ProHoster > Blog > internet yangiliklari > UEBA bozori o'ldi - yashasin UEBA

UEBA bozori o'ldi - yashasin UEBA

UEBA bozori o'ldi - yashasin UEBA

Bugun biz foydalanuvchi va shaxs xatti-harakatlarini tahlil qilish (UEBA) bozori haqida eng so'nggi ma'lumotlarga asoslanib qisqacha ma'lumot beramiz. Gartner tadqiqoti. UEBA bozori Gartner Hype Cycle for Threat-Facing Technologies ma'lumotlariga ko'ra, texnologiyaning etukligini ko'rsatadigan "ko'ngilni yo'qotish bosqichi" ning pastki qismida joylashgan. Ammo vaziyatning paradoksi bir vaqtning o'zida UEBA texnologiyalariga investitsiyalarning umumiy o'sishi va UEBA mustaqil echimlari bozorining yo'qolishidadir. Gartner bashoratiga ko'ra, UEBA tegishli axborot xavfsizligi yechimlari funksiyalarining bir qismiga aylanadi. “UEBA” atamasi qo‘llanilmaydi va uning o‘rniga torroq dastur maydoniga (masalan, “foydalanuvchi xatti-harakatlari tahlili”), shunga o‘xshash dastur sohasiga (masalan, “ma’lumotlar tahlili”) qaratilgan boshqa qisqartma qo‘yiladi yoki oddiygina qisqartmaga aylanadi. yangi mashhur so'z (masalan, "sun'iy intellekt" [AI] atamasi qiziqarli ko'rinadi, garchi bu zamonaviy UEBA ishlab chiqaruvchilari uchun hech qanday ma'noga ega bo'lmasa ham).

Gartner tadqiqotining asosiy natijalarini quyidagicha umumlashtirish mumkin:

  • Foydalanuvchilar va sub'ektlarning xatti-harakatlarini tahlil qilish bozorining etukligi ushbu texnologiyalarning o'rta va yirik korporativ segment tomonidan bir qator biznes muammolarini hal qilishda qo'llanilishi bilan tasdiqlanadi;
  • UEBA tahliliy imkoniyatlari bulutga kirish xavfsizligi brokerlari (CASB), identifikatsiyani boshqarish va boshqaruv (IGA) SIEM tizimlari kabi tegishli axborot xavfsizligi texnologiyalarining keng doirasiga kiritilgan;
  • UEBA sotuvchilari atrofidagi shov-shuv va "sun'iy intellekt" atamasidan noto'g'ri foydalanish mijozlarga ishlab chiqaruvchilarning texnologiyalari va echimlar funksionalligi o'rtasidagi haqiqiy farqni pilot loyihani o'tkazmasdan tushunishni qiyinlashtiradi;
  • Mijozlarning ta'kidlashicha, UEBA yechimlarini amalga oshirish vaqti va kundalik foydalanish, hatto tahdidlarni aniqlashning asosiy modellarini hisobga olgan holda ishlab chiqaruvchi va'da qilganidan ko'ra ko'proq mehnat talab qiladigan va ko'p vaqt talab qilishi mumkin. Maxsus yoki chekka foydalanish holatlarini qo'shish juda qiyin bo'lishi mumkin va ma'lumotlar fanlari va tahlillari bo'yicha tajriba talab qilishi mumkin.

Strategik bozorni rivojlantirish prognozi:

  • 2021 yilga kelib, foydalanuvchi va tashkilotning xatti-harakatlarini tahlil qilish (UEBA) tizimlari bozori alohida hudud sifatida mavjud bo'lishni to'xtatadi va UEBA funksionalligi bilan boshqa yechimlarga o'tadi;
  • 2020 yilga kelib, barcha UEBA joylashtirishlarining 95% kengroq xavfsizlik platformasining bir qismi bo'ladi.

UEBA yechimlarining ta'rifi

UEBA yechimlari foydalanuvchilar va boshqa ob'ektlar (masalan, xostlar, ilovalar, tarmoq trafigi va ma'lumotlar do'konlari) faoliyatini baholash uchun o'rnatilgan tahlillardan foydalanadi.
Ular tahdidlar va potentsial hodisalarni aniqlaydi, odatda ma'lum vaqt oralig'ida o'xshash guruhlardagi foydalanuvchilar va ob'ektlarning standart profili va xatti-harakatlari bilan solishtirganda anomal faoliyatni ifodalaydi.

