ProHoster > Блог > Новини інтернету > Ринок UEBA помер — хай живе UEBA

Ринок UEBA помер — хай живе UEBA

Ринок UEBA помер — хай живе UEBA

Сьогодні ми представимо короткий огляд ринку систем поведінкової аналітики користувачів та сутностей (UEBA) на основі останнього дослідження Gartner. Ринок UEBA знаходиться в нижній точці «стадії розчарування» Gartner Hype Cycle for Threat-Facing Technologies, що вказує на зрілість даної технології. Але парадокс ситуації полягає в одночасному загальному зростанні інвестицій у UEBA-технології та зникаючому ринку самостійних UEBA рішень. Gartner прогнозує, що UEBA стане частиною функціоналу суміжних рішень у сфері інформаційної безпеки. Термін «UEBA», швидше за все, вийде з ужитку і буде замінений на інший акронім, сфокусований на більш вузькій області застосування (наприклад, «аналітика поведінки користувачів»), на схожій області застосування (наприклад, «використання даних») або просто перетвориться на якесь нове модне слово (наприклад, термін «штучний інтелект» [ІІ] виглядає цікавим, хоч він і не несе жодного сенсу для сучасних виробників UEBA).

Ключові результати дослідження Gartner можна виразити так:

  • Підтвердженням зрілості ринку поведінкової аналітики користувачів та сутностей є факт використання даних технологій середнім та великим корпоративним сегментом для вирішення низки бізнес-завдань;
  • Функції UEBA-аналітики вбудовані у широкий діапазон суміжних технологій інформаційної безпеки, таких як брокери безпечного доступу до хмар (CASB), системи управління та адміністрування ідентифікацією (IGA) SIEM-системи;
  • Шуміха навколо вендорів UEBA та некоректне використання терміна «штучний інтелект» ускладнює розуміння замовниками реальної різниці між технологіями виробників та функціональними можливостями рішень без проведення пілотного проекту;
  • Покупці зазначають, що час впровадження та повсякденне використання UEBA рішень може бути більш трудомістким і забирати більше часу, ніж обіцяє виробник, навіть якщо розглядати лише базові моделі виявлення загроз. Додавання власних або граничних сценаріїв застосування може бути вкрай важким і вимагатим експертизи в науці про дані та аналітики.

Стратегічний прогноз розвитку ринку:

  • До 2021 року ринок систем поведінкової аналітики користувачів та сутностей (UEBA) припинить своє існування як окрема галузь і зрушить у бік інших рішень з функціоналом UEBA;
  • До 2020 року 95% усіх впроваджень UEBA буде частиною функціоналу ширшої платформи безпеки.

Визначення UEBA-рішень

Рішення UEBA використовують вбудовану аналітику для оцінки активності користувачів та інших сутностей (наприклад, хостів, додатків, мережевого трафіку та сховищ даних).
Вони виявляють загрози і потенційні інциденти, які зазвичай представляють аномальну активність порівняно зі стандартним профілем і поведінкою користувачів і сутностей у подібних групах за певний період.

Найбільш поширені сценарії застосування в корпоративному сегменті – виявлення загроз та відповідне реагування, а також детектування та відповідне реагування на внутрішні загрози (у більшості випадків – на скомпрометованих інсайдерів; іноді – на внутрішніх зловмисників).

UEBA є як рішенням, Так і функцією, вбудованою у певний інструмент:

  • Рішення – виробники «чистих» UEBA платформ, включаючи вендорів, які також продають окремо SIEM-рішення. Сфокусовані на широкому діапазоні бізнес-завдань щодо аналітики поведінки як користувачів, так і сутностей.
  • Вбудовані – виробники / підрозділи, що вбудовують UEBA функції та технології у свої рішення. Зазвичай сфокусовані більш специфічному наборі бізнес-завдань. У цьому випадку UEBA використовується для аналізу поведінки користувачів та/або сутностей.

