วันนี้เราจะนำเสนอภาพรวมโดยย่อของตลาดการวิเคราะห์พฤติกรรมผู้ใช้และเอนทิตี (UEBA) โดยอิงตามข้อมูลล่าสุด
ข้อค้นพบที่สำคัญจากการศึกษาของ Gartner สามารถสรุปได้ดังนี้:
- ความสมบูรณ์ของตลาดสำหรับการวิเคราะห์พฤติกรรมของผู้ใช้และเอนทิตีได้รับการยืนยันจากข้อเท็จจริงที่ว่าเทคโนโลยีเหล่านี้ถูกใช้โดยกลุ่มองค์กรขนาดกลางและขนาดใหญ่เพื่อแก้ไขปัญหาทางธุรกิจจำนวนหนึ่ง
- ความสามารถในการวิเคราะห์ของ UEBA ถูกสร้างขึ้นในเทคโนโลยีความปลอดภัยของข้อมูลที่เกี่ยวข้อง เช่น ระบบนายหน้ารักษาความปลอดภัยการเข้าถึงระบบคลาวด์ (CASB) ระบบ SIEM การกำกับดูแลและบริหารจัดการข้อมูลประจำตัว (IGA)
- การโฆษณาเกินจริงเกี่ยวกับผู้จำหน่าย UEBA และการใช้คำว่า "ปัญญาประดิษฐ์" ที่ไม่ถูกต้อง ทำให้ลูกค้าเข้าใจความแตกต่างที่แท้จริงระหว่างเทคโนโลยีของผู้ผลิตและฟังก์ชันการทำงานของโซลูชันได้ยากโดยไม่ได้ดำเนินโครงการนำร่อง
- ลูกค้าทราบว่าเวลาในการดำเนินการและการใช้งานโซลูชัน UEBA ในแต่ละวันอาจต้องใช้แรงงานมากและใช้เวลานานกว่าที่ผู้ผลิตสัญญาไว้ แม้ว่าจะพิจารณาเฉพาะโมเดลการตรวจจับภัยคุกคามพื้นฐานเท่านั้นก็ตาม การเพิ่มกรณีการใช้งานที่กำหนดเองหรือ Edge อาจเป็นเรื่องยากมากและต้องอาศัยความเชี่ยวชาญในด้านวิทยาศาสตร์ข้อมูลและการวิเคราะห์
การคาดการณ์การพัฒนาตลาดเชิงกลยุทธ์:
- ภายในปี 2021 ตลาดสำหรับระบบวิเคราะห์พฤติกรรมผู้ใช้และเอนทิตี (UEBA) จะหยุดอยู่เป็นพื้นที่แยกต่างหาก และจะเปลี่ยนไปสู่โซลูชันอื่นที่มีฟังก์ชันการทำงานของ UEBA
- ภายในปี 2020 95% ของการปรับใช้ UEBA ทั้งหมดจะเป็นส่วนหนึ่งของแพลตฟอร์มความปลอดภัยที่กว้างขึ้น
คำจำกัดความของโซลูชัน UEBA
โซลูชัน UEBA ใช้การวิเคราะห์ในตัวเพื่อประเมินกิจกรรมของผู้ใช้และเอนทิตีอื่นๆ (เช่น โฮสต์ แอปพลิเคชัน การรับส่งข้อมูลเครือข่าย และการจัดเก็บข้อมูล)
พวกเขาตรวจจับภัยคุกคามและเหตุการณ์ที่อาจเกิดขึ้น ซึ่งโดยทั่วไปแสดงถึงกิจกรรมที่ผิดปกติเมื่อเปรียบเทียบกับโปรไฟล์มาตรฐานและพฤติกรรมของผู้ใช้และหน่วยงานในกลุ่มที่คล้ายกันในช่วงเวลาหนึ่ง
กรณีการใช้งานที่พบบ่อยที่สุดในเซ็กเมนต์องค์กรคือการตรวจจับและตอบสนองต่อภัยคุกคาม เช่นเดียวกับการตรวจจับและการตอบสนองต่อภัยคุกคามจากภายใน (ส่วนใหญ่เป็นบุคคลภายในที่ถูกบุกรุก บางครั้งก็เป็นผู้โจมตีภายใน)
UEBA ก็เหมือนกับ การตัดสินใจและ ฟังก์ชั่นสร้างขึ้นในเครื่องมือเฉพาะ:
- โซลูชันนี้คือผู้ผลิตแพลตฟอร์ม UEBA “ที่แท้จริง” รวมถึงผู้จำหน่ายที่จำหน่ายโซลูชัน SIEM แยกต่างหากด้วย มุ่งเน้นไปที่ปัญหาทางธุรกิจที่หลากหลายในการวิเคราะห์พฤติกรรมของทั้งผู้ใช้และเอนทิตี
- แบบฝัง – ผู้ผลิต/แผนกที่รวมฟังก์ชันและเทคโนโลยีของ UEBA เข้ากับโซลูชันของตน โดยทั่วไปจะเน้นไปที่ชุดปัญหาทางธุรกิจที่เฉพาะเจาะจงมากขึ้น ในกรณีนี้ UEBA ใช้เพื่อวิเคราะห์พฤติกรรมของผู้ใช้และ/หรือเอนทิตี
