ProHoster > Blog > balita sa internet > Ang UEBA market ay patay na - mabuhay ang UEBA

Ang UEBA market ay patay na - mabuhay ang UEBA

Ang UEBA market ay patay na - mabuhay ang UEBA

Ngayon ay magbibigay kami ng maikling pangkalahatang-ideya ng User at Entity Behavioral Analytics (UEBA) market batay sa pinakabagong Pananaliksik ni Gartner. Ang merkado ng UEBA ay nasa ilalim ng "stage ng dilusyon" ayon sa Gartner Hype Cycle para sa Threat-Facing Technologies, na nagpapahiwatig ng kapanahunan ng teknolohiya. Ngunit ang kabalintunaan ng sitwasyon ay nakasalalay sa sabay-sabay na pangkalahatang paglago ng mga pamumuhunan sa mga teknolohiya ng UEBA at ang nawawalang merkado ng mga independiyenteng solusyon sa UEBA. Hinuhulaan ni Gartner na ang UEBA ay magiging bahagi ng functionality ng mga kaugnay na solusyon sa seguridad ng impormasyon. Ang terminong "UEBA" ay malamang na mawawala sa paggamit at mapapalitan ng isa pang acronym na nakatuon sa isang mas makitid na lugar ng aplikasyon (hal., "user behavior analytics"), isang katulad na lugar ng aplikasyon (hal., "data analytics"), o maging ilang bagong buzzword (halimbawa, mukhang kawili-wili ang terminong "artificial intelligence" [AI], bagama't wala itong kahulugan sa mga modernong tagagawa ng UEBA).

Ang mga pangunahing natuklasan mula sa pag-aaral ng Gartner ay maaaring ibuod bilang mga sumusunod:

  • Ang maturity ng market para sa behavioral analytics ng mga user at entity ay kinumpirma ng katotohanan na ang mga teknolohiyang ito ay ginagamit ng medium at large corporate segment upang malutas ang ilang problema sa negosyo;
  • Ang mga kakayahan sa analytics ng UEBA ay binuo sa isang malawak na hanay ng mga nauugnay na teknolohiya sa seguridad ng impormasyon, tulad ng mga cloud access secure brokers (CASBs), pamamahala ng pagkakakilanlan at pangangasiwa (IGA) na mga sistema ng SIEM;
  • Ang hype sa paligid ng mga vendor ng UEBA at ang maling paggamit ng terminong "artificial intelligence" ay nagpapahirap sa mga customer na maunawaan ang tunay na pagkakaiba sa pagitan ng mga teknolohiya ng mga manufacturer at ang functionality ng mga solusyon nang hindi nagsasagawa ng pilot project;
  • Napansin ng mga customer na ang oras ng pagpapatupad at pang-araw-araw na paggamit ng mga solusyon sa UEBA ay maaaring maging mas labor-intensive at nakakaubos ng oras kaysa sa ipinangako ng manufacturer, kahit na isinasaalang-alang lamang ang mga pangunahing modelo ng pagtukoy ng pagbabanta. Ang pagdaragdag ng custom o edge na mga kaso ng paggamit ay maaaring maging lubhang mahirap at nangangailangan ng kadalubhasaan sa data science at analytics.

Pagtataya ng madiskarteng pag-unlad ng merkado:

  • Pagsapit ng 2021, ang merkado para sa mga sistema ng user at entity behavioral analytics (UEBA) ay titigil sa pag-iral bilang isang hiwalay na lugar at lilipat patungo sa iba pang mga solusyon na may functionality ng UEBA;
  • Sa 2020, 95% ng lahat ng UEBA deployment ay magiging bahagi ng isang mas malawak na platform ng seguridad.

Kahulugan ng mga solusyon sa UEBA

Gumagamit ang mga solusyon sa UEBA ng built-in na analytics upang suriin ang aktibidad ng mga user at iba pang entity (gaya ng mga host, application, trapiko sa network at mga data store).
Nakakakita sila ng mga banta at potensyal na insidente, na karaniwang kumakatawan sa maanomalyang aktibidad kumpara sa karaniwang profile at pag-uugali ng mga user at entity sa mga katulad na grupo sa loob ng isang yugto ng panahon.

