ProHoster > blog > habari za mtandao > Soko la UEBA limekufa - UEBA iishi kwa muda mrefu

Soko la UEBA limekufa - UEBA iishi kwa muda mrefu

Soko la UEBA limekufa - UEBA iishi kwa muda mrefu

Leo tutatoa muhtasari mfupi wa soko la Uchanganuzi wa Tabia ya Mtumiaji na Taasisi (UEBA) kulingana na habari mpya zaidi. Utafiti wa Gartner. Soko la UEBA liko chini kabisa ya "hatua ya kukata tamaa" kulingana na Gartner Hype Cycle for Threat-Facing Technologies, inayoonyesha ukomavu wa teknolojia. Lakini kitendawili cha hali hiyo kiko katika ukuaji wa jumla wa wakati huo huo wa uwekezaji katika teknolojia za UEBA na soko la kutoweka la suluhisho huru za UEBA. Gartner anatabiri kuwa UEBA itakuwa sehemu ya utendakazi wa suluhu zinazohusiana za usalama wa habari. Neno "UEBA" huenda likaacha kutumika na nafasi yake kuchukuliwa na kifupi kingine kinacholenga eneo finyu zaidi la matumizi (k.m., "uchanganuzi wa tabia ya mtumiaji"), eneo la matumizi sawa (k.m., "uchanganuzi wa data"), au tu kuwa baadhi ya neno jipya (kwa mfano, neno "akili bandia" [AI] linaonekana kuvutia, ingawa halileti maana yoyote kwa watengenezaji wa kisasa wa UEBA).

Matokeo muhimu kutoka kwa utafiti wa Gartner yanaweza kufupishwa kama ifuatavyo:

  • Ukomavu wa soko kwa uchanganuzi wa tabia ya watumiaji na vyombo unathibitishwa na ukweli kwamba teknolojia hizi hutumiwa na sehemu ya kati na kubwa ya ushirika kutatua shida kadhaa za biashara;
  • Uwezo wa uchanganuzi wa UEBA umejengwa ndani ya anuwai ya teknolojia zinazohusiana za usalama wa habari, kama vile wakala wa usalama wa ufikiaji wa wingu (CASBs), mifumo ya utawala wa utambulisho na usimamizi (IGA) SIEM;
  • Uvumi unaozunguka wachuuzi wa UEBA na matumizi yasiyo sahihi ya neno "akili ya bandia" hufanya iwe vigumu kwa wateja kuelewa tofauti halisi kati ya teknolojia za wazalishaji na utendaji wa ufumbuzi bila kufanya mradi wa majaribio;
  • Wateja wanaona kuwa muda wa utekelezaji na matumizi ya kila siku ya suluhu za UEBA zinaweza kuwa ngumu zaidi na zinazotumia muda mwingi kuliko ahadi za mtengenezaji, hata wakati wa kuzingatia mifano ya kimsingi ya kugundua vitisho. Kuongeza matukio maalum au makali ya matumizi inaweza kuwa vigumu sana na kuhitaji ujuzi katika sayansi ya data na uchanganuzi.

Utabiri wa kimkakati wa maendeleo ya soko:

  • Kufikia 2021, soko la mifumo ya uchanganuzi wa tabia ya watumiaji na huluki (UEBA) itakoma kuwepo kama eneo tofauti na itahamia kwenye suluhu zingine zenye utendakazi wa UEBA;
  • Kufikia 2020, 95% ya matumizi yote ya UEBA yatakuwa sehemu ya mfumo mpana wa usalama.

Ufafanuzi wa suluhu za UEBA

Suluhu za UEBA hutumia uchanganuzi uliojumuishwa ndani kutathmini shughuli za watumiaji na huluki zingine (kama vile wapangishi, programu, trafiki ya mtandao na maduka ya data).
Hutambua vitisho na matukio yanayoweza kutokea, ambayo kwa kawaida huwakilisha shughuli isiyo ya kawaida ikilinganishwa na wasifu na tabia ya kawaida ya watumiaji na huluki katika vikundi sawa kwa muda.

