ProHoster > blogg > internetnyheter > UEBA-marknaden är död - länge leve UEBA

UEBA-marknaden är död - länge leve UEBA

UEBA-marknaden är död - länge leve UEBA

Idag kommer vi att ge en kort översikt över marknaden för användar- och entitetsbeteendeanalys (UEBA) baserat på den senaste Gartner forskning. UEBA-marknaden är i botten av "desillusionsstadiet" enligt Gartner Hype Cycle for Threat-Facing Technologies, vilket indikerar teknikens mognad. Men situationens paradox ligger i den samtidiga allmänna tillväxten av investeringar i UEBA-teknik och den försvinnande marknaden för oberoende UEBA-lösningar. Gartner förutspår att UEBA kommer att bli en del av funktionaliteten hos relaterade informationssäkerhetslösningar. Termen "UEBA" kommer sannolikt att falla ur bruk och ersättas av en annan förkortning som fokuserar på ett smalare applikationsområde (t.ex. "användarbeteendeanalys"), ett liknande applikationsområde (t.ex. "dataanalys"), eller helt enkelt bli något nytt modeord (till exempel, termen "artificiell intelligens" [AI] ser intressant ut, även om det inte är meningsfullt för moderna UEBA-tillverkare).

De viktigaste resultaten från Gartner-studien kan sammanfattas enligt följande:

  • Marknadens mognad för beteendeanalys av användare och enheter bekräftas av det faktum att dessa tekniker används av medelstora och stora företagssegment för att lösa ett antal affärsproblem;
  • UEBA:s analysfunktioner är inbyggda i ett brett utbud av relaterad informationssäkerhetsteknik, såsom säkerhetsmäklare för molnåtkomst (CASB), SIEM-system för identitetsstyrning och administration (IGA);
  • Hypen kring UEBA-leverantörer och den felaktiga användningen av termen "artificiell intelligens" gör det svårt för kunder att förstå den verkliga skillnaden mellan tillverkarnas teknologier och lösningarnas funktionalitet utan att genomföra ett pilotprojekt;
  • Kunder noterar att implementeringstiden och den dagliga användningen av UEBA-lösningar kan vara mer arbetskrävande och tidskrävande än vad tillverkaren lovar, även när man bara överväger grundläggande hotdetektionsmodeller. Att lägga till anpassade eller avancerade användningsfall kan vara extremt svårt och kräver expertis inom datavetenskap och analys.

Strategisk marknadsutvecklingsprognos:

  • År 2021 kommer marknaden för system för användar- och entitetsbeteendeanalys (UEBA) att upphöra att existera som ett separat område och kommer att övergå till andra lösningar med UEBA-funktionalitet;
  • År 2020 kommer 95 % av alla UEBA-installationer att vara en del av en bredare säkerhetsplattform.

Definition av UEBA-lösningar

UEBA-lösningar använder inbyggd analys för att utvärdera aktiviteten hos användare och andra enheter (som värdar, applikationer, nätverkstrafik och datalager).
De upptäcker hot och potentiella incidenter, vilket vanligtvis representerar onormal aktivitet jämfört med standardprofilen och beteendet hos användare och enheter i liknande grupper under en tidsperiod.

De vanligaste användningsfallen i företagssegmentet är upptäckt av hot och svar, samt upptäckt och svar på insiderhot (oftast komprometterade insiders, ibland interna angripare).

UEBA är som beslut, och fungera, inbyggd i ett specifikt verktyg:

  • Lösningen är tillverkare av ”rena” UEBA-plattformar, inklusive leverantörer som även säljer SIEM-lösningar separat. Fokuserad på ett brett spektrum av affärsproblem inom beteendeanalys av både användare och enheter.
  • Embedded – Tillverkare/divisioner som integrerar UEBA-funktioner och -teknologier i sina lösningar. Vanligtvis fokuserad på en mer specifik uppsättning affärsproblem. I det här fallet används UEBA för att analysera beteendet hos användare och/eller enheter.