Korxona segmentida eng keng tarqalgan foydalanish holatlari tahdidlarni aniqlash va ularga javob berish, shuningdek, insayder tahdidlarni aniqlash va ularga javob berishdir (asosan, buzilgan insayderlar; ba'zan ichki hujumchilar).

UEBA xuddi shunday qaror bilan, va funktsiya, ma'lum bir vositaga o'rnatilgan:

  • Yechim "sof" UEBA platformalarini ishlab chiqaruvchilar, jumladan, SIEM yechimlarini alohida sotadigan sotuvchilardir. Foydalanuvchilar va tashkilotlarning xatti-harakatlarini tahlil qilishda biznes muammolarining keng doirasiga qaratilgan.
  • O'rnatilgan - UEBA funktsiyalari va texnologiyalarini o'z yechimlariga birlashtiradigan ishlab chiqaruvchilar/bo'linmalar. Odatda biznes muammolarining aniqroq to'plamiga e'tibor qaratiladi. Bunday holda, UEBA foydalanuvchilarning va/yoki shaxslarning xatti-harakatlarini tahlil qilish uchun ishlatiladi.

Gartner UEBA-ni uchta eksa bo'ylab ko'rib chiqadi, jumladan, muammolarni hal qiluvchilar, tahlillar va ma'lumotlar manbalari (rasmga qarang).

UEBA bozori o'ldi - yashasin UEBA

"Sof" UEBA platformalari va o'rnatilgan UEBA

Gartner "sof" UEBA platformasini quyidagi echimlar deb hisoblaydi:

  • faqat mavhum “foydalanuvchilarning g‘ayritabiiy faoliyatini kuzatish”ni emas, balki imtiyozli foydalanuvchilarni kuzatish yoki tashkilotdan tashqarida ma’lumotlarni chiqarish kabi bir qancha o‘ziga xos muammolarni hal qilish;
  • asosiy tahliliy yondashuvlarga asoslangan murakkab tahlillardan foydalanishni o'z ichiga oladi;
  • infratuzilmada alohida agentlarni joylashtirishga majbur bo‘lmasdan, ma’lumotlarni yig‘ishning bir nechta variantlarini, jumladan, o‘rnatilgan ma’lumotlar manbai mexanizmlarini va jurnallarni boshqarish vositalarini, Data lake va/yoki SIEM tizimlarini taqdim etish;
  • qo'shilgandan ko'ra mustaqil echimlar sifatida sotib olinishi va joylashtirilishi mumkin
    boshqa mahsulotlarning tarkibi.

Quyidagi jadval ikkita yondashuvni taqqoslaydi.