Gartner розглядає UEBA у зрізі трьох осей, що включають розв'язувані завдання, аналітику та джерела даних (див. рисунок).

Ринок UEBA помер — хай живе UEBA

«Чисті» UEBA-платформи проти вбудованого UEBA

Gartner вважає «чистою» UEBA-платформою рішення, які:

  • вирішують кілька конкретних завдань, таких як моніторинг привілейованих користувачів або виведення даних за межі організації, а не просто абстрактний моніторинг аномальної активності користувачів;
  • мають на увазі використання складної аналітики, яка за потребою ґрунтується на базових аналітичних підходах;
  • надають кілька варіантів збору даних, включаючи як вбудовані механізми джерел даних, так і від інструментів управління журналами, Data lake та/або SIEM систем без обов'язкової необхідності розгортання окремих агентів в інфраструктурі;
  • можуть бути придбані та розгорнуті як самостійні рішення, а не включені до
    склад інших продуктів.

Нижче в таблиці подано порівняння двох підходів.

Таблиця 1. «Чисті» UEBA рішення vs вбудовані

Категорія «Чисті» UEBA платформи Інші рішення із вбудованим UEBA
Розв'язуване завдання Аналіз поведінки користувачів, і навіть сутностей. Недолік даних може обмежити UEBA в аналізі поведінки лише користувачів чи сутностей.
Розв'язуване завдання Служить для вирішення широкого спектру завдань Спеціалізується на обмеженому наборі завдань
Аналітика Виявлення аномалій за допомогою різних аналітичних методів – в основному через статистичні моделі та машинне навчання, спільно з правилами та сигнатурами. Постачається з вбудованою аналітикою для створення та порівняння активності користувачів та сутностей з їх профілями та профілями колег. Аналогічно «чистим» UEBA, проте аналіз може бути обмежений лише користувачами та/або сутностями.
Аналітика Розширені аналітичні можливості, не обмежені лише правилами. Наприклад – алгоритм кластеризації з динамічним угрупованням сутностей. Аналогічно «чистим» UEBA, проте угруповання сутностей у деяких моделях вбудованих загроз можна змінити лише вручну.
Аналітика Кореляція активності та поведінки користувачів та інших сутностей (наприклад, методом байєсівських мереж) та агрегація індивідуальної ризикової поведінки з метою виявити аномальну активність. Аналогічно «чистим» UEBA, проте аналіз може бути обмежений лише користувачами та/або сутностями.
Джерела даних Отримання подій користувачам та сутностям від джерел даних безпосередньо через вбудовані механізми або існуючі сховища даних, таких як SIEM або Data lake. Механізми отримання даних зазвичай лише безпосередньо і зачіпають лише користувачів та/або інші сутності. Не використовують інструменти управління журналами/SIEM/Data lake.
Джерела даних Рішення не повинно покладатися тільки на мережевий трафік як на основне джерело даних, так і виключно на власні агенти для збору телеметрії. Рішення може бути сфокусоване лише на мережевому трафіку (наприклад, NTA – аналіз мережного трафіку) та/або використовувати свої агенти на кінцевих пристроях (наприклад, утиліти моніторингу співробітників).
Джерела даних Насичення даних про користувачів / сутності контекстом. Підтримка збору структурованих подій у реальному часі, а також структурованих / неструктурованих зв'язкових даних з ІТ директорій – наприклад Active Directory (AD), або інших ресурсів з машиночитаною інформацією (наприклад, бази даних відділу кадрів). Аналогічно чистим UEBA, проте сфера охоплення контекстних даних може відрізнятися в різних випадках. AD та LDAP – найпоширеніші сховища контекстних даних, які використовуються вбудованими UEBA рішеннями.
Доступність Надає перелічені можливості як самостійний продукт. Неможливо купити вбудований UEBA функціонал без придбання зовнішнього рішення, в яке воно вбудоване.
Джерело: Gartner (травень 2019)

Таким чином, для вирішення певних завдань вбудований UEBA може використовувати базову UEBA-аналітику (наприклад, просте машинне навчання без вчителя), але при цьому завдяки доступу саме до потрібних даних може бути в цілому більш ефективним, ніж чисте UEBA рішення. При цьому «чисті» платформи UEBA очікувано пропонують складнішу аналітику як основне ноу-хау порівняно із вбудованим UEBA-інструментом. Дані результати коротко викладено у таблиці 2.