Matukio ya kawaida ya utumiaji katika sehemu ya biashara ni kugundua na kujibu vitisho, pamoja na kugundua na kukabiliana na matishio kutoka kwa watu wa ndani (hasa watu wa ndani walioathiriwa; wakati mwingine washambuliaji wa ndani).

UEBA ni kama uamuziNa kazi, iliyojengwa ndani ya zana maalum:

  • Suluhisho ni watengenezaji wa majukwaa "safi" ya UEBA, ikiwa ni pamoja na wachuuzi ambao pia huuza suluhu za SIEM kando. Inaangazia anuwai ya shida za biashara katika uchanganuzi wa tabia za watumiaji na mashirika.
  • Iliyopachikwa - Watengenezaji/vitengo vinavyounganisha kazi na teknolojia za UEBA katika suluhu zao. Kawaida ililenga seti maalum zaidi ya shida za biashara. Katika hali hii, UEBA inatumika kuchanganua tabia ya watumiaji na/au huluki.

Gartner anatazama UEBA pamoja na shoka tatu, ikijumuisha visuluhishi vya matatizo, uchanganuzi na vyanzo vya data (ona kielelezo).

Soko la UEBA limekufa - UEBA iishi kwa muda mrefu

Majukwaa "Safi" ya UEBA dhidi ya UEBA iliyojengewa ndani

Gartner anaona jukwaa "safi" la UEBA kuwa suluhisho ambazo:

  • kutatua matatizo kadhaa mahususi, kama vile ufuatiliaji wa watumiaji waliobahatika au kutoa data nje ya shirika, na sio tu "ufuatiliaji wa shughuli zisizo za kawaida" za mukhtasari;
  • kuhusisha matumizi ya uchanganuzi changamano, lazima kwa kuzingatia mbinu za msingi za uchanganuzi;
  • kutoa chaguzi kadhaa za ukusanyaji wa data, ikijumuisha mifumo ya chanzo cha data iliyojengewa ndani na kutoka kwa zana za usimamizi wa kumbukumbu, ziwa la data na/au mifumo ya SIEM, bila hitaji la lazima la kupeleka mawakala tofauti katika miundombinu;
  • inaweza kununuliwa na kupelekwa kama suluhu za kusimama pekee badala ya kujumuishwa ndani
    muundo wa bidhaa zingine.

Jedwali hapa chini linalinganisha njia hizi mbili.