Ang pinakakaraniwang mga kaso ng paggamit sa segment ng enterprise ay ang pagtukoy at pagtugon sa pagbabanta, pati na rin ang pagtuklas at pagtugon sa mga banta ng tagaloob (karamihan ay nakompromiso ang mga tagaloob; minsan ay mga panloob na umaatake).

Ang UEBA ay parang desisyonAt pagpapaandar, na binuo sa isang partikular na tool:

  • Ang solusyon ay mga tagagawa ng "purong" UEBA platform, kabilang ang mga vendor na nagbebenta rin ng mga solusyon sa SIEM nang hiwalay. Nakatuon sa malawak na hanay ng mga problema sa negosyo sa behavioral analytics ng parehong mga user at entity.
  • Naka-embed – Mga tagagawa/dibisyon na nagsasama ng mga function at teknolohiya ng UEBA sa kanilang mga solusyon. Karaniwang nakatuon sa isang mas tiyak na hanay ng mga problema sa negosyo. Sa kasong ito, ginagamit ang UEBA upang suriin ang pag-uugali ng mga user at/o entity.

Tinitingnan ni Gartner ang UEBA kasama ang tatlong axes, kabilang ang mga solver ng problema, analytics, at data source (tingnan ang figure).

Ang UEBA market ay patay na - mabuhay ang UEBA

"Purong" UEBA platform kumpara sa built-in na UEBA

Itinuturing ni Gartner ang isang "dalisay" na platform ng UEBA bilang mga solusyon na:

  • lutasin ang ilang partikular na problema, gaya ng pagsubaybay sa mga may pribilehiyong user o paglabas ng data sa labas ng organisasyon, at hindi lamang ang abstract na "pagsubaybay sa maanomalyang aktibidad ng user";
  • kasangkot ang paggamit ng kumplikadong analytics, na kinakailangang batay sa mga pangunahing pamamaraang analitikal;
  • magbigay ng ilang mga opsyon para sa pangongolekta ng data, kabilang ang parehong mga built-in na mekanismo ng data source at mula sa mga tool sa pamamahala ng log, Data lake at/o mga sistema ng SIEM, nang hindi kinakailangang mag-deploy ng hiwalay na mga ahente sa imprastraktura;
  • maaaring bilhin at i-deploy bilang mga stand-alone na solusyon sa halip na isama sa
    komposisyon ng iba pang mga produkto.

Inihahambing ng talahanayan sa ibaba ang dalawang diskarte.