Gartner มอง UEBA ใน 3 แกน ได้แก่ เครื่องมือแก้ปัญหา การวิเคราะห์ และแหล่งข้อมูล (ดูรูป)
แพลตฟอร์ม UEBA "บริสุทธิ์" เทียบกับ UEBA ในตัว
Gartner ถือว่าแพลตฟอร์ม UEBA “ที่แท้จริง” เป็นโซลูชันที่:
- แก้ไขปัญหาเฉพาะหลายประการ เช่น การตรวจสอบผู้ใช้ที่มีสิทธิพิเศษหรือการส่งออกข้อมูลภายนอกองค์กร และไม่ใช่แค่ "การตรวจสอบกิจกรรมของผู้ใช้ที่ผิดปกติ" แบบนามธรรมเท่านั้น
- เกี่ยวข้องกับการใช้การวิเคราะห์ที่ซับซ้อน โดยจำเป็นต้องยึดตามแนวทางการวิเคราะห์ขั้นพื้นฐาน
- มีตัวเลือกมากมายสำหรับการรวบรวมข้อมูล รวมถึงกลไกแหล่งข้อมูลในตัวและจากเครื่องมือการจัดการบันทึก Data Lake และ/หรือระบบ SIEM โดยไม่จำเป็นต้องปรับใช้เอเจนต์แยกต่างหากในโครงสร้างพื้นฐาน
- สามารถซื้อและปรับใช้เป็นโซลูชันแบบสแตนด์อโลนแทนที่จะรวมอยู่ใน
ส่วนประกอบของผลิตภัณฑ์อื่นๆ
ตารางด้านล่างเปรียบเทียบทั้งสองวิธี
ตารางที่ 1. โซลูชัน UEBA “บริสุทธิ์” เทียบกับโซลูชันในตัว
หมวดหมู่ | แพลตฟอร์ม UEBA "บริสุทธิ์" | โซลูชันอื่นๆ ที่มี UEBA ในตัว |
ปัญหาที่ต้องแก้ไข | การวิเคราะห์พฤติกรรมและเอนทิตีของผู้ใช้ | การขาดข้อมูลอาจจำกัด UEBA ในการวิเคราะห์พฤติกรรมของผู้ใช้หรือเอนทิตีเท่านั้น |
ปัญหาที่ต้องแก้ไข | ทำหน้าที่แก้ไขปัญหาต่างๆ มากมาย | เชี่ยวชาญในชุดงานที่จำกัด |
Analytics | การตรวจจับความผิดปกติโดยใช้วิธีการวิเคราะห์ต่างๆ โดยหลักๆ ผ่านแบบจำลองทางสถิติและการเรียนรู้ของเครื่อง พร้อมด้วยกฎและลายเซ็น มาพร้อมกับการวิเคราะห์ในตัวเพื่อสร้างและเปรียบเทียบกิจกรรมของผู้ใช้และเอนทิตีกับโปรไฟล์ของพวกเขาและเพื่อนร่วมงาน | คล้ายกับ UEBA เพียงอย่างเดียว แต่การวิเคราะห์สามารถจำกัดเฉพาะผู้ใช้และ/หรือเอนทิตีเท่านั้น |
Analytics | ความสามารถในการวิเคราะห์ขั้นสูง ไม่จำกัดเพียงกฎเท่านั้น ตัวอย่างเช่น อัลกอริทึมการจัดกลุ่มพร้อมการจัดกลุ่มเอนทิตีแบบไดนามิก | คล้ายกับ UEBA ที่ "บริสุทธิ์" แต่การจัดกลุ่มเอนทิตีในโมเดลภัยคุกคามแบบฝังบางตัวสามารถเปลี่ยนแปลงได้ด้วยตนเองเท่านั้น |
Analytics | ความสัมพันธ์ของกิจกรรมและพฤติกรรมของผู้ใช้และหน่วยงานอื่นๆ (เช่น การใช้เครือข่ายแบบเบย์) และการรวมกลุ่มของพฤติกรรมความเสี่ยงส่วนบุคคลเพื่อระบุกิจกรรมที่ผิดปกติ | คล้ายกับ UEBA เพียงอย่างเดียว แต่การวิเคราะห์สามารถจำกัดเฉพาะผู้ใช้และ/หรือเอนทิตีเท่านั้น |
แหล่งข้อมูล | การรับเหตุการณ์กับผู้ใช้และเอนทิตีจากแหล่งข้อมูลโดยตรงผ่านกลไกในตัวหรือที่เก็บข้อมูลที่มีอยู่ เช่น SIEM หรือ Data Lake | กลไกในการรับข้อมูลมักจะดำเนินการโดยตรงเท่านั้นและส่งผลต่อผู้ใช้และ/หรือหน่วยงานอื่นๆ เท่านั้น อย่าใช้เครื่องมือการจัดการบันทึก / SIEM / Data Lake |