Таблиця 2. Результат відмінностей «чистих» та вбудованих UEBA

Категорія «Чисті» UEBA платформи Інші рішення із вбудованим UEBA
Аналітика Застосовність для вирішення безлічі бізнес-завдач має на увазі більш універсальний набір UEBA функцій з акцентом на складнішу аналітику та моделі машинного навчання. Акцент на меншому наборі бізнес-завдання передбачає вузькоспеціалізовані функції, сфокусовані на моделях для конкретних областей застосування з більш простою логікою.
Аналітика Кастомізація аналітичної моделі необхідна кожному за сценарію застосування. Аналітичні моделі заздалегідь налаштовані під інструмент, який вбудований UEBA. Інструментом із вбудованим UEBA загалом швидше досягається результат у вирішенні певних бізнес-завдань.
Джерела даних Доступ до джерел даних із усіх куточків корпоративної інфраструктури. Менша кількість джерел даних, зазвичай, обмежена наявністю під них агентів або самим інструментом з функціями UEBA.
Джерела даних Інформація, що міститься в кожному журналі, може бути обмежена джерелом даних і може містити не всі необхідні дані для централізованого інструменту UEBA. Кількість та детальність вихідних даних, що збираються агентом та передаються в UEBA, може бути спеціально налаштовано.
Архітектура Це закінчений UEBA продукт для організації. Найпростіше інтеграція з використанням можливостей SIEM системи або Data lake. Вимагає окремого набору функцій UEBA для кожного з рішень, які мають вбудований UEBA. Вбудовані UEBA рішення часто вимагають встановлювати агентів та керувати даними.
Інтеграція Ручна інтеграція UEBA рішення з іншими інструментами у кожному випадку. Дозволяє організації збудувати свій стек технологій на базі підходу «найкращий серед аналогів». Основні зв'язки функцій UEBA вже закладені у самому інструменті виробником. UEBA модуль вбудований та недоступний для вилучення, тому замовники не можуть замінити його на щось своє.
Джерело: Gartner (травень 2019)

UEBA як функція

UEBA стає функцією комплексних рішень щодо кібербезпеки, які можуть виграти від додаткової аналітики. UEBA лежить в основі цих рішень, являючи собою значний шар просунутої аналітики за моделями поведінки користувачів та/або сутностей.

На даний момент на ринку вбудований функціонал UEBA реалізований у наступних рішеннях, згрупованих за технологічною сферою застосування:

  • Аудит та захист, сфокусований на даних, – виробники, які сфокусовані на покращенні безпеки структурованих та неструктурованих сховищ даних (т.зв. DCAP).

    У цій категорії вендорів Gartner зазначає, зокрема, платформу кібербезпеки Varonis, яка пропонує аналіз поведінки користувачів для моніторингу змін прав доступу до неструктурованих даних, їх доступу та використання для різних сховищ інформації.

  • Системи CASB, що пропонують захист від різних загроз у хмарних SaaS-додатках шляхом блокування доступу до хмарних служб для небажаних пристроїв, користувачів та версій програм, використовуючи адаптивну систему контролю доступу.

    Всі лідируючі на ринку рішення CASB включають UEBA можливості.

  • DLP-рішення – сфокусовані на виявленні виведення критичних даних за межі організації чи їх зловживанні.

    Досягнення DLP здебільшого ґрунтуються на розумінні контенту, з меншим фокусом на розумінні контексту, такого як користувач, програма, місцезнаходження, час, швидкість подій та інші зовнішні фактори. Щоб бути ефективними, продукти DLP повинні розпізнавати і контент, і контекст. Саме тому багато виробників починають вбудовувати UEBA-функціонал у свої рішення.

