پرو ہوسٹر > بلاگ > انٹرنیٹ کی خبریں > UEBA مارکیٹ ختم ہو چکی ہے - UEBA زندہ باد

UEBA مارکیٹ ختم ہو چکی ہے - UEBA زندہ باد

UEBA مارکیٹ ختم ہو چکی ہے - UEBA زندہ باد

آج ہم تازہ ترین کی بنیاد پر صارف اور ہستی کے طرز عمل کے تجزیات (UEBA) مارکیٹ کا ایک مختصر جائزہ فراہم کریں گے۔ گارٹنر کی تحقیق. گارٹنر ہائپ سائیکل فار تھریٹ فیسنگ ٹیکنالوجیز کے مطابق UEBA مارکیٹ "بے خوفی کے مرحلے" کے نیچے ہے، جو ٹیکنالوجی کی پختگی کی نشاندہی کرتی ہے۔ لیکن صورتحال کا تضاد UEBA ٹیکنالوجیز میں سرمایہ کاری کی بیک وقت عمومی ترقی اور UEBA کے آزاد حلوں کی غائب ہونے والی مارکیٹ میں ہے۔ گارٹنر نے پیش گوئی کی ہے کہ UEBA متعلقہ معلومات کے تحفظ کے حل کی فعالیت کا حصہ بن جائے گا۔ "UEBA" کی اصطلاح ممکنہ طور پر استعمال سے باہر ہو جائے گی اور اس کی جگہ کسی اور مخفف سے لے لی جائے گی جو ایک تنگ ایپلیکیشن ایریا (جیسے "صارف کے رویے کے تجزیات") پر مرکوز ہو گی، اسی طرح کے ایپلیکیشن ایریا (مثلاً، "ڈیٹا اینالیٹکس")، یا محض کچھ بن جائے گی۔ نیا buzzword (مثال کے طور پر، اصطلاح "مصنوعی ذہانت" [AI] دلچسپ لگتی ہے، حالانکہ جدید UEBA مینوفیکچررز کے لیے اس کا کوئی مطلب نہیں ہے)۔

گارٹنر کے مطالعے سے حاصل ہونے والے اہم نتائج کا خلاصہ اس طرح کیا جا سکتا ہے:

  • صارفین اور اداروں کے طرز عمل کے تجزیات کے لیے مارکیٹ کی پختگی کی تصدیق اس حقیقت سے ہوتی ہے کہ ان ٹیکنالوجیز کو درمیانے اور بڑے کارپوریٹ طبقہ کی جانب سے کاروباری مسائل کی ایک بڑی تعداد کو حل کرنے کے لیے استعمال کیا جاتا ہے۔
  • UEBA تجزیاتی صلاحیتیں متعلقہ معلومات کی حفاظتی ٹیکنالوجیز کی وسیع رینج میں بنائی گئی ہیں، جیسے کلاؤڈ ایکسیس سیکیورٹی بروکرز (CASBs)، شناختی حکمرانی اور انتظامیہ (IGA) SIEM سسٹمز؛
  • UEBA وینڈرز کے گرد پھیلی ہوئی افواہوں اور "مصنوعی ذہانت" کی اصطلاح کا غلط استعمال صارفین کے لیے مینوفیکچررز کی ٹیکنالوجیز اور حل کی فعالیت کے درمیان حقیقی فرق کو سمجھنا مشکل بناتا ہے بغیر پائلٹ پروجیکٹ کے۔
  • صارفین نوٹ کرتے ہیں کہ UEBA سلوشنز کے نفاذ کا وقت اور یومیہ استعمال مینوفیکچرر کے وعدوں سے زیادہ محنت طلب اور وقت طلب ہو سکتا ہے، یہاں تک کہ جب صرف بنیادی خطرے کا پتہ لگانے والے ماڈلز پر غور کیا جائے۔ اپنی مرضی کے مطابق یا کنارے کے استعمال کے معاملات کو شامل کرنا انتہائی مشکل ہوسکتا ہے اور ڈیٹا سائنس اور تجزیات میں مہارت کی ضرورت ہوتی ہے۔

اسٹریٹجک مارکیٹ کی ترقی کی پیشن گوئی:

  • 2021 تک، صارف اور ہستی کے طرز عمل کے تجزیات (UEBA) سسٹمز کی مارکیٹ ایک علیحدہ علاقے کے طور پر ختم ہو جائے گی اور UEBA کی فعالیت کے ساتھ دیگر حلوں کی طرف منتقل ہو جائے گی۔
  • 2020 تک، UEBA کی تمام تعیناتیوں کا 95% ایک وسیع تر سیکورٹی پلیٹ فارم کا حصہ ہوں گے۔

UEBA حل کی تعریف

UEBA سلوشنز صارفین اور دیگر اداروں (جیسے میزبان، ایپلی کیشنز، نیٹ ورک ٹریفک اور ڈیٹا اسٹورز) کی سرگرمی کا جائزہ لینے کے لیے بلٹ ان اینالیٹکس کا استعمال کرتے ہیں۔
وہ خطرات اور ممکنہ واقعات کا پتہ لگاتے ہیں، عام طور پر ایک مدت کے دوران اسی طرح کے گروپوں میں صارفین اور اداروں کے معیاری پروفائل اور برتاؤ کے مقابلے میں غیر معمولی سرگرمی کی نمائندگی کرتے ہیں۔

