โปรโฮสต์ > บล็อก > ข่าวทางอินเทอร์เน็ต > ตลาด UEBA ตายแล้ว - UEBA อายุยืนยาว

ตลาด UEBA ตายแล้ว - UEBA อายุยืนยาว

ตลาด UEBA ตายแล้ว - UEBA อายุยืนยาว

วันนี้เราจะนำเสนอภาพรวมโดยย่อของตลาดการวิเคราะห์พฤติกรรมผู้ใช้และเอนทิตี (UEBA) โดยอิงตามข้อมูลล่าสุด การวิจัยของการ์ตเนอร์. ตลาด UEBA อยู่ที่ด้านล่างของ "ระยะท้อแท้" ตาม Gartner Hype Cycle for Threat-Facing Technologies ซึ่งบ่งบอกถึงความสมบูรณ์ของเทคโนโลยี แต่ความขัดแย้งของสถานการณ์อยู่ที่การเติบโตโดยรวมของการลงทุนในเทคโนโลยี UEBA และตลาดโซลูชันอิสระของ UEBA ที่หายไป Gartner คาดการณ์ว่า UEBA จะกลายเป็นส่วนหนึ่งของฟังก์ชันการทำงานของโซลูชันรักษาความปลอดภัยข้อมูลที่เกี่ยวข้อง คำว่า "UEBA" มีแนวโน้มที่จะเลิกใช้และถูกแทนที่ด้วยตัวย่ออื่นที่เน้นไปที่พื้นที่การใช้งานที่แคบกว่า (เช่น "การวิเคราะห์พฤติกรรมผู้ใช้") พื้นที่การใช้งานที่คล้ายกัน (เช่น "การวิเคราะห์ข้อมูล") หรือเพียงแค่กลายเป็นบางส่วน คำศัพท์ใหม่ (เช่น คำว่า "ปัญญาประดิษฐ์" [AI] ดูน่าสนใจ แม้ว่าผู้ผลิต UEBA ยุคใหม่จะไม่สมเหตุสมผลก็ตาม)

ข้อค้นพบที่สำคัญจากการศึกษาของ Gartner สามารถสรุปได้ดังนี้:

  • ความสมบูรณ์ของตลาดสำหรับการวิเคราะห์พฤติกรรมของผู้ใช้และเอนทิตีได้รับการยืนยันจากข้อเท็จจริงที่ว่าเทคโนโลยีเหล่านี้ถูกใช้โดยกลุ่มองค์กรขนาดกลางและขนาดใหญ่เพื่อแก้ไขปัญหาทางธุรกิจจำนวนหนึ่ง
  • ความสามารถในการวิเคราะห์ของ UEBA ถูกสร้างขึ้นในเทคโนโลยีความปลอดภัยของข้อมูลที่เกี่ยวข้อง เช่น ระบบนายหน้ารักษาความปลอดภัยการเข้าถึงระบบคลาวด์ (CASB) ระบบ SIEM การกำกับดูแลและบริหารจัดการข้อมูลประจำตัว (IGA)
  • การโฆษณาเกินจริงเกี่ยวกับผู้จำหน่าย UEBA และการใช้คำว่า "ปัญญาประดิษฐ์" ที่ไม่ถูกต้อง ทำให้ลูกค้าเข้าใจความแตกต่างที่แท้จริงระหว่างเทคโนโลยีของผู้ผลิตและฟังก์ชันการทำงานของโซลูชันได้ยากโดยไม่ได้ดำเนินโครงการนำร่อง
  • ลูกค้าทราบว่าเวลาในการดำเนินการและการใช้งานโซลูชัน UEBA ในแต่ละวันอาจต้องใช้แรงงานมากและใช้เวลานานกว่าที่ผู้ผลิตสัญญาไว้ แม้ว่าจะพิจารณาเฉพาะโมเดลการตรวจจับภัยคุกคามพื้นฐานเท่านั้นก็ตาม การเพิ่มกรณีการใช้งานที่กำหนดเองหรือ Edge อาจเป็นเรื่องยากมากและต้องอาศัยความเชี่ยวชาญในด้านวิทยาศาสตร์ข้อมูลและการวิเคราะห์

การคาดการณ์การพัฒนาตลาดเชิงกลยุทธ์:

  • ภายในปี 2021 ตลาดสำหรับระบบวิเคราะห์พฤติกรรมผู้ใช้และเอนทิตี (UEBA) จะหยุดอยู่เป็นพื้นที่แยกต่างหาก และจะเปลี่ยนไปสู่โซลูชันอื่นที่มีฟังก์ชันการทำงานของ UEBA
  • ภายในปี 2020 95% ของการปรับใช้ UEBA ทั้งหมดจะเป็นส่วนหนึ่งของแพลตฟอร์มความปลอดภัยที่กว้างขึ้น

คำจำกัดความของโซลูชัน UEBA

โซลูชัน UEBA ใช้การวิเคราะห์ในตัวเพื่อประเมินกิจกรรมของผู้ใช้และเอนทิตีอื่นๆ (เช่น โฮสต์ แอปพลิเคชัน การรับส่งข้อมูลเครือข่าย และการจัดเก็บข้อมูล)
พวกเขาตรวจจับภัยคุกคามและเหตุการณ์ที่อาจเกิดขึ้น ซึ่งโดยทั่วไปแสดงถึงกิจกรรมที่ผิดปกติเมื่อเปรียบเทียบกับโปรไฟล์มาตรฐานและพฤติกรรมของผู้ใช้และหน่วยงานในกลุ่มที่คล้ายกันในช่วงเวลาหนึ่ง

