ProHoster > Blog > ахбори интернет > Бозори UEBA мурдааст - зинда бод UEBA

Бозори UEBA мурдааст - зинда бод UEBA

Бозори UEBA мурдааст - зинда бод UEBA

Имрӯз мо шарҳи мухтасари бозори таҳлили рафтори корбар ва шахсро (UEBA) дар асоси охирин маълумот медиҳем. Тадқиқоти Gartner. Бозори UEBA тибқи гузориши Gartner Hype Cycle for Technologies бо таҳдидҳо дар поёни "марҳилаи ноумедӣ" қарор дорад, ки камолоти технологияро нишон медиҳад. Аммо парадокси вазъ дар афзоиши умумии сармоягузориҳо ба технологияҳои UEBA ва бозори нопадидшавии қарорҳои мустақили UEBA мебошад. Gartner пешгӯӣ мекунад, ки UEBA як қисми функсияҳои ҳалли марбут ба амнияти иттилоотӣ хоҳад шуд. Истилоҳи "UEBA" эҳтимолан аз кор мемонад ва бо ихтисороти дигаре иваз карда мешавад, ки ба як минтақаи тангтари барнома (масалан, "таҳлили рафтори корбар"), як минтақаи шабеҳи барнома (масалан, "таҳлили маълумот") нигаронида шудааст ё танҳо як калимаи дигар мешавад. калимаи нав (масалан, истилоҳи "зеҳни сунъӣ" [AI] ҷолиб ба назар мерасад, гарчанде ки ин барои истеҳсолкунандагони муосири UEBA ҳеҷ маъно надорад).

Натиҷаҳои асосии тадқиқоти Gartner метавонанд ба таври зерин ҷамъбаст карда шаванд:

  • Камолияти бозори таҳлили рафтори корбарон ва субъектҳо бо он тасдиқ карда мешавад, ки ин технологияҳо аз ҷониби сегменти миёна ва калон барои ҳалли як қатор мушкилоти тиҷорат истифода мешаванд;
  • Имкониятҳои таҳлилии UEBA дар доираи васеи технологияҳои марбут ба амнияти иттилоотӣ, аз қабили брокерҳои амнияти дастрасии абрӣ (CASBs), системаҳои идоракунии шахсият ва маъмурият (IGA) SIEM сохта шудаанд;
  • Ҳавопаймо дар атрофи фурӯшандагони UEBA ва истифодаи нодурусти истилоҳи "зеҳни сунъӣ" барои муштариён фаҳмидани фарқияти воқеии байни технологияҳои истеҳсолкунандагон ва функсияҳои қарорҳоро бидуни гузаронидани лоиҳаи озмоишӣ душвор месозад;
  • Мизоҷон қайд мекунанд, ки вақти татбиқ ва истифодаи ҳаррӯзаи қарорҳои UEBA метавонад назар ба ваъдаҳои истеҳсолкунанда, ҳатто ҳангоми баррасии танҳо моделҳои асосии ошкоркунии таҳдидҳо, метавонад меҳнатталабтар ва вақтро сарф кунад. Илова кардани ҳолатҳои истифодаи фармоишӣ ё канорӣ метавонад ниҳоят душвор бошад ва таҷриба дар илми маълумот ва таҳлилро талаб кунад.

Пешгӯии стратегии рушди бозор:

  • То соли 2021, бозори системаҳои таҳлили рафтори корбарон ва субъектҳо (UEBA) ҳамчун як минтақаи алоҳида мавҷудияти худро қатъ мекунад ва ба дигар қарорҳо бо функсияҳои UEBA мегузарад;
  • То соли 2020, 95% тамоми ҷойгиркунии UEBA як қисми платформаи васеътари амният хоҳанд буд.

Таърифи қарорҳои UEBA

Қарорҳои UEBA барои арзёбии фаъолияти корбарон ва дигар объектҳо (ба монанди ҳостҳо, барномаҳо, трафики шабака ва мағозаҳои маълумот) таҳлили дарунсохтро истифода мебаранд.
Онҳо таҳдидҳо ва ҳодисаҳои эҳтимолиро ошкор мекунанд, ки маъмулан фаъолияти ғайриоддӣ дар муқоиса бо профили стандартӣ ва рафтори корбарон ва субъектҳо дар гурӯҳҳои шабеҳ дар тӯли як давраи вақтро ифода мекунанд.

