaga ama qalabka laftiisa ee leh hawlaha UEBA.
Ilaha xogta Macluumaadka ku jira log kasta waxaa laga yaabaa inay xaddidaan ilaha xogta oo laga yaabo inaysan ku jirin dhammaan xogta lagama maarmaanka u ah qalabka dhexe ee UEBA. Qadarka iyo faahfaahinta xogta cayriin ee uu ururiyay wakiilka oo loo gudbiyay UEBA si gaar ah ayaa loo habayn karaa.
naqshadaha Waa badeecad dhamaystiran oo UEBA ah oo loogu talagalay ururka. Is dhexgalka waa sahlan tahay iyadoo la adeegsanayo awoodaha nidaamka SIEM ama harada xogta. Waxay u baahan tahay astaamo u gaar ah UEBA mid kasta oo ka mid ah xalalka lagu dhisay UEBA. Xalalka UEBA-da-xidhan waxay inta badan u baahan yihiin rakibidda wakiilada iyo maaraynta xogta.
Is-dhexgalka Isku dhafka gacanta ee xalka UEBA oo leh qalab kale xaalad kasta. Waxay u ogolaataa ururku inuu dhiso xidhmooyinkiisa tignoolajiyada iyadoo lagu salaynayo habka "ugu wanaagsan analoogyada". Xirmooyinka ugu muhiimsan ee hawlaha UEBA ayaa mar horeba lagu daray qalabka laftiisa soo saaraha. Module-ka UEBA wuu ku dhex dhisan yahay lagamana saari karo, markaa macaamiishu kuma bedeli karaan wax iyaga u gaar ah.
Xigasho: Gartner (May 2019)

UEBA shaqo ahaan

UEBA waxay noqonaysaa astaan ​​ka mid ah dhamaadka-ilaa-dhamaadka xalalka amniga internetka oo ka faa'iideysan kara falanqaynta dheeraadka ah. UEBA waxay hoosta ka xariiqaysaa xalalkan, iyada oo bixisa lakab xoog leh oo falanqayn horumarsan oo ku salaysan isticmaalaha iyo/ama hababka dabeecadda.

Waqtigan xaadirka ah suuqa, shaqeynta ku dhex dhisan ee UEBA waxaa lagu fuliyaa xalalka soo socda, oo lagu kooxeeyay baaxadda tignoolajiyada:

  • Hantidhawrka iyo ilaalinta xogta ku wajahan, waa iibiyeyaal diirada saaraya hagaajinta amniga kaydinta xogta habaysan iyo qaabaysan (aka DCAP).

    Qaybtan iibiyeyaasha, Gartner wuxuu xusay, iyo waxyaabo kale, Xarunta badbaadada internetka ee Varonis, kaas oo bixiya falanqaynta habdhaqanka isticmaalaha si ay ula socdaan isbeddelada oggolaanshaha xogta aan habaysanayn, gelitaanka, iyo isticmaalka dhammaan macluumaadka kala duwan.

  • Nidaamyada CASB, Bixinta ilaalinta khataraha kala duwan ee codsiyada SaaS-ku salaysan ee daruuriga ah iyada oo xannibaysa helitaanka adeegyada daruuraha ee qalabka aan loo baahnayn, isticmaalayaasha iyo noocyada codsiyada iyadoo la adeegsanayo nidaamka xakamaynta la-qabsiga.

    Dhammaan xalalka CASB ee suuqa hogaaminaya waxa ku jira awoodaha UEBA.

  • Xalka DLP - diiradda saaraya ogaanshaha wareejinta xogta muhiimka ah ee ka baxsan ururka ama xadgudubkeeda.

    Horumarka DLP ayaa inta badan ku salaysan fahamka nuxurka, iyada oo diiradda la saarayo fahamka macnaha guud sida isticmaale, codsi, goobta, waqtiga, xawaaraha dhacdooyinka, iyo arrimo kale oo dibadda ah. Si loo noqdo mid waxtar leh, alaabada DLP waa inay aqoonsadaan nuxurka iyo macnaha guud labadaba. Tani waa sababta shirkado badani ay u bilaabayaan inay ku daraan shaqeynta UEBA xalalkooda.

  • Kormeerka shaqaalaha waa awooda lagu duubo oo dib loogu celiyo ficilada shaqaalaha, badanaa qaab xogeed ku haboon dacwadaha sharciga ah (haddii loo baahdo).

