ProHoster > Blog > lajme në internet > Tregu UEBA ka vdekur - rroftë UEBA

Tregu UEBA ka vdekur - rroftë UEBA

Tregu UEBA ka vdekur - rroftë UEBA

Sot do të ofrojmë një përmbledhje të shkurtër të tregut të analitikës së sjelljes së përdoruesve dhe subjekteve (UEBA) bazuar në më të fundit Hulumtimi Gartner. Tregu i UEBA është në fund të "fazës së zhgënjimit" sipas Gartner Hype Cycle for Threat-Facing Technologies, duke treguar pjekurinë e teknologjisë. Por paradoksi i situatës qëndron në rritjen e njëkohshme të përgjithshme të investimeve në teknologjitë e UEBA-s dhe në zhdukjen e tregut të zgjidhjeve të pavarura UEBA. Gartner parashikon që UEBA do të bëhet pjesë e funksionalitetit të zgjidhjeve të lidhura me sigurinë e informacionit. Termi "UEBA" ka të ngjarë të dalë jashtë përdorimit dhe të zëvendësohet nga një akronim tjetër i fokusuar në një zonë më të ngushtë aplikimi (p.sh., "analitika e sjelljes së përdoruesit"), një zonë e ngjashme aplikimi (p.sh., "analitika e të dhënave"), ose thjesht do të bëhet një fjalë e re e re (për shembull, termi "inteligjencë artificiale" [AI] duket interesant, megjithëse nuk ka kuptim për prodhuesit modernë të UEBA).

Gjetjet kryesore nga studimi Gartner mund të përmblidhen si më poshtë:

  • Pjekuria e tregut për analizat e sjelljes së përdoruesve dhe subjekteve konfirmohet nga fakti se këto teknologji përdoren nga segmenti i korporatave të mesme dhe të mëdha për të zgjidhur një sërë problemesh biznesi;
  • Aftësitë analitike të UEBA janë ndërtuar në një gamë të gjerë teknologjish të lidhura të sigurisë së informacionit, të tilla si ndërmjetësit e sigurisë së aksesit në cloud (CASB), sistemet SIEM të qeverisjes dhe administrimit të identitetit (IGA);
  • Zbulimi rreth shitësve të UEBA dhe përdorimi i gabuar i termit "inteligjencë artificiale" e bën të vështirë për klientët të kuptojnë ndryshimin e vërtetë midis teknologjive të prodhuesve dhe funksionalitetit të zgjidhjeve pa kryer një projekt pilot;
  • Konsumatorët vënë në dukje se koha e zbatimit dhe përdorimi i përditshëm i zgjidhjeve UEBA mund të jetë më i mundimshëm dhe kërkon më shumë kohë sesa premton prodhuesi, edhe kur merren parasysh vetëm modelet bazë të zbulimit të kërcënimeve. Shtimi i rasteve të përdorimit me porosi ose avantazh mund të jetë jashtëzakonisht i vështirë dhe kërkon ekspertizë në shkencën dhe analitikën e të dhënave.

Parashikimi strategjik i zhvillimit të tregut:

  • Deri në vitin 2021, tregu për sistemet e analitikës së sjelljes së përdoruesve dhe subjekteve (UEBA) do të pushojë së ekzistuari si një zonë e veçantë dhe do të zhvendoset drejt zgjidhjeve të tjera me funksionalitetin UEBA;
  • Deri në vitin 2020, 95% e të gjitha vendosjeve të UEBA do të jenë pjesë e një platforme më të gjerë sigurie.

Përkufizimi i zgjidhjeve të UEBA

Zgjidhjet e UEBA përdorin analitikë të integruar për të vlerësuar aktivitetin e përdoruesve dhe subjekteve të tjera (të tilla si hostet, aplikacionet, trafiku i rrjetit dhe dyqanet e të dhënave).
Ata zbulojnë kërcënime dhe incidente të mundshme, që zakonisht përfaqësojnë aktivitet anormal në krahasim me profilin standard dhe sjelljen e përdoruesve dhe subjekteve në grupe të ngjashme gjatë një periudhe kohore.