Gartner ser UEBA längs tre axlar, inklusive problemlösare, analyser och datakällor (se figur).

UEBA-marknaden är död - länge leve UEBA

"Rena" UEBA-plattformar kontra inbyggd UEBA

Gartner anser att en "ren" UEBA-plattform är lösningar som:

  • lösa flera specifika problem, såsom övervakning av privilegierade användare eller utmatning av data utanför organisationen, och inte bara den abstrakta "övervakningen av onormal användaraktivitet";
  • involvera användningen av komplexa analyser, nödvändigtvis baserade på grundläggande analytiska tillvägagångssätt;
  • tillhandahålla flera alternativ för datainsamling, inklusive både inbyggda datakällmekanismer och från logghanteringsverktyg, Data Lake och/eller SIEM-system, utan det obligatoriska behovet av att distribuera separata agenter i infrastrukturen;
  • kan köpas och distribueras som fristående lösningar istället för att ingå i
    sammansättning av andra produkter.

Tabellen nedan jämför de två metoderna.

Tabell 1. "Rena" UEBA-lösningar kontra inbyggda

kategori "Rena" UEBA-plattformar Andra lösningar med inbyggd UEBA
Problem som ska lösas Analys av användarbeteende och enheter. Brist på data kan begränsa UEBA att analysera beteendet hos endast användare eller enheter.
Problem som ska lösas Fungerar för att lösa ett brett spektrum av problem Specialiserad på en begränsad uppsättning uppgifter
Analytics Anomalidetektering med olika analysmetoder - främst genom statistiska modeller och maskininlärning, tillsammans med regler och signaturer. Levereras med inbyggd analys för att skapa och jämföra användar- och enhetsaktivitet med deras och kollegors profiler. Liknar ren UEBA, men analys kan begränsas till endast användare och/eller enheter.
Analytics Avancerade analytiska möjligheter, inte bara begränsade av regler. Till exempel en klustringsalgoritm med dynamisk gruppering av enheter. Liknar "ren" UEBA, men entitetsgruppering i vissa inbyggda hotmodeller kan bara ändras manuellt.
Analytics Korrelation av aktivitet och beteende hos användare och andra enheter (till exempel genom att använda Bayesianska nätverk) och aggregering av individuellt riskbeteende för att identifiera onormal aktivitet. Liknar ren UEBA, men analys kan begränsas till endast användare och/eller enheter.
Datakällor Ta emot händelser på användare och enheter från datakällor direkt genom inbyggda mekanismer eller befintliga datalager, såsom SIEM eller Data lake. Mekanismer för att erhålla data är vanligtvis endast direkta och påverkar endast användare och/eller andra enheter. Använd inte logghanteringsverktyg / SIEM / Data lake.
Datakällor Lösningen bör inte bara förlita sig på nätverkstrafik som den huvudsakliga datakällan, och den bör inte heller förlita sig enbart på sina egna agenter för att samla in telemetri. Lösningen kan endast fokusera på nätverkstrafik (till exempel NTA - nätverkstrafikanalys) och/eller använda dess agenter på slutenheter (till exempel verktyg för övervakning av anställda).
Datakällor Mättning av användar-/enhetsdata med sammanhang. Stöder insamling av strukturerade händelser i realtid, såväl som strukturerad/ostrukturerad sammanhängande data från IT-kataloger - till exempel Active Directory (AD) eller andra maskinläsbara informationsresurser (till exempel HR-databaser). Liknar ren UEBA, men omfattningen av kontextuella data kan skilja sig från fall till fall. AD och LDAP är de vanligaste kontextuella datalagren som används av inbäddade UEBA-lösningar.
tillgänglighet Tillhandahåller de listade funktionerna som en fristående produkt. Det är omöjligt att köpa inbyggd UEBA-funktionalitet utan att köpa en extern lösning som den är inbyggd i.
Källa: Gartner (maj 2019)

Således, för att lösa vissa problem, kan inbäddad UEBA använda grundläggande UEBA-analyser (till exempel enkel oövervakad maskininlärning), men samtidigt, på grund av tillgång till exakt nödvändig data, kan den överlag vara mer effektiv än en "ren" UEBA-lösning. Samtidigt erbjuder "rena" UEBA-plattformar, som förväntat, mer komplexa analyser som huvudkunskap jämfört med det inbyggda UEBA-verktyget. Dessa resultat sammanfattas i tabell 2.