انٹرپرائز سیگمنٹ میں سب سے زیادہ عام استعمال کے معاملات خطرے کا پتہ لگانے اور ردعمل کے ساتھ ساتھ اندرونی خطرات (زیادہ تر سمجھوتہ شدہ اندرونی؛ بعض اوقات اندرونی حملہ آور) کا پتہ لگانا اور جواب دیتے ہیں۔

UEBA کی طرح ہے۔ فیصلہاور فنکشن، ایک مخصوص ٹول میں بنایا گیا ہے:

  • حل "خالص" UEBA پلیٹ فارمز کے مینوفیکچررز ہیں، بشمول وینڈرز جو الگ سے SIEM حل بھی فروخت کرتے ہیں۔ صارفین اور اداروں دونوں کے طرز عمل کے تجزیات میں کاروباری مسائل کی ایک وسیع رینج پر توجہ مرکوز کی۔
  • ایمبیڈڈ - مینوفیکچررز/ ڈویژنز جو UEBA فنکشنز اور ٹیکنالوجیز کو اپنے حل میں ضم کرتے ہیں۔ عام طور پر کاروباری مسائل کے زیادہ مخصوص سیٹ پر توجہ مرکوز کی جاتی ہے۔ اس صورت میں، UEBA کا استعمال صارفین اور/یا اداروں کے رویے کا تجزیہ کرنے کے لیے کیا جاتا ہے۔

گارٹنر UEBA کو تین محوروں کے ساتھ دیکھتا ہے، بشمول مسئلہ حل کرنے والے، تجزیات، اور ڈیٹا کے ذرائع (شکل دیکھیں)۔

UEBA مارکیٹ ختم ہو چکی ہے - UEBA زندہ باد

"خالص" UEBA پلیٹ فارم بمقابلہ بلٹ ان UEBA

گارٹنر ایک "خالص" UEBA پلیٹ فارم کو حل سمجھتا ہے کہ:

  • کئی مخصوص مسائل کو حل کرنا، جیسے کہ مراعات یافتہ صارفین کی نگرانی کرنا یا تنظیم سے باہر ڈیٹا آؤٹ پٹ کرنا، اور نہ صرف خلاصہ "صارف کی غیر معمولی سرگرمی کی نگرانی"؛
  • پیچیدہ تجزیات کا استعمال شامل کریں، ضروری طور پر بنیادی تجزیاتی نقطہ نظر پر مبنی؛
  • بنیادی ڈھانچے میں علیحدہ ایجنٹوں کو تعینات کرنے کی لازمی ضرورت کے بغیر، ڈیٹا اکٹھا کرنے کے لیے کئی اختیارات فراہم کرتا ہے، بشمول بلٹ ان ڈیٹا سورس میکانزم اور لاگ مینجمنٹ ٹولز، ڈیٹا لیک اور/یا SIEM سسٹمز سے؛
  • میں شامل کرنے کے بجائے اسٹینڈ اکیلے حل کے طور پر خریدا اور تعینات کیا جا سکتا ہے۔
    دیگر مصنوعات کی ساخت.