กรณีการใช้งานที่พบบ่อยที่สุดในเซ็กเมนต์องค์กรคือการตรวจจับและตอบสนองต่อภัยคุกคาม เช่นเดียวกับการตรวจจับและการตอบสนองต่อภัยคุกคามจากภายใน (ส่วนใหญ่เป็นบุคคลภายในที่ถูกบุกรุก บางครั้งก็เป็นผู้โจมตีภายใน)

UEBA ก็เหมือนกับ การตัดสินใจและ ฟังก์ชั่นสร้างขึ้นในเครื่องมือเฉพาะ:

  • โซลูชันนี้คือผู้ผลิตแพลตฟอร์ม UEBA “ที่แท้จริง” รวมถึงผู้จำหน่ายที่จำหน่ายโซลูชัน SIEM แยกต่างหากด้วย มุ่งเน้นไปที่ปัญหาทางธุรกิจที่หลากหลายในการวิเคราะห์พฤติกรรมของทั้งผู้ใช้และเอนทิตี
  • แบบฝัง – ผู้ผลิต/แผนกที่รวมฟังก์ชันและเทคโนโลยีของ UEBA เข้ากับโซลูชันของตน โดยทั่วไปจะเน้นไปที่ชุดปัญหาทางธุรกิจที่เฉพาะเจาะจงมากขึ้น ในกรณีนี้ UEBA ใช้เพื่อวิเคราะห์พฤติกรรมของผู้ใช้และ/หรือเอนทิตี

Gartner มอง UEBA ใน 3 แกน ได้แก่ เครื่องมือแก้ปัญหา การวิเคราะห์ และแหล่งข้อมูล (ดูรูป)

ตลาด UEBA ตายแล้ว - UEBA อายุยืนยาว

แพลตฟอร์ม UEBA "บริสุทธิ์" เทียบกับ UEBA ในตัว

Gartner ถือว่าแพลตฟอร์ม UEBA “ที่แท้จริง” เป็นโซลูชันที่:

  • แก้ไขปัญหาเฉพาะหลายประการ เช่น การตรวจสอบผู้ใช้ที่มีสิทธิพิเศษหรือการส่งออกข้อมูลภายนอกองค์กร และไม่ใช่แค่ "การตรวจสอบกิจกรรมของผู้ใช้ที่ผิดปกติ" แบบนามธรรมเท่านั้น
  • เกี่ยวข้องกับการใช้การวิเคราะห์ที่ซับซ้อน โดยจำเป็นต้องยึดตามแนวทางการวิเคราะห์ขั้นพื้นฐาน
  • มีตัวเลือกมากมายสำหรับการรวบรวมข้อมูล รวมถึงกลไกแหล่งข้อมูลในตัวและจากเครื่องมือการจัดการบันทึก Data Lake และ/หรือระบบ SIEM โดยไม่จำเป็นต้องปรับใช้เอเจนต์แยกต่างหากในโครงสร้างพื้นฐาน
  • สามารถซื้อและปรับใช้เป็นโซลูชันแบบสแตนด์อโลนแทนที่จะรวมอยู่ใน
    ส่วนประกอบของผลิตภัณฑ์อื่นๆ