Tabell 2. Resultatet av skillnaderna mellan ”ren” och inbyggd UEBA

kategori "Rena" UEBA-plattformar Andra lösningar med inbyggd UEBA
Analytics Tillämplighet för att lösa en mängd olika affärsproblem innebär en mer universell uppsättning UEBA-funktioner med tonvikt på mer komplexa analyser och modeller för maskininlärning. Att fokusera på en mindre uppsättning affärsproblem innebär mycket specialiserade funktioner som fokuserar på applikationsspecifika modeller med enklare logik.
Analytics Anpassning av den analytiska modellen är nödvändig för varje applikationsscenario. Analytiska modeller är förkonfigurerade för verktyget som har UEBA inbyggt. Ett verktyg med inbyggt UEBA uppnår generellt snabbare resultat när det gäller att lösa vissa affärsproblem.
Datakällor Tillgång till datakällor från alla hörn av företagets infrastruktur. Färre datakällor, vanligtvis begränsade av tillgången på agenter för dem eller själva verktyget med UEBA-funktioner.
Datakällor Informationen i varje logg kan vara begränsad av datakällan och kanske inte innehålla all nödvändig data för det centraliserade UEBA-verktyget. Mängden och detaljerna för rådata som samlas in av agenten och överförs till UEBA kan konfigureras specifikt.
Arkitektur Det är en komplett UEBA-produkt för en organisation. Integration är enklare med hjälp av funktionerna i ett SIEM-system eller Data Lake. Kräver en separat uppsättning UEBA-funktioner för var och en av lösningarna som har inbyggd UEBA. Inbäddade UEBA-lösningar kräver ofta installation av agenter och hantering av data.
Интеграция Manuell integration av UEBA-lösningen med andra verktyg i varje fall. Tillåter en organisation att bygga sin teknikstack baserat på metoden "bäst bland analoger". Huvudpaketen med UEBA-funktioner ingår redan i själva verktyget av tillverkaren. UEBA-modulen är inbyggd och kan inte tas bort, så kunderna kan inte ersätta den med något eget.
Källa: Gartner (maj 2019)

UEBA som funktion

UEBA håller på att bli en del av end-to-end cybersäkerhetslösningar som kan dra nytta av ytterligare analyser. UEBA ligger bakom dessa lösningar och tillhandahåller ett kraftfullt lager av avancerad analys baserad på användar- och/eller entitetsbeteendemönster.

För närvarande på marknaden är den inbyggda UEBA-funktionaliteten implementerad i följande lösningar, grupperade efter tekniskt omfång:

  • Datafokuserad granskning och skydd, är leverantörer som är fokuserade på att förbättra säkerheten för strukturerad och ostrukturerad datalagring (alias DCAP).

    I denna kategori av leverantörer noterar Gartner bl.a. Varonis cybersäkerhetsplattform, som erbjuder användarbeteendeanalys för att övervaka ändringar i ostrukturerade databehörigheter, åtkomst och användning över olika informationsbutiker.

  • CASB system, som erbjuder skydd mot olika hot i molnbaserade SaaS-applikationer genom att blockera åtkomst till molntjänster för oönskade enheter, användare och applikationsversioner med hjälp av ett adaptivt åtkomstkontrollsystem.

    Alla marknadsledande CASB-lösningar inkluderar UEBA-kapacitet.

  • DLP-lösningar – fokuserat på att upptäcka överföring av kritisk data utanför organisationen eller dess missbruk.