نیچے دی گئی جدول دونوں طریقوں کا موازنہ کرتی ہے۔

جدول 1۔ "خالص" UEBA حل بمقابلہ بلٹ ان

زمرہ "خالص" UEBA پلیٹ فارمز بلٹ ان UEBA کے ساتھ دیگر حل
مسئلہ حل ہونا ہے۔ صارف کے رویے اور اداروں کا تجزیہ۔ ڈیٹا کی کمی UEBA کو صرف صارفین یا اداروں کے رویے کا تجزیہ کرنے کے لیے محدود کر سکتی ہے۔
مسئلہ حل ہونا ہے۔ مسائل کی ایک وسیع رینج کو حل کرنے کے لیے کام کرتا ہے۔ کاموں کے ایک محدود سیٹ میں مہارت رکھتا ہے۔
تجزیاتی مختلف تجزیاتی طریقوں کا استعمال کرتے ہوئے بے ضابطگی کا پتہ لگانا - بنیادی طور پر شماریاتی ماڈلز اور مشین لرننگ کے ذریعے، اصولوں اور دستخطوں کے ساتھ۔ صارف اور ہستی کی سرگرمی کو ان کے اور ساتھیوں کے پروفائلز بنانے اور موازنہ کرنے کے لیے بلٹ ان اینالیٹکس کے ساتھ آتا ہے۔ خالص UEBA کی طرح، لیکن تجزیہ صرف صارفین اور/یا اداروں تک محدود ہو سکتا ہے۔
تجزیاتی اعلی درجے کی تجزیاتی صلاحیتیں، صرف اصولوں تک محدود نہیں۔ مثال کے طور پر، ہستیوں کی متحرک گروپ بندی کے ساتھ ایک کلسٹرنگ الگورتھم۔ "خالص" UEBA کی طرح، لیکن کچھ ایمبیڈڈ خطرے کے ماڈلز میں ہستی گروپ بندی کو صرف دستی طور پر تبدیل کیا جا سکتا ہے۔
تجزیاتی صارفین اور دیگر اداروں کی سرگرمی اور رویے کا باہمی تعلق (مثال کے طور پر، Bayesian نیٹ ورکس کا استعمال کرتے ہوئے) اور غیر معمولی سرگرمی کی نشاندہی کرنے کے لیے انفرادی خطرے کے رویے کا مجموعہ۔ خالص UEBA کی طرح، لیکن تجزیہ صرف صارفین اور/یا اداروں تک محدود ہو سکتا ہے۔
اعداد و شمار ذرائع بلٹ ان میکانزم یا موجودہ ڈیٹا اسٹورز، جیسے SIEM یا Data lake کے ذریعے براہ راست ڈیٹا کے ذرائع سے صارفین اور اداروں پر ایونٹس وصول کرنا۔ ڈیٹا حاصل کرنے کے طریقہ کار عام طور پر صرف براہ راست ہوتے ہیں اور صرف صارفین اور/یا دیگر اداروں کو متاثر کرتے ہیں۔ لاگ مینجمنٹ ٹولز / SIEM / ڈیٹا لیک کا استعمال نہ کریں۔
اعداد و شمار ذرائع حل کو ڈیٹا کے بنیادی ذریعہ کے طور پر صرف نیٹ ورک ٹریفک پر انحصار نہیں کرنا چاہیے، اور نہ ہی اسے ٹیلی میٹری جمع کرنے کے لیے اپنے ایجنٹوں پر مکمل انحصار کرنا چاہیے۔ حل صرف نیٹ ورک ٹریفک پر توجہ مرکوز کر سکتا ہے (مثال کے طور پر، NTA - نیٹ ورک ٹریفک تجزیہ) اور/یا اس کے ایجنٹس کو اینڈ ڈیوائسز پر استعمال کر سکتا ہے (مثال کے طور پر، ملازم کی نگرانی کی سہولیات)۔
اعداد و شمار ذرائع سیاق و سباق کے ساتھ صارف/ہستی کے ڈیٹا کو سیر کرنا۔ ریئل ٹائم میں سٹرکچرڈ ایونٹس کے جمع کرنے کے ساتھ ساتھ IT ڈائریکٹریز سے سٹرکچرڈ/غیر ساختی ہم آہنگ ڈیٹا کو سپورٹ کرتا ہے - مثال کے طور پر، ایکٹو ڈائریکٹری (AD)، یا دیگر مشین پڑھنے کے قابل معلوماتی وسائل (مثال کے طور پر، HR ڈیٹا بیس)۔ خالص UEBA کی طرح، لیکن سیاق و سباق کے اعداد و شمار کا دائرہ ہر معاملے میں مختلف ہو سکتا ہے۔ AD اور LDAP سب سے عام سیاق و سباق کے ڈیٹا اسٹورز ہیں جو ایمبیڈڈ UEBA سلوشنز کے ذریعے استعمال ہوتے ہیں۔
دستیابی اسٹینڈ اسٹون پروڈکٹ کے طور پر درج خصوصیات فراہم کرتا ہے۔ بلٹ ان UEBA فعالیت کو کسی بیرونی حل کو خریدے بغیر خریدنا ناممکن ہے جس میں یہ بنایا گیا ہے۔
ماخذ: گارٹنر (مئی 2019)

اس طرح، بعض مسائل کو حل کرنے کے لیے، ایمبیڈڈ UEBA بنیادی UEBA تجزیات کا استعمال کر سکتا ہے (مثال کے طور پر، سادہ غیر زیر نگرانی مشین لرننگ)، لیکن ساتھ ہی، بالکل ضروری ڈیٹا تک رسائی کی وجہ سے، یہ مجموعی طور پر ایک "خالص" سے زیادہ موثر ہو سکتا ہے۔ UEBA حل۔ ایک ہی وقت میں، "خالص" UEBA پلیٹ فارمز، جیسا کہ توقع کی جاتی ہے، بلٹ ان UEBA ٹول کے مقابلے میں بنیادی معلومات کے طور پر زیادہ پیچیدہ تجزیات پیش کرتے ہیں۔ ان نتائج کا خلاصہ جدول 2 میں دیا گیا ہے۔