Rastet më të zakonshme të përdorimit në segmentin e ndërmarrjes janë zbulimi dhe reagimi i kërcënimit, si dhe zbulimi dhe reagimi ndaj kërcënimeve të brendshme (kryesisht persona të brendshëm të komprometuar; ndonjëherë sulmues të brendshëm).

UEBA është si vendimiDhe funksioni, i integruar në një mjet specifik:

  • Zgjidhja janë prodhuesit e platformave "të pastra" UEBA, duke përfshirë shitësit që shesin gjithashtu zgjidhje SIEM veçmas. Përqendruar në një gamë të gjerë problemesh biznesi në analitikën e sjelljes si të përdoruesve ashtu edhe të subjekteve.
  • Embedded – Prodhuesit/divizionet që integrojnë funksionet dhe teknologjitë e UEBA në zgjidhjet e tyre. Zakonisht fokusohet në një grup më specifik problemesh biznesi. Në këtë rast, UEBA përdoret për të analizuar sjelljen e përdoruesve dhe/ose subjekteve.

Gartner e shikon UEBA-n përgjatë tre akseve, duke përfshirë zgjidhjet e problemeve, analitikën dhe burimet e të dhënave (shih figurën).

Tregu UEBA ka vdekur - rroftë UEBA

Platformat "e pastra" UEBA kundrejt UEBA-s së integruar

Gartner e konsideron një platformë "të pastër" UEBA si zgjidhje që:

  • zgjidhja e disa problemeve specifike, të tilla si monitorimi i përdoruesve të privilegjuar ose nxjerrja e të dhënave jashtë organizatës, dhe jo vetëm "monitorimi i aktivitetit anormal të përdoruesve" abstrakt;
  • përfshijnë përdorimin e analitikës komplekse, të bazuar domosdoshmërisht në qasjet analitike bazë;
  • ofrojë disa opsione për mbledhjen e të dhënave, duke përfshirë si mekanizmat e integruar të burimit të të dhënave, ashtu edhe nga mjetet e menaxhimit të regjistrave, sistemet e Data Lake dhe/ose SIEM, pa nevojën e detyrueshme për të vendosur agjentë të veçantë në infrastrukturë;
  • mund të blihen dhe të vendosen si zgjidhje të pavarura në vend që të përfshihen në
    përbërjen e produkteve të tjera.

Tabela më poshtë krahason dy qasjet.

