ProHoster > Blog > internet haberleri > UEBA pazarı öldü, yaşasın UEBA

UEBA pazarı öldü, yaşasın UEBA

UEBA pazarı öldü, yaşasın UEBA

Bugün, en son gelişmelere dayanarak Kullanıcı ve Varlık Davranış Analizi (UEBA) pazarına kısa bir genel bakış sunacağız. Gartner araştırması. Gartner Hype Cycle for Threat-Facing Technologies'e göre UEBA pazarı "hayal kırıklığı aşamasının" en altında yer alıyor ve bu da teknolojinin olgunluğunu gösteriyor. Ancak durumun paradoksu, UEBA teknolojilerine yapılan yatırımların eş zamanlı genel büyümesinde ve bağımsız UEBA çözümleri pazarının ortadan kaybolmasında yatmaktadır. Gartner, UEBA'nın ilgili bilgi güvenliği çözümlerinin işlevselliğinin bir parçası haline geleceğini öngörüyor. "UEBA" terimi muhtemelen kullanım dışı kalacak ve yerini daha dar bir uygulama alanına (örneğin, "kullanıcı davranışı analitiği"), benzer bir uygulama alanına (örneğin, "veri analitiği") odaklanan başka bir kısaltmayla değiştirecek veya sadece bir kısaltma haline gelecektir. yeni moda sözcük (örneğin, "yapay zeka" [AI] terimi ilginç görünüyor, ancak modern UEBA üreticileri için bir anlam ifade etmiyor).

Gartner çalışmasının temel bulguları şu şekilde özetlenebilir:

  • Kullanıcıların ve kuruluşların davranışsal analitiği pazarının olgunluğu, bu teknolojilerin orta ve büyük kurumsal segment tarafından bir dizi iş sorununu çözmek için kullanılmasıyla doğrulanmaktadır;
  • UEBA analitik yetenekleri, bulut erişim güvenliği aracıları (CASB'ler), kimlik yönetişimi ve yönetimi (IGA) SIEM sistemleri gibi çok çeşitli ilgili bilgi güvenliği teknolojilerinde yerleşiktir;
  • UEBA satıcıları etrafındaki abartı ve "yapay zeka" teriminin yanlış kullanımı, müşterilerin bir pilot proje yürütmeden üreticilerin teknolojileri ile çözümlerin işlevselliği arasındaki gerçek farkı anlamalarını zorlaştırıyor;
  • Müşteriler, UEBA çözümlerinin uygulama süresinin ve günlük kullanımının, yalnızca temel tehdit algılama modelleri dikkate alındığında bile, üreticinin vaat ettiğinden daha fazla emek yoğun ve zaman alıcı olabileceğini belirtmektedir. Özel veya uç kullanım senaryolarının eklenmesi son derece zor olabilir ve veri bilimi ile analitik alanında uzmanlık gerektirir.

Stratejik pazar geliştirme tahmini:

  • 2021 yılına gelindiğinde, kullanıcı ve varlık davranış analizi (UEBA) sistemleri pazarı ayrı bir alan olarak varlığını sona erdirecek ve UEBA işlevselliğine sahip diğer çözümlere yönelecek;
  • 2020 yılına kadar tüm UEBA dağıtımlarının %95'i daha geniş bir güvenlik platformunun parçası olacak.

UEBA çözümlerinin tanımı

UEBA çözümleri, kullanıcıların ve diğer varlıkların (ana bilgisayarlar, uygulamalar, ağ trafiği ve veri depoları gibi) etkinliklerini değerlendirmek için yerleşik analitiği kullanır.
Belirli bir süre boyunca benzer gruplardaki kullanıcıların ve varlıkların standart profili ve davranışlarıyla karşılaştırıldığında genellikle anormal etkinlikleri temsil eden tehditleri ve potansiyel olayları tespit ederler.

Kurumsal segmentteki en yaygın kullanım örnekleri, tehdit tespiti ve müdahalesinin yanı sıra içeriden gelen tehditlerin (çoğunlukla güvenliği ihlal edilmiş iç kişiler; bazen dahili saldırganlar) tespiti ve bunlara yanıt verilmesidir.