Jedwali la 1. Suluhu "Safi" za UEBA dhidi ya kujengwa ndani

Jamii "Safi" majukwaa ya UEBA Suluhisho zingine zilizo na UEBA iliyojengwa ndani
Tatizo la kutatuliwa Uchambuzi wa tabia ya mtumiaji na vyombo. Ukosefu wa data unaweza kuzuia UEBA kuchanganua tabia ya watumiaji au mashirika pekee.
Tatizo la kutatuliwa Hutumika kutatua matatizo mbalimbali Mtaalamu katika seti ndogo ya majukumu
Analytics Ugunduzi wa hitilafu kwa kutumia mbinu mbalimbali za uchanganuzi - hasa kupitia miundo ya takwimu na kujifunza kwa mashine, pamoja na sheria na sahihi. Huja na uchanganuzi uliojumuishwa ili kuunda na kulinganisha shughuli za mtumiaji na huluki kwa wasifu wao na wa wenzao. Sawa na UEBA safi, lakini uchanganuzi unaweza kuwekewa watumiaji na/au huluki pekee.
Analytics Uwezo wa juu wa uchambuzi, sio mdogo tu na sheria. Kwa mfano, algoriti ya nguzo yenye kambi inayobadilika ya huluki. Sawa na UEBA “safi”, lakini upangaji wa huluki katika baadhi ya miundo ya tishio iliyopachikwa unaweza kubadilishwa wewe mwenyewe pekee.
Analytics Uwiano wa shughuli na tabia ya watumiaji na vyombo vingine (kwa mfano, kutumia mitandao ya Bayesian) na mkusanyiko wa tabia ya hatari ya mtu binafsi ili kutambua shughuli isiyo ya kawaida. Sawa na UEBA safi, lakini uchanganuzi unaweza kuwekewa watumiaji na/au huluki pekee.
Vyanzo vya data Kupokea matukio kwa watumiaji na huluki kutoka kwa vyanzo vya data moja kwa moja kupitia mbinu zilizojengewa ndani au hifadhi zilizopo za data, kama vile SIEM au Data Lake. Mbinu za kupata data kwa kawaida ni za moja kwa moja tu na huathiri watumiaji na/au huluki nyingine pekee. Usitumie zana za usimamizi wa kumbukumbu / SIEM / ziwa la data.
Vyanzo vya data Suluhisho halipaswi kutegemea trafiki ya mtandao pekee kama chanzo kikuu cha data, wala halipaswi kutegemea maajenti wake pekee kukusanya telemetry. Suluhisho linaweza kulenga trafiki ya mtandao pekee (kwa mfano, NTA - uchanganuzi wa trafiki ya mtandao) na/au kutumia mawakala wake kwenye vifaa vya mwisho (kwa mfano, huduma za ufuatiliaji wa wafanyikazi).
Vyanzo vya data Kujaza data ya mtumiaji/huluki kwa muktadha. Inaauni mkusanyiko wa matukio yaliyopangwa katika muda halisi, pamoja na data iliyopangwa/isiyo na muundo thabiti kutoka kwa saraka za TEHAMA - kwa mfano, Active Directory (AD), au nyenzo nyinginezo za taarifa zinazoweza kusomeka na mashine (kwa mfano, hifadhidata za HR). Sawa na UEBA safi, lakini wigo wa data ya muktadha unaweza kutofautiana kutoka kesi hadi kesi. AD na LDAP ndizo hifadhi za data za muktadha zinazotumiwa zaidi na suluhu zilizopachikwa za UEBA.
Upatikanaji Hutoa vipengele vilivyoorodheshwa kama bidhaa inayojitegemea. Haiwezekani kununua utendaji wa UEBA uliojengwa bila kununua suluhisho la nje ambalo limejengwa.
Chanzo: Gartner (Mei 2019)

Kwa hivyo, ili kutatua matatizo fulani, UEBA iliyoingia inaweza kutumia uchanganuzi wa msingi wa UEBA (kwa mfano, kujifunza kwa mashine isiyosimamiwa), lakini wakati huo huo, kutokana na upatikanaji wa data muhimu, inaweza kuwa na ufanisi zaidi kuliko "safi" Suluhisho la UEBA. Wakati huo huo, majukwaa "safi" ya UEBA, kama inavyotarajiwa, hutoa uchanganuzi changamano zaidi kama ujuzi kuu ikilinganishwa na zana iliyojengewa ndani ya UEBA. Matokeo haya yamefupishwa katika Jedwali 2.