    La socodka joogtada ah isticmaalayaasha waxay inta badan soo saartaa xog xad dhaaf ah oo u baahan shaandhaynta gacanta iyo falanqaynta aadanaha. Sidaa darteed, UEBA waxaa loo isticmaalaa gudaha nidaamyada kormeerka si loo hagaajiyo waxqabadka xalalkan oo loo ogaado kaliya dhacdooyinka khatarta sare leh.

  • Amniga barta dhamaadka - Ogaanshaha iyo jawaabta dhamaadka (EDR) xalalka iyo goobaha ilaalinta dhamaadka (EPP) waxay bixiyaan qalab awood leh iyo nidaamka hawlgalka telemetry
    qalabka dhamaadka.

    Telemetry isticmaale-ku-xiran ee noocan oo kale ah waa la falanqeyn karaa si loo bixiyo shaqaynta UEBA ee ku dhisan.

  • Khiyaanada internetka - Xalalka ogaanshaha khayaanada khadka tooska ah ayaa lagu ogaadaa dhaqdhaqaaqa leexsan ee tilmaamaya tanaasulka koontada macmiilka iyada oo loo marayo khariidad, malware, ama ka faa'iidaysiga xidhiidhada aan la sugin/browser interneedka.

    Inta badan xalalka khayaanada waxay isticmaalaan nuxurka UEBA, falanqaynta macaamilka iyo cabbirka qalabka, oo leh habab aad u horumarsan oo kaabaya iyaga oo isbarbar dhigaya cilaaqaadka xogta aqoonsiga.

  • IAM iyo xakamaynta gelitaanka - Gartner wuxuu xusayaa isbeddel horumarsan oo ka dhexeeya iibiyeyaasha nidaamka xakamaynta gelitaanka si ay ula midoobaan iibiyeyaasha saafiga ah oo ay u dhisaan qaar ka mid ah shaqeynta UEBA alaabtooda.
  • IAM iyo Nidaamka Maamulka iyo Maamulka Aqoonsiga (IGA). adeegso UEBA si aad u daboosho xaaladaha falanqaynta habdhaqanka iyo aqoonsiga sida ogaanshaha anomaly, falanqaynta kooxaynta firfircoon ee qaybaha la midka ah, falanqaynta galitaanka, iyo falanqaynta siyaasada gelitaanka.
  • IAM iyo Maaraynta Helitaanka Mudnaanta leh (PAM) - Doorka la socodka isticmaalka xisaabaadka maamulka awgeed, xalalka PAM waxay leeyihiin telemetry si ay u muujiyaan sida, sababta, goorta iyo meesha xisaabaadka maamulka loo isticmaalay. Xogtan waxaa lagu falanqeyn karaa iyadoo la adeegsanayo shaqeynta ku dhex jirta UEBA ee joogitaanka dabeecadaha aan caadiga ahayn ee maamulayaasha ama ujeedo xaasidnimo ah.
  • Soo-saareyaasha NTA (Shabakadda Falanqaynta Gaadiidka) - Isticmaal isku-darka barashada mashiinka, falanqaynta horumarsan iyo ogaanshaha qaanuunka ku salaysan si loo aqoonsado dhaqdhaqaaqa shakiga leh ee shabakadaha shirkadaha.

    Aaladaha NTA waxay si joogto ah u falanqeeyaan taraafikada isha iyo/ama diiwaannada socodka (tusaale NetFlow) si loo dhiso moodallo ka tarjumaya habdhaqanka shabakada caadiga ah, ugu horrayn diiradda saaraya falanqaynta dabeecadda cidda.

  • SIEM - Iibiyeyaal badan oo SIEM ah ayaa hadda leh shaqeynta falanqaynta xogta horumarsan ee lagu dhisay SIEM, ama module UEBA gaar ah. Intii lagu jiray 2018 iyo ilaa hadda ee 2019, waxaa jiray mugdi joogto ah oo xuduudaha u dhexeeya shaqeynta SIEM iyo UEBA, sida looga hadlay maqaalka. "Aragtida Tignoolajiyada ee SIEM Casriga ah". Nidaamyada SIEM waxay noqdeen kuwo ku wanagsan la shaqaynta falanqaynta iyo bixinta xaalado codsi oo aad u adag.