Ҳолатҳои маъмултарини истифода дар сегменти корхона ошкор ва вокуниш ба таҳдидҳо, инчунин ошкор ва вокуниш ба таҳдидҳои инсайдерӣ мебошанд (асосан инсайдерҳои осебдида; баъзан ҳамлаҳои дохилӣ).

UEBA монанд аст қарор қабул мекунад, ва функсия, дар як асбоби мушаххас сохта шудааст:

  • Ҳалли ин истеҳсолкунандагони платформаҳои "тоза" UEBA, аз ҷумла фурӯшандагоне мебошад, ки ҳалли SIEM-ро алоҳида мефурӯшанд. Тамаркуз ба доираи васеи мушкилоти тиҷорат дар таҳлили рафтори ҳам корбарон ва ҳам субъектҳо.
  • Дарунсохташуда - Истеҳсолкунандагон / бахшҳое, ки функсияҳо ва технологияҳои UEBA-ро ба ҳалли худ муттаҳид мекунанд. Одатан ба маҷмӯи мушаххаси мушкилоти тиҷорат тамаркуз карда мешавад. Дар ин ҳолат, UEBA барои таҳлили рафтори корбарон ва/ё субъектҳо истифода мешавад.

Gartner UEBA-ро дар се меҳвар, аз ҷумла ҳалли мушкилот, таҳлилҳо ва манбаъҳои маълумот дида мебарояд (ба расм нигаред).

Бозори UEBA мурдааст - зинда бод UEBA

Платформаҳои "тоза" UEBA дар муқоиса бо UEBA дарунсохт

Gartner платформаи "тоза" UEBA-ро як қароре медонад, ки:

  • ҳалли якчанд мушкилоти мушаххас, аз қабили мониторинги корбарони имтиёзнок ё баровардани маълумот берун аз созмон, на танҳо абстрактӣ “мониторинги фаъолияти ғайримуқаррарии корбарон”;
  • ҷалби истифодаи таҳлили мураккаб, ки ҳатман ба равишҳои асосии таҳлилӣ асос ёфтааст;
  • пешниҳоди якчанд имконоти ҷамъоварии маълумот, аз ҷумла механизмҳои дарунсохташудаи манбаи додаҳо ва аз воситаҳои идоракунии гузоришҳо, кӯли маълумот ва/ё системаҳои SIEM, бидуни зарурати ҳатмии ҷойгиркунии агентҳои алоҳида дар инфрасохтор;
  • метавонад ҳамчун ҳалли мустақил харидорӣ ва ҷойгир карда шавад, на ба он дохил карда шавад
    таркиби махсулоти дигар.

Дар ҷадвали зер ин ду равиш муқоиса карда шудааст.