Talahanayan 1. "Purong" mga solusyon sa UEBA kumpara sa mga built-in

kategorya "Purong" UEBA platform Iba pang mga solusyon na may built-in na UEBA
Problemang dapat lutasin Pagsusuri ng gawi at entity ng user. Maaaring limitahan ng kakulangan ng data ang UEBA upang suriin ang gawi ng mga user o entity lamang.
Problemang dapat lutasin Nagsisilbi upang malutas ang isang malawak na hanay ng mga problema Dalubhasa sa isang limitadong hanay ng mga gawain
Analitika Ang pagtuklas ng anomalya gamit ang iba't ibang pamamaraan ng analytical - pangunahin sa pamamagitan ng mga istatistikal na modelo at machine learning, kasama ang mga panuntunan at lagda. May kasamang built-in na analytics upang lumikha at ihambing ang aktibidad ng user at entity sa kanilang mga profile at mga kasamahan. Katulad ng purong UEBA, ngunit ang pagsusuri ay maaaring limitado sa mga user at/o entity lang.
Analitika Mga advanced na kakayahan sa pagsusuri, hindi limitado lamang ng mga panuntunan. Halimbawa, isang clustering algorithm na may dynamic na pagpapangkat ng mga entity. Katulad ng "purong" UEBA, ngunit ang pagpapangkat ng entity sa ilang naka-embed na modelo ng pagbabanta ay maaari lamang baguhin nang manu-mano.
Analitika Pag-uugnay ng aktibidad at pag-uugali ng mga user at iba pang entity (halimbawa, gamit ang mga Bayesian network) at pagsasama-sama ng indibidwal na pag-uugali sa peligro upang matukoy ang maanomalyang aktibidad. Katulad ng purong UEBA, ngunit ang pagsusuri ay maaaring limitado sa mga user at/o entity lang.
Mga pinagmumulan ng data Pagtanggap ng mga kaganapan sa mga user at entity mula sa mga pinagmumulan ng data nang direkta sa pamamagitan ng mga built-in na mekanismo o mga umiiral nang data store, gaya ng SIEM o Data lake. Ang mga mekanismo para sa pagkuha ng data ay karaniwang direkta lamang at nakakaapekto lamang sa mga user at/o iba pang entity. Huwag gumamit ng mga tool sa pamamahala ng log / SIEM / Data lake.
Mga pinagmumulan ng data Ang solusyon ay hindi dapat umasa lamang sa trapiko sa network bilang pangunahing pinagmumulan ng data, at hindi rin dapat umasa lamang sa sarili nitong mga ahente upang mangolekta ng telemetry. Ang solusyon ay maaari lamang tumuon sa trapiko sa network (halimbawa, NTA - pagsusuri sa trapiko ng network) at/o gamitin ang mga ahente nito sa mga end device (halimbawa, mga utility sa pagsubaybay ng empleyado).
Mga pinagmumulan ng data Pinagbubusog ang data ng user/entity sa konteksto. Sinusuportahan ang koleksyon ng mga structured na kaganapan sa real time, pati na rin ang structured/unstructured cohesive data mula sa mga direktoryo ng IT - halimbawa, Active Directory (AD), o iba pang mapagkukunan ng impormasyon na nababasa ng machine (halimbawa, mga HR database). Katulad ng purong UEBA, ngunit ang saklaw ng data sa konteksto ay maaaring mag-iba sa bawat kaso. Ang AD at LDAP ay ang pinakakaraniwang mga tindahan ng data sa konteksto na ginagamit ng mga naka-embed na solusyon sa UEBA.
Kakayahang magamit Nagbibigay ng mga nakalistang feature bilang isang standalone na produkto. Imposibleng bumili ng built-in na functionality ng UEBA nang hindi bumili ng panlabas na solusyon kung saan ito binuo.
Pinagmulan: Gartner (Mayo 2019)

Kaya, upang malutas ang ilang partikular na problema, ang naka-embed na UEBA ay maaaring gumamit ng pangunahing UEBA analytics (halimbawa, simpleng unsupervised machine learning), ngunit sa parehong oras, dahil sa pag-access sa eksaktong kinakailangang data, maaari itong maging pangkalahatang mas epektibo kaysa sa isang "puro" solusyon sa UEBA. Kasabay nito, ang "purong" UEBA platform, gaya ng inaasahan, ay nag-aalok ng mas kumplikadong analytics bilang pangunahing kaalaman kumpara sa built-in na tool ng UEBA. Ang mga resultang ito ay buod sa Talahanayan 2.

Talahanayan 2. Ang resulta ng mga pagkakaiba sa pagitan ng "pure" at built-in na UEBA