ตารางด้านล่างเปรียบเทียบทั้งสองวิธี

ตารางที่ 1. โซลูชัน UEBA “บริสุทธิ์” เทียบกับโซลูชันในตัว

หมวดหมู่ แพลตฟอร์ม UEBA "บริสุทธิ์" โซลูชันอื่นๆ ที่มี UEBA ในตัว
ปัญหาที่ต้องแก้ไข การวิเคราะห์พฤติกรรมและเอนทิตีของผู้ใช้ การขาดข้อมูลอาจจำกัด UEBA ในการวิเคราะห์พฤติกรรมของผู้ใช้หรือเอนทิตีเท่านั้น
ปัญหาที่ต้องแก้ไข ทำหน้าที่แก้ไขปัญหาต่างๆ มากมาย เชี่ยวชาญในชุดงานที่จำกัด
Analytics การตรวจจับความผิดปกติโดยใช้วิธีการวิเคราะห์ต่างๆ โดยหลักๆ ผ่านแบบจำลองทางสถิติและการเรียนรู้ของเครื่อง พร้อมด้วยกฎและลายเซ็น มาพร้อมกับการวิเคราะห์ในตัวเพื่อสร้างและเปรียบเทียบกิจกรรมของผู้ใช้และเอนทิตีกับโปรไฟล์ของพวกเขาและเพื่อนร่วมงาน คล้ายกับ UEBA เพียงอย่างเดียว แต่การวิเคราะห์สามารถจำกัดเฉพาะผู้ใช้และ/หรือเอนทิตีเท่านั้น
Analytics ความสามารถในการวิเคราะห์ขั้นสูง ไม่จำกัดเพียงกฎเท่านั้น ตัวอย่างเช่น อัลกอริทึมการจัดกลุ่มพร้อมการจัดกลุ่มเอนทิตีแบบไดนามิก คล้ายกับ UEBA ที่ "บริสุทธิ์" แต่การจัดกลุ่มเอนทิตีในโมเดลภัยคุกคามแบบฝังบางตัวสามารถเปลี่ยนแปลงได้ด้วยตนเองเท่านั้น
Analytics ความสัมพันธ์ของกิจกรรมและพฤติกรรมของผู้ใช้และหน่วยงานอื่นๆ (เช่น การใช้เครือข่ายแบบเบย์) และการรวมกลุ่มของพฤติกรรมความเสี่ยงส่วนบุคคลเพื่อระบุกิจกรรมที่ผิดปกติ คล้ายกับ UEBA เพียงอย่างเดียว แต่การวิเคราะห์สามารถจำกัดเฉพาะผู้ใช้และ/หรือเอนทิตีเท่านั้น
แหล่งข้อมูล การรับเหตุการณ์กับผู้ใช้และเอนทิตีจากแหล่งข้อมูลโดยตรงผ่านกลไกในตัวหรือที่เก็บข้อมูลที่มีอยู่ เช่น SIEM หรือ Data Lake กลไกในการรับข้อมูลมักจะดำเนินการโดยตรงเท่านั้นและส่งผลต่อผู้ใช้และ/หรือหน่วยงานอื่นๆ เท่านั้น อย่าใช้เครื่องมือการจัดการบันทึก / SIEM / Data Lake
แหล่งข้อมูล โซลูชันนี้ไม่เพียงแต่ต้องอาศัยการรับส่งข้อมูลเครือข่ายเป็นแหล่งข้อมูลหลักเท่านั้น และไม่ควรพึ่งพาเอเจนต์ของตนเองในการรวบรวมการวัดและส่งข้อมูลทางไกลเพียงอย่างเดียว โซลูชันสามารถมุ่งเน้นเฉพาะการรับส่งข้อมูลเครือข่าย (เช่น NTA - การวิเคราะห์การรับส่งข้อมูลเครือข่าย) และ/หรือใช้เอเจนต์บนอุปกรณ์ปลายทาง (เช่น ยูทิลิตี้การตรวจสอบพนักงาน)
แหล่งข้อมูล การทำให้ข้อมูลผู้ใช้/เอนทิตีอิ่มตัวด้วยบริบท รองรับการรวบรวมเหตุการณ์ที่มีโครงสร้างแบบเรียลไทม์ รวมถึงข้อมูลที่มีโครงสร้าง/ไม่มีโครงสร้างจากไดเร็กทอรีไอที เช่น Active Directory (AD) หรือทรัพยากรข้อมูลที่เครื่องอ่านได้อื่นๆ (เช่น ฐานข้อมูล HR) คล้ายกับ UEBA เพียงอย่างเดียว แต่ขอบเขตของข้อมูลเชิงบริบทอาจแตกต่างกันไปในแต่ละกรณี AD และ LDAP เป็นที่เก็บข้อมูลตามบริบททั่วไปที่ใช้โดยโซลูชัน UEBA แบบฝัง
ความพร้อมใช้งาน จัดเตรียมคุณลักษณะที่ระบุไว้เป็นผลิตภัณฑ์แบบสแตนด์อโลน เป็นไปไม่ได้ที่จะซื้อฟังก์ชัน UEBA ในตัวโดยไม่ต้องซื้อโซลูชันภายนอกที่ถูกสร้างขึ้น
ที่มา: Gartner (พฤษภาคม 2019)

ดังนั้น เพื่อแก้ไขปัญหาบางอย่าง UEBA แบบฝังสามารถใช้การวิเคราะห์ UEBA พื้นฐาน (เช่น การเรียนรู้ของเครื่องแบบธรรมดาที่ไม่มีผู้ดูแล) แต่ในขณะเดียวกัน เนื่องจากการเข้าถึงข้อมูลที่จำเป็นอย่างแท้จริง ทำให้โดยรวมมีประสิทธิภาพมากกว่า "บริสุทธิ์" โซลูชั่นของยูบา ในขณะเดียวกัน แพลตฟอร์ม UEBA “ที่แท้จริง” ตามที่คาดไว้ นำเสนอการวิเคราะห์ที่ซับซ้อนมากขึ้นในฐานะความรู้หลักเมื่อเปรียบเทียบกับเครื่องมือ UEBA ในตัว ผลลัพธ์เหล่านี้สรุปไว้ในตารางที่ 2