แหล่งข้อมูล | โซลูชันนี้ไม่เพียงแต่ต้องอาศัยการรับส่งข้อมูลเครือข่ายเป็นแหล่งข้อมูลหลักเท่านั้น และไม่ควรพึ่งพาเอเจนต์ของตนเองในการรวบรวมการวัดและส่งข้อมูลทางไกลเพียงอย่างเดียว | โซลูชันสามารถมุ่งเน้นเฉพาะการรับส่งข้อมูลเครือข่าย (เช่น NTA - การวิเคราะห์การรับส่งข้อมูลเครือข่าย) และ/หรือใช้เอเจนต์บนอุปกรณ์ปลายทาง (เช่น ยูทิลิตี้การตรวจสอบพนักงาน) |
แหล่งข้อมูล | การทำให้ข้อมูลผู้ใช้/เอนทิตีอิ่มตัวด้วยบริบท รองรับการรวบรวมเหตุการณ์ที่มีโครงสร้างแบบเรียลไทม์ รวมถึงข้อมูลที่มีโครงสร้าง/ไม่มีโครงสร้างจากไดเร็กทอรีไอที เช่น Active Directory (AD) หรือทรัพยากรข้อมูลที่เครื่องอ่านได้อื่นๆ (เช่น ฐานข้อมูล HR) | คล้ายกับ UEBA เพียงอย่างเดียว แต่ขอบเขตของข้อมูลเชิงบริบทอาจแตกต่างกันไปในแต่ละกรณี AD และ LDAP เป็นที่เก็บข้อมูลตามบริบททั่วไปที่ใช้โดยโซลูชัน UEBA แบบฝัง |
ความพร้อมใช้งาน | จัดเตรียมคุณลักษณะที่ระบุไว้เป็นผลิตภัณฑ์แบบสแตนด์อโลน | เป็นไปไม่ได้ที่จะซื้อฟังก์ชัน UEBA ในตัวโดยไม่ต้องซื้อโซลูชันภายนอกที่ถูกสร้างขึ้น |
ที่มา: Gartner (พฤษภาคม 2019) |
ดังนั้น เพื่อแก้ไขปัญหาบางอย่าง UEBA แบบฝังสามารถใช้การวิเคราะห์ UEBA พื้นฐาน (เช่น การเรียนรู้ของเครื่องแบบธรรมดาที่ไม่มีผู้ดูแล) แต่ในขณะเดียวกัน เนื่องจากการเข้าถึงข้อมูลที่จำเป็นอย่างแท้จริง ทำให้โดยรวมมีประสิทธิภาพมากกว่า "บริสุทธิ์" โซลูชั่นของยูบา ในขณะเดียวกัน แพลตฟอร์ม UEBA “ที่แท้จริง” ตามที่คาดไว้ นำเสนอการวิเคราะห์ที่ซับซ้อนมากขึ้นในฐานะความรู้หลักเมื่อเปรียบเทียบกับเครื่องมือ UEBA ในตัว ผลลัพธ์เหล่านี้สรุปไว้ในตารางที่ 2
ตารางที่ 2 ผลลัพธ์ของความแตกต่างระหว่าง UEBA แบบ "บริสุทธิ์" และในตัว
หมวดหมู่ | แพลตฟอร์ม UEBA "บริสุทธิ์" | โซลูชันอื่นๆ ที่มี UEBA ในตัว |
Analytics | การนำไปใช้ในการแก้ปัญหาทางธุรกิจที่หลากหลายหมายถึงชุดฟังก์ชัน UEBA ที่เป็นสากลมากขึ้น โดยเน้นที่การวิเคราะห์ที่ซับซ้อนยิ่งขึ้นและโมเดลการเรียนรู้ของเครื่อง | การมุ่งเน้นไปที่ปัญหาทางธุรกิจชุดเล็กๆ หมายถึงคุณลักษณะพิเศษขั้นสูงที่มุ่งเน้นไปที่โมเดลเฉพาะแอปพลิเคชันด้วยตรรกะที่เรียบง่ายกว่า |
Analytics | การปรับแต่งแบบจำลองการวิเคราะห์เป็นสิ่งจำเป็นสำหรับแต่ละสถานการณ์การใช้งาน | แบบจำลองการวิเคราะห์ได้รับการกำหนดค่าไว้ล่วงหน้าสำหรับเครื่องมือที่มี UEBA ในตัว โดยทั่วไปเครื่องมือที่มี UEBA ในตัวจะให้ผลลัพธ์ที่รวดเร็วกว่าในการแก้ปัญหาทางธุรกิจบางอย่าง |
แหล่งข้อมูล | เข้าถึงแหล่งข้อมูลจากทุกมุมของโครงสร้างพื้นฐานขององค์กร | แหล่งข้อมูลน้อยกว่า ซึ่งมักถูกจำกัดโดยความพร้อมใช้งานของตัวแทนหรือเครื่องมือที่มีฟังก์ชัน UEBA |