Љадвали 1. Қарорњои "тоза" UEBA против дарунсохт

категория Платформаҳои "тоза" UEBA Дигар қарорҳо бо UEBA дарунсохт
Масъалае, ки бояд ҳал шавад Таҳлили рафтори корбарон ва субъектҳо. Набудани маълумот метавонад UEBA-ро барои таҳлили рафтори танҳо корбарон ё субъектҳо маҳдуд кунад.
Масъалае, ки бояд ҳал шавад Ба халли доираи васеи проблемахо хизмат мекунад Дар маҷмӯи маҳдуди вазифаҳо тахассус дорад
Таҳлилҳо Муайян кардани аномалия бо истифода аз усулҳои гуногуни таҳлилӣ - асосан тавассути моделҳои оморӣ ва омӯзиши мошинсозӣ, дар якҷоягӣ бо қоидаҳо ва имзоҳо. Бо таҳлили дарунсохт барои эҷод ва муқоисаи фаъолияти корбар ва созмон бо профилҳои онҳо ва ҳамкорони худ меояд. Ба UEBA-и холис монанд аст, аммо таҳлил метавонад танҳо бо корбарон ва/ё субъектҳо маҳдуд карда шавад.
Таҳлилҳо Қобилиятҳои пешрафтаи таҳлилӣ, на танҳо бо қоидаҳо маҳдуданд. Масалан, алгоритми кластерӣ бо гурӯҳбандии динамикии объектҳо. Ба UEBA-и "тоза" монанд аст, аммо гурӯҳбандии объектҳо дар баъзе моделҳои таҳдиди воридшуда танҳо ба таври дастӣ тағир дода мешавад.
Таҳлилҳо Таносуби фаъолият ва рафтори корбарон ва дигар субъектҳо (масалан, бо истифода аз шабакаҳои Bayesian) ва маҷмӯи рафтори хатари инфиродӣ бо мақсади муайян кардани фаъолияти ғайриоддӣ. Ба UEBA-и холис монанд аст, аммо таҳлил метавонад танҳо бо корбарон ва/ё субъектҳо маҳдуд карда шавад.
Манбаъҳои маълумот Гирифтани рӯйдодҳо дар бораи корбарон ва субъектҳо аз манбаъҳои додаҳо мустақиман тавассути механизмҳои дарунсохт ё мағозаҳои мавҷудаи маълумот, ба монанди SIEM ё кӯли маълумот. Механизмҳои ба даст овардани маълумот одатан танҳо мустақиманд ва танҳо ба корбарон ва/ё дигар субъектҳо таъсир мерасонанд. Асбобҳои идоракунии гузоришҳо / SIEM / Лейк маълумотро истифода набаред.
Манбаъҳои маълумот Ҳалли бояд на танҳо ба трафики шабака ҳамчун манбаи асосии маълумот такя кунад ва на танҳо ба агентҳои худ барои ҷамъоварии телеметрия такя кунад. Ҳалли метавонад танҳо ба трафики шабакавӣ тамаркуз кунад (масалан, NTA - таҳлили трафики шабака) ва/ё агентҳои онро дар дастгоҳҳои ниҳоӣ истифода барад (масалан, утилитаҳои мониторинги кормандон).
Манбаъҳои маълумот Пур кардани маълумоти корбар/объект бо контекст. Ҷамъоварии рӯйдодҳои сохториро дар вақти воқеӣ, инчунин маълумоти муттаҳидшудаи сохторӣ/насохторношуда аз директорияҳои IT - масалан, Active Directory (AD) ё дигар захираҳои иттилоотии бо мошин хондашаванда (масалан, пойгоҳи додаҳои HR) дастгирӣ мекунад. Ба UEBA-и холис монанд аст, аммо доираи маълумоти контекстӣ метавонад аз ҳар ҳолат фарқ кунад. AD ва LDAP маъмултарин мағозаҳои контекстӣ мебошанд, ки аз ҷониби ҳалли дарунсохташудаи UEBA истифода мешаванд.
Мавҷудият Хусусиятҳои номбаршударо ҳамчун маҳсулоти мустақил таъмин мекунад. Харидани функсияҳои дарунсохташудаи UEBA бидуни харидани ҳалли беруна, ки дар он сохта шудааст, ғайриимкон аст.
Манбаъ: Gartner (майи 2019)

Ҳамин тариқ, барои ҳалли мушкилоти муайян, UEBA-и дарунсохт метавонад таҳлили асосии UEBA-ро истифода барад (масалан, омӯзиши мошинҳои оддии беназорат), аммо дар айни замон, аз сабаби дастрасӣ ба маълумоти дақиқи зарурӣ, он метавонад дар маҷмӯъ назар ба “пок” самараноктар бошад. ҳалли UEBA. Ҳамзамон, платформаҳои "тоза" UEBA, тавре интизор мерафтанд, дар муқоиса бо абзори дарунсохташудаи UEBA таҳлили мураккабтарро ҳамчун ноу-хауи асосӣ пешниҳод мекунанд. Ин натиҷаҳо дар ҷадвали 2 ҷамъбаст шудаанд.