    DLP-framsteg är till stor del baserade på att förstå innehåll, med mindre fokus på att förstå sammanhang som användare, applikation, plats, tid, händelsehastighet och andra externa faktorer. För att vara effektiva måste DLP-produkter känna igen både innehåll och sammanhang. Det är därför många tillverkare börjar integrera UEBA-funktionalitet i sina lösningar.

  • Personalövervakning är förmågan att spela in och spela upp anställdas handlingar, vanligtvis i ett dataformat som är lämpligt för rättsliga förfaranden (om nödvändigt).

    Att ständigt övervaka användare genererar ofta en överväldigande mängd data som kräver manuell filtrering och mänsklig analys. Därför används UEBA i övervakningssystem för att förbättra prestandan för dessa lösningar och upptäcka endast högriskincidenter.

  • Endpoint Security – Endpoint Detection and Response (EDR)-lösningar och Endpoint Protection Platforms (EPP) ger kraftfull instrumentering och telemetri i operativsystemet för
    slutenheter.

    Sådan användarrelaterad telemetri kan analyseras för att tillhandahålla inbyggd UEBA-funktionalitet.

  • Online bedrägeri – Online bedrägeriupptäcktslösningar upptäcker avvikande aktivitet som indikerar att en kunds konto kompromitterats genom förfalskning, skadlig programvara eller utnyttjande av osäkra anslutningar/avlyssning av webbläsartrafik.

    De flesta bedrägerilösningar använder essensen av UEBA, transaktionsanalys och enhetsmätning, med mer avancerade system som kompletterar dem genom att matcha relationer i identitetsdatabasen.

  • IAM och passerkontroll – Gartner noterar en evolutionär trend bland leverantörer av passerkontrollsystem att integrera med rena leverantörer och bygga in lite UEBA-funktionalitet i sina produkter.
  • IAM och Identity Governance and Administration (IGA) system använd UEBA för att täcka beteende- och identitetsanalysscenarier såsom avvikelsedetektering, dynamisk grupperingsanalys av liknande enheter, inloggningsanalys och åtkomstpolicyanalys.
  • IAM och Privileged Access Management (PAM) – På grund av rollen att övervaka användningen av administrativa konton har PAM-lösningar telemetri för att visa hur, varför, när och var administrativa konton användes. Dessa data kan analyseras med hjälp av UEBAs inbyggda funktionalitet för förekomsten av avvikande beteende hos administratörer eller uppsåt.
  • Tillverkare NTA (Network Traffic Analysis) – använd en kombination av maskininlärning, avancerad analys och regelbaserad upptäckt för att identifiera misstänkt aktivitet på företagsnätverk.

    NTA-verktyg analyserar kontinuerligt källtrafik och/eller flödesposter (t.ex. NetFlow) för att bygga modeller som återspeglar normalt nätverksbeteende, i första hand med fokus på entitetsbeteendeanalys.

  • siem – Många SIEM-leverantörer har nu avancerad dataanalysfunktion inbyggd i SIEM, eller som en separat UEBA-modul. Under hela 2018 och hittills under 2019 har det skett en kontinuerlig suddighet av gränserna mellan SIEM- och UEBA-funktionalitet, vilket diskuteras i artikeln "Teknikinsikt för det moderna SIEM". SIEM-system har blivit bättre på att arbeta med analys och erbjuda mer komplexa applikationsscenarier.

UEBA Application Scenarios

UEBA-lösningar kan lösa en lång rad problem. Gartners kunder är dock överens om att det primära användningsfallet involverar att upptäcka olika kategorier av hot, uppnådda genom att visa och analysera frekventa samband mellan användarbeteende och andra enheter:

  • obehörig åtkomst och rörelse av data;
  • misstänkt beteende hos privilegierade användare, skadlig eller obehörig aktivitet hos anställda;
  • icke-standardiserad åtkomst och användning av molnresurser;
  • etc.