1-jadval. “Sof” UEBA yechimlari o‘rnatilganlarga nisbatan

kategoriya "Sof" UEBA platformalari O'rnatilgan UEBA bilan boshqa echimlar
Muammoni hal qilish Foydalanuvchi xatti-harakatlari va ob'ektlarni tahlil qilish. Ma'lumotlarning etishmasligi UEBAni faqat foydalanuvchilar yoki yuridik shaxslarning xatti-harakatlarini tahlil qilishni cheklashi mumkin.
Muammoni hal qilish Keng ko'lamli muammolarni hal qilish uchun xizmat qiladi Cheklangan vazifalar to'plamiga ixtisoslashgan
Tahlillar Anomaliyalarni turli xil tahliliy usullar yordamida aniqlash - asosan statistik modellar va mashinani o'rganish, qoidalar va imzolar bilan. Foydalanuvchi va tashkilot faoliyatini ularning va hamkasblarining profillari bilan solishtirish va solishtirish uchun o‘rnatilgan analitika bilan birga keladi. Sof UEBAga o'xshaydi, lekin tahlil faqat foydalanuvchilar va/yoki tashkilotlar bilan cheklanishi mumkin.
Tahlillar Ilg'or tahliliy qobiliyatlar, faqat qoidalar bilan cheklanmagan. Masalan, ob'ektlarni dinamik guruhlash bilan klasterlash algoritmi. "Sof" UEBAga o'xshaydi, lekin ba'zi o'rnatilgan tahdid modellarida ob'ektlar guruhlari faqat qo'lda o'zgartirilishi mumkin.
Tahlillar Foydalanuvchilar va boshqa ob'ektlarning faoliyati va xatti-harakatlarining o'zaro bog'liqligi (masalan, Bayes tarmoqlaridan foydalanish) va anomal faollikni aniqlash uchun individual xavf xatti-harakatlarini yig'ish. Sof UEBAga o'xshaydi, lekin tahlil faqat foydalanuvchilar va/yoki tashkilotlar bilan cheklanishi mumkin.
Ma'lumotlar manbalari SIEM yoki Data lake kabi o'rnatilgan mexanizmlar yoki mavjud ma'lumotlar do'konlari orqali to'g'ridan-to'g'ri ma'lumotlar manbalaridan foydalanuvchilar va ob'ektlar bo'yicha voqealarni qabul qilish. Ma'lumotlarni olish mexanizmlari odatda faqat to'g'ridan-to'g'ri bo'lib, faqat foydalanuvchilarga va/yoki boshqa shaxslarga ta'sir qiladi. Jurnallarni boshqarish vositalari / SIEM / Data lake dan foydalanmang.
Ma'lumotlar manbalari Yechim nafaqat ma'lumotlarning asosiy manbai sifatida tarmoq trafigiga tayanishi, balki telemetriyani yig'ish uchun faqat o'z agentlariga tayanmasligi kerak. Yechim faqat tarmoq trafigiga (masalan, NTA - tarmoq trafigini tahlil qilish) e'tibor qaratishi va/yoki uning agentlaridan oxirgi qurilmalarda foydalanishi mumkin (masalan, xodimlarni monitoring qilish uchun yordamchi dasturlar).
Ma'lumotlar manbalari Foydalanuvchi/obyekt ma'lumotlarini kontekst bilan to'ldirish. Real vaqt rejimida tuzilgan voqealarni, shuningdek, AT kataloglaridan tuzilgan/tuzilmagan izchil ma'lumotlarni to'plashni qo'llab-quvvatlaydi - masalan, Active Directory (AD) yoki boshqa mashina tomonidan o'qiladigan axborot resurslari (masalan, HR ma'lumotlar bazalari). Sof UEBAga o'xshash, ammo kontekstual ma'lumotlarning ko'lami har bir holatda farq qilishi mumkin. AD va LDAP o'rnatilgan UEBA yechimlari tomonidan ishlatiladigan eng keng tarqalgan kontekstli ma'lumotlar do'konlaridir.
Mavjudligi Ro'yxatdagi xususiyatlarni mustaqil mahsulot sifatida taqdim etadi. O'rnatilgan UEBA funksiyasini u qurilgan tashqi yechimni xarid qilmasdan sotib olish mumkin emas.
Manba: Gartner (2019 yil may)

Shunday qilib, ma'lum muammolarni hal qilish uchun o'rnatilgan UEBA asosiy UEBA tahlilidan (masalan, oddiy nazoratsiz mashinani o'rganish) foydalanishi mumkin, ammo shu bilan birga, aniq kerakli ma'lumotlarga kirish tufayli u "sof" dan ko'ra samaraliroq bo'lishi mumkin. UEBA yechimi. Shu bilan birga, "sof" UEBA platformalari, kutilganidek, o'rnatilgan UEBA vositasiga nisbatan asosiy nou-xau sifatida yanada murakkab tahlillarni taklif qiladi. Ushbu natijalar 2-jadvalda jamlangan.