UEBA şöyle kararVe işlevi, belirli bir araca yerleşik olarak:

  • Çözüm, SIEM çözümlerini ayrıca satan satıcılar da dahil olmak üzere "saf" UEBA platformlarının üreticileridir. Hem kullanıcıların hem de varlıkların davranışsal analitiğinde çok çeşitli iş sorunlarına odaklanılmıştır.
  • Gömülü – UEBA işlevlerini ve teknolojilerini çözümlerine entegre eden üreticiler/bölümler. Genellikle daha spesifik iş sorunlarına odaklanır. Bu durumda UEBA, kullanıcıların ve/veya varlıkların davranışlarını analiz etmek için kullanılır.

Gartner, UEBA'yı sorun çözücüler, analitikler ve veri kaynakları dahil olmak üzere üç eksende inceliyor (şekle bakın).

UEBA pazarı öldü, yaşasın UEBA

"Saf" UEBA platformları ve yerleşik UEBA

Gartner, "saf" bir UEBA platformunun aşağıdaki özelliklere sahip çözümler olduğunu düşünüyor:

  • yalnızca soyut "anormal kullanıcı etkinliğinin izlenmesi" değil, ayrıcalıklı kullanıcıların izlenmesi veya kuruluş dışına veri çıkışı gibi çeşitli belirli sorunları çözmek;
  • zorunlu olarak temel analitik yaklaşımlara dayanan karmaşık analitiklerin kullanımını içerir;
  • altyapıda ayrı aracıların dağıtılması zorunluluğu olmaksızın hem yerleşik veri kaynağı mekanizmaları hem de günlük yönetimi araçları, Veri gölü ve/veya SIEM sistemleri dahil olmak üzere veri toplama için çeşitli seçenekler sunmak;
  • dahil olmak yerine bağımsız çözümler olarak satın alınabilir ve dağıtılabilir
    diğer ürünlerin bileşimi.

Aşağıdaki tablo iki yaklaşımı karşılaştırmaktadır.

Tablo 1. “Saf” UEBA çözümleri ile yerleşik çözümlerin karşılaştırması

Kategori "Saf" UEBA platformları Yerleşik UEBA'ya sahip diğer çözümler
Çözülmesi gereken sorun Kullanıcı davranışının ve varlıkların analizi. Veri eksikliği, UEBA'nın yalnızca kullanıcıların veya varlıkların davranışlarını analiz etmesini sınırlayabilir.
Çözülmesi gereken sorun Çok çeşitli sorunların çözümüne hizmet eder Sınırlı sayıda görevde uzmanlaşır
Analytics Kurallar ve imzalarla birlikte temel olarak istatistiksel modeller ve makine öğrenimi yoluyla çeşitli analitik yöntemler kullanılarak anormallik tespiti. Kullanıcı ve varlık etkinliğini oluşturmak ve kendilerinin ve meslektaşlarının profilleriyle karşılaştırmak için yerleşik analizlerle birlikte gelir. Saf UEBA'ya benzer ancak analiz yalnızca kullanıcılar ve/veya varlıklarla sınırlandırılabilir.
Analytics Yalnızca kurallarla sınırlı olmayan gelişmiş analitik yetenekler. Örneğin, varlıkların dinamik olarak gruplandırıldığı bir kümeleme algoritması. "Saf" UEBA'ya benzer ancak bazı yerleşik tehdit modellerindeki varlık gruplaması yalnızca manuel olarak değiştirilebilir.
Analytics Kullanıcıların ve diğer varlıkların faaliyet ve davranışlarının ilişkilendirilmesi (örneğin, Bayes ağlarının kullanılması) ve anormal faaliyetin belirlenmesi amacıyla bireysel risk davranışlarının toplanması. Saf UEBA'ya benzer ancak analiz yalnızca kullanıcılar ve/veya varlıklarla sınırlandırılabilir.
Veri kaynakları SIEM veya Data lake gibi yerleşik mekanizmalar veya mevcut veri depoları aracılığıyla doğrudan veri kaynaklarından kullanıcılara ve varlıklara ilişkin olayların alınması. Veri elde etme mekanizmaları genellikle yalnızca doğrudandır ve yalnızca kullanıcıları ve/veya diğer varlıkları etkiler. Günlük yönetimi araçlarını / SIEM / Veri gölü kullanmayın.
Veri kaynakları Çözüm, ana veri kaynağı olarak yalnızca ağ trafiğine güvenmemeli veya telemetri toplamak için yalnızca kendi aracılarına güvenmemelidir. Çözüm yalnızca ağ trafiğine odaklanabilir (örneğin, NTA - ağ trafiği analizi) ve/veya aracılarını uç cihazlarda kullanabilir (örneğin, çalışan izleme yardımcı programları).
Veri kaynakları Kullanıcı/varlık verilerinin bağlamla doyurulması. Yapılandırılmış olayların gerçek zamanlı olarak toplanmasını ve ayrıca BT dizinlerinden (örneğin, Active Directory (AD) veya makine tarafından okunabilen diğer bilgi kaynaklarından (örneğin İK veritabanları) yapılandırılmış/yapılandırılmamış) tutarlı verilerin toplanmasını destekler. Saf UEBA'ya benzer ancak bağlamsal verilerin kapsamı duruma göre farklılık gösterebilir. AD ve LDAP, yerleşik UEBA çözümleri tarafından kullanılan en yaygın bağlamsal veri depolarıdır.
Durumu Listelenen özellikleri bağımsız bir ürün olarak sağlar. Yerleşik UEBA işlevselliğini, yerleşik olduğu harici bir çözümü satın almadan satın almak imkansızdır.
Kaynak: Gartner (Mayıs 2019)