Xaaladaha Codsiga UEBA

Xalalka UEBA waxay xalin karaan dhibaatooyin kala duwan. Si kastaba ha ahaatee, macaamiisha Gartner waxay isku raaceen in kiiska isticmaalka aasaasiga ah uu ku lug leeyahay ogaanshaha noocyada kala duwan ee hanjabaadaha, oo lagu gaaro muujinta iyo falanqaynta xiriirka soo noqnoqda ee ka dhexeeya dhaqanka isticmaalaha iyo hay'adaha kale:

  • galaangal la'aan iyo dhaqdhaqaaqa xogta;
  • dabeecadda laga shakiyo ee isticmaalayaasha mudnaanta leh, xaasidnimada ama hawlaha aan la oggolayn ee shaqaalaha;
  • helitaanka aan caadiga ahayn iyo isticmaalka ilaha daruuriga ah;
  • iyo kuwa kale.

Waxa kale oo jira tiro ka mid ah kiisas isticmaal oo aan cybersecurity ahayn oo caadi ah, sida khayaanada ama la socodka shaqaalaha, kuwaas oo UEBA laga yaabo in loo caddeeyo. Si kastaba ha ahaatee, waxay inta badan u baahan yihiin ilo xogeed oo ka baxsan IT-ga iyo amniga macluumaadka, ama qaabab gorfeyn gaar ah oo si qoto dheer u fahmaya aaggan. Shanta xaaladood ee ugu waaweyn iyo codsiyada ay labada shirkadood ee UEBA iyo macaamiishooda ku heshiiyaan ayaa lagu sifeeyay hoos.

"Insider xaasidnimo"

Xal bixiyayaasha UEBA ee daboolaya dhacdadan kaliya waxay la socdaan shaqaalaha iyo qandaraaslayaasha la aaminsan yahay si aan caadi ahayn, "xun," ama dabeecad xaasidnimo ah. Iibiyeyaasha goobtan khibradda leh ma kormeeraan ama ma falanqeeyaan habdhaqanka xisaabaadka adeegga ama hay'adaha kale ee aan aadanaha ahayn. Inta badan sababtan awgeed, kumana foojignaadaan ogaanshaha khataraha horumarsan ee haakarisku la wareegaan xisaabaadka jira. Taa baddalkeeda, waxaa loogu talagalay in lagu aqoonsado shaqaalaha ku lug leh hawlaha waxyeellada leh.

Asal ahaan, fikradda "khasaaraha xaasidnimo" waxay ka timaadaa isticmaalayaasha la aamini karo ee leh ujeedo xaasidnimo ah kuwaas oo raadiya siyaabo ay waxyeelo ugu geystaan ​​loo shaqeeyahooda. Sababtoo ah ujeeddada xaasidnimada ah way adag tahay in la cabbiro, iibiyeyaasha ugu fiican ee qaybtan waxay falanqeeyaan xogta habdhaqanka macnaha guud ee aan si fudud loo heli karin diiwaannada xisaabinta.

Xalka bixiyayaasha goobtan ayaa sidoo kale si wanagsan ugu dara oo u falanqeeya xogta aan habaysanayn, sida waxa ku jira iimaylka, warbixinada wax soo saarka, ama macluumaadka warbaahinta bulshada, si loo bixiyo macnaha guud ee habdhaqanka.

Hanjabaado gudaha ah oo laga tanaasulay iyo faragelin

Caqabadda ayaa ah in si degdeg ah loo ogaado oo loo falanqeeyo dabeecadda "xun" mar haddii uu weeraryahanku galo ururka oo uu bilaabo inuu dhex galo kaabayaasha IT-ga.
Hanjabaadaha caddaynta (APTs), sida hanjabaad aan la garanayn ama aan weli si buuxda loo fahmin, aad bay u adag tahay in la ogaado oo inta badan lagu qariyo dhaqdhaqaaqa isticmaale ee sharciga ah ama xisaabaadka adeegga. Hanjabaadaha noocan oo kale ah waxay inta badan leeyihiin qaab hawleed kakan (fiiri, tusaale ahaan, maqaalka " Isagoo ka hadlaya Silsiladda Dilalka Cyber") ama dhaqankooda weli looma qiimeyn inay waxyeello leeyihiin. Tani waxay ka dhigaysaa inay adag tahay in la ogaado iyadoo la isticmaalayo falanqaynta fudud (sida is waafajinta qaababka, marinnada, ama xeerarka isku xidhka).