ตารางที่ 2 ผลลัพธ์ของความแตกต่างระหว่าง UEBA แบบ "บริสุทธิ์" และในตัว

หมวดหมู่ แพลตฟอร์ม UEBA "บริสุทธิ์" โซลูชันอื่นๆ ที่มี UEBA ในตัว
Analytics การนำไปใช้ในการแก้ปัญหาทางธุรกิจที่หลากหลายหมายถึงชุดฟังก์ชัน UEBA ที่เป็นสากลมากขึ้น โดยเน้นที่การวิเคราะห์ที่ซับซ้อนยิ่งขึ้นและโมเดลการเรียนรู้ของเครื่อง การมุ่งเน้นไปที่ปัญหาทางธุรกิจชุดเล็กๆ หมายถึงคุณลักษณะพิเศษขั้นสูงที่มุ่งเน้นไปที่โมเดลเฉพาะแอปพลิเคชันด้วยตรรกะที่เรียบง่ายกว่า
Analytics การปรับแต่งแบบจำลองการวิเคราะห์เป็นสิ่งจำเป็นสำหรับแต่ละสถานการณ์การใช้งาน แบบจำลองการวิเคราะห์ได้รับการกำหนดค่าไว้ล่วงหน้าสำหรับเครื่องมือที่มี UEBA ในตัว โดยทั่วไปเครื่องมือที่มี UEBA ในตัวจะให้ผลลัพธ์ที่รวดเร็วกว่าในการแก้ปัญหาทางธุรกิจบางอย่าง
แหล่งข้อมูล เข้าถึงแหล่งข้อมูลจากทุกมุมของโครงสร้างพื้นฐานขององค์กร แหล่งข้อมูลน้อยกว่า ซึ่งมักถูกจำกัดโดยความพร้อมใช้งานของตัวแทนหรือเครื่องมือที่มีฟังก์ชัน UEBA
แหล่งข้อมูล ข้อมูลที่มีอยู่ในบันทึกแต่ละรายการอาจถูกจำกัดโดยแหล่งข้อมูล และอาจไม่มีข้อมูลที่จำเป็นทั้งหมดสำหรับเครื่องมือ UEBA แบบรวมศูนย์ จำนวนและรายละเอียดของข้อมูลดิบที่ตัวแทนรวบรวมและส่งไปยัง UEBA สามารถกำหนดค่าได้โดยเฉพาะ
สถาปัตยกรรม เป็นผลิตภัณฑ์ UEBA ที่สมบูรณ์แบบสำหรับองค์กร การบูรณาการทำได้ง่ายขึ้นโดยใช้ความสามารถของระบบ SIEM หรือ Data Lake ต้องมีชุดคุณลักษณะ UEBA แยกต่างหากสำหรับแต่ละโซลูชันที่มี UEBA ในตัว โซลูชัน UEBA แบบฝังมักต้องมีการติดตั้งตัวแทนและการจัดการข้อมูล
บูรณาการ การบูรณาการโซลูชัน UEBA ด้วยตนเองกับเครื่องมืออื่นๆ ในแต่ละกรณี ช่วยให้องค์กรสร้างกลุ่มเทคโนโลยีตามแนวทาง "ดีที่สุดในบรรดาอะนาล็อก" ผู้ผลิตรวมชุดฟังก์ชันหลักของ UEBA ไว้ในเครื่องมือแล้ว โมดูล UEBA มีอยู่ภายในและไม่สามารถถอดออกได้ ดังนั้นลูกค้าจึงไม่สามารถเปลี่ยนโมดูลเป็นของตนเองได้
ที่มา: Gartner (พฤษภาคม 2019)

UEBA เป็นฟังก์ชัน

UEBA กำลังกลายเป็นฟีเจอร์ของโซลูชันความปลอดภัยทางไซเบอร์แบบ end-to-end ที่สามารถได้รับประโยชน์จากการวิเคราะห์เพิ่มเติม UEBA รองรับโซลูชันเหล่านี้ โดยมอบเลเยอร์การวิเคราะห์ขั้นสูงที่มีประสิทธิภาพตามรูปแบบพฤติกรรมของผู้ใช้และ/หรือเอนทิตี

ปัจจุบันในตลาด ฟังก์ชัน UEBA ในตัวถูกนำไปใช้ในโซลูชันต่อไปนี้ โดยจัดกลุ่มตามขอบเขตทางเทคโนโลยี:

  • การตรวจสอบและการป้องกันที่เน้นข้อมูลเป็นผู้จำหน่ายที่มุ่งเน้นการปรับปรุงความปลอดภัยของพื้นที่จัดเก็บข้อมูลที่มีโครงสร้างและไม่มีโครงสร้าง (หรือที่เรียกว่า DCAP)

    ในผู้ขายประเภทนี้ Gartner ตั้งข้อสังเกตเหนือสิ่งอื่นใด แพลตฟอร์มความปลอดภัยทางไซเบอร์ของ Varonisซึ่งนำเสนอการวิเคราะห์พฤติกรรมผู้ใช้เพื่อติดตามการเปลี่ยนแปลงในการอนุญาตข้อมูลที่ไม่มีโครงสร้าง การเข้าถึง และการใช้งานในการจัดเก็บข้อมูลต่างๆ

  • ระบบ CASBนำเสนอการป้องกันภัยคุกคามต่างๆ ในแอปพลิเคชัน SaaS บนคลาวด์ โดยการบล็อกการเข้าถึงบริการคลาวด์สำหรับอุปกรณ์ ผู้ใช้ และเวอร์ชันแอปพลิเคชันที่ไม่ต้องการ โดยใช้ระบบควบคุมการเข้าถึงแบบปรับเปลี่ยนได้

    โซลูชัน CASB ชั้นนำของตลาดทั้งหมดประกอบด้วยความสามารถของ UEBA

  • โซลูชั่นดีแอลพี – มุ่งเน้นไปที่การตรวจจับการถ่ายโอนข้อมูลสำคัญภายนอกองค์กรหรือการละเมิด