Jedwali 2. Matokeo ya tofauti kati ya "safi" na UEBA iliyojengwa

Jamii "Safi" majukwaa ya UEBA Suluhisho zingine zilizo na UEBA iliyojengwa ndani
Analytics Kutumika kwa kutatua matatizo mbalimbali ya biashara kunamaanisha seti ya utendakazi wa UEBA iliyosambaa zaidi kwa msisitizo wa uchanganuzi changamano zaidi na miundo ya kujifunza mashine. Kuangazia seti ndogo ya matatizo ya biashara kunamaanisha vipengele vilivyobobea sana vinavyoangazia miundo mahususi ya programu iliyo na mantiki rahisi.
Analytics Kubinafsisha muundo wa uchanganuzi ni muhimu kwa kila hali ya programu. Miundo ya uchanganuzi imesanidiwa awali kwa zana ambayo UEBA imejengewa ndani yake. Zana iliyo na UEBA iliyojengewa ndani kwa ujumla hupata matokeo ya haraka katika kutatua matatizo fulani ya biashara.
Vyanzo vya data Upatikanaji wa vyanzo vya data kutoka kila pembe ya miundombinu ya shirika. Vyanzo vichache vya data, kwa kawaida vinadhibitiwa na upatikanaji wa mawakala wao au zana yenyewe yenye vipengele vya UEBA.
Vyanzo vya data Taarifa iliyo katika kila kumbukumbu inaweza kuzuiwa na chanzo cha data na huenda isiwe na data zote muhimu kwa zana ya UEBA ya kati. Kiasi na maelezo ya data ghafi iliyokusanywa na wakala na kutumwa kwa UEBA inaweza kusanidiwa mahususi.
usanifu Ni bidhaa kamili ya UEBA kwa shirika. Ujumuishaji ni rahisi kwa kutumia uwezo wa mfumo wa SIEM au ziwa la Data. Inahitaji seti tofauti ya vipengele vya UEBA kwa kila suluhu ambazo zimejengewa ndani UEBA. Suluhu zilizopachikwa za UEBA mara nyingi huhitaji mawakala wa kusakinisha na kudhibiti data.
Kuunganisha Ujumuishaji wa mwongozo wa suluhisho la UEBA na zana zingine katika kila kesi. Huruhusu shirika kuunda safu yake ya teknolojia kulingana na mbinu ya "bora kati ya analogi". Vifurushi kuu vya kazi za UEBA tayari vimejumuishwa kwenye zana yenyewe na mtengenezaji. Moduli ya UEBA imejengewa ndani na haiwezi kuondolewa, kwa hivyo wateja hawawezi kuibadilisha na kitu chao wenyewe.
Chanzo: Gartner (Mei 2019)

UEBA kama kipengele

UEBA inakuwa kipengele cha ufumbuzi wa mwisho hadi mwisho wa usalama wa mtandao ambao unaweza kufaidika kutokana na uchanganuzi wa ziada. UEBA ndio msingi wa suluhu hizi, ikitoa safu thabiti ya uchanganuzi wa hali ya juu kulingana na mifumo ya tabia ya mtumiaji na/au huluki.

Hivi sasa kwenye soko, utendaji wa UEBA uliojengwa unatekelezwa katika suluhisho zifuatazo, zilizowekwa kulingana na wigo wa kiteknolojia:

  • Ukaguzi na ulinzi unaozingatia data, ni wachuuzi ambao wamejikita katika kuboresha usalama wa hifadhi ya data iliyopangwa na isiyo na muundo (aka DCAP).

    Katika kitengo hiki cha wauzaji, Gartner anabainisha, kati ya mambo mengine, Varonis cybersecurity jukwaa, ambayo hutoa uchanganuzi wa tabia ya mtumiaji ili kufuatilia mabadiliko katika ruhusa zisizo na muundo wa data, ufikiaji na matumizi katika maduka mbalimbali ya taarifa.

  • Mifumo ya CASB, inayotoa ulinzi dhidi ya matishio mbalimbali katika programu za SaaS zinazotegemea wingu kwa kuzuia ufikiaji wa huduma za wingu kwa vifaa visivyotakikana, watumiaji na matoleo ya programu kwa kutumia mfumo wa kudhibiti ufikiaji unaobadilika.

    Suluhu zote za CASB zinazoongoza sokoni ni pamoja na uwezo wa UEBA.

  • Suluhisho za DLP - inayolenga kugundua uhamishaji wa data muhimu nje ya shirika au matumizi mabaya yake.