kategorya "Purong" UEBA platform Iba pang mga solusyon na may built-in na UEBA
Analitika Ang kakayahang magamit para sa paglutas ng iba't ibang mga problema sa negosyo ay nagpapahiwatig ng isang mas unibersal na hanay ng mga function ng UEBA na may diin sa mas kumplikadong mga modelo ng analytics at machine learning. Ang pagtutuon sa isang mas maliit na hanay ng mga problema sa negosyo ay nangangahulugan ng mataas na espesyalisadong mga tampok na tumutuon sa mga modelong partikular sa application na may mas simpleng lohika.
Analitika Ang pagpapasadya ng analytical na modelo ay kinakailangan para sa bawat sitwasyon ng aplikasyon. Ang mga analytical na modelo ay paunang na-configure para sa tool na mayroong UEBA na nakapaloob dito. Ang isang tool na may built-in na UEBA ay karaniwang nakakamit ng mas mabilis na mga resulta sa paglutas ng ilang partikular na problema sa negosyo.
Mga pinagmumulan ng data Access sa mga pinagmumulan ng data mula sa lahat ng sulok ng corporate infrastructure. Mas kaunting data source, kadalasang nalilimitahan ng availability ng mga ahente para sa kanila o ng mismong tool na may mga function ng UEBA.
Mga pinagmumulan ng data Ang impormasyong nakapaloob sa bawat log ay maaaring limitado ng data source at maaaring hindi naglalaman ng lahat ng kinakailangang data para sa sentralisadong UEBA tool. Ang halaga at detalye ng raw data na nakolekta ng ahente at ipinadala sa UEBA ay maaaring partikular na i-configure.
arkitektura Ito ay isang kumpletong produkto ng UEBA para sa isang organisasyon. Mas madali ang pagsasama gamit ang mga kakayahan ng isang SIEM system o Data lake. Nangangailangan ng hiwalay na hanay ng mga feature ng UEBA para sa bawat isa sa mga solusyon na may built-in na UEBA. Ang mga naka-embed na solusyon sa UEBA ay kadalasang nangangailangan ng pag-install ng mga ahente at pamamahala ng data.
Pagsasama Manu-manong pagsasama ng solusyon ng UEBA sa iba pang mga tool sa bawat kaso. Nagbibigay-daan sa isang organisasyon na bumuo ng stack ng teknolohiya nito batay sa "pinakamahusay sa mga analogue" na diskarte. Ang mga pangunahing bundle ng mga function ng UEBA ay kasama na sa tool mismo ng tagagawa. Ang UEBA module ay built-in at hindi maaaring alisin, kaya hindi ito maaaring palitan ng mga customer ng sarili nilang bagay.
Pinagmulan: Gartner (Mayo 2019)

UEBA bilang isang function

Ang UEBA ay nagiging tampok ng end-to-end na mga solusyon sa cybersecurity na maaaring makinabang mula sa karagdagang analytics. Pinagbabatayan ng UEBA ang mga solusyong ito, na nagbibigay ng malakas na layer ng advanced na analytics batay sa mga pattern ng gawi ng user at/o entity.

Kasalukuyang nasa merkado, ang built-in na functionality ng UEBA ay ipinapatupad sa mga sumusunod na solusyon, na nakapangkat ayon sa teknolohikal na saklaw:

  • Pag-audit at proteksyon na nakatuon sa data, ay mga vendor na nakatuon sa pagpapabuti ng seguridad ng structured at unstructured data storage (aka DCAP).

    Sa kategoryang ito ng mga vendor, sinabi ni Gartner, bukod sa iba pang mga bagay, Varonis cybersecurity platform, na nag-aalok ng analytics ng pag-uugali ng user upang subaybayan ang mga pagbabago sa mga hindi nakaayos na pahintulot ng data, pag-access, at paggamit sa iba't ibang mga tindahan ng impormasyon.

  • Mga sistema ng CASB, na nag-aalok ng proteksyon laban sa iba't ibang banta sa cloud-based na SaaS application sa pamamagitan ng pagharang ng access sa mga serbisyo ng cloud para sa mga hindi gustong device, user at bersyon ng application gamit ang adaptive access control system.

    Kasama sa lahat ng nangunguna sa merkado na solusyon sa CASB ang mga kakayahan ng UEBA.

  • Mga solusyon sa DLP – nakatutok sa pag-detect ng paglilipat ng kritikal na data sa labas ng organisasyon o sa pang-aabuso nito.

    Ang mga pagsulong sa DLP ay higit na nakabatay sa pag-unawa sa nilalaman, na may mas kaunting pagtuon sa pag-unawa sa konteksto gaya ng user, aplikasyon, lokasyon, oras, bilis ng mga kaganapan, at iba pang panlabas na salik. Upang maging epektibo, dapat kilalanin ng mga produkto ng DLP ang parehong nilalaman at konteksto. Ito ang dahilan kung bakit maraming mga tagagawa ang nagsisimulang isama ang pagpapagana ng UEBA sa kanilang mga solusyon.