  • Моніторинг співробітників – це можливість записувати та відтворювати дії співробітників, зазвичай у форматі даних, придатних для судових розглядів (за потреби).

    Постійне спостереження за користувачами часто генерує надмірну кількість даних, що потребує ручної фільтрації та аналізу людиною. Тому UEBA використовується всередині систем моніторингу для покращення роботи цих рішень та виявлення інцидентів лише з високим ступенем ризику.

  • Безпека кінцевих пристроїв – рішення щодо виявлення та реагування для кінцевих пристроїв (EDR) та платформи захисту кінцевих пристроїв (EPP) надають потужний інструментарій та телеметрію операційної системи на
    кінцевих пристроїв.

    Така зв'язкова телеметрія з користувачем може бути проаналізована для надання вбудованих функцій UEBA.

  • Онлайн-шахрайство - рішення щодо виявлення онлайн-шахрайства детектують відхиляється активність, що вказує на компрометації облікового запису клієнта через підставну особу, шкідливе ПЗ або експлуатацію незахищених з'єднань / перехоплення трафіку браузера.

    Більшість рішень щодо шахрайства використовують квінтесенцію UEBA, транзакційного аналізу та вимірювання характеристик пристрою, а більш просунуті системи доповнюють їх зіставленням зв'язків у базі даних ідентифікаторів особистості.

  • IAM та управління доступом – Gartner відзначає тренд в еволюції серед виробників систем управління доступом, який полягає в інтеграції з «чистими» вендорами та вбудовуванні деяких функцій UEBA у свої продукти.
  • IAM та системи управління та адміністрування ідентифікацією (IGA) використовують UEBA для покриття сценаріїв поведінкової та ідентифікаційної аналітики, таких як виявлення аномалій, аналіз динамічного угрупування схожих сутностей, аналіз входів у систему та аналіз політик доступу.
  • IAM та управління привілейованим доступом (PAM) – у зв'язку з займаною роллю контролю використання адміністративних облікових записів, PAM рішення мають телеметрію з метою відображення як, чому, коли і де були використані адміністративні облікові записи. Ці дані можуть бути проаналізовані за допомогою вбудованого функціоналу UEBA на наявність аномальної поведінки адміністраторів чи злого наміру.
  • Виробники NTA (Network Traffic Analysis) – використовують комбінацію машинного навчання, просунутої аналітики та виявлення на базі правил для виявлення підозрілої активності в корпоративних мережах.

    Інструменти NTA постійно аналізують вихідний трафік та/або записи потоків (наприклад, NetFlow) для побудови моделей, що відображають нормальну мережеву поведінку, головним чином сфокусувавшись на аналітиці поведінки сутностей.

  • сієм – багато SIEM-вендорів зараз мають просунутий функціонал аналітики даних, вбудований у SIEM, або у вигляді окремого UEBA-модуля. Протягом усього 2018 року і досі у 2019 році спостерігається безперервне стирання кордонів між функціоналом SIEM та UEBA, як розкрито у статті "Technology Insight for the Modern SIEM". SIEM-системи стали краще працювати з аналітикою та пропонують складніші сценарії застосування.

Сценарії застосування UEBA

UEBA рішення можуть вирішувати широкий спектр завдань. Однак клієнти Gartner згодні з тим, що основний сценарій застосування включає виявлення різних категорій загроз, що досягається за рахунок відображення та аналізу частих кореляцій поведінки користувачів та інших сутностей:

  • неавторизований доступ та переміщення даних;
  • підозріла поведінка привілейованих користувачів, шкідливої ​​чи неавторизованої активності співробітників;
  • нестандартний доступ та використання хмарних ресурсів;
  • та ін.