جدول 2۔ "خالص" اور بلٹ ان UEBA کے درمیان فرق کا نتیجہ

زمرہ "خالص" UEBA پلیٹ فارمز بلٹ ان UEBA کے ساتھ دیگر حل
تجزیاتی مختلف قسم کے کاروباری مسائل کو حل کرنے کے لیے قابل اطلاق زیادہ پیچیدہ تجزیات اور مشین لرننگ ماڈلز پر زور دینے کے ساتھ UEBA فنکشنز کے زیادہ عالمگیر سیٹ کا مطلب ہے۔ کاروباری مسائل کے چھوٹے سیٹ پر توجہ مرکوز کرنے کا مطلب ہے انتہائی مخصوص خصوصیات جو سادہ منطق کے ساتھ اطلاق کے مخصوص ماڈلز پر فوکس کرتی ہیں۔
تجزیاتی ہر درخواست کے منظر نامے کے لیے تجزیاتی ماڈل کی تخصیص ضروری ہے۔ تجزیاتی ماڈل اس ٹول کے لیے پہلے سے تشکیل شدہ ہیں جس میں UEBA شامل ہے۔ بلٹ ان UEBA والا ٹول عام طور پر کچھ کاروباری مسائل کو حل کرنے میں تیزی سے نتائج حاصل کرتا ہے۔
اعداد و شمار ذرائع کارپوریٹ انفراسٹرکچر کے تمام کونوں سے ڈیٹا کے ذرائع تک رسائی۔ ڈیٹا کے کم ذرائع، عام طور پر ان کے لیے ایجنٹوں کی دستیابی یا UEBA فنکشنز کے ساتھ ٹول کی وجہ سے محدود ہوتے ہیں۔
اعداد و شمار ذرائع ہر لاگ میں موجود معلومات ڈیٹا سورس کے ذریعہ محدود ہوسکتی ہے اور مرکزی UEBA ٹول کے لیے تمام ضروری ڈیٹا پر مشتمل نہیں ہوسکتی ہے۔ ایجنٹ کے ذریعے جمع کیے گئے اور UEBA کو بھیجے گئے خام ڈیٹا کی رقم اور تفصیل کو خاص طور پر ترتیب دیا جا سکتا ہے۔
فن تعمیر یہ کسی تنظیم کے لیے ایک مکمل UEBA پروڈکٹ ہے۔ SIEM سسٹم یا ڈیٹا لیک کی صلاحیتوں کا استعمال کرتے ہوئے انضمام آسان ہے۔ ہر ایک حل کے لیے UEBA خصوصیات کا ایک علیحدہ سیٹ درکار ہے جس میں UEBA بلٹ ان ہے۔ ایمبیڈڈ UEBA سلوشنز میں اکثر ایجنٹوں کو انسٹال کرنے اور ڈیٹا کا انتظام کرنے کی ضرورت ہوتی ہے۔
انٹیگریشن ہر معاملے میں دوسرے ٹولز کے ساتھ UEBA حل کا دستی انضمام۔ کسی تنظیم کو "انالاگوں میں بہترین" نقطہ نظر کی بنیاد پر اپنا ٹیکنالوجی اسٹیک بنانے کی اجازت دیتا ہے۔ UEBA فنکشنز کے اہم بنڈل پہلے ہی مینوفیکچرر کے ذریعہ خود ٹول میں شامل ہیں۔ UEBA ماڈیول بلٹ ان ہے اور اسے ہٹایا نہیں جا سکتا، لہذا گاہک اسے اپنی کسی چیز سے تبدیل نہیں کر سکتے۔
ماخذ: گارٹنر (مئی 2019)

UEBA بطور فنکشن

UEBA اینڈ ٹو اینڈ سائبر سیکیورٹی حل کی خصوصیت بن رہا ہے جو اضافی تجزیات سے فائدہ اٹھا سکتا ہے۔ UEBA صارف اور/یا ہستی کے رویے کے نمونوں پر مبنی اعلی درجے کے تجزیات کی ایک طاقتور پرت فراہم کرتے ہوئے، ان حلوں کو زیر کرتا ہے۔

فی الحال مارکیٹ میں، بلٹ ان UEBA فعالیت کو تکنیکی دائرہ کار کے لحاظ سے گروپ کردہ درج ذیل حلوں میں لاگو کیا گیا ہے:

  • ڈیٹا فوکسڈ آڈٹ اور تحفظ, وہ وینڈرز ہیں جو سٹرکچرڈ اور غیر ساختہ ڈیٹا اسٹوریج (عرف DCAP) کی سیکیورٹی کو بہتر بنانے پر مرکوز ہیں۔

    دکانداروں کے اس زمرے میں، گارٹنر نوٹ، دوسری چیزوں کے علاوہ، Varonis سائبرسیکیوریٹی پلیٹ فارم، جو مختلف معلوماتی اسٹورز میں غیر ساختہ ڈیٹا کی اجازتوں، رسائی اور استعمال میں تبدیلیوں کی نگرانی کے لیے صارف کے رویے کے تجزیات پیش کرتا ہے۔

  • CASB سسٹمز, کلاؤڈ بیسڈ SaaS ایپلی کیشنز میں مختلف خطرات کے خلاف تحفظ کی پیش کش کرتے ہوئے ناپسندیدہ ڈیوائسز، صارفین اور ایپلیکیشن ورژنز کے لیے کلاؤڈ سروسز تک رسائی کو مسدود کر کے انکولی رسائی کنٹرول سسٹم کا استعمال کرتے ہوئے

    تمام مارکیٹ کے معروف CASB سلوشنز میں UEBA کی صلاحیتیں شامل ہیں۔

  • DLP حل - تنظیم سے باہر اہم ڈیٹا کی منتقلی یا اس کے غلط استعمال کا پتہ لگانے پر توجہ مرکوز کی۔