  • Pagsubaybay ng empleyado ay ang kakayahang magrekord at mag-replay ng mga aksyon ng empleyado, kadalasan sa isang format ng data na angkop para sa mga legal na paglilitis (kung kinakailangan).

    Ang patuloy na pagsubaybay sa mga user ay madalas na bumubuo ng napakaraming data na nangangailangan ng manu-manong pag-filter at pagsusuri ng tao. Samakatuwid, ang UEBA ay ginagamit sa loob ng mga sistema ng pagsubaybay upang mapabuti ang pagganap ng mga solusyong ito at tuklasin lamang ang mga insidenteng may mataas na peligro.

  • Seguridad ng Endpoint – Ang mga solusyon sa endpoint detection and response (EDR) at endpoint protection platform (EPP) ay nagbibigay ng malakas na instrumentation at telemetry ng operating system sa
    mga end device.

    Ang nasabing telemetry na nauugnay sa gumagamit ay maaaring masuri upang magbigay ng built-in na UEBA functionality.

  • Online na panloloko – Ang mga online na solusyon sa pagtuklas ng panloloko ay nakatuklas ng lumilihis na aktibidad na nagpapahiwatig ng kompromiso ng account ng isang customer sa pamamagitan ng isang spoof, malware, o pagsasamantala ng mga hindi secure na koneksyon/pagharang sa trapiko ng browser.

    Karamihan sa mga solusyon sa panloloko ay gumagamit ng esensya ng UEBA, pagsusuri ng transaksyon at pagsukat ng device, na may mas advanced na mga system na umaakma sa mga ito sa pamamagitan ng pagtutugma ng mga relasyon sa database ng pagkakakilanlan.

  • IAM at kontrol sa pag-access – Binabanggit ni Gartner ang isang evolutionary trend sa mga vendor ng access control system upang isama sa mga purong vendor at bumuo ng ilang functionality ng UEBA sa kanilang mga produkto.
  • IAM at Identity Governance and Administration (IGA) system gamitin ang UEBA upang masakop ang mga senaryo ng pagsusuri sa pag-uugali at pagkakakilanlan gaya ng pagtuklas ng anomalya, pagsusuri ng dinamikong pagpapangkat ng mga katulad na entity, pagsusuri sa pag-login, at pagsusuri sa patakaran sa pag-access.
  • IAM at Privileged Access Management (PAM) – Dahil sa tungkulin ng pagsubaybay sa paggamit ng mga administratibong account, ang mga solusyon sa PAM ay may telemetry upang ipakita kung paano, bakit, kailan at saan ginamit ang mga administratibong account. Maaaring suriin ang data na ito gamit ang built-in na functionality ng UEBA para sa pagkakaroon ng maanomalyang gawi ng mga administrator o malisyosong layunin.
  • Mga Manufacturers NTA (Network Traffic Analysis) – gumamit ng kumbinasyon ng machine learning, advanced analytics at rule-based detection para matukoy ang kahina-hinalang aktibidad sa mga corporate network.

    Patuloy na sinusuri ng mga tool ng NTA ang pinagmumulan ng trapiko at/o mga talaan ng daloy (hal. NetFlow) upang bumuo ng mga modelong nagpapakita ng normal na gawi ng network, na pangunahing nakatuon sa analytics ng gawi ng entity.

  • SIEM – maraming mga vendor ng SIEM ang mayroon na ngayong advanced na data analytics functionality na binuo sa SIEM, o bilang isang hiwalay na UEBA module. Sa buong 2018 at hanggang ngayon sa 2019, nagkaroon ng tuluy-tuloy na paglabo ng mga hangganan sa pagitan ng SIEM at UEBA functionality, gaya ng tinalakay sa artikulo "Technology Insight para sa Modernong SIEM". Ang mga sistema ng SIEM ay naging mas mahusay sa pagtatrabaho sa analytics at nag-aalok ng mas kumplikadong mga sitwasyon ng application.