    Maendeleo ya DLP yanategemea kwa kiasi kikubwa kuelewa maudhui, huku kukiwa na mkazo mdogo katika kuelewa muktadha kama vile mtumiaji, programu, eneo, wakati, kasi ya matukio na mambo mengine ya nje. Ili kuwa na ufanisi, bidhaa za DLP lazima zitambue maudhui na muktadha. Hii ndiyo sababu wazalishaji wengi wanaanza kuunganisha utendaji wa UEBA katika ufumbuzi wao.

  • Ufuatiliaji wa wafanyikazi ni uwezo wa kurekodi na kucheza tena vitendo vya mfanyakazi, kwa kawaida katika muundo wa data unaofaa kwa kesi za kisheria (ikiwa ni lazima).

    Watumiaji wanaofuatilia kila mara mara nyingi hutoa kiasi kikubwa cha data ambacho kinahitaji kuchujwa kwa mikono na uchambuzi wa kibinadamu. Kwa hivyo, UEBA hutumiwa ndani ya mifumo ya ufuatiliaji ili kuboresha utendakazi wa suluhu hizi na kugundua matukio ya hatari tu.

  • Usalama wa Mwisho - Masuluhisho ya kugundua na kujibu (EDR) na majukwaa ya ulinzi ya mwisho (EPP) hutoa zana zenye nguvu na telemetry ya mfumo wa uendeshaji kwa
    vifaa vya mwisho.

    Telemetry kama hiyo inayohusiana na mtumiaji inaweza kuchanganuliwa ili kutoa utendakazi wa UEBA uliojumuishwa.

  • Ulaghai mtandaoni - Masuluhisho ya ugunduzi wa ulaghai mtandaoni hutambua shughuli potovu inayoonyesha maelewano ya akaunti ya mteja kupitia ulaghai, programu hasidi, au unyonyaji wa miunganisho isiyolindwa/kukatiza kwa trafiki ya kivinjari.

    Usuluhishi mwingi wa ulaghai hutumia kiini cha UEBA, uchanganuzi wa muamala na kipimo cha kifaa, huku mifumo ya hali ya juu zaidi inayoikamilisha kwa kulinganisha uhusiano katika hifadhidata ya utambulisho.

  • IAM na udhibiti wa ufikiaji - Gartner anabainisha mwelekeo wa mageuzi kati ya wachuuzi wa mfumo wa udhibiti wa ufikiaji kuunganishwa na wachuuzi safi na kujenga utendaji wa UEBA katika bidhaa zao.
  • IAM na mifumo ya Utawala na Utawala wa Utambulisho (IGA). tumia UEBA kuangazia matukio ya uchanganuzi wa kitabia na utambulisho kama vile ugunduzi wa hitilafu, uchanganuzi thabiti wa vikundi vya huluki zinazofanana, uchanganuzi wa kuingia na uchanganuzi wa sera ya ufikiaji.
  • IAM na Usimamizi wa Ufikiaji wa Upendeleo (PAM) - Kutokana na jukumu la kufuatilia matumizi ya akaunti za usimamizi, suluhu za PAM zina telemetry ili kuonyesha jinsi, kwa nini, lini na wapi akaunti za usimamizi zilitumika. Data hii inaweza kuchanganuliwa kwa kutumia utendakazi uliojengewa ndani wa UEBA kwa uwepo wa tabia isiyo ya kawaida ya wasimamizi au nia mbaya.
  • Watengenezaji NTA (Uchambuzi wa Trafiki wa Mtandao) - tumia mchanganyiko wa kujifunza kwa mashine, uchanganuzi wa hali ya juu na ugunduzi unaozingatia sheria ili kutambua shughuli za kutiliwa shaka kwenye mitandao ya ushirika.

    Zana za NTA zinaendelea kuchanganua trafiki ya chanzo na/au rekodi za mtiririko (k.m. NetFlow) ili kuunda miundo inayoakisi tabia ya kawaida ya mtandao, ikilenga hasa uchanganuzi wa tabia za huluki.