Tabela 1. Zgjidhjet "të pastra" UEBA kundrejt atyre të integruara

Kategori Platforma "të pastra" UEBA Zgjidhje të tjera me UEBA të integruar
Problem për t'u zgjidhur Analiza e sjelljes dhe entiteteve të përdoruesve. Mungesa e të dhënave mund ta kufizojë UEBA-në të analizojë sjelljen vetëm të përdoruesve ose subjekteve.
Problem për t'u zgjidhur Shërben për të zgjidhur një gamë të gjerë problemesh Specializohet në një grup të kufizuar detyrash
Analitikë Zbulimi i anomalive duke përdorur metoda të ndryshme analitike - kryesisht përmes modeleve statistikore dhe mësimit të makinerive, së bashku me rregullat dhe nënshkrimet. Vjen me analitikë të integruar për të krijuar dhe krahasuar aktivitetin e përdoruesve dhe subjekteve me profilet e tyre dhe të kolegëve. Ngjashëm me UEBA-në e pastër, por analiza mund të kufizohet vetëm tek përdoruesit dhe/ose subjektet.
Analitikë Aftësi të avancuara analitike, jo të kufizuara vetëm nga rregullat. Për shembull, një algoritëm grupimi me grupim dinamik të entiteteve. Ngjashëm me UEBA-në "të pastër", por grupimi i entiteteve në disa modele kërcënimi të integruar mund të ndryshohet vetëm manualisht.
Analitikë Korrelacioni i aktivitetit dhe sjelljes së përdoruesve dhe subjekteve të tjera (për shembull, përdorimi i rrjeteve Bayesian) dhe grumbullimi i sjelljes individuale të rrezikut për të identifikuar aktivitetin anormal. Ngjashëm me UEBA-në e pastër, por analiza mund të kufizohet vetëm tek përdoruesit dhe/ose subjektet.
Burimet e të dhënave Marrja e ngjarjeve për përdoruesit dhe subjektet nga burimet e të dhënave drejtpërdrejt përmes mekanizmave të integruar ose dyqaneve ekzistuese të të dhënave, si SIEM ose Data lake. Mekanizmat për marrjen e të dhënave janë zakonisht vetëm të drejtpërdrejta dhe prekin vetëm përdoruesit dhe/ose subjektet e tjera. Mos përdorni mjetet e menaxhimit të regjistrave / SIEM / Data Lake.
Burimet e të dhënave Zgjidhja nuk duhet të mbështetet vetëm në trafikun e rrjetit si burimi kryesor i të dhënave, as nuk duhet të mbështetet vetëm tek agjentët e vet për të mbledhur telemetrinë. Zgjidhja mund të fokusohet vetëm në trafikun e rrjetit (për shembull, NTA - analiza e trafikut të rrjetit) dhe/ose të përdorë agjentët e saj në pajisjet fundore (për shembull, shërbimet e monitorimit të punonjësve).
Burimet e të dhënave Ngopja e të dhënave të përdoruesit/entitetit me kontekst. Mbështet mbledhjen e ngjarjeve të strukturuara në kohë reale, si dhe të dhëna kohezive të strukturuara/të pastrukturuara nga drejtoritë e IT - për shembull, Active Directory (AD) ose burime të tjera informacioni të lexueshme nga makineritë (për shembull, bazat e të dhënave HR). Ngjashëm me UEBA-në e pastër, por shtrirja e të dhënave kontekstuale mund të ndryshojë nga rasti në rast. AD dhe LDAP janë dyqanet më të zakonshme të të dhënave kontekstuale të përdorura nga zgjidhjet e integruara të UEBA.
disponueshmëri Ofron veçoritë e listuara si një produkt i pavarur. Është e pamundur të blini funksionalitetin e integruar UEBA pa blerë një zgjidhje të jashtme në të cilën është ndërtuar.
Burimi: Gartner (maj 2019)

Kështu, për të zgjidhur probleme të caktuara, UEBA e integruar mund të përdorë analitikën bazë UEBA (për shembull, mësimin e thjeshtë të makinerive të pambikëqyrur), por në të njëjtën kohë, për shkak të aksesit në të dhënat ekzaktësisht të nevojshme, mund të jetë në përgjithësi më efektiv se sa një "i pastër" Zgjidhja e UEBA-s. Në të njëjtën kohë, platformat "të pastra" UEBA, siç pritej, ofrojnë analitikë më komplekse si njohuri kryesore në krahasim me mjetin e integruar UEBA. Këto rezultate janë përmbledhur në tabelën 2.