    ความก้าวหน้าของ DLP ส่วนใหญ่ขึ้นอยู่กับการทำความเข้าใจเนื้อหา โดยเน้นที่การทำความเข้าใจบริบทน้อยลง เช่น ผู้ใช้ แอปพลิเคชัน สถานที่ เวลา ความเร็วของเหตุการณ์ และปัจจัยภายนอกอื่น ๆ เพื่อให้มีประสิทธิภาพ ผลิตภัณฑ์ DLP จะต้องรับรู้ทั้งเนื้อหาและบริบท นี่คือสาเหตุที่ผู้ผลิตหลายรายเริ่มรวมฟังก์ชันการทำงานของ UEBA เข้ากับโซลูชันของตน

  • การตรวจสอบพนักงาน คือความสามารถในการบันทึกและเล่นซ้ำการกระทำของพนักงาน โดยปกติจะอยู่ในรูปแบบข้อมูลที่เหมาะสมสำหรับการดำเนินการทางกฎหมาย (หากจำเป็น)

    การตรวจสอบผู้ใช้อย่างต่อเนื่องมักจะสร้างข้อมูลจำนวนมหาศาลซึ่งจำเป็นต้องมีการกรองด้วยตนเองและการวิเคราะห์โดยมนุษย์ ดังนั้นจึงใช้ UEBA ภายในระบบการตรวจสอบเพื่อปรับปรุงประสิทธิภาพของโซลูชันเหล่านี้ และตรวจจับเฉพาะเหตุการณ์ที่มีความเสี่ยงสูงเท่านั้น

  • การรักษาความปลอดภัยปลายทาง – โซลูชันการตรวจจับและการตอบสนองปลายทาง (EDR) และแพลตฟอร์มการป้องกันปลายทาง (EPP) มอบเครื่องมืออันทรงพลังและการตรวจวัดระยะไกลของระบบปฏิบัติการ
    อุปกรณ์ปลายทาง

    การวัดและส่งข้อมูลทางไกลที่เกี่ยวข้องกับผู้ใช้ดังกล่าวสามารถวิเคราะห์ได้เพื่อมอบฟังก์ชันการทำงานของ UEBA ในตัว

  • การฉ้อโกงออนไลน์ – โซลูชันการตรวจจับการฉ้อโกงออนไลน์จะตรวจจับกิจกรรมเบี่ยงเบนที่บ่งชี้ถึงการบุกรุกบัญชีของลูกค้าผ่านการปลอมแปลง มัลแวร์ หรือการใช้ประโยชน์จากการเชื่อมต่อที่ไม่ปลอดภัย/การสกัดกั้นการรับส่งข้อมูลของเบราว์เซอร์

    โซลูชันการฉ้อโกงส่วนใหญ่ใช้สาระสำคัญของ UEBA การวิเคราะห์ธุรกรรมและการวัดผลอุปกรณ์ โดยมีระบบขั้นสูงเพิ่มเติมมาเสริมด้วยการจับคู่ความสัมพันธ์ในฐานข้อมูลระบุตัวตน

  • IAM และการควบคุมการเข้าถึง – Gartner จดบันทึกแนวโน้มวิวัฒนาการในหมู่ผู้จำหน่ายระบบควบคุมการเข้าใช้งานในการบูรณาการกับผู้จำหน่ายแท้ ๆ และสร้างฟังก์ชัน UEBA บางอย่างลงในผลิตภัณฑ์ของตน
  • IAM และระบบการกำกับดูแลและการจัดการข้อมูลประจำตัว (IGA) ใช้ UEBA เพื่อครอบคลุมสถานการณ์การวิเคราะห์พฤติกรรมและตัวตน เช่น การตรวจจับความผิดปกติ การวิเคราะห์การจัดกลุ่มแบบไดนามิกของเอนทิตีที่คล้ายกัน การวิเคราะห์การเข้าสู่ระบบ และการวิเคราะห์นโยบายการเข้าถึง
  • IAM และการจัดการสิทธิ์การเข้าถึง (PAM) – เนื่องจากบทบาทของการตรวจสอบการใช้บัญชีผู้ดูแลระบบ โซลูชัน PAM จึงมีการวัดและส่งข้อมูลทางไกลเพื่อแสดงให้เห็นว่าบัญชีผู้ดูแลระบบถูกใช้อย่างไร ทำไม เมื่อใด และที่ไหน ข้อมูลนี้สามารถวิเคราะห์ได้โดยใช้ฟังก์ชันในตัวของ UEBA สำหรับการมีอยู่ของพฤติกรรมที่ผิดปกติของผู้ดูแลระบบหรือมีเจตนาร้าย
  • ผู้ผลิต NTA (การวิเคราะห์ปริมาณการใช้เครือข่าย) – ใช้การผสมผสานระหว่างการเรียนรู้ของเครื่อง การวิเคราะห์ขั้นสูง และการตรวจจับตามกฎเพื่อระบุกิจกรรมที่น่าสงสัยบนเครือข่ายองค์กร

    เครื่องมือ NTA วิเคราะห์การรับส่งข้อมูลต้นทางและ/หรือบันทึกโฟลว์ (เช่น NetFlow) อย่างต่อเนื่อง เพื่อสร้างแบบจำลองที่สะท้อนพฤติกรรมเครือข่ายปกติ โดยเน้นที่การวิเคราะห์พฤติกรรมเอนทิตีเป็นหลัก