Mga Sitwasyon ng Application ng UEBA

Ang mga solusyon sa UEBA ay maaaring malutas ang isang malawak na hanay ng mga problema. Gayunpaman, ang mga kliyente ng Gartner ay sumasang-ayon na ang pangunahing kaso ng paggamit ay nagsasangkot ng pag-detect ng iba't ibang kategorya ng mga banta, na nakakamit sa pamamagitan ng pagpapakita at pagsusuri ng mga madalas na ugnayan sa pagitan ng gawi ng user at iba pang mga entity:

  • hindi awtorisadong pag-access at paggalaw ng data;
  • kahina-hinalang pag-uugali ng mga privileged user, malisyoso o hindi awtorisadong aktibidad ng mga empleyado;
  • hindi karaniwang pag-access at paggamit ng mga mapagkukunan ng ulap;
  • at iba pa

Mayroon ding ilang hindi tipikal na kaso ng paggamit ng hindi cybersecurity, gaya ng panloloko o pagsubaybay ng empleyado, kung saan maaaring makatwiran ang UEBA. Gayunpaman, madalas silang nangangailangan ng mga mapagkukunan ng data na hindi nauugnay sa IT at seguridad ng impormasyon, o mga partikular na analytical na modelo na may malalim na pag-unawa sa lugar na ito. Ang limang pangunahing senaryo at application na pinagkasunduan ng mga manufacturer ng UEBA at ng kanilang mga customer ay inilalarawan sa ibaba.

"Malicious Insider"

Ang mga tagapagbigay ng solusyon sa UEBA na sumasaklaw sa sitwasyong ito ay sinusubaybayan lamang ang mga empleyado at pinagkakatiwalaang kontratista para sa hindi pangkaraniwang, "masama," o malisyosong pag-uugali. Ang mga vendor sa lugar na ito ng kadalubhasaan ay hindi sinusubaybayan o sinusuri ang pag-uugali ng mga account ng serbisyo o iba pang mga entity na hindi tao. Higit sa lahat dahil dito, hindi sila nakatutok sa pag-detect ng mga advanced na banta kung saan kinukuha ng mga hacker ang mga kasalukuyang account. Sa halip, ang mga ito ay naglalayong tukuyin ang mga empleyadong sangkot sa mga mapaminsalang aktibidad.

Sa pangkalahatan, ang konsepto ng isang "malicious insider" ay nagmumula sa mga pinagkakatiwalaang user na may malisyosong layunin na naghahanap ng mga paraan upang makapinsala sa kanilang employer. Dahil mahirap sukatin ang malisyosong layunin, sinusuri ng pinakamahusay na mga vendor sa kategoryang ito ang data ng pag-uugali sa konteksto na hindi madaling makuha sa mga log ng pag-audit.

Ang mga provider ng solusyon sa espasyong ito ay mahusay ding nagdaragdag at nagsusuri ng hindi nakabalangkas na data, gaya ng nilalaman ng email, mga ulat sa pagiging produktibo, o impormasyon sa social media, upang magbigay ng konteksto para sa pag-uugali.

Nakompromiso ang insider at mapanghimasok na pagbabanta

Ang hamon ay upang mabilis na matukoy at suriin ang "masamang" gawi sa sandaling ang umaatake ay nakakuha ng access sa organisasyon at nagsimulang lumipat sa loob ng imprastraktura ng IT.
Ang mga assertive threats (APT), tulad ng hindi alam o hindi pa ganap na nauunawaan na mga banta, ay napakahirap matukoy at kadalasang nagtatago sa likod ng mga lehitimong aktibidad ng user o mga account ng serbisyo. Ang ganitong mga banta ay karaniwang may isang kumplikadong modelo ng pagpapatakbo (tingnan, halimbawa, ang artikulong " Pagtugon sa Cyber ​​​​Kill Chain") o ang kanilang pag-uugali ay hindi pa natatasa bilang nakakapinsala. Dahil dito, mahirap silang matukoy gamit ang simpleng analytics (gaya ng pagtutugma ayon sa mga pattern, threshold, o mga panuntunan sa ugnayan).