    DLP ایڈوانسز زیادہ تر مواد کو سمجھنے پر مبنی ہیں، جس میں صارف، ایپلیکیشن، مقام، وقت، واقعات کی رفتار اور دیگر بیرونی عوامل جیسے سیاق و سباق کو سمجھنے پر کم توجہ دی جاتی ہے۔ مؤثر ہونے کے لیے، DLP مصنوعات کو مواد اور سیاق و سباق دونوں کو پہچاننا چاہیے۔ یہی وجہ ہے کہ بہت سے مینوفیکچررز UEBA کی فعالیت کو اپنے حل میں ضم کرنا شروع کر رہے ہیں۔

  • ملازمین کی نگرانی ملازمین کے اعمال کو ریکارڈ کرنے اور دوبارہ چلانے کی صلاحیت ہے، عام طور پر قانونی کارروائی کے لیے موزوں ڈیٹا فارمیٹ میں (اگر ضروری ہو)۔

    صارفین کی مسلسل نگرانی کرنے سے اکثر ڈیٹا کی بہت زیادہ مقدار پیدا ہوتی ہے جس کے لیے دستی فلٹرنگ اور انسانی تجزیہ کی ضرورت ہوتی ہے۔ لہذا، UEBA کا استعمال نگرانی کے نظام کے اندر ان حلوں کی کارکردگی کو بہتر بنانے اور صرف زیادہ خطرے والے واقعات کا پتہ لگانے کے لیے کیا جاتا ہے۔

  • اینڈ پوائنٹ سیکیورٹی - اینڈ پوائنٹ کا پتہ لگانے اور رسپانس (EDR) سلوشنز اور اینڈ پوائنٹ پروٹیکشن پلیٹ فارمز (EPP) طاقتور آلات اور آپریٹنگ سسٹم ٹیلی میٹری فراہم کرتے ہیں۔
    اختتامی آلات.

    بلٹ ان UEBA فعالیت فراہم کرنے کے لیے اس طرح کے صارف سے متعلق ٹیلی میٹری کا تجزیہ کیا جا سکتا ہے۔

  • آن لائن فراڈ - آن لائن دھوکہ دہی کا پتہ لگانے کے حل منحرف سرگرمی کا پتہ لگاتے ہیں جو دھوکہ دہی، مالویئر، یا غیر محفوظ کنکشنز/براؤزر ٹریفک میں مداخلت کے ذریعے صارف کے اکاؤنٹ سے سمجھوتہ کرنے کی نشاندہی کرتی ہے۔

    دھوکہ دہی کے زیادہ تر حل UEBA کے جوہر، لین دین کے تجزیے اور ڈیوائس کی پیمائش کا استعمال کرتے ہیں، زیادہ جدید سسٹمز ان کو شناختی ڈیٹا بیس کے لنک میچنگ کے ساتھ مکمل کرتے ہیں۔

  • IAM اور رسائی کنٹرول - گارٹنر خالص دکانداروں کے ساتھ ضم کرنے اور ان کی مصنوعات میں UEBA کی کچھ فعالیت پیدا کرنے کے لیے رسائی کنٹرول سسٹم کے دکانداروں کے درمیان ایک ارتقائی رجحان کو نوٹ کرتا ہے۔
  • آئی اے ایم اور آئیڈینٹیٹی گورننس اینڈ ایڈمنسٹریشن (آئی جی اے) سسٹمز طرز عمل اور شناخت کے تجزیاتی منظرناموں کا احاطہ کرنے کے لیے UEBA کا استعمال کریں جیسے کہ بے ضابطگی کا پتہ لگانے، ملتے جلتے اداروں کا متحرک گروپنگ تجزیہ، لاگ ان تجزیہ، اور رسائی کی پالیسی کا تجزیہ۔
  • IAM اور مراعات یافتہ رسائی کا انتظام (PAM) - انتظامی اکاؤنٹس کے استعمال کی نگرانی کے کردار کی وجہ سے، PAM سلوشنز میں یہ دکھانے کے لیے ٹیلی میٹری ہے کہ انتظامی اکاؤنٹس کیسے، کیوں، کب اور کہاں استعمال کیے گئے۔ منتظمین کے غیر معمولی رویے یا بدنیتی پر مبنی ارادے کی موجودگی کے لیے UEBA کی بلٹ ان فعالیت کا استعمال کرتے ہوئے اس ڈیٹا کا تجزیہ کیا جا سکتا ہے۔
  • مینوفیکچررز NTA (نیٹ ورک ٹریفک تجزیہ) - کارپوریٹ نیٹ ورکس پر مشتبہ سرگرمی کی نشاندہی کرنے کے لیے مشین لرننگ، جدید تجزیات اور اصول پر مبنی پتہ لگانے کا ایک مجموعہ استعمال کریں۔

    NTA ٹولز ماخذ ٹریفک اور/یا بہاؤ کے ریکارڈز (مثلاً NetFlow) کا مسلسل تجزیہ کرتے ہیں تاکہ ایسے ماڈلز بنائے جو نیٹ ورک کے نارمل رویے کی عکاسی کرتے ہیں، بنیادی طور پر ہستی کے رویے کے تجزیات پر توجہ مرکوز کرتے ہیں۔