  • SIEM - wachuuzi wengi wa SIEM sasa wana utendakazi wa hali ya juu wa uchanganuzi wa data uliojumuishwa katika SIEM, au kama moduli tofauti ya UEBA. Kwa mwaka mzima wa 2018 na hadi sasa katika 2019, kumekuwa na ukungu unaoendelea kati ya utendakazi wa SIEM na UEBA, kama ilivyojadiliwa katika kifungu hicho. "Maarifa ya Teknolojia kwa SIEM ya kisasa". Mifumo ya SIEM imekuwa bora katika kufanya kazi na uchanganuzi na kutoa hali ngumu zaidi za utumaji.

Matukio ya Maombi ya UEBA

Ufumbuzi wa UEBA unaweza kutatua matatizo mbalimbali. Hata hivyo, wateja wa Gartner wanakubali kwamba kesi ya msingi ya utumiaji inahusisha kugundua kategoria mbalimbali za vitisho, zinazopatikana kwa kuonyesha na kuchanganua uhusiano wa mara kwa mara kati ya tabia ya mtumiaji na vyombo vingine:

  • ufikiaji usioidhinishwa na uhamishaji wa data;
  • tabia ya tuhuma ya watumiaji waliobahatika, shughuli mbaya au zisizoidhinishwa za wafanyikazi;
  • upatikanaji usio wa kawaida na matumizi ya rasilimali za wingu;
  • nk

Pia kuna idadi ya matukio ya kawaida ya matumizi yasiyo ya usalama mtandaoni, kama vile ulaghai au ufuatiliaji wa wafanyikazi, ambayo UEBA inaweza kuhalalishwa. Hata hivyo, mara nyingi huhitaji vyanzo vya data nje ya TEHAMA na usalama wa taarifa, au miundo maalum ya uchanganuzi yenye uelewa wa kina wa eneo hili. Matukio na programu tano kuu ambazo watengenezaji wa UEBA na wateja wao wanakubaliana zimefafanuliwa hapa chini.

"Mtu mbaya wa ndani"

Watoa huduma za ufumbuzi wa UEBA wanaoshughulikia hali hii hufuatilia tu wafanyakazi na wakandarasi wanaoaminika kwa tabia isiyo ya kawaida, "mbaya" au hasidi. Wachuuzi katika eneo hili la utaalamu hawafuatilii au kuchambua tabia ya akaunti za huduma au taasisi nyingine zisizo za kibinadamu. Kwa kiasi kikubwa kwa sababu ya hii, hawajalenga kugundua vitisho vya hali ya juu ambapo wadukuzi huchukua akaunti zilizopo. Badala yake, zinalenga kubaini wafanyikazi wanaohusika katika shughuli hatari.

Kimsingi, dhana ya "wa ndani hasidi" inatokana na watumiaji wanaoaminika wenye nia mbaya ambao hutafuta njia za kusababisha uharibifu kwa mwajiri wao. Kwa sababu nia mbaya ni vigumu kupima, wachuuzi bora katika kitengo hiki huchanganua data ya tabia ya muktadha ambayo haipatikani kwa urahisi katika kumbukumbu za ukaguzi.

Watoa suluhisho katika nafasi hii pia huongeza na kuchanganua data ambayo haijaundwa kikamilifu, kama vile maudhui ya barua pepe, ripoti za tija au maelezo ya mitandao ya kijamii, ili kutoa muktadha wa tabia.

Vitisho vya watu wa ndani vilivyoathiriwa na viingilizi

Changamoto ni kugundua na kuchambua kwa haraka tabia "mbaya" mara tu mshambuliaji amepata ufikiaji wa shirika na kuanza kuhamia ndani ya miundombinu ya TEHAMA.
Vitisho vya Uthubutu (APTs), kama vile vitisho visivyojulikana au ambavyo bado havijaeleweka kikamilifu, ni vigumu sana kutambua na mara nyingi kujificha nyuma ya shughuli halali za mtumiaji au akaunti za huduma. Vitisho kama hivyo kawaida huwa na muundo mgumu wa kufanya kazi (tazama, kwa mfano, kifungu " Akihutubia Msururu wa Uuaji wa Mtandao") au tabia zao bado hazijatathminiwa kama hatari. Hii inazifanya kuwa vigumu kuzitambua kwa kutumia uchanganuzi rahisi (kama vile kulinganisha na ruwaza, vizingiti, au kanuni za uunganisho).