Det finns också ett antal atypiska fall utan användning av cybersäkerhet, såsom bedrägerier eller övervakning av anställda, som UEBA kan vara motiverad för. Däremot kräver de ofta datakällor utanför IT och informationssäkerhet, eller specifika analytiska modeller med en djup förståelse för detta område. Nedan beskrivs de fem huvudscenarier och tillämpningar som både UEBA-tillverkare och deras kunder är överens om.

"Malicious Insider"

UEBA-lösningsleverantörer som täcker detta scenario övervakar endast anställda och betrodda entreprenörer för ovanligt, "dåligt" eller skadligt beteende. Leverantörer inom detta område av expertis övervakar eller analyserar inte beteendet hos tjänstekonton eller andra icke-mänskliga enheter. Till stor del på grund av detta är de inte fokuserade på att upptäcka avancerade hot där hackare tar över befintliga konton. Istället syftar de till att identifiera anställda som är involverade i skadliga aktiviteter.

I grund och botten kommer konceptet med en "skadlig insider" från betrodda användare med illvilliga avsikter som söker sätt att orsaka skada på sin arbetsgivare. Eftersom skadlig avsikt är svår att mäta, analyserar de bästa leverantörerna i den här kategorin kontextuella beteendedata som inte är lätt tillgängliga i granskningsloggar.

Lösningsleverantörer i det här utrymmet lägger också till och analyserar ostrukturerad data optimalt, såsom e-postinnehåll, produktivitetsrapporter eller information om sociala medier, för att skapa sammanhang för beteende.

Kompromissade insider och påträngande hot

Utmaningen är att snabbt upptäcka och analysera "dåligt" beteende när angriparen har fått tillgång till organisationen och börjar röra sig inom IT-infrastrukturen.
Assertiva hot (APTs), som okända eller ännu inte helt förstådda hot, är extremt svåra att upptäcka och gömmer sig ofta bakom legitima användaraktiviteter eller tjänstkonton. Sådana hot har vanligtvis en komplex verksamhetsmodell (se t.ex. artikeln " Att adressera Cyber ​​​​Kill Chain") eller så har deras beteende ännu inte bedömts som skadligt. Detta gör dem svåra att upptäcka med enkla analyser (som matchning med mönster, trösklar eller korrelationsregler).

Men många av dessa påträngande hot resulterar i icke-standardiserat beteende, ofta involverar intet ont anande användare eller enheter (aka kompromissade insiders). UEBA-tekniker erbjuder flera intressanta möjligheter att upptäcka sådana hot, förbättra signal-brusförhållandet, konsolidera och minska aviseringsvolymen, prioritera kvarvarande varningar och underlätta effektiva incidentresponser och utredningar.

UEBA-leverantörer som inriktar sig på detta problemområde har ofta dubbelriktad integration med organisationens SIEM-system.

Dataexfiltrering

Uppgiften i detta fall är att upptäcka att data överförs utanför organisationen.
Leverantörer som fokuserar på den här utmaningen utnyttjar vanligtvis DLP- eller DAG-kapacitet med anomalidetektering och avancerad analys, och förbättrar därigenom signal-brusförhållandet, konsoliderar meddelandevolymen och prioriterar återstående triggers. För ytterligare sammanhang förlitar sig leverantörer vanligtvis mer på nätverkstrafik (som webbproxy) och slutpunktsdata, eftersom analys av dessa datakällor kan hjälpa till vid dataexfiltreringsundersökningar.

Detektering av dataexfiltrering används för att fånga insiders och externa hackare som hotar organisationen.

Identifiering och hantering av privilegierad åtkomst

Tillverkare av oberoende UEBA-lösningar inom detta område av expertis observerar och analyserar användarbeteende mot bakgrund av ett redan bildat system av rättigheter för att identifiera överdrivna privilegier eller onormal åtkomst. Detta gäller alla typer av användare och konton, inklusive privilegierade konton och tjänstekonton. Organisationer använder också UEBA för att bli av med vilande konton och användarprivilegier som är högre än vad som krävs.