Також існує низка нетипових сценаріїв застосування, не пов'язаних з кібербезпекою, таких як шахрайство або моніторинг працівників, для яких використання UEBA може бути виправданим. Однак вони часто вимагають джерел даних, не пов'язаних з ІТ та ІБ, або специфічних аналітичних моделей із глибоким розумінням даної сфери. П'ять основних сценаріїв та сфер застосування, з якими згодні як виробники UEBA, так і їх клієнти, описані нижче.

«Шкідливий інсайдер»

Постачальники UEBA-рішень, що покривають цей сценарій, спостерігають за співробітниками та довіреними підрядниками лише у зрізі нестандартної, «поганої» чи шкідливої ​​поведінки. Вендори у цій галузі експертизи не відстежують і аналізують поведінка сервісних облікових записів чи інших нелюдських сутностей. Здебільшого саме через це вони не орієнтовані на виявлення погроз, коли хакери захоплюють існуючі облікові записи. Натомість вони спрямовані на виявлення співробітників, які беруть участь у шкідливій діяльності.

По суті, поняття «шкідливого інсайдера» походить від довірених користувачів зі злим наміром, які шукають шляхи нанесення шкоди своєму роботодавцю. Так як злий намір важко оцінити, найкращі виробники в цій категорії аналізують дані контекстної поведінки, недоступні так просто в журналах аудиту.

Постачальники рішень у цій галузі також оптимально додають та аналізують неструктуровані дані, такі як контент електронного листа, звіти щодо продуктивності праці або інформацію з соціальних мереж, щоб формувати контекст поведінки.

Скомпрометований інсайдер та нав'язливі загрози

Завдання полягає у швидкому виявленні та аналізі «поганої» поведінки, як тільки атакуючий отримав доступ до організації та почав пересування всередині ІТ-інфраструктури.
Нав'язливі загрози (APT), як і невідомі, або ще не до кінця вивчені загрози, надзвичайно складні у виявленні та часто ховаються під легітимною активністю користувачів чи службових облікових записів. Такі погрози зазвичай мають комплексну модель роботи (див., наприклад, статтю « Addressing the Cyber ​​Kill Chain«) або їхня поведінка поки що не була розцінена як шкідлива. Це робить їх складними у виявленні за допомогою простої аналітики (наприклад, зіставлення за шаблонами, граничними значеннями або правилами кореляції).

Однак багато з цих нав'язливих загроз призводять до поведінки, відмінного від стандартного, часто пов'язаного з користувачами або сутностями, що не підозрюють (т.зв. скомпрометованими інсайдерами). Методики UEBA пропонують кілька цікавих можливостей виявити такі загрози, підвищити співвідношення сигнал/шум, консолідувати і знизити обсяг повідомлень, пріоритизувати спрацьовування, що залишилися, і сприяти ефективному реагуванню і розслідуванню інцидентів.

Виробники UEBA, націлені на цю область завдань, часто мають двонаправлену інтеграцію із SIEM-системами в організації.

Ексфільтрація даних

Завдання у разі полягає у виявленні факту виведення даних межі організації.
Виробники, сфокусовані на цьому завданні, зазвичай посилюють можливості DLP-систем або систем управління доступом до даних (DAG) з виявленням аномалій і просунутою аналітикою, тим самим підвищуючи співвідношення сигнал/шум, консолідуючи обсяг повідомлень і пріоритизуючи спрацьовування. Для додаткового контексту виробники зазвичай більше покладаються на мережевий трафік (наприклад, веб-проксі) та дані кінцевих пристроїв, оскільки аналіз цих джерел даних може допомогти у розслідуванні ексфільтрації даних.

Виявлення ексфільтрації даних використовується для упіймання інсайдерів та зовнішніх хакерів, що загрожують організації.

Ідентифікація та керування привілейованим доступом

Виробники самостійних UEBA-рішень у цій галузі експертизи спостерігають і аналізують поведінку користувачів на тлі системи прав, що вже сформувалася, з метою виявлення зайвих привілеїв або аномального доступу. Це стосується всіх типів користувачів та облікових записів, включаючи привілейовані та сервісні облікові записи. Організації також використовують UEBA, щоб позбутися бездіяльних облікових записів та користувацьких привілеїв, рівень яких вищий, ніж потрібно.