Љадвали 2. Натиљаи тафовути байни "тоза" ва UEBA дарунсохт

категория Платформаҳои "тоза" UEBA Дигар қарорҳо бо UEBA дарунсохт
Таҳлилҳо Татбиқӣ барои ҳалли мушкилоти гуногуни тиҷорат маҷмӯи универсалии функсияҳои UEBA-ро бо таваҷҷӯҳ ба таҳлили мураккабтар ва моделҳои омӯзиши мошинсозӣ дар назар дорад. Таваҷҷӯҳ ба маҷмӯи хурдтари мушкилоти тиҷорат маънои хусусиятҳои баланди тахассусиро дорад, ки ба моделҳои мушаххаси барномаҳо бо мантиқи соддатар тамаркуз мекунанд.
Таҳлилҳо Мутобиқсозии модели таҳлилӣ барои ҳар як сенарияи барнома зарур аст. Моделҳои таҳлилӣ барои асбобе, ки дар он UEBA сохта шудааст, пешакӣ танзим карда шудаанд. Асбоби дорои UEBA-и дарунсохт умуман дар ҳалли мушкилоти муайяни тиҷорат натиҷаҳои тезтар ба даст меорад.
Манбаъҳои маълумот Дастрасӣ ба манбаъҳои маълумот аз тамоми гӯшаҳои инфрасохтори корпоративӣ. Сарчашмаҳои камтари маълумот, одатан бо мавҷудияти агентҳо барои онҳо ё худи асбоб бо функсияҳои UEBA маҳдуд аст.
Манбаъҳои маълумот Маълумоте, ки дар ҳар як сабт мавҷуд аст, метавонад аз ҷониби манбаи маълумот маҳдуд карда шавад ва на ҳама маълумоти заруриро барои абзори мутамаркази UEBA дар бар гирад. Миқдор ва тафсилоти маълумоти хоми аз ҷониби агент ҷамъовардашуда ва ба UEBA интиқол додашуда метавонанд махсус танзим карда шаванд.
меъморӣ Ин як маҳсулоти мукаммали UEBA барои созмон аст. Интегратсия бо истифода аз имкониятҳои системаи SIEM ё кӯли маълумот осонтар аст. Барои ҳар як қароре, ки UEBA-и дарунсохт доранд, маҷмӯи алоҳидаи хусусиятҳои UEBA-ро талаб мекунад. Қарорҳои дарунсохташудаи UEBA аксар вақт насб кардани агентҳо ва идоракунии маълумотро талаб мекунанд.
Интегратсия Интегратсияи дастии ҳалли UEBA бо асбобҳои дигар дар ҳар як ҳолат. Ба созмон имкон медиҳад, ки стеки технологии худро дар асоси равиши "беҳтарин дар байни аналогҳо" созад. Маҷмӯаҳои асосии функсияҳои UEBA аллакай аз ҷониби истеҳсолкунанда ба худи асбоб дохил карда шудаанд. Модули UEBA дарунсохт аст ва онро нест кардан мумкин нест, аз ин рӯ муштариён наметавонанд онро бо чизи худ иваз кунанд.
Манбаъ: Gartner (майи 2019)

UEBA ҳамчун функсия

UEBA ба як хусусияти қарорҳои ниҳоӣ оид ба киберамният табдил меёбад, ки метавонанд аз таҳлилҳои иловагӣ баҳра баранд. UEBA ин қарорҳоро дар бар мегирад ва як қабати пурқуввати таҳлили пешрафтаро дар асоси намунаҳои рафтори корбар ва/ё субъект таъмин мекунад.

Дар айни замон дар бозор, функсияи дарунсохташудаи UEBA дар ҳалли зерин амалӣ карда мешавад, ки аз рӯи доираи технологӣ гурӯҳбандӣ шудаанд:

  • Аудит ва ҳифзи маълумот нигаронида шудааст, фурӯшандагоне мебошанд, ки ба беҳтар кардани амнияти нигоҳдории сохторӣ ва сохторнашудаи додаҳо (дигаред DCAP) нигаронида шудаанд.

    Дар ин категорияи фурӯшандагон, қайд мекунад Gartner, аз ҷумла чизҳои дигар, Платформаи киберамният Varonis, ки таҳлили рафтори корбарро барои назорат кардани тағирот дар иҷозатҳои додаҳо, дастрасӣ ва истифода дар мағозаҳои гуногуни иттилоот пешниҳод мекунад.

  • Системаҳои CASB, пешниҳоди муҳофизат аз таҳдидҳои гуногун дар барномаҳои SaaS ба абр асосёфта тавассути бастани дастрасӣ ба хидматҳои абрӣ барои дастгоҳҳои номатлуб, корбарон ва версияҳои барномаҳо бо истифода аз системаи мутобиқсозии идоракунии дастрасӣ.

    Ҳама қарорҳои пешрафтаи CASB дорои қобилиятҳои UEBA мебошанд.

  • Ҳалли DLP - ба ошкор кардани интиқоли маълумоти муҳим берун аз созмон ё сӯиистифодаи он нигаронида шудааст.

    Пешрафтҳои DLP асосан ба фаҳмидани мундариҷа асос ёфта, таваҷҷӯҳи камтар ба фаҳмиши контекст ба монанди корбар, барнома, макон, вақт, суръати рӯйдодҳо ва дигар омилҳои беруна асос ёфтааст. Барои самаранок будан, маҳсулоти DLP бояд ҳам мундариҷа ва ҳам контекстро эътироф кунанд. Ин аст, ки чаро бисёр истеҳсолкунандагон ба ҳамгироӣ кардани функсияҳои UEBA ба ҳалли худ шурӯъ мекунанд.