Tabela 2. Rezultati i dallimeve midis UEBA-së "të pastër" dhe të integruar

Kategori Platforma "të pastra" UEBA Zgjidhje të tjera me UEBA të integruar
Analitikë Zbatueshmëria për zgjidhjen e një sërë problemesh biznesi nënkupton një grup më universal funksionesh UEBA me theks në modelet më komplekse analitike dhe të mësimit të makinerive. Përqendrimi në një grup më të vogël problemesh biznesi nënkupton veçori shumë të specializuara që fokusohen në modelet specifike të aplikacionit me logjikë më të thjeshtë.
Analitikë Përshtatja e modelit analitik është e nevojshme për çdo skenar aplikimi. Modelet analitike janë të para-konfiguruara për mjetin që ka UEBA të integruar në të. Një mjet me UEBA të integruar përgjithësisht arrin rezultate më të shpejta në zgjidhjen e problemeve të caktuara të biznesit.
Burimet e të dhënave Qasje në burimet e të dhënave nga të gjitha anët e infrastrukturës së korporatës. Më pak burime të dhënash, zakonisht të kufizuara nga disponueshmëria e agjentëve për ta ose nga vetë mjeti me funksionet UEBA.
Burimet e të dhënave Informacioni i përfshirë në çdo regjistër mund të kufizohet nga burimi i të dhënave dhe mund të mos përmbajë të gjitha të dhënat e nevojshme për mjetin e centralizuar UEBA. Sasia dhe detajet e të dhënave të papërpunuara të mbledhura nga agjenti dhe të transmetuara në UEBA mund të konfigurohen në mënyrë specifike.
Arkitekturë Është një produkt i plotë UEBA për një organizatë. Integrimi është më i lehtë duke përdorur aftësitë e një sistemi SIEM ose të Data Lake. Kërkon një grup të veçantë funksionesh UEBA për secilën prej zgjidhjeve që kanë UEBA të integruar. Zgjidhjet e integruara UEBA shpesh kërkojnë instalimin e agjentëve dhe menaxhimin e të dhënave.
integrim Integrimi manual i zgjidhjes UEBA me mjete të tjera në secilin rast. Lejon një organizatë të ndërtojë grupin e saj të teknologjisë bazuar në qasjen "më e mira midis analogëve". Paketat kryesore të funksioneve UEBA janë përfshirë tashmë në vetë mjetin nga prodhuesi. Moduli UEBA është i integruar dhe nuk mund të hiqet, kështu që klientët nuk mund ta zëvendësojnë atë me diçka të tyren.
Burimi: Gartner (maj 2019)

UEBA si funksion

UEBA po bëhet një tipar i zgjidhjeve të sigurisë kibernetike nga fundi në fund që mund të përfitojnë nga analitika shtesë. UEBA qëndron në themel të këtyre zgjidhjeve, duke ofruar një shtresë të fuqishme analitike të avancuar të bazuar në modelet e sjelljes së përdoruesve dhe/ose subjekteve.

Aktualisht në treg, funksionaliteti i integruar UEBA zbatohet në zgjidhjet e mëposhtme, të grupuara sipas shtrirjes teknologjike:

  • Auditimi dhe mbrojtja e fokusuar te të dhënat, janë shitës që janë të fokusuar në përmirësimin e sigurisë së ruajtjes së të dhënave të strukturuara dhe të pastrukturuara (aka DCAP).

    Në këtë kategori shitësish, Gartner vëren ndër të tjera, Platforma e sigurisë kibernetike Varonis, i cili ofron analitikë të sjelljes së përdoruesit për të monitoruar ndryshimet në lejet e të dhënave të pastrukturuara, aksesin dhe përdorimin nëpër dyqane të ndryshme informacioni.

  • Sistemet CASB, duke ofruar mbrojtje kundër kërcënimeve të ndryshme në aplikacionet SaaS të bazuara në re, duke bllokuar aksesin në shërbimet cloud për pajisjet, përdoruesit dhe versionet e padëshiruara të aplikacioneve duke përdorur një sistem kontrolli përshtatës të aksesit.

    Të gjitha zgjidhjet udhëheqëse të tregut CASB përfshijnë aftësitë e UEBA.

  • Zgjidhjet DLP – fokusuar në zbulimin e transferimit të të dhënave kritike jashtë organizatës ose abuzimit të saj.