Bu nedenle, belirli sorunları çözmek için yerleşik UEBA, temel UEBA analizlerini (örneğin, basit denetimsiz makine öğrenimi) kullanabilir, ancak aynı zamanda tam olarak gerekli verilere erişim nedeniyle, genel olarak "saf" bir sistemden daha etkili olabilir. UEBA çözümü. Aynı zamanda "saf" UEBA platformları, beklendiği gibi, yerleşik UEBA aracıyla karşılaştırıldığında ana teknik bilgi olarak daha karmaşık analizler sunuyor. Bu sonuçlar Tablo 2'de özetlenmiştir.

Tablo 2. “Saf” ve yerleşik UEBA arasındaki farkların sonucu

Kategori "Saf" UEBA platformları Yerleşik UEBA'ya sahip diğer çözümler
Analytics Çeşitli iş sorunlarının çözümü için uygulanabilirlik, daha karmaşık analitik ve makine öğrenimi modellerine vurgu yapan daha evrensel bir UEBA işlevleri kümesi anlamına gelir. Daha küçük bir dizi iş sorununa odaklanmak, daha basit bir mantıkla uygulamaya özel modellere odaklanan son derece uzmanlaşmış özellikler anlamına gelir.
Analytics Her uygulama senaryosu için analitik modelin özelleştirilmesi gereklidir. Analitik modeller, UEBA'nın yerleşik olduğu araç için önceden yapılandırılmıştır. Yerleşik UEBA'ya sahip bir araç genellikle belirli iş sorunlarını çözmede daha hızlı sonuçlar elde eder.
Veri kaynakları Kurumsal altyapının her köşesinden veri kaynaklarına erişim. Genellikle aracıların kullanılabilirliği veya UEBA işlevlerine sahip aracın kendisi ile sınırlı olan daha az veri kaynağı.
Veri kaynakları Her bir günlükte yer alan bilgiler, veri kaynağı tarafından sınırlandırılabilir ve merkezi UEBA aracı için gerekli tüm verileri içermeyebilir. Temsilci tarafından toplanan ve UEBA'ya iletilen ham verilerin miktarı ve ayrıntısı özel olarak yapılandırılabilir.
Mimari Bir kuruluş için eksiksiz bir UEBA ürünüdür. Bir SIEM sisteminin veya Veri gölünün yeteneklerini kullanarak entegrasyon daha kolaydır. Yerleşik UEBA'ya sahip çözümlerin her biri için ayrı bir UEBA özellikleri seti gerektirir. Gömülü UEBA çözümleri genellikle aracıların kurulmasını ve verilerin yönetilmesini gerektirir.
bütünleşme Her durumda UEBA çözümünün diğer araçlarla manuel entegrasyonu. Bir kuruluşun teknoloji yığınını "analoglar arasında en iyisi" yaklaşımına dayalı olarak oluşturmasına olanak tanır. UEBA işlevlerinin ana paketleri, üretici tarafından zaten aracın içine dahil edilmiştir. UEBA modülü yerleşiktir ve çıkarılamaz, dolayısıyla müşteriler onu kendilerine ait bir şeyle değiştiremez.
Kaynak: Gartner (Mayıs 2019)