  • Мониторинги кормандон қобилияти сабт ва такрори амалҳои корманд, одатан дар формати маълумоте, ки барои мурофиаи судӣ мувофиқ аст (агар лозим бошад).

    Мониторинги доимии корбарон аксар вақт миқдори зиёди маълумотро тавлид мекунад, ки филтркунии дастӣ ва таҳлили инсониро талаб мекунад. Аз ин рӯ, UEBA дар дохили системаҳои мониторинг барои беҳтар кардани иҷрои ин қарорҳо ва ошкор кардани ҳодисаҳои хавфи баланд истифода мешавад.

  • Амнияти нуқтаи ниҳоӣ - Қарорҳои муайянкунӣ ва вокуниш ба нуқтаи ниҳоӣ (EDR) ва платформаҳои муҳофизати нуқтаи ниҳоӣ (EPP) асбобҳои пурқувват ва телеметрияи системаи амалиётиро таъмин мекунанд
    дастгоҳҳои ниҳоӣ.

    Чунин телеметрияи марбут ба корбарро метавон таҳлил кард, то функсияи дарунсохташудаи UEBA таъмин карда шавад.

  • Қаллобӣ дар интернет - Қарорҳои онлайн оид ба ошкоркунии қаллобӣ фаъолияти девиантиро ошкор мекунанд, ки вайрон кардани ҳисоби муштариро тавассути қаллобӣ, нармафзори зараровар ё истисмори пайвастагиҳои эминнашуда / боздоштани трафики браузер нишон медиҳад.

    Аксари қарорҳои қаллобӣ моҳияти UEBA, таҳлили транзаксия ва андозагирии дастгоҳро истифода мебаранд ва системаҳои пешрафтаи онҳоро тавассути мувофиқ кардани муносибатҳо дар пойгоҳи додаҳои шахсият пурра мекунанд.

  • IAM ва назорати дастрасӣ - Gartner тамоюли эволютсиониро дар байни фурӯшандагони системаи назорати дастрасӣ ба ҳамгироӣ бо фурӯшандагони пок ва сохтани баъзе функсияҳои UEBA дар маҳсулоти худ қайд мекунад.
  • Системаҳои IAM ва Идоракунии шахсият ва маъмурият (IGA). UEBA-ро барои фаро гирифтани сенарияҳои таҳлили рафтор ва шахсият, аз қабили ошкор кардани аномалия, таҳлили гурӯҳбандии динамикии субъектҳои шабеҳ, таҳлили воридшавӣ ва таҳлили сиёсати дастрасӣ истифода баред.
  • IAM ва идоракунии дастрасии имтиёзнок (PAM) - Аз сабаби нақши мониторинги истифодаи ҳисобҳои маъмурӣ, қарорҳои PAM телеметрия доранд, то нишон диҳанд, ки ҳисобҳои маъмурӣ чӣ гуна, чаро, кай ва дар куҷо истифода шудаанд. Ин маълумотро метавон бо истифода аз функсияи дарунсохтаи UEBA барои мавҷудияти рафтори ғайримуқаррарии маъмурон ё нияти бад таҳлил кард.
  • Истеҳсолкунандагони NTA (Таҳлили трафики шабака) – барои муайян кардани фаъолияти шубҳанок дар шабакаҳои корпоративӣ маҷмӯи омӯзиши мошинсозӣ, таҳлили пешрафта ва муайянкунии қоидаҳоро истифода баред.

    Воситаҳои NTA пайваста трафики манбаъ ва/ё сабтҳои ҷараёнро таҳлил мекунанд (масалан, NetFlow) барои сохтани моделҳое, ки рафтори муқаррарии шабакаро инъикос мекунанд, пеш аз ҳама ба таҳлили рафтори субъектҳо тамаркуз мекунанд.

  • сием - бисёре аз фурӯшандагони SIEM ҳоло функсияҳои пешрафтаи таҳлили додаҳоро доранд, ки дар SIEM ё ҳамчун модули алоҳидаи UEBA сохта шудаанд. Дар тӯли соли 2018 ва то ҳол дар соли 2019, тавре ки дар мақола баррасӣ шудааст, норавшании доимии сарҳадҳо байни функсияҳои SIEM ва UEBA ба назар мерасид. "Фаҳиши технологӣ барои SIEM муосир". Системаҳои SIEM дар кор бо таҳлил ва пешниҳоди сенарияҳои мураккабтари барнома беҳтар шудаанд.