Jadval 2. "Sof" va o'rnatilgan UEBA o'rtasidagi farqlar natijasi

kategoriya "Sof" UEBA platformalari O'rnatilgan UEBA bilan boshqa echimlar
Tahlillar Turli xil biznes muammolarini hal qilish uchun qo'llanilishi murakkabroq tahlil va mashinani o'rganish modellariga e'tibor qaratgan holda UEBA funktsiyalarining yanada universal to'plamini nazarda tutadi. Kichikroq biznes muammolari to'plamiga e'tibor berish oddiyroq mantiqqa ega bo'lgan ilovalarga xos modellarga qaratilgan yuqori ixtisoslashgan xususiyatlarni anglatadi.
Tahlillar Har bir dastur stsenariysi uchun analitik modelni moslashtirish zarur. Analitik modellar UEBA o'rnatilgan asbob uchun oldindan sozlangan. O'rnatilgan UEBAga ega vosita, odatda, muayyan biznes muammolarini hal qilishda tezroq natijalarga erishadi.
Ma'lumotlar manbalari Korporativ infratuzilmaning barcha burchaklaridan ma'lumotlar manbalariga kirish. Kamroq maʼlumot manbalari, odatda ular uchun agentlarning mavjudligi yoki UEBA funksiyalariga ega vositaning oʻzi bilan cheklanadi.
Ma'lumotlar manbalari Har bir jurnaldagi ma'lumotlar ma'lumotlar manbai bilan cheklangan bo'lishi mumkin va markazlashtirilgan UEBA vositasi uchun barcha kerakli ma'lumotlarni o'z ichiga olmaydi. Agent tomonidan to'plangan va UEBAga uzatiladigan xom ma'lumotlarning miqdori va tafsilotlari maxsus sozlanishi mumkin.
arxitektura Bu tashkilot uchun to'liq UEBA mahsulotidir. SIEM tizimi yoki Data lake imkoniyatlaridan foydalangan holda integratsiya osonroq. Oʻrnatilgan UEBAga ega boʻlgan har bir yechim uchun UEBA funksiyalarining alohida toʻplamini talab qiladi. O'rnatilgan UEBA yechimlari ko'pincha agentlarni o'rnatish va ma'lumotlarni boshqarishni talab qiladi.
Integratsiya UEBA yechimini har bir holatda boshqa vositalar bilan qo'lda integratsiyalash. Tashkilotga "analoglar orasida eng yaxshisi" yondashuvi asosida o'zining texnologik to'plamini yaratishga imkon beradi. UEBA funktsiyalarining asosiy to'plamlari allaqachon ishlab chiqaruvchi tomonidan asbobning o'ziga kiritilgan. UEBA moduli o'rnatilgan va uni olib tashlab bo'lmaydi, shuning uchun mijozlar uni o'zlari bilan almashtira olmaydi.
Manba: Gartner (2019 yil may)

UEBA funksiya sifatida

UEBA qo'shimcha tahlillardan foyda ko'rishi mumkin bo'lgan kiberxavfsizlik bo'yicha yakuniy yechimlarning xususiyatiga aylanib bormoqda. UEBA foydalanuvchi va/yoki tashkilot xatti-harakatlari namunalariga asoslangan kuchli ilg'or tahliliy qatlamni ta'minlovchi ushbu yechimlarning asosini tashkil etadi.

Hozirgi vaqtda bozorda o'rnatilgan UEBA funksionalligi texnologik ko'lami bo'yicha guruhlangan quyidagi echimlarda amalga oshiriladi:

  • Ma'lumotlarga yo'naltirilgan audit va himoya, tuzilgan va tuzilmagan ma'lumotlarni saqlash xavfsizligini yaxshilashga qaratilgan sotuvchilardir (aka DCAP).

    Gartner sotuvchilarning ushbu toifasida, boshqa narsalar qatorida, Varonis kiberxavfsizlik platformasi, bu turli ma'lumotlar do'konlarida tuzilmagan ma'lumotlar ruxsatnomalari, kirish va foydalanishdagi o'zgarishlarni kuzatish uchun foydalanuvchi xatti-harakatlari tahlilini taklif qiladi.

  • CASB tizimlari, moslashtirilgan kirishni boshqarish tizimidan foydalangan holda keraksiz qurilmalar, foydalanuvchilar va dastur versiyalari uchun bulut xizmatlariga kirishni bloklash orqali bulutga asoslangan SaaS ilovalarida turli tahdidlardan himoya qilishni taklif qiladi.

    Bozordagi barcha yetakchi CASB yechimlari UEBA imkoniyatlarini o‘z ichiga oladi.

  • DLP yechimlari - muhim ma'lumotlarning tashkilotdan tashqariga uzatilishi yoki uning suiiste'mol qilinishini aniqlashga qaratilgan.