    Përparimet e DLP-së bazohen kryesisht në kuptimin e përmbajtjes, me më pak fokus në kuptimin e kontekstit si përdoruesi, aplikacioni, vendndodhja, koha, shpejtësia e ngjarjeve dhe faktorë të tjerë të jashtëm. Për të qenë efektive, produktet DLP duhet të njohin përmbajtjen dhe kontekstin. Kjo është arsyeja pse shumë prodhues kanë filluar të integrojnë funksionalitetin UEBA në zgjidhjet e tyre.

  • Monitorimi i punonjësve është aftësia për të regjistruar dhe rishikuar veprimet e punonjësve, zakonisht në një format të dhënash të përshtatshëm për procedurat ligjore (nëse është e nevojshme).

    Monitorimi i vazhdueshëm i përdoruesve shpesh gjeneron një sasi dërrmuese të të dhënave që kërkon filtrim manual dhe analizë njerëzore. Prandaj, UEBA përdoret brenda sistemeve të monitorimit për të përmirësuar performancën e këtyre zgjidhjeve dhe për të zbuluar vetëm incidente me rrezik të lartë.

  • Siguria e pikës së fundit – Zgjidhjet e zbulimit dhe reagimit të pikës së fundit (EDR) dhe platformat e mbrojtjes së pikës fundore (EPP) ofrojnë instrumente të fuqishme dhe telemetri të sistemit operativ për
    pajisjet fundore.

    Një telemetri e tillë e lidhur me përdoruesit mund të analizohet për të ofruar funksionalitet të integruar UEBA.

  • Mashtrimi në internet – Zgjidhjet e zbulimit të mashtrimit në internet zbulojnë aktivitetin e devijuar që tregon kompromis të llogarisë së një klienti nëpërmjet një mashtrimi, malware ose shfrytëzimit të lidhjeve të pasigurta/përgjimit të trafikut të shfletuesit.

    Shumica e zgjidhjeve të mashtrimit përdorin thelbin e UEBA, analizën e transaksioneve dhe matjen e pajisjes, me sisteme më të avancuara që i plotësojnë ato duke përputhur marrëdhëniet në bazën e të dhënave të identitetit.

  • IAM dhe kontrolli i aksesit – Gartner vë në dukje një prirje evolucionare midis shitësve të sistemeve të kontrollit të aksesit për t'u integruar me shitës të pastër dhe për të ndërtuar disa funksione UEBA në produktet e tyre.
  • IAM dhe sistemet e qeverisjes dhe administrimit të identitetit (IGA). përdorni UEBA për të mbuluar skenarët analitikë të sjelljes dhe të identitetit, si zbulimi i anomalive, analiza e grupimit dinamik të entiteteve të ngjashme, analiza e hyrjes dhe analiza e politikave të aksesit.
  • IAM dhe Menaxhimi i aksesit të privilegjuar (PAM) – Për shkak të rolit të monitorimit të përdorimit të llogarive administrative, zgjidhjet PAM kanë telemetri për të treguar se si, pse, kur dhe ku janë përdorur llogaritë administrative. Këto të dhëna mund të analizohen duke përdorur funksionalitetin e integruar të UEBA-s për praninë e sjelljes anormale të administratorëve ose qëllimeve keqdashëse.
  • Manufacturers NTA (Analiza e trafikut në rrjet) – përdorni një kombinim të mësimit të makinerive, analitikës së avancuar dhe zbulimit të bazuar në rregulla për të identifikuar aktivitetin e dyshimtë në rrjetet e korporatave.

    Mjetet NTA analizojnë vazhdimisht trafikun e burimit dhe/ose regjistrimet e rrjedhës (p.sh. NetFlow) për të ndërtuar modele që pasqyrojnë sjelljen normale të rrjetit, duke u fokusuar kryesisht në analitikën e sjelljes së entitetit.