Сенарияҳои татбиқи UEBA

Қарорҳои UEBA метавонанд доираи васеи мушкилотро ҳал кунанд. Бо вуҷуди ин, муштариёни Gartner розӣ ҳастанд, ки парвандаи истифодаи аввалия муайян кардани категорияҳои гуногуни таҳдидҳоро дар бар мегирад, ки тавассути нишон додан ва таҳлили робитаҳои зуд-зуд байни рафтори корбар ва дигар объектҳо ба даст меояд:

  • дастрасии беиҷозат ва интиқоли маълумот;
  • рафтори шубҳаноки истифодабарандагони имтиёзнок, фаъолияти бадқасдона ё беиҷозати кормандон;
  • дастрасии ғайристандартӣ ва истифодаи захираҳои абрӣ;
  • ва дигарон.

Инчунин як қатор ҳолатҳои ғайримуқаррарии истифодаи киберамният мавҷуданд, ба монанди қаллобӣ ё мониторинги кормандон, ки барои онҳо UEBA асоснок карда мешавад. Бо вуҷуди ин, онҳо аксар вақт сарчашмаҳои маълумотро талаб мекунанд, ки ба IT ва амнияти иттилоотӣ алоқаманд нестанд ё моделҳои мушаххаси таҳлилӣ бо дарки амиқи ин соҳа. Панҷ сенарияи асосӣ ва барномаҳое, ки ҳам истеҳсолкунандагони UEBA ва ҳам муштариёни онҳо мувофиқат мекунанд, дар зер тавсиф шудаанд.

"Инсайдери зараровар"

Провайдерҳои ҳалли UEBA, ки ин сенарияро фаро мегиранд, танҳо кормандон ва пудратчиёни боэътимодро барои рафтори ғайриоддӣ, "бад" ё бадхоҳона назорат мекунанд. Фурӯшандагон дар ин соҳаи коршиносӣ рафтори ҳисобҳои хидматӣ ё дигар шахсони ғайриинсониро назорат намекунанд ё таҳлил намекунанд. Асосан аз ин сабаб, онҳо ба ошкор кардани таҳдидҳои пешрафта, ки ҳакерҳо ҳисобҳои мавҷударо мегиранд, тамаркуз намекунанд. Ба ҷои ин, онҳо ба муайян кардани кормандоне, ки дар фаъолиятҳои зараровар иштирок мекунанд, равона карда шудаанд.

Аслан, мафҳуми "инсайдери шубҳанок" аз корбарони боэътимоди дорои нияти бад, ки роҳҳои расонидани зарар ба корфармои худро меҷӯянд, бармеояд. Азбаски нияти бадқасдона чен кардан душвор аст, беҳтарин фурӯшандагон дар ин категория маълумоти рафтори контекстивиро таҳлил мекунанд, ки дар гузоришҳои аудит ба осонӣ дастрас нестанд.

Провайдерҳои ҳалли ин фазо инчунин маълумоти сохторнашуда, аз қабили мундариҷаи почтаи электронӣ, ҳисоботи маҳсулнокӣ ё иттилооти васоити ахбори оммаро ба таври оптималӣ илова ва таҳлил мекунанд, то контексти рафторро таъмин кунанд.

Таҳдидҳои инсайдерӣ ва дахолатнопазирӣ

Мушкилот ин аст, ки зуд ошкор ва таҳлили рафтори "бад" пас аз дастрасӣ ба созмон ва ба ҳаракат дар дохили инфрасохтори IT оғоз кардани ҳамлагар.
Таҳдидҳои тасдиқкунанда (АТТ), ба монанди таҳдидҳои номаълум ё ҳанӯз пурра фаҳмиданашуда, ошкор кардан бениҳоят душвор аст ва аксар вақт дар паси фаъолияти қонунии корбар ё ҳисобҳои хидматӣ пинҳон мешаванд. Чунин таҳдидҳо одатан модели мураккаби амалиётӣ доранд (масалан, мақолаи «ниг. Муроҷиат ба занҷири киберкуш") ё рафтори онҳо то ҳол зараровар арзёбӣ нашудааст. Ин муайян кардани онҳоро бо истифода аз таҳлилҳои оддӣ (ба монанди мувофиқат аз рӯи намунаҳо, ҳадди аққал ё қоидаҳои коррелятсия) мушкил мекунад.