  • سییم - بہت سے SIEM وینڈرز کے پاس اب SIEM میں یا ایک علیحدہ UEBA ماڈیول کے طور پر جدید ڈیٹا اینالیٹکس فنکشنلٹی ہے۔ 2018 کے دوران اور اب تک 2019 میں، SIEM اور UEBA کی فعالیت کے درمیان حدود کو مسلسل دھندلا دیا گیا ہے، جیسا کہ مضمون میں بحث کی گئی ہے۔ "جدید SIEM کے لیے ٹیکنالوجی کی بصیرت". SIEM نظام تجزیات کے ساتھ کام کرنے اور زیادہ پیچیدہ درخواست کے منظرنامے پیش کرنے میں بہتر ہو گئے ہیں۔

UEBA درخواست کے منظرنامے۔

UEBA کے حل بہت سے مسائل کو حل کر سکتے ہیں۔ تاہم، گارٹنر کے کلائنٹس اس بات سے اتفاق کرتے ہیں کہ بنیادی استعمال کے معاملے میں خطرات کی مختلف اقسام کا پتہ لگانا شامل ہے، جو صارف کے رویے اور دیگر اداروں کے درمیان متواتر ارتباط کو ظاہر کرنے اور ان کا تجزیہ کرکے حاصل کیا جاتا ہے:

  • ڈیٹا کی غیر مجاز رسائی اور نقل و حرکت؛
  • مراعات یافتہ صارفین کا مشکوک رویہ، ملازمین کی بدنیتی پر مبنی یا غیر مجاز سرگرمی؛
  • غیر معیاری رسائی اور کلاؤڈ وسائل کا استعمال؛
  • وغیرہ

غیر سائبرسیکیوریٹی کے استعمال کے غیر معمولی معاملات بھی ہیں، جیسے کہ دھوکہ دہی یا ملازمین کی نگرانی، جس کے لیے UEBA کو جائز قرار دیا جا سکتا ہے۔ تاہم، انہیں اکثر ڈیٹا کے ذرائع کی ضرورت ہوتی ہے جو IT اور انفارمیشن سیکیورٹی سے متعلق نہ ہوں، یا اس علاقے کی گہری سمجھ کے ساتھ مخصوص تجزیاتی ماڈلز کی ضرورت ہو۔ پانچ اہم منظرنامے اور ایپلیکیشنز جن پر UEBA مینوفیکچررز اور ان کے صارفین دونوں متفق ہیں ذیل میں بیان کیے گئے ہیں۔

"بد نیتی پر مبنی اندرونی"

UEBA حل فراہم کرنے والے جو اس منظر نامے کا احاطہ کرتے ہیں صرف غیر معمولی، "خراب" یا بدنیتی پر مبنی رویے کے لیے ملازمین اور قابل اعتماد ٹھیکیداروں کی نگرانی کرتے ہیں۔ مہارت کے اس شعبے میں دکاندار سروس اکاؤنٹس یا دیگر غیر انسانی اداروں کے رویے کی نگرانی یا تجزیہ نہیں کرتے ہیں۔ زیادہ تر اس کی وجہ سے، وہ جدید خطرات کا پتہ لگانے پر توجہ نہیں دے رہے ہیں جہاں ہیکرز موجودہ اکاؤنٹس پر قبضہ کر لیتے ہیں۔ اس کے بجائے، ان کا مقصد نقصان دہ سرگرمیوں میں ملوث ملازمین کی نشاندہی کرنا ہے۔

بنیادی طور پر، ایک "بد نیتی پر مبنی اندرونی" کا تصور بد نیتی کے حامل بھروسہ مند صارفین سے پیدا ہوتا ہے جو اپنے آجر کو نقصان پہنچانے کے طریقے تلاش کرتے ہیں۔ چونکہ بدنیتی پر مبنی ارادے کی پیمائش کرنا مشکل ہے، اس زمرے میں بہترین وینڈر سیاق و سباق کے رویے کے ڈیٹا کا تجزیہ کرتے ہیں جو آڈٹ لاگز میں آسانی سے دستیاب نہیں ہے۔

اس جگہ میں حل فراہم کرنے والے بھی غیر منظم ڈیٹا کو شامل اور تجزیہ کرتے ہیں، جیسا کہ ای میل مواد، پیداواری رپورٹس، یا سوشل میڈیا کی معلومات، رویے کے لیے سیاق و سباق فراہم کرنے کے لیے۔

سمجھوتہ شدہ اندرونی اور دخل اندازی کی دھمکیاں

ایک بار جب حملہ آور تنظیم تک رسائی حاصل کر لیتا ہے اور آئی ٹی کے بنیادی ڈھانچے کے اندر جانا شروع کر دیتا ہے تو "خراب" رویے کا تیزی سے پتہ لگانا اور اس کا تجزیہ کرنا چیلنج ہے۔
جارحانہ خطرات (APTs)، جیسے نامعلوم یا ابھی تک پوری طرح سے سمجھے نہیں گئے خطرات، کا پتہ لگانا انتہائی مشکل ہوتا ہے اور اکثر جائز صارف کی سرگرمی یا سروس اکاؤنٹس کے پیچھے چھپا ہوتا ہے۔ اس طرح کے خطرات میں عام طور پر ایک پیچیدہ آپریٹنگ ماڈل ہوتا ہے (دیکھیں، مثال کے طور پر، مضمون " سائبر کِل چین سے خطاب") یا ان کے رویے کو ابھی تک نقصان دہ قرار نہیں دیا گیا ہے۔ یہ سادہ تجزیات (جیسے پیٹرن، حد، یا ارتباط کے اصولوں کے مطابق ملاپ) کا استعمال کرتے ہوئے ان کا پتہ لگانا مشکل بناتا ہے۔