  • SIEM – ปัจจุบันผู้จำหน่าย SIEM หลายรายมีฟังก์ชันการวิเคราะห์ข้อมูลขั้นสูงที่สร้างไว้ใน SIEM หรือเป็นโมดูล UEBA แยกต่างหาก ตลอดปี 2018 จนถึงปี 2019 มีการเบลอขอบเขตระหว่างฟังก์ชัน SIEM และ UEBA อย่างต่อเนื่อง ตามที่กล่าวไว้ในบทความ “ข้อมูลเชิงลึกด้านเทคโนโลยีสำหรับ SIEM ยุคใหม่”. ระบบ SIEM ทำงานร่วมกับการวิเคราะห์ได้ดีขึ้น และเสนอสถานการณ์การใช้งานที่ซับซ้อนมากขึ้น

สถานการณ์การใช้งาน UEBA

โซลูชันของ UEBA สามารถแก้ปัญหาได้หลากหลาย อย่างไรก็ตาม ลูกค้าของ Gartner ยอมรับว่ากรณีการใช้งานหลักเกี่ยวข้องกับการตรวจหาภัยคุกคามประเภทต่างๆ ซึ่งทำได้โดยการแสดงและวิเคราะห์ความสัมพันธ์ที่พบบ่อยระหว่างพฤติกรรมของผู้ใช้และเอนทิตีอื่นๆ:

  • การเข้าถึงและการเคลื่อนย้ายข้อมูลโดยไม่ได้รับอนุญาต
  • พฤติกรรมที่น่าสงสัยของผู้ใช้สิทธิพิเศษ กิจกรรมที่เป็นอันตรายหรือไม่ได้รับอนุญาตของพนักงาน
  • การเข้าถึงและการใช้ทรัพยากรคลาวด์ที่ไม่ได้มาตรฐาน
  • เป็นต้น

นอกจากนี้ยังมีกรณีการใช้งานที่ไม่ปกติด้านความปลอดภัยทางไซเบอร์อีกหลายกรณี เช่น การฉ้อโกงหรือการตรวจสอบพนักงาน ซึ่ง UEBA อาจมีเหตุผลสมควร อย่างไรก็ตาม พวกเขามักจะต้องการแหล่งข้อมูลที่อยู่นอกไอทีและความปลอดภัยของข้อมูล หรือแบบจำลองการวิเคราะห์เฉพาะที่มีความเข้าใจอย่างลึกซึ้งในด้านนี้ สถานการณ์และการใช้งานหลัก 5 ประการที่ทั้งผู้ผลิต UEBA และลูกค้าเห็นพ้องกันมีอธิบายไว้ด้านล่างนี้

“คนวงในที่เป็นอันตราย”

ผู้ให้บริการโซลูชัน UEBA ที่ครอบคลุมสถานการณ์นี้เพียงตรวจสอบพนักงานและผู้รับเหมาที่เชื่อถือได้เพื่อหาพฤติกรรมที่ผิดปกติ "ไม่ดี" หรือเป็นอันตราย ผู้ขายในสาขาที่เชี่ยวชาญนี้ไม่ตรวจสอบหรือวิเคราะห์พฤติกรรมของบัญชีบริการหรือหน่วยงานอื่นที่ไม่ใช่มนุษย์ ด้วยเหตุนี้ส่วนใหญ่ พวกเขาจึงไม่มุ่งเน้นไปที่การตรวจจับภัยคุกคามขั้นสูงที่แฮกเกอร์เข้ายึดบัญชีที่มีอยู่ แต่มุ่งเป้าไปที่การระบุพนักงานที่เกี่ยวข้องกับกิจกรรมที่เป็นอันตรายแทน

โดยพื้นฐานแล้ว แนวคิดของ "คนวงในที่เป็นอันตราย" เกิดขึ้นจากผู้ใช้ที่เชื่อถือได้ซึ่งมีเจตนาร้ายซึ่งแสวงหาวิธีที่จะสร้างความเสียหายให้กับนายจ้างของตน เนื่องจากเจตนาร้ายนั้นวัดได้ยาก ผู้จำหน่ายที่ดีที่สุดในหมวดหมู่นี้จึงวิเคราะห์ข้อมูลพฤติกรรมตามบริบทซึ่งหาได้ยากในบันทึกการตรวจสอบ

ผู้ให้บริการโซลูชันในพื้นที่นี้ยังเพิ่มและวิเคราะห์ข้อมูลที่ไม่มีโครงสร้างได้อย่างเหมาะสม เช่น เนื้อหาอีเมล รายงานประสิทธิภาพ หรือข้อมูลโซเชียลมีเดีย เพื่อให้บริบทสำหรับพฤติกรรม

ภัยคุกคามจากภายในและการคุกคามที่ล่วงล้ำ

ความท้าทายคือการตรวจจับและวิเคราะห์พฤติกรรม “ที่ไม่ดี” อย่างรวดเร็วเมื่อผู้โจมตีสามารถเข้าถึงองค์กรและเริ่มเคลื่อนไหวภายในโครงสร้างพื้นฐานด้านไอที
ภัยคุกคามที่กล้าแสดงออก (APT) เช่น ภัยคุกคามที่ไม่รู้จักหรือยังไม่เข้าใจทั้งหมด นั้นตรวจจับได้ยากมาก และมักจะซ่อนอยู่เบื้องหลังกิจกรรมหรือบัญชีบริการที่ถูกต้องของผู้ใช้ ภัยคุกคามดังกล่าวมักจะมีรูปแบบการดำเนินงานที่ซับซ้อน (ดูตัวอย่างในบทความ “ กล่าวถึง Cyber ​​​​Kill Chain") หรือพฤติกรรมของพวกเขายังไม่ได้รับการประเมินว่าเป็นอันตราย ซึ่งทำให้ตรวจพบได้ยากโดยใช้การวิเคราะห์ง่ายๆ (เช่น การจับคู่ตามรูปแบบ เกณฑ์ หรือกฎความสัมพันธ์)