    DLP yutuqlari asosan kontentni tushunishga asoslanadi, foydalanuvchi, dastur, joylashuv, vaqt, hodisalar tezligi va boshqa tashqi omillar kabi kontekstni tushunishga kamroq e'tibor qaratiladi. Samarali bo'lishi uchun DLP mahsulotlari tarkibni ham, kontekstni ham tan olishi kerak. Shuning uchun ko'plab ishlab chiqaruvchilar UEBA funksiyalarini o'z echimlariga integratsiyalashni boshlaydilar.

  • Xodimlar monitoringi odatda sud jarayoni uchun mos bo'lgan ma'lumotlar formatida (kerak bo'lsa) xodimlarning harakatlarini yozib olish va takrorlash qobiliyatidir.

    Foydalanuvchilarning doimiy monitoringi ko'pincha qo'lda filtrlash va inson tahlilini talab qiladigan katta miqdordagi ma'lumotlarni yaratadi. Shu sababli, UEBA ushbu yechimlarning ishlashini yaxshilash va faqat yuqori xavfli hodisalarni aniqlash uchun monitoring tizimlari ichida qo'llaniladi.

  • Oxirgi nuqta xavfsizligi – Oxirgi nuqtani aniqlash va javob berish (EDR) yechimlari va oxirgi nuqtani himoya qilish platformalari (EPP) kuchli asboblar va operatsion tizim telemetriyasini taʼminlaydi.
    oxirgi qurilmalar.

    Bunday foydalanuvchi bilan bog'liq telemetriya o'rnatilgan UEBA funksiyasini ta'minlash uchun tahlil qilinishi mumkin.

  • Onlayn firibgarlik – Onlayn firibgarlikni aniqlash yechimlari spoof, zararli dastur yoki himoyalanmagan ulanishlardan foydalanish/brauzer trafigini ushlash orqali mijozning hisobi buzilganligini ko‘rsatadigan deviant faoliyatni aniqlaydi.

    Aksariyat firibgarlik yechimlari UEBA, tranzaktsiyalarni tahlil qilish va qurilmalarni o'lchash mohiyatidan foydalanadi, yanada rivojlangan tizimlar ularni identifikatsiya ma'lumotlar bazasidagi munosabatlarni moslashtirish orqali to'ldiradi.

  • IAM va kirishni boshqarish - Gartner kirishni boshqarish tizimi sotuvchilari orasida sof sotuvchilar bilan integratsiya qilish va o'z mahsulotlariga ba'zi UEBA funksiyalarini yaratish uchun evolyutsion tendentsiyani qayd etadi.
  • IAM va Identity Governance and Administration (IGA) tizimlari anomaliyalarni aniqlash, o'xshash ob'ektlarni dinamik guruhlash tahlili, login tahlili va kirish siyosati tahlili kabi xatti-harakatlar va identifikatsiya tahlili stsenariylarini qamrab olish uchun UEBA dan foydalaning.
  • IAM va imtiyozli kirishni boshqarish (PAM) - Ma'muriy hisoblardan foydalanishni monitoring qilish roli tufayli PAM yechimlari ma'muriy hisoblar qanday, nima uchun, qachon va qayerda ishlatilganligini ko'rsatish uchun telemetriyaga ega. Ushbu ma'lumotlar UEBA-ning o'rnatilgan funksionalligi yordamida ma'murlarning anomal xatti-harakatlari yoki zararli niyatlar mavjudligi uchun tahlil qilinishi mumkin.
  • Ishlab chiqaruvchilar NTA (Tarmoq trafigini tahlil qilish) – korporativ tarmoqlarda shubhali faoliyatni aniqlash uchun mashinani oʻrganish, ilgʻor tahlil va qoidalarga asoslangan aniqlash kombinatsiyasidan foydalaning.

    NTA vositalari tarmoqning normal xatti-harakatlarini aks ettiruvchi modellarni yaratish uchun manba trafigini va/yoki oqim yozuvlarini (masalan, NetFlow) doimiy ravishda tahlil qiladi, birinchi navbatda ob'ektlarning xatti-harakatlari tahliliga e'tibor beradi.