  • siem – Shumë shitës SIEM tani kanë funksionalitet të avancuar të analizës së të dhënave të integruar në SIEM, ose si një modul i veçantë UEBA. Gjatë gjithë vitit 2018 dhe deri më tani në 2019, ka pasur një mjegullim të vazhdueshëm të kufijve midis funksionalitetit SIEM dhe UEBA, siç diskutohet në artikull "Pamje teknologjike për SIEM-in modern". Sistemet SIEM janë bërë më të mira në punën me analitikë dhe duke ofruar skenarë më komplekse të aplikimit.

Skenarët e Aplikimit UEBA

Zgjidhjet e UEBA mund të zgjidhin një gamë të gjerë problemesh. Megjithatë, klientët Gartner pajtohen që rasti i përdorimit parësor përfshin zbulimin e kategorive të ndryshme të kërcënimeve, të arritura duke shfaqur dhe analizuar korrelacionet e shpeshta midis sjelljes së përdoruesit dhe entiteteve të tjera:

  • qasja dhe lëvizja e paautorizuar e të dhënave;
  • sjellja e dyshimtë e përdoruesve të privilegjuar, aktiviteti keqdashës ose i paautorizuar i punonjësve;
  • aksesi dhe përdorimi jo standard i burimeve cloud;
  • etj

Ekzistojnë gjithashtu një sërë rastesh atipike të përdorimit jo të sigurisë kibernetike, të tilla si mashtrimi ose monitorimi i punonjësve, për të cilat UEBA mund të justifikohet. Megjithatë, ata shpesh kërkojnë burime të dhënash jashtë TI-së dhe sigurisë së informacionit, ose modele specifike analitike me një kuptim të thellë të kësaj fushe. Pesë skenarët dhe aplikacionet kryesore për të cilat bien dakord si prodhuesit e UEBA ashtu edhe klientët e tyre janë përshkruar më poshtë.

"Insajderi keqdashës"

Ofruesit e zgjidhjeve të UEBA-s që mbulojnë këtë skenar monitorojnë vetëm punonjësit dhe kontraktorët e besuar për sjellje të pazakonta, "të këqija" ose keqdashëse. Shitësit në këtë fushë të ekspertizës nuk monitorojnë ose analizojnë sjelljen e llogarive të shërbimit ose subjekteve të tjera jo-njerëzore. Kryesisht për shkak të kësaj, ata nuk janë të fokusuar në zbulimin e kërcënimeve të avancuara ku hakerët marrin përsipër llogaritë ekzistuese. Në vend të kësaj, ato kanë për qëllim identifikimin e punonjësve të përfshirë në aktivitete të dëmshme.

Në thelb, koncepti i një "të brendshëm me qëllim të keq" rrjedh nga përdoruesit e besuar me qëllime dashakeqe, të cilët kërkojnë mënyra për t'i shkaktuar dëm punëdhënësit të tyre. Për shkak se qëllimi keqdashës është i vështirë për t'u matur, shitësit më të mirë në këtë kategori analizojnë të dhënat e sjelljes kontekstuale që nuk janë lehtësisht të disponueshme në regjistrat e auditimit.

Ofruesit e zgjidhjeve në këtë hapësirë ​​gjithashtu shtojnë dhe analizojnë në mënyrë optimale të dhëna të pastrukturuara, të tilla si përmbajtja e emailit, raportet e produktivitetit ose informacionet e mediave sociale, për të ofruar kontekst për sjelljen.

Kërcënime të brendshme të komprometuara dhe ndërhyrëse

Sfida është të zbuloni dhe analizoni shpejt sjelljen "e keqe" pasi sulmuesi të ketë fituar akses në organizatë dhe të fillojë të lëvizë brenda infrastrukturës së IT.
Kërcënimet e sigurta (APT), si kërcënimet e panjohura ose ende të pa kuptuara plotësisht, janë jashtëzakonisht të vështira për t'u zbuluar dhe shpesh fshihen pas aktivitetit legjitim të përdoruesve ose llogarive të shërbimit. Kërcënime të tilla zakonisht kanë një model kompleks operimi (shih, për shembull, artikullin " Adresimi i zinxhirit të vrasjeve kibernetike") ose sjellja e tyre ende nuk është vlerësuar si e dëmshme. Kjo e bën të vështirë zbulimin e tyre duke përdorur analitikë të thjeshtë (si p.sh. përputhja sipas modeleve, pragjeve ose rregullave të korrelacionit).