Bir işlev olarak UEBA

UEBA, ek analitiklerden yararlanabilecek uçtan uca siber güvenlik çözümlerinin bir özelliği haline geliyor. UEBA, kullanıcı ve/veya varlık davranış modellerine dayalı güçlü bir gelişmiş analitik katmanı sağlayarak bu çözümlerin temelini oluşturur.

Şu anda piyasada yerleşik UEBA işlevselliği, teknolojik kapsama göre gruplandırılmış aşağıdaki çözümlerde uygulanmaktadır:

  • Veri odaklı denetim ve koruma, yapılandırılmış ve yapılandırılmamış veri depolamanın (diğer adıyla DCAP) güvenliğini artırmaya odaklanan satıcılardır.

    Gartner, bu satıcı kategorisinde diğer şeylerin yanı sıra şunları belirtiyor: Varonis siber güvenlik platformuFarklı bilgi depolarındaki yapılandırılmamış veri izinleri, erişim ve kullanımdaki değişiklikleri izlemek için kullanıcı davranışı analitiği sunan .

  • CASB sistemleriUyarlanabilir bir erişim kontrol sistemi kullanarak istenmeyen cihazların, kullanıcıların ve uygulama sürümlerinin bulut hizmetlerine erişimini engelleyerek bulut tabanlı SaaS uygulamalarındaki çeşitli tehditlere karşı koruma sağlar.

    Pazar lideri CASB çözümlerinin tümü UEBA yeteneklerini içerir.

  • DLP çözümleri – kritik verilerin kuruluş dışına aktarımının veya kötüye kullanımının tespit edilmesine odaklanmıştır.

    DLP ilerlemeleri büyük ölçüde içeriğin anlaşılmasına dayanır; kullanıcı, uygulama, konum, zaman, olayların hızı ve diğer dış faktörler gibi bağlamın anlaşılmasına daha az odaklanır. Etkili olabilmesi için DLP ürünlerinin hem içeriği hem de bağlamı tanıması gerekir. Bu nedenle birçok üretici UEBA işlevselliğini çözümlerine entegre etmeye başlıyor.

  • Çalışan izleme Çalışan eylemlerini genellikle yasal işlemlere uygun bir veri formatında (gerekirse) kaydetme ve tekrar oynatma yeteneğidir.

    Kullanıcıları sürekli izlemek, genellikle manuel filtreleme ve insan analizi gerektiren çok büyük miktarda veri üretir. Bu nedenle, bu çözümlerin performansını artırmak ve yalnızca yüksek riskli olayları tespit etmek için izleme sistemlerinde UEBA kullanılır.

  • Uç Nokta Güvenliği – Uç nokta algılama ve yanıt (EDR) çözümleri ve uç nokta koruma platformları (EPP), güçlü enstrümantasyon ve işletim sistemi telemetrisi sağlar.
    son cihazlar.

    Bu tür kullanıcıyla ilgili telemetri, yerleşik UEBA işlevselliği sağlamak üzere analiz edilebilir.

  • Çevrimiçi dolandırıcılık – Çevrimiçi dolandırıcılık tespit çözümleri, bir müşterinin hesabının sahtekarlık, kötü amaçlı yazılım veya güvenli olmayan bağlantıların/tarayıcı trafiğinin ele geçirilmesi yoluyla kullanılması yoluyla ele geçirildiğini gösteren sapkın etkinlikleri tespit eder.

    Çoğu dolandırıcılık çözümü, UEBA'nın özünü, yani işlem analizini ve cihaz ölçümünü kullanır; daha gelişmiş sistemler ise kimlik veritabanındaki ilişkileri eşleştirerek bunları tamamlar.