Gayunpaman, marami sa mga mapanghimasok na banta na ito ay nagreresulta sa hindi karaniwang pag-uugali, na kadalasang kinasasangkutan ng mga hindi pinaghihinalaang user o entity (aka nakompromiso na mga tagaloob). Nag-aalok ang mga diskarte ng UEBA ng ilang kawili-wiling pagkakataon upang matukoy ang mga ganitong banta, pagbutihin ang ratio ng signal-to-noise, pagsama-samahin at bawasan ang dami ng abiso, bigyang-priyoridad ang mga natitirang alerto, at mapadali ang epektibong pagtugon sa insidente at pagsisiyasat.

Ang mga vendor ng UEBA na nagta-target sa lugar na ito ng problema ay kadalasang mayroong bi-directional na pagsasama sa mga SIEM system ng organisasyon.

Exfiltration ng Data

Ang gawain sa kasong ito ay upang makita ang katotohanan na ang data ay inililipat sa labas ng organisasyon.
Ang mga vendor na nakatuon sa hamon na ito ay karaniwang gumagamit ng mga kakayahan ng DLP o DAG na may pagtuklas ng anomalya at advanced na analytics, sa gayon ay pinapahusay ang ratio ng signal-to-noise, pinagsama-sama ang dami ng notification, at binibigyang-priyoridad ang mga natitirang trigger. Para sa karagdagang konteksto, karaniwang higit na umaasa ang mga vendor sa trapiko sa network (gaya ng mga web proxies) at data ng endpoint, dahil makakatulong ang pagsusuri sa mga pinagmumulan ng data na ito sa mga pagsisiyasat sa pag-exfiltrate ng data.

Ginagamit ang data exfiltration detection para mahuli ang mga insider at external na hacker na nagbabanta sa organisasyon.

Pagkilala at pamamahala ng privileged access

Ang mga tagagawa ng mga independiyenteng solusyon sa UEBA sa lugar na ito ng kadalubhasaan ay nagmamasid at nagsusuri ng pag-uugali ng gumagamit laban sa background ng isang nabuo nang sistema ng mga karapatan upang matukoy ang labis na mga pribilehiyo o maanomalyang pag-access. Nalalapat ito sa lahat ng uri ng mga user at account, kabilang ang mga privileged at service account. Ginagamit din ng mga organisasyon ang UEBA upang alisin ang mga natutulog na account at mga pribilehiyo ng user na mas mataas kaysa sa kinakailangan.

Insidente Priyoridad

Ang layunin ng gawaing ito ay bigyang-priyoridad ang mga notification na nabuo ng mga solusyon sa kanilang stack ng teknolohiya upang maunawaan kung aling mga insidente o potensyal na insidente ang dapat na unang tugunan. Ang mga pamamaraan at tool ng UEBA ay kapaki-pakinabang sa pagtukoy ng mga insidente na partikular na maanomalya o partikular na mapanganib para sa isang partikular na organisasyon. Sa kasong ito, ang mekanismo ng UEBA ay hindi lamang gumagamit ng batayang antas ng aktibidad at mga modelo ng pagbabanta, ngunit binababad din ang data ng impormasyon tungkol sa istruktura ng organisasyon ng kumpanya (halimbawa, mga kritikal na mapagkukunan o tungkulin at antas ng pag-access ng mga empleyado).

Mga problema sa pagpapatupad ng mga solusyon sa UEBA

Ang sakit sa merkado ng mga solusyon sa UEBA ay ang kanilang mataas na presyo, kumplikadong pagpapatupad, pagpapanatili at paggamit. Habang ang mga kumpanya ay nahihirapan sa bilang ng iba't ibang mga panloob na portal, nakakakuha sila ng isa pang console. Ang laki ng puhunan ng oras at mga mapagkukunan sa isang bagong tool ay nakasalalay sa mga hamon na nasa kamay at ang mga uri ng analytics na kailangan upang malutas ang mga ito, at kadalasan ay nangangailangan ng malalaking pamumuhunan.