แหล่งข้อมูล | ข้อมูลที่มีอยู่ในบันทึกแต่ละรายการอาจถูกจำกัดโดยแหล่งข้อมูล และอาจไม่มีข้อมูลที่จำเป็นทั้งหมดสำหรับเครื่องมือ UEBA แบบรวมศูนย์ | จำนวนและรายละเอียดของข้อมูลดิบที่ตัวแทนรวบรวมและส่งไปยัง UEBA สามารถกำหนดค่าได้โดยเฉพาะ |
สถาปัตยกรรม | เป็นผลิตภัณฑ์ UEBA ที่สมบูรณ์แบบสำหรับองค์กร การบูรณาการทำได้ง่ายขึ้นโดยใช้ความสามารถของระบบ SIEM หรือ Data Lake | ต้องมีชุดคุณลักษณะ UEBA แยกต่างหากสำหรับแต่ละโซลูชันที่มี UEBA ในตัว โซลูชัน UEBA แบบฝังมักต้องมีการติดตั้งตัวแทนและการจัดการข้อมูล |
บูรณาการ | การบูรณาการโซลูชัน UEBA ด้วยตนเองกับเครื่องมืออื่นๆ ในแต่ละกรณี ช่วยให้องค์กรสร้างกลุ่มเทคโนโลยีตามแนวทาง "ดีที่สุดในบรรดาอะนาล็อก" | ผู้ผลิตรวมชุดฟังก์ชันหลักของ UEBA ไว้ในเครื่องมือแล้ว โมดูล UEBA มีอยู่ภายในและไม่สามารถถอดออกได้ ดังนั้นลูกค้าจึงไม่สามารถเปลี่ยนโมดูลเป็นของตนเองได้ |
ที่มา: Gartner (พฤษภาคม 2019) |
UEBA เป็นฟังก์ชัน
UEBA กำลังกลายเป็นฟีเจอร์ของโซลูชันความปลอดภัยทางไซเบอร์แบบ end-to-end ที่สามารถได้รับประโยชน์จากการวิเคราะห์เพิ่มเติม UEBA รองรับโซลูชันเหล่านี้ โดยมอบเลเยอร์การวิเคราะห์ขั้นสูงที่มีประสิทธิภาพตามรูปแบบพฤติกรรมของผู้ใช้และ/หรือเอนทิตี
ปัจจุบันในตลาด ฟังก์ชัน UEBA ในตัวถูกนำไปใช้ในโซลูชันต่อไปนี้ โดยจัดกลุ่มตามขอบเขตทางเทคโนโลยี:
- การตรวจสอบและการป้องกันที่เน้นข้อมูลเป็นผู้จำหน่ายที่มุ่งเน้นการปรับปรุงความปลอดภัยของพื้นที่จัดเก็บข้อมูลที่มีโครงสร้างและไม่มีโครงสร้าง (หรือที่เรียกว่า DCAP)
ในผู้ขายประเภทนี้ Gartner ตั้งข้อสังเกตเหนือสิ่งอื่นใด
แพลตฟอร์มความปลอดภัยทางไซเบอร์ของ Varonis ซึ่งนำเสนอการวิเคราะห์พฤติกรรมผู้ใช้เพื่อติดตามการเปลี่ยนแปลงในการอนุญาตข้อมูลที่ไม่มีโครงสร้าง การเข้าถึง และการใช้งานในการจัดเก็บข้อมูลต่างๆ - ระบบ CASBนำเสนอการป้องกันภัยคุกคามต่างๆ ในแอปพลิเคชัน SaaS บนคลาวด์ โดยการบล็อกการเข้าถึงบริการคลาวด์สำหรับอุปกรณ์ ผู้ใช้ และเวอร์ชันแอปพลิเคชันที่ไม่ต้องการ โดยใช้ระบบควบคุมการเข้าถึงแบบปรับเปลี่ยนได้
โซลูชัน CASB ชั้นนำของตลาดทั้งหมดประกอบด้วยความสามารถของ UEBA
- โซลูชั่นดีแอลพี – มุ่งเน้นไปที่การตรวจจับการถ่ายโอนข้อมูลสำคัญภายนอกองค์กรหรือการละเมิด
ความก้าวหน้าของ DLP ส่วนใหญ่ขึ้นอยู่กับการทำความเข้าใจเนื้อหา โดยเน้นที่การทำความเข้าใจบริบทน้อยลง เช่น ผู้ใช้ แอปพลิเคชัน สถานที่ เวลา ความเร็วของเหตุการณ์ และปัจจัยภายนอกอื่น ๆ เพื่อให้มีประสิทธิภาพ ผลิตภัณฑ์ DLP จะต้องรับรู้ทั้งเนื้อหาและบริบท นี่คือสาเหตุที่ผู้ผลิตหลายรายเริ่มรวมฟังก์ชันการทำงานของ UEBA เข้ากับโซลูชันของตน
- การตรวจสอบพนักงาน คือความสามารถในการบันทึกและเล่นซ้ำการกระทำของพนักงาน โดยปกติจะอยู่ในรูปแบบข้อมูลที่เหมาะสมสำหรับการดำเนินการทางกฎหมาย (หากจำเป็น)