تاہم، ان میں سے بہت سے مداخلت کرنے والے خطرات کا نتیجہ غیر معیاری رویے کی صورت میں نکلتا ہے، جس میں اکثر غیر مشکوک صارفین یا ادارے شامل ہوتے ہیں (عرف سمجھوتہ شدہ اندرونی)۔ UEBA کی تکنیک اس طرح کے خطرات کا پتہ لگانے، سگنل ٹو شور کے تناسب کو بہتر بنانے، نوٹیفکیشن کے حجم کو مستحکم اور کم کرنے، بقیہ الرٹس کو ترجیح دینے، اور واقعے کے مؤثر ردعمل اور تفتیش کو آسان بنانے کے لیے کئی دلچسپ مواقع پیش کرتی ہے۔

اس مسئلے کے علاقے کو نشانہ بنانے والے UEBA دکانداروں کا اکثر تنظیم کے SIEM سسٹمز کے ساتھ دو طرفہ انضمام ہوتا ہے۔

ڈیٹا کا اخراج

اس معاملے میں کام اس حقیقت کا پتہ لگانا ہے کہ ڈیٹا کو تنظیم سے باہر منتقل کیا جا رہا ہے۔
اس چیلنج پر توجہ مرکوز کرنے والے دکانداروں نے عام طور پر بے ضابطگی کا پتہ لگانے اور جدید تجزیات کے ساتھ DLP یا DAG کی صلاحیتوں کا فائدہ اٹھایا، اس طرح سگنل ٹو شور کے تناسب کو بہتر بنایا، نوٹیفکیشن کے حجم کو مستحکم کیا، اور باقی محرکات کو ترجیح دی گئی۔ اضافی سیاق و سباق کے لیے، وینڈرز عام طور پر نیٹ ورک ٹریفک (جیسے ویب پراکسی) اور اینڈ پوائنٹ ڈیٹا پر زیادہ انحصار کرتے ہیں، کیونکہ ان ڈیٹا ذرائع کا تجزیہ ڈیٹا کے اخراج کی تحقیقات میں مدد کر سکتا ہے۔

ڈیٹا کے اخراج کا پتہ لگانے کا استعمال تنظیم کو دھمکی دینے والے اندرونی اور بیرونی ہیکرز کو پکڑنے کے لیے کیا جاتا ہے۔

مراعات یافتہ رسائی کی شناخت اور انتظام

مہارت کے اس شعبے میں آزاد UEBA حل تیار کرنے والے پہلے سے تشکیل شدہ حقوق کے نظام کے پس منظر کے خلاف صارف کے رویے کا مشاہدہ اور تجزیہ کرتے ہیں تاکہ ضرورت سے زیادہ مراعات یا غیرمعمولی رسائی کی نشاندہی کی جا سکے۔ یہ تمام قسم کے صارفین اور اکاؤنٹس پر لاگو ہوتا ہے، بشمول مراعات یافتہ اور سروس اکاؤنٹس۔ تنظیمیں غیر فعال اکاؤنٹس اور صارف کی مراعات سے چھٹکارا پانے کے لیے بھی UEBA کا استعمال کرتی ہیں جو ضرورت سے زیادہ ہیں۔

واقعہ کی ترجیح

اس کام کا مقصد یہ ہے کہ ان کے ٹیکنالوجی اسٹیک میں حل کے ذریعے پیدا ہونے والی اطلاعات کو ترجیح دی جائے تاکہ یہ سمجھا جا سکے کہ کون سے واقعات یا ممکنہ واقعات کو پہلے حل کیا جانا چاہیے۔ UEBA کے طریقہ کار اور ٹولز ایسے واقعات کی نشاندہی کرنے میں کارآمد ہیں جو کسی تنظیم کے لیے خاص طور پر غیر معمولی یا خاص طور پر خطرناک ہیں۔ اس معاملے میں، UEBA میکانزم نہ صرف سرگرمی کی بنیادی سطح اور خطرے کے ماڈل کا استعمال کرتا ہے، بلکہ کمپنی کے تنظیمی ڈھانچے کے بارے میں معلومات کے ساتھ ڈیٹا کو سیر کرتا ہے (مثال کے طور پر، اہم وسائل یا کردار اور ملازمین کی رسائی کی سطح)۔

UEBA کے حل کو نافذ کرنے کے مسائل

UEBA سلوشنز کا مارکیٹ درد ان کی اعلی قیمت، پیچیدہ عمل درآمد، دیکھ بھال اور استعمال ہے۔ جبکہ کمپنیاں مختلف داخلی پورٹلز کی تعداد کے ساتھ جدوجہد کر رہی ہیں، انہیں ایک اور کنسول مل رہا ہے۔ ایک نئے ٹول میں وقت اور وسائل کی سرمایہ کاری کا انحصار ہاتھ میں موجود چیلنجوں اور ان کو حل کرنے کے لیے درکار تجزیات کی اقسام پر ہوتا ہے، اور اکثر بڑی سرمایہ کاری کی ضرورت ہوتی ہے۔