  • siem – Ko‘pgina SIEM sotuvchilari endi SIEM-ga yoki alohida UEBA moduli sifatida o‘rnatilgan ilg‘or ma’lumotlarni tahlil qilish funksiyasiga ega. Maqolada muhokama qilinganidek, 2018 yil davomida va hozirgacha 2019 yilda SIEM va UEBA funksiyalari o'rtasidagi chegaralar doimiy ravishda xiralashgan. "Zamonaviy SIEM uchun texnologiya tushunchasi". SIEM tizimlari analitiklar bilan ishlashda va yanada murakkab dastur stsenariylarini taklif qilishda yaxshilandi.

UEBA dastur stsenariylari

UEBA yechimlari ko'plab muammolarni hal qilishi mumkin. Biroq, Gartner mijozlari asosiy foydalanish holatlari foydalanuvchi xatti-harakatlari va boshqa ob'ektlar o'rtasidagi tez-tez bog'liqlikni ko'rsatish va tahlil qilish orqali erishiladigan tahdidlarning turli toifalarini aniqlashni o'z ichiga oladi:

  • ma'lumotlarga ruxsatsiz kirish va harakatlanish;
  • imtiyozli foydalanuvchilarning shubhali xatti-harakatlari, xodimlarning zararli yoki ruxsatsiz faoliyati;
  • nostandart kirish va bulutli resurslardan foydalanish;
  • va boshq.

Bundan tashqari, UEBA oqlanishi mumkin bo'lgan firibgarlik yoki xodimlar monitoringi kabi kiberxavfsizlikdan foydalanishning bir qator atipik holatlari mavjud. Biroq, ular ko'pincha IT va axborot xavfsizligidan tashqari ma'lumotlar manbalarini yoki ushbu sohani chuqur tushunadigan maxsus analitik modellarni talab qiladi. UEBA ishlab chiqaruvchilari va ularning mijozlari rozi bo'lgan beshta asosiy stsenariy va ilovalar quyida tasvirlangan.

"Zararli Insider"

Ushbu stsenariyni qamrab oluvchi UEBA yechim provayderlari faqat xodimlar va ishonchli pudratchilarni noodatiy, "yomon" yoki zararli xatti-harakatlar uchun kuzatadilar. Ushbu ekspertiza sohasidagi sotuvchilar xizmat hisoblari yoki boshqa noinsoniy shaxslarning xatti-harakatlarini kuzatmaydi yoki tahlil qilmaydi. Asosan shu sababli, ular xakerlar mavjud hisoblarni egallab olgan ilg'or tahdidlarni aniqlashga e'tibor qaratmaydilar. Buning o'rniga ular zararli faoliyat bilan shug'ullanadigan xodimlarni aniqlashga qaratilgan.

Asosan, "zararli insayder" tushunchasi o'z ish beruvchisiga zarar etkazish yo'llarini qidiradigan zararli niyatli ishonchli foydalanuvchilardan kelib chiqadi. Yomon niyatni o'lchash qiyin bo'lganligi sababli, ushbu toifadagi eng yaxshi ishlab chiqaruvchilar audit jurnallarida osongina mavjud bo'lmagan kontekstli xatti-harakatlar ma'lumotlarini tahlil qiladilar.

Ushbu sohadagi yechim provayderlari xatti-harakatlar uchun kontekstni ta'minlash uchun elektron pochta tarkibi, mahsuldorlik hisobotlari yoki ijtimoiy media ma'lumotlari kabi tuzilmagan ma'lumotlarni optimal tarzda qo'shadi va tahlil qiladi.

Buzilgan ichki va intruziv tahdidlar

Muammo shundaki, tajovuzkor tashkilotga kirish huquqiga ega bo'lgach va IT infratuzilmasi ichida harakatlana boshlaganida "yomon" xatti-harakatlarni tezda aniqlash va tahlil qilish.
Noma'lum yoki hali to'liq tushunilmagan tahdidlar kabi ishonchli tahdidlarni (APT) aniqlash juda qiyin va ko'pincha qonuniy foydalanuvchi faoliyati yoki xizmat hisoblari orqasida yashirinadi. Bunday tahdidlar odatda murakkab operatsion modelga ega (masalan, "Maqolaga qarang" Kiber o'ldirish zanjiriga murojaat qilish") yoki ularning xatti-harakatlari hali zararli deb baholanmagan. Bu ularni oddiy tahlillar yordamida aniqlashni qiyinlashtiradi (masalan, naqshlar, chegaralar yoki korrelyatsiya qoidalari bo'yicha moslashish).