การตรวจสอบผู้ใช้อย่างต่อเนื่องมักจะสร้างข้อมูลจำนวนมหาศาลซึ่งจำเป็นต้องมีการกรองด้วยตนเองและการวิเคราะห์โดยมนุษย์ ดังนั้นจึงใช้ UEBA ภายในระบบการตรวจสอบเพื่อปรับปรุงประสิทธิภาพของโซลูชันเหล่านี้ และตรวจจับเฉพาะเหตุการณ์ที่มีความเสี่ยงสูงเท่านั้น
- การรักษาความปลอดภัยปลายทาง – โซลูชันการตรวจจับและการตอบสนองปลายทาง (EDR) และแพลตฟอร์มการป้องกันปลายทาง (EPP) มอบเครื่องมืออันทรงพลังและการตรวจวัดระยะไกลของระบบปฏิบัติการ
อุปกรณ์ปลายทางการวัดและส่งข้อมูลทางไกลที่เกี่ยวข้องกับผู้ใช้ดังกล่าวสามารถวิเคราะห์ได้เพื่อมอบฟังก์ชันการทำงานของ UEBA ในตัว
- การฉ้อโกงออนไลน์ – โซลูชันการตรวจจับการฉ้อโกงออนไลน์จะตรวจจับกิจกรรมเบี่ยงเบนที่บ่งชี้ถึงการบุกรุกบัญชีของลูกค้าผ่านการปลอมแปลง มัลแวร์ หรือการใช้ประโยชน์จากการเชื่อมต่อที่ไม่ปลอดภัย/การสกัดกั้นการรับส่งข้อมูลของเบราว์เซอร์
โซลูชันการฉ้อโกงส่วนใหญ่ใช้สาระสำคัญของ UEBA การวิเคราะห์ธุรกรรมและการวัดผลอุปกรณ์ โดยมีระบบขั้นสูงเพิ่มเติมมาเสริมด้วยการจับคู่ความสัมพันธ์ในฐานข้อมูลระบุตัวตน
- IAM และการควบคุมการเข้าถึง – Gartner จดบันทึกแนวโน้มวิวัฒนาการในหมู่ผู้จำหน่ายระบบควบคุมการเข้าใช้งานในการบูรณาการกับผู้จำหน่ายแท้ ๆ และสร้างฟังก์ชัน UEBA บางอย่างลงในผลิตภัณฑ์ของตน
- IAM และระบบการกำกับดูแลและการจัดการข้อมูลประจำตัว (IGA) ใช้ UEBA เพื่อครอบคลุมสถานการณ์การวิเคราะห์พฤติกรรมและตัวตน เช่น การตรวจจับความผิดปกติ การวิเคราะห์การจัดกลุ่มแบบไดนามิกของเอนทิตีที่คล้ายกัน การวิเคราะห์การเข้าสู่ระบบ และการวิเคราะห์นโยบายการเข้าถึง
- IAM และการจัดการสิทธิ์การเข้าถึง (PAM) – เนื่องจากบทบาทของการตรวจสอบการใช้บัญชีผู้ดูแลระบบ โซลูชัน PAM จึงมีการวัดและส่งข้อมูลทางไกลเพื่อแสดงให้เห็นว่าบัญชีผู้ดูแลระบบถูกใช้อย่างไร ทำไม เมื่อใด และที่ไหน ข้อมูลนี้สามารถวิเคราะห์ได้โดยใช้ฟังก์ชันในตัวของ UEBA สำหรับการมีอยู่ของพฤติกรรมที่ผิดปกติของผู้ดูแลระบบหรือมีเจตนาร้าย
- ผู้ผลิต NTA (การวิเคราะห์ปริมาณการใช้เครือข่าย) – ใช้การผสมผสานระหว่างการเรียนรู้ของเครื่อง การวิเคราะห์ขั้นสูง และการตรวจจับตามกฎเพื่อระบุกิจกรรมที่น่าสงสัยบนเครือข่ายองค์กร
เครื่องมือ NTA วิเคราะห์การรับส่งข้อมูลต้นทางและ/หรือบันทึกโฟลว์ (เช่น NetFlow) อย่างต่อเนื่อง เพื่อสร้างแบบจำลองที่สะท้อนพฤติกรรมเครือข่ายปกติ โดยเน้นที่การวิเคราะห์พฤติกรรมเอนทิตีเป็นหลัก
- SIEM – ปัจจุบันผู้จำหน่าย SIEM หลายรายมีฟังก์ชันการวิเคราะห์ข้อมูลขั้นสูงที่สร้างไว้ใน SIEM หรือเป็นโมดูล UEBA แยกต่างหาก ตลอดปี 2018 จนถึงปี 2019 มีการเบลอขอบเขตระหว่างฟังก์ชัน SIEM และ UEBA อย่างต่อเนื่อง ตามที่กล่าวไว้ในบทความ