  • IAM ve erişim kontrolü – Gartner, erişim kontrol sistemi satıcıları arasında saf satıcılarla entegre olma ve ürünlerine bazı UEBA işlevleri ekleme yönünde evrimsel bir eğilime dikkat çekiyor.
  • IAM ve Kimlik Yönetişim ve Yönetim (IGA) sistemleri Anormallik tespiti, benzer varlıkların dinamik gruplandırma analizi, oturum açma analizi ve erişim politikası analizi gibi davranışsal ve kimlik analitiği senaryolarını kapsamak için UEBA'yı kullanın.
  • IAM ve Ayrıcalıklı Erişim Yönetimi (PAM) – Yönetici hesaplarının kullanımını izleme rolü nedeniyle PAM çözümleri, yönetici hesaplarının nasıl, neden, ne zaman ve nerede kullanıldığını gösteren telemetriye sahiptir. Bu veriler, yöneticilerin anormal davranışlarının veya kötü niyetli niyetin varlığına karşı UEBA'nın yerleşik işlevselliği kullanılarak analiz edilebilir.
  • Üreticiler NTA (Ağ Trafiği Analizi) – kurumsal ağlardaki şüpheli etkinlikleri tanımlamak için makine öğrenimi, gelişmiş analitik ve kural tabanlı tespitin bir kombinasyonunu kullanın.

    NTA araçları, öncelikle varlık davranışı analitiğine odaklanarak normal ağ davranışını yansıtan modeller oluşturmak için kaynak trafiğini ve/veya akış kayıtlarını (örneğin NetFlow) sürekli olarak analiz eder.

  • SİEM – birçok SIEM satıcısı artık SIEM'de veya ayrı bir UEBA modülü olarak yerleşik gelişmiş veri analitiği işlevselliğine sahiptir. Makalede tartışıldığı gibi, 2018 boyunca ve 2019'un şu ana kadar SIEM ve UEBA işlevleri arasındaki sınırlar sürekli olarak bulanıklaştı. "Modern SIEM için Teknoloji İçgörüsü". SIEM sistemleri analitikle çalışma ve daha karmaşık uygulama senaryoları sunma konusunda daha iyi hale geldi.

UEBA Uygulama Senaryoları

UEBA çözümleri çok çeşitli sorunları çözebilir. Ancak Gartner müşterileri, birincil kullanım senaryosunun, kullanıcı davranışı ile diğer varlıklar arasındaki sık görülen korelasyonların görüntülenmesi ve analiz edilmesiyle elde edilen çeşitli tehdit kategorilerinin tespitini içerdiği konusunda hemfikirdir:

  • verilere yetkisiz erişim ve verilerin taşınması;
  • ayrıcalıklı kullanıcıların şüpheli davranışları, çalışanların kötü niyetli veya yetkisiz faaliyetleri;
  • bulut kaynaklarının standart dışı erişimi ve kullanımı;
  • vb

Ayrıca dolandırıcılık veya çalışanların izlenmesi gibi siber güvenlikle ilgili olmayan, UEBA'nın haklı görülebileceği bir takım atipik kullanım durumları da mevcuttur. Ancak genellikle BT ve bilgi güvenliği dışındaki veri kaynaklarına veya bu alanı derinlemesine anlayan belirli analitik modellere ihtiyaç duyarlar. Hem UEBA üreticilerinin hem de müşterilerinin üzerinde mutabakata vardığı beş ana senaryo ve uygulama aşağıda açıklanmıştır.

"Kötü niyetli İçeriden"

Bu senaryoyu kapsayan UEBA çözüm sağlayıcıları yalnızca çalışanları ve güvenilir yüklenicileri olağandışı, "kötü" veya kötü niyetli davranışlara karşı izler. Bu uzmanlık alanındaki satıcılar, hizmet hesaplarının veya diğer insan dışı varlıkların davranışlarını izlemez veya analiz etmez. Büyük ölçüde bundan dolayı, bilgisayar korsanlarının mevcut hesapları ele geçirdiği gelişmiş tehditleri tespit etmeye odaklanmıyorlar. Bunun yerine, zararlı faaliyetlere karışan çalışanların tespit edilmesi amaçlanıyor.

Temel olarak, "kötü niyetli içeriden" kavramı, işverenlerine zarar vermenin yollarını arayan, kötü niyetli güvenilir kullanıcılardan kaynaklanmaktadır. Kötü niyetli niyetin ölçülmesi zor olduğundan, bu kategorideki en iyi satıcılar, denetim günlüklerinde kolayca bulunamayan bağlamsal davranış verilerini analiz eder.