Hata hivyo, mengi ya matishio haya ya uingilizi husababisha tabia isiyo ya kawaida, mara nyingi huhusisha watumiaji au taasisi zisizotarajiwa (aka watu wa ndani walioathirika). Mbinu za UEBA hutoa fursa kadhaa za kuvutia za kugundua vitisho kama hivyo, kuboresha uwiano wa mawimbi kati ya kelele, kuunganisha na kupunguza sauti ya arifa, kutoa kipaumbele kwa arifa zilizosalia, na kuwezesha majibu na uchunguzi wa matukio.

Wachuuzi wa UEBA wanaolenga eneo hili la tatizo mara nyingi huwa na ushirikiano wa pande mbili na mifumo ya shirika ya SIEM.

Uchujaji wa Data

Kazi katika kesi hii ni kugundua ukweli kwamba data inahamishwa nje ya shirika.
Wachuuzi walilenga changamoto hii kwa kawaida huongeza uwezo wa DLP au DAG kwa kutambua hitilafu na uchanganuzi wa hali ya juu, na hivyo kuboresha uwiano wa mawimbi kati ya kelele, kuunganisha sauti ya arifa na kuvipa kipaumbele vichochezi vilivyosalia. Kwa muktadha wa ziada, wachuuzi kwa kawaida hutegemea zaidi trafiki ya mtandao (kama vile seva mbadala za wavuti) na data ya mwisho, kwani uchambuzi wa vyanzo hivi vya data unaweza kusaidia katika uchunguzi wa kuchuja data.

Ugunduzi wa uchujaji wa data hutumiwa kupata watu wa ndani na wavamizi wa nje wanaotishia shirika.

Utambulisho na usimamizi wa ufikiaji wa upendeleo

Watengenezaji wa suluhisho huru za UEBA katika eneo hili la utaalamu huchunguza na kuchambua tabia ya mtumiaji dhidi ya usuli wa mfumo wa haki ambao tayari umeundwa ili kubaini haki nyingi au ufikiaji usio wa kawaida. Hii inatumika kwa aina zote za watumiaji na akaunti, ikijumuisha akaunti za upendeleo na huduma. Mashirika pia hutumia UEBA kuondoa akaunti zilizolala na haki za watumiaji ambazo ni za juu kuliko inavyohitajika.

Uwekaji kipaumbele wa tukio

Lengo la jukumu hili ni kuweka kipaumbele arifa zinazotokana na suluhu katika rundo la teknolojia ili kuelewa ni matukio gani au matukio yanayoweza kushughulikiwa kwanza. Mbinu na zana za UEBA ni muhimu katika kutambua matukio ambayo ni ya ajabu au hatari hasa kwa shirika fulani. Katika kesi hii, utaratibu wa UEBA hautumii tu kiwango cha msingi cha shughuli na mifano ya tishio, lakini pia hujaa data na habari kuhusu muundo wa shirika wa kampuni (kwa mfano, rasilimali muhimu au majukumu na viwango vya ufikiaji wa wafanyikazi).

Matatizo ya kutekeleza ufumbuzi wa UEBA

Maumivu ya soko ya ufumbuzi wa UEBA ni bei yao ya juu, utekelezaji mgumu, matengenezo na matumizi. Wakati makampuni yanajitahidi na idadi ya lango tofauti za ndani, wanapata koni nyingine. Saizi ya uwekezaji wa wakati na rasilimali katika zana mpya inategemea kazi zilizopo na aina za uchanganuzi zinazohitajika kuzitatua, na mara nyingi zinahitaji uwekezaji mkubwa.