“ข้อมูลเชิงลึกด้านเทคโนโลยีสำหรับ SIEM ยุคใหม่” . ระบบ SIEM ทำงานร่วมกับการวิเคราะห์ได้ดีขึ้น และเสนอสถานการณ์การใช้งานที่ซับซ้อนมากขึ้น
สถานการณ์การใช้งาน UEBA
โซลูชันของ UEBA สามารถแก้ปัญหาได้หลากหลาย อย่างไรก็ตาม ลูกค้าของ Gartner ยอมรับว่ากรณีการใช้งานหลักเกี่ยวข้องกับการตรวจหาภัยคุกคามประเภทต่างๆ ซึ่งทำได้โดยการแสดงและวิเคราะห์ความสัมพันธ์ที่พบบ่อยระหว่างพฤติกรรมของผู้ใช้และเอนทิตีอื่นๆ:
- การเข้าถึงและการเคลื่อนย้ายข้อมูลโดยไม่ได้รับอนุญาต
- พฤติกรรมที่น่าสงสัยของผู้ใช้สิทธิพิเศษ กิจกรรมที่เป็นอันตรายหรือไม่ได้รับอนุญาตของพนักงาน
- การเข้าถึงและการใช้ทรัพยากรคลาวด์ที่ไม่ได้มาตรฐาน
- เป็นต้น
นอกจากนี้ยังมีกรณีการใช้งานที่ไม่ปกติด้านความปลอดภัยทางไซเบอร์อีกหลายกรณี เช่น การฉ้อโกงหรือการตรวจสอบพนักงาน ซึ่ง UEBA อาจมีเหตุผลสมควร อย่างไรก็ตาม พวกเขามักจะต้องการแหล่งข้อมูลที่อยู่นอกไอทีและความปลอดภัยของข้อมูล หรือแบบจำลองการวิเคราะห์เฉพาะที่มีความเข้าใจอย่างลึกซึ้งในด้านนี้ สถานการณ์และการใช้งานหลัก 5 ประการที่ทั้งผู้ผลิต UEBA และลูกค้าเห็นพ้องกันมีอธิบายไว้ด้านล่างนี้
“คนวงในที่เป็นอันตราย”
ผู้ให้บริการโซลูชัน UEBA ที่ครอบคลุมสถานการณ์นี้เพียงตรวจสอบพนักงานและผู้รับเหมาที่เชื่อถือได้เพื่อหาพฤติกรรมที่ผิดปกติ "ไม่ดี" หรือเป็นอันตราย ผู้ขายในสาขาที่เชี่ยวชาญนี้ไม่ตรวจสอบหรือวิเคราะห์พฤติกรรมของบัญชีบริการหรือหน่วยงานอื่นที่ไม่ใช่มนุษย์ ด้วยเหตุนี้ส่วนใหญ่ พวกเขาจึงไม่มุ่งเน้นไปที่การตรวจจับภัยคุกคามขั้นสูงที่แฮกเกอร์เข้ายึดบัญชีที่มีอยู่ แต่มุ่งเป้าไปที่การระบุพนักงานที่เกี่ยวข้องกับกิจกรรมที่เป็นอันตรายแทน
โดยพื้นฐานแล้ว แนวคิดของ "คนวงในที่เป็นอันตราย" เกิดขึ้นจากผู้ใช้ที่เชื่อถือได้ซึ่งมีเจตนาร้ายซึ่งแสวงหาวิธีที่จะสร้างความเสียหายให้กับนายจ้างของตน เนื่องจากเจตนาร้ายนั้นวัดได้ยาก ผู้จำหน่ายที่ดีที่สุดในหมวดหมู่นี้จึงวิเคราะห์ข้อมูลพฤติกรรมตามบริบทซึ่งหาได้ยากในบันทึกการตรวจสอบ
ผู้ให้บริการโซลูชันในพื้นที่นี้ยังเพิ่มและวิเคราะห์ข้อมูลที่ไม่มีโครงสร้างได้อย่างเหมาะสม เช่น เนื้อหาอีเมล รายงานประสิทธิภาพ หรือข้อมูลโซเชียลมีเดีย เพื่อให้บริบทสำหรับพฤติกรรม
ภัยคุกคามจากภายในและการคุกคามที่ล่วงล้ำ
ความท้าทายคือการตรวจจับและวิเคราะห์พฤติกรรม “ที่ไม่ดี” อย่างรวดเร็วเมื่อผู้โจมตีสามารถเข้าถึงองค์กรและเริ่มเคลื่อนไหวภายในโครงสร้างพื้นฐานด้านไอที
ภัยคุกคามที่กล้าแสดงออก (APT) เช่น ภัยคุกคามที่ไม่รู้จักหรือยังไม่เข้าใจทั้งหมด นั้นตรวจจับได้ยากมาก และมักจะซ่อนอยู่เบื้องหลังกิจกรรมหรือบัญชีบริการที่ถูกต้องของผู้ใช้ ภัยคุกคามดังกล่าวมักจะมีรูปแบบการดำเนินงานที่ซับซ้อน (ดูตัวอย่างในบทความ “