Bu alandaki çözüm sağlayıcılar ayrıca davranışa bağlam sağlamak amacıyla e-posta içeriği, üretkenlik raporları veya sosyal medya bilgileri gibi yapılandırılmamış verileri en iyi şekilde ekler ve analiz eder.

Güvenliği ihlal edilmiş içeriden ve müdahaleci tehditler

Buradaki zorluk, saldırgan kuruluşa erişim sağladığında ve BT altyapısı içinde hareket etmeye başladığında "kötü" davranışı hızlı bir şekilde tespit edip analiz etmektir.
Bilinmeyen veya henüz tam olarak anlaşılamayan tehditler gibi iddialı tehditlerin (APT'ler) tespit edilmesi son derece zordur ve genellikle meşru kullanıcı etkinliği veya hizmet hesaplarının arkasına saklanır. Bu tür tehditler genellikle karmaşık bir işletim modeline sahiptir (örneğin, "makaleye bakın") Siber Ölüm Zincirini Ele Alma") veya davranışları henüz zararlı olarak değerlendirilmemiştir. Bu, basit analizler (örn. kalıplara, eşiklere veya korelasyon kurallarına göre eşleştirme) kullanılarak tespit edilmelerini zorlaştırır.

Bununla birlikte, bu izinsiz giriş yapan tehditlerin çoğu, genellikle şüphelenmeyen kullanıcıları veya varlıkları (başka bir deyişle güvenliği ihlal edilmiş içerideki kişiler) içeren standart dışı davranışlarla sonuçlanır. UEBA teknikleri, bu tür tehditleri tespit etmek, sinyal-gürültü oranını iyileştirmek, bildirim hacmini birleştirmek ve azaltmak, kalan uyarılara öncelik vermek ve olaya etkili müdahale ve soruşturmayı kolaylaştırmak için çeşitli ilginç fırsatlar sunar.

Bu sorunlu alanı hedefleyen UEBA satıcıları genellikle kuruluşun SIEM sistemleriyle çift yönlü entegrasyona sahiptir.

Veri Sızıntısı

Bu durumda görev, verilerin kuruluş dışına aktarıldığını tespit etmektir.
Bu zorluğa odaklanan satıcılar genellikle anormallik tespiti ve gelişmiş analitik ile DLP veya DAG yeteneklerinden yararlanır, böylece sinyal-gürültü oranını iyileştirir, bildirim hacmini birleştirir ve kalan tetikleyicilere öncelik verir. Ek bağlam için satıcılar genellikle ağ trafiğine (web proxy'leri gibi) ve uç nokta verilerine daha fazla güvenir; çünkü bu veri kaynaklarının analizi, veri sızdırma araştırmalarına yardımcı olabilir.

Veri sızıntısı tespiti, kuruluşu tehdit eden içeriden ve dışarıdan korsanları yakalamak için kullanılır.

Ayrıcalıklı erişimin tanımlanması ve yönetimi

Bu uzmanlık alanındaki bağımsız UEBA çözümlerinin üreticileri, aşırı ayrıcalıkları veya anormal erişimi belirlemek için kullanıcı davranışını önceden oluşturulmuş bir haklar sisteminin arka planına göre gözlemler ve analiz eder. Bu, ayrıcalıklı hesaplar ve hizmet hesapları da dahil olmak üzere tüm kullanıcı ve hesap türleri için geçerlidir. Kuruluşlar aynı zamanda atıl hesaplardan ve gereğinden yüksek kullanıcı ayrıcalıklarından kurtulmak için de UEBA'yı kullanıyor.

Olay önceliklendirme

Bu görevin amacı, hangi olayların veya potansiyel olayların ilk önce ele alınması gerektiğini anlamak için teknoloji yığınlarındaki çözümler tarafından oluşturulan bildirimlere öncelik vermektir. UEBA metodolojileri ve araçları, belirli bir kuruluş için özellikle anormal veya özellikle tehlikeli olan olayların belirlenmesinde faydalıdır. Bu durumda, UEBA mekanizması yalnızca temel düzeydeki faaliyet ve tehdit modellerini kullanmakla kalmaz, aynı zamanda verileri şirketin organizasyon yapısı hakkındaki bilgilerle (örneğin, kritik kaynaklar veya roller ve çalışanların erişim düzeyleri) doyurur.