Si kastaba ha ahaatee, qaar badan oo ka mid ah hanjabaadahaas faragelinta ah waxay keenaan dabeecad aan caadi ahayn, oo inta badan ku lug leh isticmaalayaasha ama hay'adaha aan shakinayn (loo yaqaan gudaha gudaha). Farsamooyinka UEBA waxay bixiyaan dhowr fursadood oo xiisa leh si loo ogaado hanjabaadahaas, hagaajinta saamiga calaamad-ilaa-sanqa, xoojinta iyo dhimista mugga ogeysiinta, mudnaanta la siiyo digniinaha haray, iyo fududeynta jawaab-celinta iyo baaritaanka shilka ee waxtarka leh.

Iibiyeyaasha UEBA ee bartilmaameedsanaya aaggan dhibka badanaa waxay leeyihiin is dhexgalka laba jiho ee nidaamka SIEM ee ururka.

Faafinta Xogta

Hawsha kiiskan waa in la ogaado xaqiiqda ah in xogta lagu wareejiyay meel ka baxsan ururka.
Iibiyeyaashu waxay diiradda saareen caqabadan sida caadiga ah waxay ka faa'iidaystaan ​​​​DLP ama DAG awoodaha ogaanshaha cilladaysan iyo falanqaynta horumarsan, si ay u wanaajiso saamiga dhawaaqa-ilaa-sanqa, xoojinta mugga ogeysiinta, iyo kala hormarinta kiciyeyaasha soo hadhay. Macnaha dheeraadka ah, iibiyeyaashu waxay caadi ahaan aad ugu tiirsan yihiin taraafikada shabakada (sida wakiillada webka) iyo xogta dhamaadka, maadaama falanqaynta ilaha xogtan ay ka caawin karaan baadhitaanada xogta sifeynta.

Ogaanshaha xog-ururinta xogta waxa loo isticmaalaa in lagu qabto gudaha iyo jabsiga dibadeed ee u hanjabaya ururka.

Aqoonsiga iyo maamulka helitaanka mudnaanta leh

Soo-saareyaasha xalalka UEBA ee madaxa-bannaan ee aaggan khibradda leh waxay eegaan oo falanqeeyaan habdhaqanka isticmaalaha ee ka soo horjeeda nidaamka hore ee xuquuqaha si loo aqoonsado mudnaanta xad-dhaafka ah ama gelitaanka qarsoodiga ah. Tani waxay khusaysaa dhammaan noocyada isticmaaleyaasha iyo akoonnada, oo ay ku jiraan kuwa mudnaanta leh iyo xisaabaadka adeegga. Ururadu sidoo kale waxay isticmaalaan UEBA si ay uga takhalusaan akoonnada hurda iyo mudnaanta isticmaalayaasha kuwaas oo ka sarreeya inta loo baahan yahay.

Mudnaanta dhacdada

Hadafka hawshani waa in la kala hormariyo ogaysiisyada ay keeneen xalalka ku jira xidhmooyinkooda tignoolajiyada si loo fahmo shilalka ama dhacdooyinka iman kara marka hore wax laga qabto. Hababka UEBA iyo aaladaha ayaa faa'iido u leh aqoonsashada dhacdooyinka khaaska ah ee qarsoodiga ah ama khatarta u ah urur la siiyay. Xaaladdan oo kale, habka UEBA kaliya ma isticmaalo heerka asaasiga ah ee dhaqdhaqaaqa iyo moodooyinka khatarta ah, laakiin sidoo kale waxay ku xoojisaa xogta macluumaadka ku saabsan qaab dhismeedka ururka ee shirkadda (tusaale, ilaha muhiimka ah ama doorarka iyo heerarka gelitaanka shaqaalaha).

Dhibaatooyinka hirgelinta xalalka UEBA

Xanuunka suuqa ee xalalka UEBA waa qiimihiisu sarreeyo, hirgelinta adag, dayactirka iyo isticmaalka. Iyadoo shirkaduhu ay la halgamayaan tirada albaabbada gudaha ee kala duwan, waxay helayaan console kale. Baaxadda maalgelinta wakhtiga iyo agabka qalab cusub waxay ku xidhan tahay hawlaha la qabanayo iyo noocyada falanqaynta ee loo baahan yahay si loo xalliyo, inta badanna waxay u baahan yihiin maalgashi ballaadhan.