อย่างไรก็ตาม ภัยคุกคามที่ล่วงล้ำเหล่านี้จำนวนมากส่งผลให้เกิดพฤติกรรมที่ไม่ได้มาตรฐาน ซึ่งมักจะเกี่ยวข้องกับผู้ใช้หรือหน่วยงานที่ไม่สงสัย (หรือที่เรียกว่าบุคคลภายในที่ถูกบุกรุก) เทคนิค UEBA มอบโอกาสที่น่าสนใจหลายประการในการตรวจจับภัยคุกคามดังกล่าว ปรับปรุงอัตราส่วนสัญญาณต่อเสียงรบกวน รวบรวมและลดปริมาณการแจ้งเตือน จัดลำดับความสำคัญของการแจ้งเตือนที่เหลืออยู่ และอำนวยความสะดวกในการตอบสนองต่อเหตุการณ์และการสืบสวนที่มีประสิทธิภาพ
ผู้จำหน่าย UEBA ที่กำหนดเป้าหมายพื้นที่ปัญหานี้มักจะมีการบูรณาการแบบสองทิศทางกับระบบ SIEM ขององค์กร
การกรองข้อมูล
ภารกิจในกรณีนี้คือการตรวจสอบข้อเท็จจริงว่ามีการถ่ายโอนข้อมูลออกนอกองค์กร
ผู้จำหน่ายที่มุ่งเน้นไปที่ความท้าทายนี้มักจะใช้ประโยชน์จากความสามารถ DLP หรือ DAG ด้วยการตรวจจับความผิดปกติและการวิเคราะห์ขั้นสูง ซึ่งจะช่วยปรับปรุงอัตราส่วนสัญญาณต่อเสียงรบกวน รวบรวมปริมาณการแจ้งเตือน และจัดลำดับความสำคัญของทริกเกอร์ที่เหลือ สำหรับบริบทเพิ่มเติม โดยทั่วไปแล้วผู้จำหน่ายจะอาศัยการรับส่งข้อมูลเครือข่าย (เช่น เว็บพร็อกซี) และข้อมูลปลายทางมากกว่า เนื่องจากการวิเคราะห์แหล่งข้อมูลเหล่านี้สามารถช่วยในการตรวจสอบการขโมยข้อมูลได้
การตรวจจับการกรองข้อมูลใช้เพื่อตรวจจับบุคคลภายในและแฮกเกอร์ภายนอกที่คุกคามองค์กร
การระบุและการจัดการการเข้าถึงที่มีสิทธิพิเศษ
ผู้ผลิตโซลูชัน UEBA อิสระในสาขาที่เชี่ยวชาญนี้จะสังเกตและวิเคราะห์พฤติกรรมของผู้ใช้กับภูมิหลังของระบบสิทธิ์ที่สร้างขึ้นแล้วเพื่อระบุสิทธิ์ที่มากเกินไปหรือการเข้าถึงที่ผิดปกติ สิ่งนี้ใช้กับผู้ใช้และบัญชีทุกประเภท รวมถึงบัญชีที่มีสิทธิ์และบัญชีบริการ องค์กรต่างๆ ยังใช้ UEBA เพื่อกำจัดบัญชีที่ไม่มีการเคลื่อนไหวและสิทธิ์ผู้ใช้ที่สูงกว่าที่กำหนด
การจัดลำดับความสำคัญของเหตุการณ์
เป้าหมายของงานนี้คือการจัดลำดับความสำคัญของการแจ้งเตือนที่สร้างโดยโซลูชันในกลุ่มเทคโนโลยีเพื่อทำความเข้าใจว่าเหตุการณ์ใดหรือเหตุการณ์ที่อาจเกิดขึ้นควรได้รับการแก้ไขก่อน วิธีการและเครื่องมือของ UEBA มีประโยชน์ในการระบุเหตุการณ์ที่มีความผิดปกติเป็นพิเศษหรือเป็นอันตรายอย่างยิ่งต่อองค์กรที่กำหนด ในกรณีนี้ กลไก UEBA ไม่เพียงแต่ใช้ระดับพื้นฐานของกิจกรรมและแบบจำลองภัยคุกคาม แต่ยังทำให้ข้อมูลมีข้อมูลเกี่ยวกับโครงสร้างองค์กรของบริษัท (เช่น ทรัพยากรหรือบทบาทที่สำคัญ และระดับการเข้าถึงของพนักงาน)
ปัญหาในการใช้โซลูชัน UEBA
ปัญหาด้านตลาดของโซลูชัน UEBA คือราคาที่สูง การใช้งานที่ซับซ้อน การบำรุงรักษา และการใช้งาน ในขณะที่บริษัทต่างๆ กำลังดิ้นรนกับจำนวนพอร์ทัลภายในที่แตกต่างกัน พวกเขาได้รับคอนโซลอื่น ขนาดของการลงทุนเวลาและทรัพยากรในเครื่องมือใหม่ขึ้นอยู่กับงานที่มีอยู่และประเภทของการวิเคราะห์ที่จำเป็นในการแก้ปัญหา และส่วนใหญ่มักต้องใช้เงินลงทุนจำนวนมาก