อย่างไรก็ตาม ภัยคุกคามที่ล่วงล้ำเหล่านี้จำนวนมากส่งผลให้เกิดพฤติกรรมที่ไม่ได้มาตรฐาน ซึ่งมักจะเกี่ยวข้องกับผู้ใช้หรือหน่วยงานที่ไม่สงสัย (หรือที่เรียกว่าบุคคลภายในที่ถูกบุกรุก) เทคนิค UEBA มอบโอกาสที่น่าสนใจหลายประการในการตรวจจับภัยคุกคามดังกล่าว ปรับปรุงอัตราส่วนสัญญาณต่อเสียงรบกวน รวบรวมและลดปริมาณการแจ้งเตือน จัดลำดับความสำคัญของการแจ้งเตือนที่เหลืออยู่ และอำนวยความสะดวกในการตอบสนองต่อเหตุการณ์และการสืบสวนที่มีประสิทธิภาพ

ผู้จำหน่าย UEBA ที่กำหนดเป้าหมายพื้นที่ปัญหานี้มักจะมีการบูรณาการแบบสองทิศทางกับระบบ SIEM ขององค์กร

การกรองข้อมูล

ภารกิจในกรณีนี้คือการตรวจสอบข้อเท็จจริงว่ามีการถ่ายโอนข้อมูลออกนอกองค์กร
ผู้จำหน่ายที่มุ่งเน้นไปที่ความท้าทายนี้มักจะใช้ประโยชน์จากความสามารถ DLP หรือ DAG ด้วยการตรวจจับความผิดปกติและการวิเคราะห์ขั้นสูง ซึ่งจะช่วยปรับปรุงอัตราส่วนสัญญาณต่อเสียงรบกวน รวบรวมปริมาณการแจ้งเตือน และจัดลำดับความสำคัญของทริกเกอร์ที่เหลือ สำหรับบริบทเพิ่มเติม โดยทั่วไปแล้วผู้จำหน่ายจะอาศัยการรับส่งข้อมูลเครือข่าย (เช่น เว็บพร็อกซี) และข้อมูลปลายทางมากกว่า เนื่องจากการวิเคราะห์แหล่งข้อมูลเหล่านี้สามารถช่วยในการตรวจสอบการขโมยข้อมูลได้

การตรวจจับการกรองข้อมูลใช้เพื่อตรวจจับบุคคลภายในและแฮกเกอร์ภายนอกที่คุกคามองค์กร

การระบุและการจัดการการเข้าถึงที่มีสิทธิพิเศษ

ผู้ผลิตโซลูชัน UEBA อิสระในสาขาที่เชี่ยวชาญนี้จะสังเกตและวิเคราะห์พฤติกรรมของผู้ใช้กับภูมิหลังของระบบสิทธิ์ที่สร้างขึ้นแล้วเพื่อระบุสิทธิ์ที่มากเกินไปหรือการเข้าถึงที่ผิดปกติ สิ่งนี้ใช้กับผู้ใช้และบัญชีทุกประเภท รวมถึงบัญชีที่มีสิทธิ์และบัญชีบริการ องค์กรต่างๆ ยังใช้ UEBA เพื่อกำจัดบัญชีที่ไม่มีการเคลื่อนไหวและสิทธิ์ผู้ใช้ที่สูงกว่าที่กำหนด

การจัดลำดับความสำคัญของเหตุการณ์

เป้าหมายของงานนี้คือการจัดลำดับความสำคัญของการแจ้งเตือนที่สร้างโดยโซลูชันในกลุ่มเทคโนโลยีเพื่อทำความเข้าใจว่าเหตุการณ์ใดหรือเหตุการณ์ที่อาจเกิดขึ้นควรได้รับการแก้ไขก่อน วิธีการและเครื่องมือของ UEBA มีประโยชน์ในการระบุเหตุการณ์ที่มีความผิดปกติเป็นพิเศษหรือเป็นอันตรายอย่างยิ่งต่อองค์กรที่กำหนด ในกรณีนี้ กลไก UEBA ไม่เพียงแต่ใช้ระดับพื้นฐานของกิจกรรมและแบบจำลองภัยคุกคาม แต่ยังทำให้ข้อมูลมีข้อมูลเกี่ยวกับโครงสร้างองค์กรของบริษัท (เช่น ทรัพยากรหรือบทบาทที่สำคัญ และระดับการเข้าถึงของพนักงาน)