Kinyume na watengenezaji wengi wanadai, UEBA si zana ya "kuiweka na kuisahau" ambayo inaweza kuendelea kwa siku mfululizo.
Wateja wa Gartner, kwa mfano, kumbuka kuwa inachukua kutoka miezi 3 hadi 6 kuzindua mpango wa UEBA kutoka mwanzo ili kupata matokeo ya kwanza ya kutatua matatizo ambayo ufumbuzi huu ulitekelezwa. Kwa kazi ngumu zaidi, kama vile kutambua vitisho kutoka kwa watu wengine katika shirika, muda huongezeka hadi miezi 18.

Mambo yanayoathiri ugumu wa kutekeleza UEBA na ufanisi wa baadaye wa chombo:

  • Utata wa usanifu wa shirika, topolojia ya mtandao na sera za usimamizi wa data
  • Upatikanaji wa data sahihi katika kiwango sahihi cha maelezo
  • Utata wa algoriti za uchanganuzi za muuzaji—kwa mfano, matumizi ya miundo ya takwimu na ujifunzaji wa mashine dhidi ya ruwaza na sheria rahisi.
  • Kiasi cha uchanganuzi uliosanidiwa awali kilijumuishwa—yaani, uelewa wa mtengenezaji wa data gani inahitaji kukusanywa kwa kila kazi na ni vigeu gani na sifa gani ni muhimu zaidi kufanya uchanganuzi.
  • Jinsi ilivyo rahisi kwa mtengenezaji kuunganisha kiotomatiki na data inayohitajika.

    Kwa mfano:

    • Ikiwa suluhisho la UEBA linatumia mfumo wa SIEM kama chanzo kikuu cha data yake, je SIEM inakusanya taarifa kutoka kwa vyanzo vya data vinavyohitajika?
    • Je, kumbukumbu za matukio muhimu na data ya muktadha wa shirika zinaweza kuelekezwa kwenye suluhisho la UEBA?
    • Ikiwa mfumo wa SIEM bado haukusanyi na kudhibiti vyanzo vya data vinavyohitajika na suluhisho la UEBA, basi vinawezaje kuhamishiwa huko?

  • Hali ya utumaji maombi ni muhimu kwa shirika, inahitaji vyanzo vingapi vya data, na ni kiasi gani kazi hii inaingiliana na eneo la utaalamu wa mtengenezaji.
  • Ni kiwango gani cha ukomavu wa shirika na ushiriki unahitajika - kwa mfano, uundaji, ukuzaji na uboreshaji wa sheria na mifano; kugawa uzani kwa vigezo kwa tathmini; au kurekebisha kiwango cha tathmini ya hatari.
  • Suluhisho la muuzaji na usanifu wake ni kubwa kiasi gani ikilinganishwa na ukubwa wa sasa wa shirika na mahitaji yake ya baadaye.
  • Wakati wa kujenga mifano ya msingi, wasifu na vikundi muhimu. Watengenezaji mara nyingi huhitaji angalau siku 30 (na wakati mwingine hadi siku 90) kufanya uchanganuzi kabla ya kufafanua "kanuni." Kupakia data ya kihistoria mara moja kunaweza kuongeza kasi ya mafunzo ya mfano. Baadhi ya matukio ya kuvutia yanaweza kutambuliwa kwa haraka zaidi kwa kutumia sheria kuliko kutumia kujifunza kwa mashine kwa kiasi kidogo sana cha data ya awali.
  • Kiwango cha juhudi kinachohitajika ili kuunda vikundi vinavyobadilika na uwekaji wasifu wa akaunti (huduma/mtu) kinaweza kutofautiana sana kati ya masuluhisho.

Chanzo: mapenzi.com

Kuongeza maoni