بہت سے مینوفیکچررز کے دعوے کے برعکس، UEBA کوئی "اسے سیٹ کریں اور بھول جائیں" ٹول نہیں ہے جو پھر کئی دنوں تک مسلسل چل سکتا ہے۔
مثال کے طور پر، گارٹنر کلائنٹس نوٹ کریں کہ UEBA کے ایک اقدام کو شروع سے شروع کرنے میں 3 سے 6 مہینے لگتے ہیں تاکہ ان مسائل کو حل کرنے کے پہلے نتائج حاصل کیے جا سکیں جن کے لیے یہ حل نافذ کیا گیا تھا۔ مزید پیچیدہ کاموں کے لیے، جیسے کسی تنظیم میں اندرونی خطرات کی نشاندہی کرنا، مدت 18 ماہ تک بڑھ جاتی ہے۔

UEBA کو لاگو کرنے میں دشواری اور اس آلے کی مستقبل کی تاثیر کو متاثر کرنے والے عوامل:

  • تنظیم کے فن تعمیر، نیٹ ورک ٹوپولوجی اور ڈیٹا مینجمنٹ کی پالیسیوں کی پیچیدگی
  • تفصیل کی صحیح سطح پر صحیح ڈیٹا کی دستیابی
  • وینڈر کے تجزیاتی الگورتھم کی پیچیدگی - مثال کے طور پر، شماریاتی ماڈلز اور مشین لرننگ بمقابلہ سادہ نمونوں اور قواعد کا استعمال۔
  • پہلے سے تشکیل شدہ تجزیات کی مقدار شامل ہے - یعنی مینوفیکچرر کی یہ سمجھنا کہ ہر کام کے لیے کون سا ڈیٹا جمع کرنے کی ضرورت ہے اور تجزیہ کرنے کے لیے کون سے متغیرات اور صفات سب سے اہم ہیں۔
  • مینوفیکچرر کے لیے خود بخود مطلوبہ ڈیٹا کے ساتھ ضم کرنا کتنا آسان ہے۔

    مثال کے طور پر:

    • اگر UEBA حل SIEM سسٹم کو اپنے ڈیٹا کے بنیادی ماخذ کے طور پر استعمال کرتا ہے، تو کیا SIEM مطلوبہ ڈیٹا ذرائع سے معلومات اکٹھا کرتا ہے؟
    • کیا ضروری ایونٹ لاگ اور تنظیمی سیاق و سباق کے اعداد و شمار کو UEBA حل کی طرف روانہ کیا جا سکتا ہے؟
    • اگر SIEM سسٹم ابھی تک UEBA کے حل کے لیے درکار ڈیٹا کے ذرائع کو اکٹھا اور کنٹرول نہیں کرتا ہے، تو انہیں وہاں کیسے منتقل کیا جا سکتا ہے؟

  • تنظیم کے لیے درخواست کا منظر نامہ کتنا اہم ہے، اس کے لیے ڈیٹا کے کتنے ذرائع درکار ہیں، اور یہ کام مینوفیکچرر کی مہارت کے شعبے سے کتنا اوورلیپ ہوتا ہے۔
  • کس حد تک تنظیمی پختگی اور شمولیت کی ضرورت ہے - مثال کے طور پر، قوانین اور ماڈلز کی تخلیق، ترقی اور اصلاح؛ تشخیص کے لیے متغیرات کو وزن تفویض کرنا؛ یا خطرے کی تشخیص کی حد کو ایڈجسٹ کرنا۔
  • تنظیم کے موجودہ سائز اور اس کی مستقبل کی ضروریات کے مقابلے وینڈر کا حل اور اس کا فن تعمیر کتنا قابل توسیع ہے۔
  • بنیادی ماڈلز، پروفائلز اور کلیدی گروپس بنانے کا وقت۔ مینوفیکچررز کو اکثر تجزیہ کرنے کے لیے کم از کم 30 دن (اور بعض اوقات 90 دن تک) درکار ہوتے ہیں اس سے پہلے کہ وہ "عام" تصورات کی وضاحت کر سکیں۔ تاریخی ڈیٹا کو ایک بار لوڈ کرنے سے ماڈل ٹریننگ کو تیز کیا جا سکتا ہے۔ ابتدائی اعداد و شمار کی ناقابل یقین حد تک چھوٹی مقدار کے ساتھ مشین لرننگ کے استعمال کے مقابلے میں کچھ دلچسپ معاملات کو قواعد کا استعمال کرتے ہوئے تیزی سے شناخت کیا جا سکتا ہے۔
  • متحرک گروپ بندی اور اکاؤنٹ پروفائلنگ (خدمت/شخص) کی تعمیر کے لیے درکار کوششوں کی سطح حل کے درمیان بہت مختلف ہو سکتی ہے۔

ماخذ: www.habr.com

نیا تبصرہ شامل کریں