ตรงกันข้ามกับสิ่งที่ผู้ผลิตหลายรายอ้างว่า UEBA ไม่ใช่เครื่องมือ "ตั้งค่าแล้วลืมมัน" ที่สามารถทำงานต่อเนื่องได้หลายวัน
ตัวอย่างเช่น ลูกค้าของ Gartner โปรดทราบว่าต้องใช้เวลา 3 ถึง 6 เดือนในการเปิดตัวโครงการริเริ่ม UEBA ตั้งแต่เริ่มต้น เพื่อให้ได้ผลลัพธ์แรกของการแก้ปัญหาที่มีการนำโซลูชันนี้ไปใช้ สำหรับงานที่ซับซ้อนมากขึ้น เช่น การระบุภัยคุกคามภายในองค์กร ระยะเวลาจะเพิ่มขึ้นเป็น 18 เดือน
ปัจจัยที่มีอิทธิพลต่อความยากลำบากในการดำเนินการ UEBA และประสิทธิผลในอนาคตของเครื่องมือ:
- ความซับซ้อนของสถาปัตยกรรมองค์กร โทโพโลยีเครือข่าย และนโยบายการจัดการข้อมูล
- ความพร้อมใช้งานของข้อมูลที่ถูกต้องในระดับรายละเอียดที่เหมาะสม
- ความซับซ้อนของอัลกอริธึมการวิเคราะห์ของผู้จำหน่าย ตัวอย่างเช่น การใช้แบบจำลองทางสถิติและการเรียนรู้ของเครื่องเทียบกับรูปแบบและกฎง่ายๆ
- จำนวนการวิเคราะห์ที่กำหนดค่าไว้ล่วงหน้ารวมอยู่ด้วย กล่าวคือ ความเข้าใจของผู้ผลิตว่าข้อมูลใดที่ต้องรวบรวมสำหรับแต่ละงาน และตัวแปรและคุณลักษณะใดที่สำคัญที่สุดในการวิเคราะห์
- ผู้ผลิตสามารถรวมเข้ากับข้อมูลที่ต้องการโดยอัตโนมัติได้ง่ายเพียงใด
ตัวอย่างเช่น:
- หากโซลูชัน UEBA ใช้ระบบ SIEM เป็นแหล่งข้อมูลหลัก SIEM จะรวบรวมข้อมูลจากแหล่งข้อมูลที่จำเป็นหรือไม่
- บันทึกเหตุการณ์ที่จำเป็นและข้อมูลบริบทขององค์กรสามารถกำหนดเส้นทางไปยังโซลูชัน UEBA ได้หรือไม่
- หากระบบ SIEM ยังไม่รวบรวมและควบคุมแหล่งข้อมูลที่จำเป็นสำหรับโซลูชัน UEBA จะสามารถถ่ายโอนแหล่งข้อมูลเหล่านั้นไปที่นั่นได้อย่างไร
- สถานการณ์แอปพลิเคชันมีความสำคัญเพียงใดสำหรับองค์กร ต้องการแหล่งข้อมูลจำนวนเท่าใด และงานนี้ทับซ้อนกับความเชี่ยวชาญของผู้ผลิตมากน้อยเพียงใด
- จำเป็นต้องมีวุฒิภาวะและการมีส่วนร่วมขององค์กรในระดับใด - ตัวอย่างเช่น การสร้าง การพัฒนา และการปรับแต่งกฎและแบบจำลอง การกำหนดน้ำหนักให้กับตัวแปรเพื่อการประเมินผล หรือปรับเกณฑ์การประเมินความเสี่ยง
- โซลูชันและสถาปัตยกรรมของผู้จำหน่ายสามารถปรับขนาดได้เพียงใดเมื่อเปรียบเทียบกับขนาดปัจจุบันขององค์กรและข้อกำหนดในอนาคต
- ถึงเวลาสร้างโมเดลพื้นฐาน โปรไฟล์ และกลุ่มหลัก ผู้ผลิตมักต้องใช้เวลาอย่างน้อย 30 วัน (และบางครั้งอาจนานถึง 90 วัน) ในการดำเนินการวิเคราะห์ก่อนจึงจะสามารถกำหนดแนวคิด "ปกติ" ได้ การโหลดข้อมูลประวัติเพียงครั้งเดียวสามารถเร่งการฝึกโมเดลได้ กรณีที่น่าสนใจบางกรณีสามารถระบุได้เร็วกว่าโดยใช้กฎมากกว่าการใช้การเรียนรู้ของเครื่องด้วยข้อมูลเริ่มต้นจำนวนน้อยมาก
- ระดับความพยายามที่จำเป็นในการสร้างการจัดกลุ่มแบบไดนามิกและการสร้างโปรไฟล์บัญชี (บริการ/บุคคล) อาจแตกต่างกันอย่างมากระหว่างโซลูชันต่างๆ
ที่มา: will.com