Megjithatë, shumë nga këto kërcënime ndërhyrëse rezultojnë në sjellje jo standarde, shpesh duke përfshirë përdorues ose subjekte që nuk dyshojnë (aka të brendshëm të komprometuar). Teknikat UEBA ofrojnë disa mundësi interesante për të zbuluar kërcënime të tilla, për të përmirësuar raportin sinjal-zhurmë, për të konsoliduar dhe reduktuar volumin e njoftimeve, për t'i dhënë përparësi sinjalizimeve të mbetura dhe për të lehtësuar reagimin dhe hetimin efektiv të incidentit.

Shitësit e UEBA-s që synojnë këtë zonë problematike shpesh kanë integrim dydrejtues me sistemet SIEM të organizatës.

Eksfiltrimi i të dhënave

Detyra në këtë rast është të zbulojë faktin që të dhënat po transferohen jashtë organizatës.
Shitësit e fokusuar në këtë sfidë zakonisht përdorin aftësitë DLP ose DAG me zbulimin e anomalive dhe analitikën e avancuar, duke përmirësuar kështu raportin sinjal-zhurmë, duke konsoliduar volumin e njoftimeve dhe duke i dhënë përparësi aktivizuesve të mbetur. Për kontekst shtesë, shitësit zakonisht mbështeten më shumë në trafikun e rrjetit (siç janë proxies në internet) dhe të dhënat e pikës fundore, pasi analiza e këtyre burimeve të të dhënave mund të ndihmojë në hetimet e ekfiltrimit të të dhënave.

Zbulimi i ekfiltrimit të të dhënave përdoret për të kapur të brendshëm dhe hakerë të jashtëm që kërcënojnë organizatën.

Identifikimi dhe menaxhimi i aksesit të privilegjuar

Prodhuesit e zgjidhjeve të pavarura UEBA në këtë fushë të ekspertizës vëzhgojnë dhe analizojnë sjelljen e përdoruesve në sfondin e një sistemi tashmë të formuar të të drejtave për të identifikuar privilegje të tepërta ose akses anormal. Kjo vlen për të gjitha llojet e përdoruesve dhe llogarive, duke përfshirë llogaritë e privilegjuara dhe ato të shërbimit. Organizatat përdorin gjithashtu UEBA për të hequr qafe llogaritë e fjetura dhe privilegjet e përdoruesve që janë më të larta se sa kërkohet.

Prioritizimi i incidenteve

Qëllimi i kësaj detyre është t'i jepet përparësi njoftimeve të krijuara nga zgjidhjet në grupin e tyre teknologjik për të kuptuar se cilat incidente ose incidente të mundshme duhet të adresohen së pari. Metodologjitë dhe mjetet e UEBA janë të dobishme në identifikimin e incidenteve që janë veçanërisht anormale ose veçanërisht të rrezikshme për një organizatë të caktuar. Në këtë rast, mekanizmi UEBA jo vetëm që përdor nivelin bazë të aktivitetit dhe modelet e kërcënimit, por gjithashtu ngop të dhënat me informacione rreth strukturës organizative të kompanisë (për shembull, burimet kritike ose rolet dhe nivelet e aksesit të punonjësve).

Problemet e zbatimit të zgjidhjeve të UEBA

Dhimbja e tregut e zgjidhjeve UEBA është çmimi i tyre i lartë, zbatimi kompleks, mirëmbajtja dhe përdorimi. Ndërsa kompanitë po luftojnë me numrin e portaleve të ndryshme të brendshme, ato po marrin një tjetër tastierë. Madhësia e investimit të kohës dhe burimeve në një mjet të ri varet nga detyrat në fjalë dhe llojet e analitikës që nevojiten për t'i zgjidhur ato, dhe më së shpeshti kërkojnë investime të mëdha.