Бо вуҷуди ин, бисёре аз ин таҳдидҳои дахолатнопазирӣ боиси рафтори ғайримуқаррарӣ мешаванд, ки аксар вақт корбарон ё шахсони шубҳанокро дар бар мегиранд (яъне инсайдерҳои осебдида). Усулҳои UEBA якчанд имкониятҳои ҷолибро барои ошкор кардани чунин таҳдидҳо, беҳтар кардани таносуби сигнал ба садо, муттаҳид ва кам кардани ҳаҷми огоҳинома, афзалият додани огоҳиҳои боқимонда ва мусоидат ба вокуниши муассир ва таҳқиқи ҳодисаҳо пешниҳод мекунанд.

Фурӯшандагони UEBA, ки ба ин минтақаи мушкилот нигаронида шудаанд, аксар вақт бо системаҳои SIEM созмон ҳамгироии дуҷониба доранд.

Эксфилтратсияи маълумот

Вазифа дар ин ҳолат ошкор кардани он аст, ки маълумот берун аз созмон интиқол дода мешавад.
Фурӯшандагон ба ин мушкилот тамаркуз карданд, маъмулан қобилиятҳои DLP ё DAG-ро бо кашфи аномалия ва таҳлили пешрафта истифода мебаранд ва ба ин васила таносуби сигнал ба садоро беҳтар мекунанд, ҳаҷми огоҳиҳоро муттаҳид мекунанд ва триггерҳои боқимондаро афзалият медиҳанд. Барои контексти иловагӣ, фурӯшандагон маъмулан бештар ба трафики шабакавӣ (ба монанди прокси веб) ва маълумоти нуқтаи ниҳоӣ такя мекунанд, зеро таҳлили ин манбаъҳои дода метавонад дар таҳқиқи эксфилтратсияи додаҳо кӯмак кунад.

Муайян кардани эксфилтратсияи додаҳо барои дастгир кардани инсайдерҳо ва ҳакерҳои беруна, ки ба созмон таҳдид мекунанд, истифода мешавад.

Муайян ва идоракунии дастрасии имтиёзнок

Истеҳсолкунандагони қарорҳои мустақили UEBA дар ин соҳаи коршиносӣ рафтори корбаронро дар заминаи системаи аллакай ташаккулёфтаи ҳуқуқҳо бо мақсади муайян кардани имтиёзҳои аз ҳад зиёд ё дастрасии ғайриоддӣ мушоҳида ва таҳлил мекунанд. Ин ба ҳама намуди корбарон ва ҳисобҳо, аз ҷумла ҳисобҳои имтиёзнок ва хидматрасонӣ дахл дорад. Ташкилотҳо инчунин UEBA-ро барои халос шудан аз ҳисобҳои бефаъолият ва имтиёзҳои корбар, ки аз талабот зиёданд, истифода мебаранд.

Афзалият додани ҳодиса

Ҳадафи ин вазифа ин аст, ки авлавият додан ба огоҳиҳое, ки тавассути қарорҳо дар стеки технологии онҳо тавлид мешаванд, барои фаҳмидани он, ки кадом ҳодисаҳо ё ҳодисаҳои эҳтимолӣ бояд аввал ҳал карда шаванд. Методология ва абзорҳои UEBA барои муайян кардани ҳодисаҳое, ки барои як созмон махсусан ғайриоддӣ ё махсусан хатарноканд, муфиданд. Дар ин ҳолат, механизми UEBA на танҳо сатҳи асосии фаъолият ва моделҳои таҳдидро истифода мебарад, балки маълумотро бо маълумот дар бораи сохтори ташкилии ширкат (масалан, захираҳои муҳим ё нақшҳо ва сатҳи дастрасии кормандон) пур мекунад.

Проблемаҳои татбиқи қарорҳои UEBA

Дарди бозори қарорҳои UEBA нархи баланд, татбиқи мураккаб, нигоҳдорӣ ва истифодаи онҳост. Дар ҳоле ки ширкатҳо бо шумораи порталҳои гуногуни дохилӣ мубориза мебаранд, онҳо як консоли дигар мегиранд. Андозаи сармоягузории вақт ва захираҳо дар як абзори нав аз мушкилоти мавҷуда ва намудҳои таҳлиле, ки барои ҳалли онҳо заруранд, вобаста аст ва аксар вақт сармоягузориҳои калонро талаб мекунанд.