Taliwas sa sinasabi ng maraming mga tagagawa, ang UEBA ay hindi isang tool na "itakda ito at kalimutan ito" na maaaring tumakbo nang tuluy-tuloy sa loob ng ilang araw.
Ang mga kliyente ng Gartner, halimbawa, tandaan na ito ay tumatagal mula 3 hanggang 6 na buwan upang maglunsad ng isang inisyatiba ng UEBA mula sa simula upang makuha ang mga unang resulta ng paglutas ng mga problema kung saan ipinatupad ang solusyong ito. Para sa mas kumplikadong mga gawain, tulad ng pagtukoy sa mga banta ng tagaloob sa isang organisasyon, ang panahon ay tataas sa 18 buwan.

Mga salik na nakakaimpluwensya sa kahirapan ng pagpapatupad ng UEBA at ang pagiging epektibo ng tool sa hinaharap:

  • Pagiging kumplikado ng arkitektura ng organisasyon, topology ng network at mga patakaran sa pamamahala ng data
  • Availability ng tamang data sa tamang antas ng detalye
  • Ang pagiging kumplikado ng mga algorithm ng analytics ng vendor—halimbawa, ang paggamit ng mga istatistikal na modelo at machine learning kumpara sa mga simpleng pattern at panuntunan.
  • Ang dami ng paunang na-configure na analytics na kasama—iyon ay, ang pag-unawa ng tagagawa sa kung anong data ang kailangang kolektahin para sa bawat gawain at kung anong mga variable at attribute ang pinakamahalaga upang maisagawa ang pagsusuri.
  • Gaano kadali para sa tagagawa na awtomatikong isama ang kinakailangang data.

    Halimbawa:

    • Kung ang isang solusyon sa UEBA ay gumagamit ng isang SIEM system bilang pangunahing pinagmumulan ng data nito, nangongolekta ba ang SIEM ng impormasyon mula sa mga kinakailangang mapagkukunan ng data?
    • Maaari bang i-ruta sa isang solusyon sa UEBA ang mga kinakailangang log ng kaganapan at data ng konteksto ng organisasyon?
    • Kung hindi pa kinokolekta at kinokontrol ng sistema ng SIEM ang mga pinagmumulan ng data na kailangan ng solusyon ng UEBA, kung gayon paano sila ililipat doon?

  • Gaano kahalaga ang senaryo ng aplikasyon para sa organisasyon, gaano karaming pinagmumulan ng data ang kailangan nito, at gaano kalaki ang pagsasanib ng gawaing ito sa lugar ng kadalubhasaan ng tagagawa.
  • Anong antas ng kapanahunan at pakikilahok ng organisasyon ang kinakailangan - halimbawa, ang paglikha, pagbuo at pagpipino ng mga panuntunan at modelo; pagtatalaga ng mga timbang sa mga variable para sa pagsusuri; o pagsasaayos ng threshold ng pagtatasa ng panganib.
  • Gaano nasusukat ang solusyon ng vendor at ang arkitektura nito kumpara sa kasalukuyang laki ng organisasyon at mga kinakailangan nito sa hinaharap.
  • Oras na para bumuo ng mga pangunahing modelo, profile at pangunahing grupo. Ang mga tagagawa ay madalas na nangangailangan ng hindi bababa sa 30 araw (at minsan hanggang 90 araw) upang magsagawa ng pagsusuri bago nila matukoy ang mga "normal" na konsepto. Maaaring mapabilis ng paglo-load ng dating data ang isang beses na pagsasanay sa modelo. Ang ilan sa mga kawili-wiling kaso ay maaaring matukoy nang mas mabilis gamit ang mga panuntunan kaysa sa paggamit ng machine learning na may napakaliit na halaga ng paunang data.
  • Ang antas ng pagsisikap na kinakailangan upang bumuo ng dynamic na pagpapangkat at account profiling (serbisyo/tao) ay maaaring mag-iba nang malaki sa pagitan ng mga solusyon.

Pinagmulan: www.habr.com

Magdagdag ng komento