Incidentprioritering

Målet med denna uppgift är att prioritera meddelanden som genereras av lösningar i deras teknologistack för att förstå vilka incidenter eller potentiella incidenter som bör åtgärdas först. UEBA:s metoder och verktyg är användbara för att identifiera incidenter som är särskilt onormala eller särskilt farliga för en viss organisation. I det här fallet använder UEBA-mekanismen inte bara basnivån för aktivitets- och hotmodeller, utan mättar också data med information om företagets organisationsstruktur (till exempel kritiska resurser eller roller och åtkomstnivåer för anställda).

Problem med att implementera UEBA-lösningar

Marknadssmärtan för UEBA-lösningar är deras höga pris, komplexa implementering, underhåll och användning. Medan företag kämpar med antalet olika interna portaler får de ytterligare en konsol. Storleken på investeringen av tid och resurser i ett nytt verktyg beror på vilka uppgifter som finns och vilka typer av analyser som behövs för att lösa dem, och kräver oftast stora investeringar.

I motsats till vad många tillverkare hävdar är UEBA inte ett "ställ det och glöm det"-verktyg som sedan kan köras kontinuerligt flera dagar i sträck.
Gartners kunder, till exempel, noterar att det tar från 3 till 6 månader att lansera ett UEBA-initiativ från grunden för att få de första resultaten av att lösa de problem som denna lösning implementerades för. För mer komplexa uppgifter, som att identifiera insiderhot i en organisation, ökar perioden till 18 månader.

Faktorer som påverkar svårigheten att implementera UEBA och verktygets framtida effektivitet:

  • Komplexiteten i organisationsarkitektur, nätverkstopologi och datahanteringspolicyer
  • Tillgång till rätt data på rätt detaljnivå
  • Komplexiteten i leverantörens analysalgoritmer – till exempel användningen av statistiska modeller och maskininlärning kontra enkla mönster och regler.
  • Mängden förkonfigurerad analys som ingår – det vill säga tillverkarens förståelse för vilken data som behöver samlas in för varje uppgift och vilka variabler och attribut som är viktigast för att utföra analysen.
  • Hur lätt det är för tillverkaren att automatiskt integrera med de data som krävs.

    Till exempel:

    • Om en UEBA-lösning använder ett SIEM-system som huvudkälla för sina data, samlar SIEM in information från de nödvändiga datakällorna?
    • Kan nödvändiga händelseloggar och organisatoriska sammanhangsdata dirigeras till en UEBA-lösning?
    • Om SIEM-systemet ännu inte samlar in och kontrollerar de datakällor som behövs av UEBA-lösningen, hur kan de då överföras dit?

  • Hur viktigt är applikationsscenariot för organisationen, hur många datakällor kräver det och hur mycket överlappar denna uppgift tillverkarens kompetensområde.
  • Vilken grad av organisatorisk mognad och delaktighet krävs – till exempel skapande, utveckling och förfining av regler och modeller; tilldela vikter till variabler för utvärdering; eller justering av riskbedömningströskeln.
  • Hur skalbar är leverantörens lösning och dess arkitektur jämfört med den nuvarande storleken på organisationen och dess framtida krav.
  • Dags att bygga grundmodeller, profiler och nyckelgrupper. Tillverkare kräver ofta minst 30 dagar (och ibland upp till 90 dagar) för att genomföra analyser innan de kan definiera "normala" begrepp. Att ladda historiska data en gång kan påskynda modellträningen. Några av de intressanta fallen kan identifieras snabbare med regler än att använda maskininlärning med en otroligt liten mängd initial data.
  • Ansträngningsnivån som krävs för att bygga dynamisk gruppering och kontoprofilering (tjänst/person) kan variera kraftigt mellan lösningarna.

Källa: will.com

Lägg en kommentar