Бар хилофи он чизе ки бисёре аз истеҳсолкунандагон иддаъо мекунанд, UEBA асбоби "муқаррар кардан ва фаромӯш кардан" нест, ки пас аз он метавонад тӯли рӯзҳо пайваста кор кунад.
Мизоҷони Gartner, масалан, қайд мекунанд, ки барои оғози ташаббуси UEBA аз сифр барои ба даст овардани натиҷаҳои аввалини ҳалли мушкилоте, ки барои онҳо ин ҳалли онҳо амалӣ карда шудааст, аз 3 то 6 моҳ лозим аст. Барои вазифаҳои мураккабтар, ба монанди муайян кардани таҳдидҳои дохилии созмон, мӯҳлат то 18 моҳ меафзояд.

Омилҳое, ки ба мушкилии татбиқи UEBA ва самаранокии ояндаи ин восита таъсир мерасонанд:

  • Мушкилии меъмории созмон, топологияи шабака ва сиёсати идоракунии додаҳо
  • Мавҷудияти маълумоти дуруст дар сатҳи дурусти тафсилот
  • Мушкилии алгоритмҳои таҳлилии фурӯшанда - масалан, истифодаи моделҳои оморӣ ва омӯзиши мошин дар муқоиса бо намунаҳо ва қоидаҳои оддӣ.
  • Маблағи таҳлили пешакӣ танзимшуда дар бар мегирад, яъне фаҳмиши истеҳсолкунанда дар бораи он, ки барои ҳар як вазифа кадом маълумот бояд ҷамъоварӣ карда шавад ва кадом тағирёбандаҳо ва атрибутҳо барои анҷом додани таҳлил муҳимтаранд.
  • То чӣ андоза осон аст, ки истеҳсолкунанда ба таври худкор бо маълумоти зарурӣ пайваст шавад.

    Масалан:

    • Агар ҳалли UEBA системаи SIEM-ро ҳамчун манбаи асосии маълумоти худ истифода барад, оё SIEM маълумотро аз манбаъҳои зарурии маълумот ҷамъ мекунад?
    • Оё сабтҳои зарурии рӯйдодҳо ва маълумоти контексти ташкилиро ба ҳалли UEBA интиқол додан мумкин аст?
    • Агар системаи SIEM ҳанӯз манбаъҳои маълумотеро, ки барои ҳалли UEBA лозим аст, ҷамъоварӣ ва назорат накунад, пас чӣ гуна онҳоро ба он ҷо интиқол додан мумкин аст?

  • Сенарияи барнома барои созмон то чӣ андоза муҳим аст, он чанд манбаи маълумотро талаб мекунад ва ин вазифа то чӣ андоза бо соҳаи тахассуси истеҳсолкунанда мувофиқат мекунад.
  • Кадом дараҷаи камолот ва ҷалби ташкилӣ талаб карда мешавад - масалан, эҷод, таҳия ва такмил додани қоидаҳо ва моделҳо; таъини вазнҳо ба тағирёбандаҳо барои арзёбӣ; ё танзими ҳадди арзёбии хатар.
  • То чӣ андоза ҳалли фурӯшанда ва меъмории он дар муқоиса бо андозаи кунунии созмон ва талаботи ояндаи он миқёспазир аст.
  • Вақти сохтани моделҳои асосӣ, профилҳо ва гурӯҳҳои асосӣ. Истеҳсолкунандагон аксар вақт барои гузаронидани таҳлил на камтар аз 30 рӯз (ва баъзан то 90 рӯз) талаб мекунанд, то онҳо мафҳумҳои "муқаррариро" муайян кунанд. Бор кардани маълумоти таърихӣ як маротиба метавонад омӯзиши моделро суръат бахшад. Баъзе ҳолатҳои ҷолибро бо истифода аз қоидаҳо нисбат ба истифодаи омӯзиши мошин бо миқдори бениҳоят ками маълумоти ибтидоӣ зудтар муайян кардан мумкин аст.
  • Сатҳи саъю кӯшише, ки барои сохтани гурӯҳбандии динамикӣ ва профили ҳисобҳо (хизматрасонӣ/шахс) лозим аст, метавонад дар байни ҳаллиҳо хеле фарқ кунад.

Манбаъ: will.com

Илова Эзоҳ