Ndryshe nga sa pretendojnë shumë prodhues, UEBA nuk është një mjet "vendos dhe harro" që më pas mund të funksionojë vazhdimisht për ditë të tëra.
Klientët e Gartner, për shembull, vërejnë se duhen nga 3 deri në 6 muaj për të nisur një iniciativë të UEBA-s nga e para për të marrë rezultatet e para të zgjidhjes së problemeve për të cilat u zbatua kjo zgjidhje. Për detyra më komplekse, të tilla si identifikimi i kërcënimeve të brendshme në një organizatë, periudha rritet në 18 muaj.

Faktorët që ndikojnë në vështirësinë e zbatimit të UEBA dhe efektivitetin e ardhshëm të mjetit:

  • Kompleksiteti i arkitekturës së organizatës, topologjia e rrjetit dhe politikat e menaxhimit të të dhënave
  • Disponueshmëria e të dhënave të duhura në nivelin e duhur të detajeve
  • Kompleksiteti i algoritmeve analitike të shitësit - për shembull, përdorimi i modeleve statistikore dhe mësimi i makinerive kundrejt modeleve dhe rregullave të thjeshta.
  • Sasia e analizave të para-konfiguruara të përfshira - domethënë, të kuptuarit e prodhuesit se cilat të dhëna duhet të mblidhen për secilën detyrë dhe cilat variabla dhe atribute janë më të rëndësishmet për të kryer analizën.
  • Sa e lehtë është që prodhuesi të integrohet automatikisht me të dhënat e kërkuara.

    Për shembull:

    • Nëse një zgjidhje UEBA përdor një sistem SIEM si burimin kryesor të të dhënave të tij, a mbledh SIEM informacion nga burimet e kërkuara të të dhënave?
    • A mund të drejtohen regjistrat e nevojshëm të ngjarjeve dhe të dhënat e kontekstit organizativ në një zgjidhje UEBA?
    • Nëse sistemi SIEM nuk mbledh dhe kontrollon ende burimet e të dhënave të nevojshme nga zgjidhja UEBA, atëherë si mund të transferohen atje?

  • Sa i rëndësishëm është skenari i aplikimit për organizatën, sa burime të dhënash kërkon dhe sa përputhet kjo detyrë me fushën e ekspertizës së prodhuesit.
  • Çfarë shkalle e pjekurisë dhe e përfshirjes organizative kërkohet – për shembull, krijimi, zhvillimi dhe përsosja e rregullave dhe modeleve; caktimi i peshave të variablave për vlerësim; ose rregullimin e pragut të vlerësimit të rrezikut.
  • Sa e shkallëzueshme është zgjidhja e shitësit dhe arkitektura e saj në krahasim me madhësinë aktuale të organizatës dhe kërkesat e saj në të ardhmen.
  • Koha për të ndërtuar modele bazë, profile dhe grupe kryesore. Prodhuesit shpesh kërkojnë të paktën 30 ditë (dhe ndonjëherë deri në 90 ditë) për të kryer analiza përpara se të përcaktojnë konceptet "normale". Ngarkimi i të dhënave historike një herë mund të përshpejtojë trajnimin e modelit. Disa nga rastet interesante mund të identifikohen më shpejt duke përdorur rregulla sesa duke përdorur mësimin e makinerive me një sasi tepër të vogël të të dhënave fillestare.
  • Niveli i përpjekjes së kërkuar për të ndërtuar grupim dinamik dhe profilizimin e llogarisë (shërbim/person) mund të ndryshojë shumë ndërmjet zgjidhjeve.

Burimi: www.habr.com

Shto një koment