Si ka duwan waxa soo saarayaal badan ay sheeganayaan, UEBA ma aha "deji oo illow" qalab ka dibna si joogto ah u socon kara maalmo dhamaadka ah.
Macaamiisha Gartner, tusaale ahaan, ogow in ay qaadanayso 3 ilaa 6 bilood in la bilaabo hindisaha UEBA meel eber ah si loo helo natiijooyinka ugu horreeya ee xalinta dhibaatooyinka taas oo xalkan loo hirgeliyay. Hawlo badan oo adag, sida ogaanshaha khataraha gudaha ee ururka, muddada waxay kordhisaa ilaa 18 bilood.

Qodobbada saameeya dhibka hirgelinta UEBA iyo waxtarka mustaqbalka ee qalabka:

  • Kakanaanta qaab dhismeedka ururka, topology network iyo siyaasadaha maaraynta xogta
  • Helitaanka xogta saxda ah ee heerka saxda ah ee faahfaahinta
  • Kakanaanta algorithms-ka falanqaynta iibiyaha-tusaale ahaan, isticmaalka moodooyinka tirakoobka iyo barashada mashiinka oo ka soo horjeeda qaababka iyo xeerarka fudud.
  • Qadarka falanqaynta hore loo habeeyey ee lagu daray-taasi waa, fahamka soo-saaraha ee waxa xogta loo baahan yahay in loo ururiyo hawl kasta iyo waxa doorsoomayaal iyo sifooyinku yihiin kuwa ugu muhiimsan si loo sameeyo falanqaynta.
  • Sida ay u fududahay soo-saareyaashu in ay si toos ah ula falgalaan xogta loo baahan yahay.

    Tusaale ahaan:

    • Haddii xalka UEBA uu isticmaalo nidaamka SIEM oo ah isha ugu weyn ee xogtiisa, SIEM ma ururisaa macluumaadka ilaha xogta loo baahan yahay?
    • Diiwaanka dhacdooyinka lama huraanka ah iyo xogta macnaha guud ee ururka ma loo gudbin karaa xalka UEBA?
    • Haddii nidaamka SIEM uusan wali ururin oo uusan xakameyn ilaha xogta ee loo baahan yahay xalka UEBA, markaa sidee loogu wareejin karaa halkaas?

  • Intee in le'eg ayay muhiim u tahay xaaladda codsiga ururka, immisa ilo xog ah ayay u baahan tahay, iyo intee in le'eg ayay hawshani la jaanqaadaysaa aagga soo-saaraha ee khibradda.
  • Waa maxay heerka qaan-gaarnimada urureed iyo ka-qaybgalka ayaa loo baahan yahay - tusaale ahaan, abuurista, horumarinta iyo hagaajinta xeerarka iyo qaababka; u qoondaynta miisaanka doorsoomayaasha si loo qiimeeyo; ama hagaajinta heerka qiimaynta khatarta.
  • Sidee loo cabbiri karaa xalka iibiyaha iyo qaab-dhismeedkiisa marka loo eego baaxadda ururka ee hadda iyo shuruudaha mustaqbalka.
  • Waqtiga lagu dhisayo moodooyinka aasaasiga ah, profiles iyo kooxaha muhiimka ah. Wax-soo-saarayaashu waxay inta badan u baahan yihiin ugu yaraan 30 maalmood (iyo mararka qaarkood ilaa 90 maalmood) si ay u sameeyaan falanqayn ka hor intaanay qeexin "caadooyinka." Soo dejinta xogta taariikhiga ah hal mar waxay soo dedejin kartaa tababarka moodeelka. Qaar ka mid ah kiisaska xiisaha leh ayaa si dhakhso leh loo aqoonsan karaa iyadoo la adeegsanayo sharciyo halkii la isticmaali lahaa barashada mashiinka oo leh qadar yar oo cajiib ah oo xogta bilowga ah.
  • Heerka dadaalka loo baahan yahay si loo dhiso kooxaynta firfircoon iyo muujinta akoonka (adeegga/qofka) aad ayay u kala duwanaan kartaa inta u dhaxaysa xalalka.

Source: www.habr.com

Add a comment