Пріоритизація інцидентів

Мета даної задачі полягає в пріорітизації повідомлень, що генеруються рішеннями їх технологічного стеку, щоб зрозуміти, на які інциденти чи потенційні інциденти слід звернути увагу насамперед. Методології та інструменти UEBA корисні у визначенні особливо аномальних інцидентів або особливо небезпечних для цієї конкретної організації. У цьому випадку механізм UEBA не тільки використовує базовий рівень активності та моделі загроз, але й насичує дані інформацією про організаційну структуру компанії (наприклад, критично важливі ресурси чи ролі та рівні доступу співробітників).

Проблеми впровадження UEBA-рішень

Ринковий біль UEBA-рішень полягає в їх високій ціні, складному впровадженні, обслуговуванні та використанні. Коли компанії намагаються боротися з кількістю різних внутрішніх порталів, вони отримують ще одну консоль. Розмір інвестицій часу та ресурсів у новий інструмент залежить від стоящих завдань та типів аналітики, які необхідні для їх вирішення, і найчастіше вимагають великих вкладень.

Всупереч заявам багатьох виробників, UEBA – це не інструмент із розряду «настроїв і забув», який потім може безперервно працювати днями безперервно.
Клієнти Gartner, наприклад, зазначають, що потрібно від 3 до 6 місяців для запуску UEBA ініціативи з нуля до отримання перших результатів вирішення завдань, заради яких це рішення було впроваджено. Для більш складних завдань, таких як виявлення інсайдерських загроз організації, термін збільшується до 18 місяців.

Чинники, що впливають на складність впровадження UEBA та майбутню ефективність інструменту:

  • Складність архітектури організації, мережевої топології та політики управління даними
  • Доступність потрібних даних із потрібним рівнем деталізації
  • Складність алгоритмів аналітики від виробника – наприклад, використання статистичних моделей та машинного навчання проти простих шаблонів та правил.
  • Кількість попередньо налаштованої аналітики, що йде в комплекті – тобто розуміння виробника, які дані необхідно збирати для кожного із завдань та які змінні та атрибути найбільш важливі для виконання аналізу.
  • Наскільки просто виробнику автоматично інтегруватись з необхідними даними.

    Наприклад:

    • Якщо UEBA-рішення використовує SIEM-систему як основне джерело своїх даних, чи збирає SIEM інформацію з необхідних джерел даних?
    • Чи можна надіслати необхідні журнали подій та контекстні дані організації до UEBA-рішення?
    • Якщо SIEM-система ще не збирає та не контролює джерела даних, необхідні UEBA-рішенню, то яким чином їх можна туди передати?

  • Наскільки важливий для організації сценарій застосування, скільки для нього потрібні джерела даних, і наскільки це завдання перетинається з областю експертизи виробника.
  • Який ступінь організаційної зрілості та залучення потрібний – наприклад, створення, розробка та доопрацювання правил та моделей; призначенням вагових коефіцієнтів змінним для оцінки; або коригування граничного значення оцінки ризиків.
  • Наскільки масштабується рішення виробника та його архітектура порівняно з поточними розмірами організації та її майбутніми вимогами.
  • Час побудови базових моделей, профілів та ключових груп. Виробникам часто потрібно не менше 30 днів (а іноді і до 90 днів) для проведення аналізу, перш ніж вони зможуть визначити поняття норми. Разове завантаження історичних даних може прискорити навчання моделей. Деякі з цікавих випадків можна швидше виявити за допомогою правил, ніж використовувати машинне навчання з неймовірно малою кількістю початкових даних.
  • Рівень зусиль, потрібних для побудови динамічного угруповання та профілювання облікових записів (служба/людина), може сильно відрізнятися між рішеннями.

Джерело: habr.com

Додати коментар або відгук