Biroq, bu intruziv tahdidlarning ko'pchiligi nostandart xatti-harakatlarga olib keladi, ko'pincha shubhasiz foydalanuvchilar yoki ob'ektlar (aka buzilgan insayderlar) ishtirok etadi. UEBA texnikasi bunday tahdidlarni aniqlash, signal-shovqin nisbatini yaxshilash, bildirishnomalar hajmini birlashtirish va kamaytirish, qolgan ogohlantirishlarga ustuvorlik berish hamda hodisalarga samarali javob berish va tergovni osonlashtirish uchun bir qancha qiziqarli imkoniyatlarni taklif etadi.

Ushbu muammoli sohaga yo'naltirilgan UEBA sotuvchilari ko'pincha tashkilotning SIEM tizimlari bilan ikki tomonlama integratsiyaga ega.

Ma'lumotlarni eksfiltratsiya qilish

Bu holatda vazifa ma'lumotlarning tashkilotdan tashqariga uzatilayotganligini aniqlashdir.
Ushbu muammoga e'tibor qaratgan sotuvchilar odatda anomaliyalarni aniqlash va ilg'or tahlillar bilan DLP yoki DAG imkoniyatlaridan foydalanadilar, shu bilan signal-shovqin nisbati yaxshilanadi, bildirishnomalar hajmi birlashtiriladi va qolgan triggerlarga ustuvorlik beriladi. Qo'shimcha kontekst uchun sotuvchilar odatda tarmoq trafigiga (masalan, veb-proksi-serverlar) va so'nggi nuqta ma'lumotlariga ko'proq ishonadilar, chunki bu ma'lumotlar manbalarini tahlil qilish ma'lumotlarning eksfiltratsiyasini tekshirishda yordam berishi mumkin.

Ma'lumotlar eksfiltratsiyasini aniqlash tashkilotga tahdid soluvchi insayderlar va tashqi xakerlarni ushlash uchun ishlatiladi.

Imtiyozli kirishni aniqlash va boshqarish

Ushbu ekspertiza sohasidagi mustaqil UEBA yechimlarini ishlab chiqaruvchilar haddan tashqari imtiyozlar yoki anomal kirishni aniqlash uchun allaqachon shakllangan huquqlar tizimi fonida foydalanuvchi xatti-harakatlarini kuzatadilar va tahlil qiladilar. Bu barcha turdagi foydalanuvchilar va hisoblar, shu jumladan imtiyozli va xizmat hisoblari uchun amal qiladi. Tashkilotlar, shuningdek, talab qilinganidan yuqori bo'lgan harakatsiz hisoblar va foydalanuvchi imtiyozlaridan xalos bo'lish uchun UEBA-dan foydalanadilar.

Voqealarning ustuvorligi

Ushbu vazifaning maqsadi, qaysi hodisalar yoki potentsial hodisalarni birinchi navbatda hal qilish kerakligini tushunish uchun ularning texnologik stackidagi echimlar tomonidan yaratilgan bildirishnomalarga ustuvorlik berishdir. UEBA metodologiyasi va vositalari ma'lum bir tashkilot uchun o'ta anormal yoki ayniqsa xavfli bo'lgan hodisalarni aniqlashda foydalidir. Bunday holda, UEBA mexanizmi nafaqat faoliyatning asosiy darajasi va tahdid modellaridan foydalanadi, balki kompaniyaning tashkiliy tuzilmasi (masalan, muhim resurslar yoki rollar va xodimlarning kirish darajalari) haqidagi ma'lumotlar bilan to'ldiradi.