ปัญหาในการใช้โซลูชัน UEBA

ปัญหาด้านตลาดของโซลูชัน UEBA คือราคาที่สูง การใช้งานที่ซับซ้อน การบำรุงรักษา และการใช้งาน ในขณะที่บริษัทต่างๆ กำลังดิ้นรนกับจำนวนพอร์ทัลภายในที่แตกต่างกัน พวกเขาได้รับคอนโซลอื่น ขนาดของการลงทุนเวลาและทรัพยากรในเครื่องมือใหม่ขึ้นอยู่กับงานที่มีอยู่และประเภทของการวิเคราะห์ที่จำเป็นในการแก้ปัญหา และส่วนใหญ่มักต้องใช้เงินลงทุนจำนวนมาก

ตรงกันข้ามกับสิ่งที่ผู้ผลิตหลายรายอ้างว่า UEBA ไม่ใช่เครื่องมือ "ตั้งค่าแล้วลืมมัน" ที่สามารถทำงานต่อเนื่องได้หลายวัน
ตัวอย่างเช่น ลูกค้าของ Gartner โปรดทราบว่าต้องใช้เวลา 3 ถึง 6 เดือนในการเปิดตัวโครงการริเริ่ม UEBA ตั้งแต่เริ่มต้น เพื่อให้ได้ผลลัพธ์แรกของการแก้ปัญหาที่มีการนำโซลูชันนี้ไปใช้ สำหรับงานที่ซับซ้อนมากขึ้น เช่น การระบุภัยคุกคามภายในองค์กร ระยะเวลาจะเพิ่มขึ้นเป็น 18 เดือน

ปัจจัยที่มีอิทธิพลต่อความยากลำบากในการดำเนินการ UEBA และประสิทธิผลในอนาคตของเครื่องมือ:

  • ความซับซ้อนของสถาปัตยกรรมองค์กร โทโพโลยีเครือข่าย และนโยบายการจัดการข้อมูล
  • ความพร้อมใช้งานของข้อมูลที่ถูกต้องในระดับรายละเอียดที่เหมาะสม
  • ความซับซ้อนของอัลกอริธึมการวิเคราะห์ของผู้จำหน่าย ตัวอย่างเช่น การใช้แบบจำลองทางสถิติและการเรียนรู้ของเครื่องเทียบกับรูปแบบและกฎง่ายๆ
  • จำนวนการวิเคราะห์ที่กำหนดค่าไว้ล่วงหน้ารวมอยู่ด้วย กล่าวคือ ความเข้าใจของผู้ผลิตว่าข้อมูลใดที่ต้องรวบรวมสำหรับแต่ละงาน และตัวแปรและคุณลักษณะใดที่สำคัญที่สุดในการวิเคราะห์
  • ผู้ผลิตสามารถรวมเข้ากับข้อมูลที่ต้องการโดยอัตโนมัติได้ง่ายเพียงใด

    ตัวอย่างเช่น:

    • หากโซลูชัน UEBA ใช้ระบบ SIEM เป็นแหล่งข้อมูลหลัก SIEM จะรวบรวมข้อมูลจากแหล่งข้อมูลที่จำเป็นหรือไม่
    • บันทึกเหตุการณ์ที่จำเป็นและข้อมูลบริบทขององค์กรสามารถกำหนดเส้นทางไปยังโซลูชัน UEBA ได้หรือไม่
    • หากระบบ SIEM ยังไม่รวบรวมและควบคุมแหล่งข้อมูลที่จำเป็นสำหรับโซลูชัน UEBA จะสามารถถ่ายโอนแหล่งข้อมูลเหล่านั้นไปที่นั่นได้อย่างไร

  • สถานการณ์แอปพลิเคชันมีความสำคัญเพียงใดสำหรับองค์กร ต้องการแหล่งข้อมูลจำนวนเท่าใด และงานนี้ทับซ้อนกับความเชี่ยวชาญของผู้ผลิตมากน้อยเพียงใด
  • จำเป็นต้องมีวุฒิภาวะและการมีส่วนร่วมขององค์กรในระดับใด - ตัวอย่างเช่น การสร้าง การพัฒนา และการปรับแต่งกฎและแบบจำลอง การกำหนดน้ำหนักให้กับตัวแปรเพื่อการประเมินผล หรือปรับเกณฑ์การประเมินความเสี่ยง
  • โซลูชันและสถาปัตยกรรมของผู้จำหน่ายสามารถปรับขนาดได้เพียงใดเมื่อเปรียบเทียบกับขนาดปัจจุบันขององค์กรและข้อกำหนดในอนาคต
  • ถึงเวลาสร้างโมเดลพื้นฐาน โปรไฟล์ และกลุ่มหลัก ผู้ผลิตมักต้องใช้เวลาอย่างน้อย 30 วัน (และบางครั้งอาจนานถึง 90 วัน) ในการดำเนินการวิเคราะห์ก่อนจึงจะสามารถกำหนดแนวคิด "ปกติ" ได้ การโหลดข้อมูลประวัติเพียงครั้งเดียวสามารถเร่งการฝึกโมเดลได้ กรณีที่น่าสนใจบางกรณีสามารถระบุได้เร็วกว่าโดยใช้กฎมากกว่าการใช้การเรียนรู้ของเครื่องด้วยข้อมูลเริ่มต้นจำนวนน้อยมาก
  • ระดับความพยายามที่จำเป็นในการสร้างการจัดกลุ่มแบบไดนามิกและการสร้างโปรไฟล์บัญชี (บริการ/บุคคล) อาจแตกต่างกันอย่างมากระหว่างโซลูชันต่างๆ

ที่มา: will.com

เพิ่มความคิดเห็น