UEBA çözümlerini uygulama sorunları

UEBA çözümlerinin pazardaki sıkıntıları yüksek fiyatları, karmaşık uygulama, bakım ve kullanımlarıdır. Şirketler farklı iç portalların sayısıyla uğraşırken, başka bir konsol alıyorlar. Yeni bir araca yapılan zaman ve kaynak yatırımının boyutu, eldeki görevlere ve bunları çözmek için gereken analiz türlerine bağlıdır ve çoğunlukla büyük yatırımlar gerektirir.

Birçok üreticinin iddia ettiğinin aksine, UEBA günlerce sürekli olarak çalışabilecek bir "ayarla ve unut" aracı değildir.
Örneğin Gartner müşterileri, bu çözümün uygulandığı sorunları çözmenin ilk sonuçlarını elde etmek için bir UEBA girişimini sıfırdan başlatmanın 3 ila 6 ay sürdüğünü belirtiyor. Bir kuruluştaki içeriden gelen tehditlerin belirlenmesi gibi daha karmaşık görevler için bu süre 18 aya çıkar.

UEBA'yı uygulamanın zorluğunu ve aracın gelecekteki etkinliğini etkileyen faktörler:

  • Organizasyon mimarisinin, ağ topolojisinin ve veri yönetimi politikalarının karmaşıklığı
  • Doğru verinin doğru ayrıntı seviyesinde bulunması
  • Satıcının analitik algoritmalarının karmaşıklığı; örneğin, istatistiksel modellerin ve makine öğreniminin kullanımı yerine basit kalıp ve kuralların kullanılması.
  • Önceden yapılandırılmış analizlerin miktarı, yani üreticinin her görev için hangi verilerin toplanması gerektiğine ve analizi gerçekleştirmek için hangi değişkenlerin ve niteliklerin en önemli olduğuna dair anlayışı.
  • Üreticinin gerekli verileri otomatik olarak entegre etmesi ne kadar kolay.

    Örneğin:

    • Bir UEBA çözümü, verilerinin ana kaynağı olarak bir SIEM sistemini kullanıyorsa, SIEM gerekli veri kaynaklarından bilgi topluyor mu?
    • Gerekli olay günlükleri ve organizasyonel içerik verileri bir UEBA çözümüne yönlendirilebilir mi?
    • SIEM sistemi, UEBA çözümünün ihtiyaç duyduğu veri kaynaklarını henüz toplayıp kontrol etmiyorsa, oraya nasıl aktarılabilir?

  • Uygulama senaryosunun kuruluş için ne kadar önemli olduğu, ne kadar veri kaynağına ihtiyaç duyduğu ve bu görevin üreticinin uzmanlık alanıyla ne kadar örtüştüğü.
  • Ne düzeyde kurumsal olgunluk ve katılımın gerekli olduğu – örneğin, kuralların ve modellerin oluşturulması, geliştirilmesi ve iyileştirilmesi; değerlendirme için değişkenlere ağırlık verilmesi; veya risk değerlendirme eşiğinin ayarlanması.
  • Satıcının çözümü ve mimarisi, kuruluşun mevcut boyutu ve gelecekteki gereksinimleriyle karşılaştırıldığında ne kadar ölçeklenebilir?
  • Temel modeller, profiller ve anahtar gruplar oluşturma zamanı. Üreticiler genellikle "normal" kavramları tanımlayabilmeleri için analiz yapmak için en az 30 güne (ve bazen 90 güne kadar) ihtiyaç duyarlar. Geçmiş verileri bir kez yüklemek model eğitimini hızlandırabilir. İlginç durumlardan bazıları, inanılmaz derecede küçük miktarda başlangıç ​​verileriyle makine öğrenimi kullanmaktan ziyade kurallar kullanılarak daha hızlı belirlenebilir.
  • Dinamik gruplama ve hesap profili oluşturma (hizmet/kişi) oluşturmak için gereken çaba düzeyi, çözümler arasında büyük farklılıklar gösterebilir.

Kaynak: habr.com

Yorum ekle