UEBA yechimlarini amalga oshirish muammolari

UEBA yechimlarining bozor og'rig'i ularning yuqori narxi, kompleks amalga oshirish, texnik xizmat ko'rsatish va foydalanishdir. Kompaniyalar turli xil ichki portallar soni bilan kurashayotgan bo'lsa-da, ular boshqa konsolni olishmoqda. Yangi vositaga vaqt va resurslarni investitsiya qilish hajmi qo'llaniladigan vazifalarga va ularni hal qilish uchun zarur bo'lgan tahlil turlariga bog'liq bo'lib, ko'pincha katta investitsiyalarni talab qiladi.

Ko'pgina ishlab chiqaruvchilar ta'kidlaganidan farqli o'laroq, UEBA "o'rnating va unuting" vositasi emas, keyin kunlar davomida uzluksiz ishlashi mumkin.
Gartner mijozlari, masalan, ushbu yechim amalga oshirilgan muammolarni hal qilishning birinchi natijalarini olish uchun UEBA tashabbusini noldan boshlash uchun 3 oydan 6 oygacha vaqt ketishini ta'kidlashadi. Tashkilotdagi ichki tahdidlarni aniqlash kabi murakkabroq vazifalar uchun muddat 18 oygacha oshiriladi.

UEBAni amalga oshirish qiyinligiga va vositaning kelajakdagi samaradorligiga ta'sir qiluvchi omillar:

  • Tashkilot arxitekturasining murakkabligi, tarmoq topologiyasi va ma'lumotlarni boshqarish siyosati
  • To'g'ri tafsilotlar darajasida to'g'ri ma'lumotlarning mavjudligi
  • Sotuvchining analitik algoritmlarining murakkabligi - masalan, statistik modellardan foydalanish va mashinani o'rganish oddiy naqsh va qoidalarga nisbatan.
  • Oldindan konfiguratsiya qilingan tahlillar miqdori, ya'ni ishlab chiqaruvchining har bir vazifa uchun qanday ma'lumotlarni to'plash kerakligini va tahlilni amalga oshirish uchun qaysi o'zgaruvchilar va atributlar muhimligini tushunishi.
  • Ishlab chiqaruvchining kerakli ma'lumotlar bilan avtomatik integratsiyalashuvi qanchalik oson.

    Masalan:

    • Agar UEBA yechimi o'z ma'lumotlarining asosiy manbai sifatida SIEM tizimidan foydalansa, SIEM kerakli ma'lumotlar manbalaridan ma'lumot to'playdimi?
    • Kerakli hodisalar jurnallari va tashkiliy kontekst ma'lumotlarini UEBA yechimiga yo'naltirish mumkinmi?
    • Agar SIEM tizimi UEBA yechimi uchun zarur bo'lgan ma'lumotlar manbalarini hali to'plamasa va nazorat qilmasa, ularni qanday qilib u erga o'tkazish mumkin?

  • Tashkilot uchun dastur stsenariysi qanchalik muhim, u qancha ma'lumot manbalarini talab qiladi va bu vazifa ishlab chiqaruvchining mutaxassislik sohasi bilan qanchalik mos keladi.
  • Qanday darajada tashkiliy etuklik va ishtirok etish talab etiladi - masalan, qoidalar va modellarni yaratish, ishlab chiqish va takomillashtirish; baholash uchun o'zgaruvchilarga og'irliklarni belgilash; yoki xavfni baholash chegarasini sozlash.
  • Tashkilotning hozirgi hajmi va kelajakdagi talablari bilan solishtirganda, sotuvchining yechimi va uning arxitekturasi qanchalik kengayishi mumkin.
  • Asosiy modellar, profillar va asosiy guruhlarni yaratish vaqti. Ishlab chiqaruvchilar ko'pincha "normalarni" aniqlashdan oldin tahlil o'tkazish uchun kamida 30 kun (va ba'zan 90 kungacha) talab qiladi. Tarixiy ma'lumotlarni bir marta yuklash modelni o'qitishni tezlashtirishi mumkin. Ajablanarli darajada kichik hajmdagi dastlabki ma'lumotlar bilan mashinani o'rganishdan ko'ra, ba'zi qiziqarli holatlar qoidalar yordamida tezroq aniqlanishi mumkin.
  • Dinamik guruhlash va hisob profilini (xizmat/shaxs) yaratish uchun talab qilinadigan harakat darajasi yechimlar orasida katta farq qilishi mumkin.

Manba: www.habr.com

a Izoh qo'shish