Prohoster > Blog > tin tức mạng > Thị trường UEBA đã chết - UEBA sống lâu

Thị trường UEBA đã chết - UEBA sống lâu

Thị trường UEBA đã chết - UEBA sống lâu

Hôm nay, chúng tôi sẽ cung cấp tổng quan ngắn gọn về thị trường Phân tích hành vi người dùng và thực thể (UEBA) dựa trên thông tin mới nhất Nghiên cứu của Gartner. Thị trường UEBA đang ở cuối “giai đoạn vỡ mộng” theo Chu kỳ cường điệu của Gartner về các công nghệ đối mặt với mối đe dọa, cho thấy sự trưởng thành của công nghệ. Nhưng nghịch lý của tình trạng này nằm ở sự tăng trưởng chung đồng thời của các khoản đầu tư vào công nghệ UEBA và thị trường giải pháp UEBA độc lập đang biến mất. Gartner dự đoán rằng UEBA sẽ trở thành một phần chức năng của các giải pháp bảo mật thông tin liên quan. Thuật ngữ "UEBA" có thể sẽ không còn được sử dụng và được thay thế bằng một từ viết tắt khác tập trung vào lĩnh vực ứng dụng hẹp hơn (ví dụ: "phân tích hành vi người dùng"), lĩnh vực ứng dụng tương tự (ví dụ: "phân tích dữ liệu") hoặc đơn giản trở thành một số từ thông dụng mới (ví dụ: thuật ngữ "trí tuệ nhân tạo" [AI] có vẻ thú vị, mặc dù nó không có ý nghĩa gì đối với các nhà sản xuất UEBA hiện đại).

Những phát hiện chính từ nghiên cứu của Gartner có thể được tóm tắt như sau:

  • Sự trưởng thành của thị trường phân tích hành vi của người dùng và tổ chức được khẳng định bởi thực tế là những công nghệ này được phân khúc doanh nghiệp vừa và lớn sử dụng để giải quyết một số vấn đề kinh doanh;
  • Khả năng phân tích của UEBA được tích hợp vào nhiều công nghệ bảo mật thông tin liên quan, chẳng hạn như công ty môi giới bảo mật truy cập đám mây (CASB), hệ thống SIEM quản trị và quản lý danh tính (IGA);
  • Sự cường điệu xung quanh các nhà cung cấp UEBA và việc sử dụng thuật ngữ “trí tuệ nhân tạo” không chính xác khiến khách hàng khó hiểu được sự khác biệt thực sự giữa công nghệ của nhà sản xuất và chức năng của giải pháp nếu không tiến hành dự án thí điểm;
  • Khách hàng lưu ý rằng thời gian triển khai và sử dụng hàng ngày các giải pháp UEBA có thể tốn nhiều công sức và thời gian hơn những gì nhà sản xuất hứa hẹn, ngay cả khi chỉ xem xét các mô hình phát hiện mối đe dọa cơ bản. Việc thêm các trường hợp sử dụng tùy chỉnh hoặc biên có thể cực kỳ khó khăn và đòi hỏi chuyên môn về khoa học và phân tích dữ liệu.

Dự báo phát triển thị trường chiến lược:

  • Đến năm 2021, thị trường hệ thống phân tích hành vi người dùng và thực thể (UEBA) sẽ không còn tồn tại như một khu vực riêng biệt và sẽ chuyển sang các giải pháp khác có chức năng UEBA;
  • Đến năm 2020, 95% hoạt động triển khai của UEBA sẽ là một phần của nền tảng bảo mật rộng hơn.

Định nghĩa giải pháp UEBA

Các giải pháp UEBA sử dụng phân tích tích hợp để đánh giá hoạt động của người dùng và các thực thể khác (chẳng hạn như máy chủ, ứng dụng, lưu lượng mạng và kho dữ liệu).
Chúng phát hiện các mối đe dọa và sự cố tiềm ẩn, thường thể hiện hoạt động bất thường so với hồ sơ và hành vi tiêu chuẩn của người dùng và thực thể trong các nhóm tương tự trong một khoảng thời gian.

Các trường hợp sử dụng phổ biến nhất trong phân khúc doanh nghiệp là phát hiện và phản hồi mối đe dọa, cũng như phát hiện và phản hồi các mối đe dọa nội bộ (chủ yếu là nội bộ bị xâm phạm; đôi khi là những kẻ tấn công nội bộ).

UEBA giống như theo quyết địnhchức năng, được tích hợp vào một công cụ cụ thể:

  • Giải pháp là các nhà sản xuất nền tảng UEBA “thuần túy”, bao gồm cả các nhà cung cấp cũng bán riêng các giải pháp SIEM. Tập trung vào một loạt các vấn đề kinh doanh trong việc phân tích hành vi của cả người dùng và thực thể.
  • Nhúng – Các nhà sản xuất/bộ phận tích hợp các chức năng và công nghệ UEBA vào giải pháp của họ. Thường tập trung vào một tập hợp cụ thể hơn các vấn đề kinh doanh. Trong trường hợp này, UEBA được sử dụng để phân tích hành vi của người dùng và/hoặc tổ chức.

Gartner xem UEBA theo ba trục, bao gồm người giải quyết vấn đề, phân tích và nguồn dữ liệu (xem hình).

Thị trường UEBA đã chết - UEBA sống lâu

Nền tảng UEBA "thuần túy" so với UEBA tích hợp

Gartner coi nền tảng UEBA “thuần túy” là giải pháp:

  • giải quyết một số vấn đề cụ thể, chẳng hạn như giám sát người dùng có đặc quyền hoặc xuất dữ liệu ra bên ngoài tổ chức, chứ không chỉ là “giám sát hoạt động bất thường của người dùng” trừu tượng;
  • liên quan đến việc sử dụng các phân tích phức tạp, nhất thiết phải dựa trên các phương pháp phân tích cơ bản;
  • cung cấp một số tùy chọn để thu thập dữ liệu, bao gồm cả cơ chế nguồn dữ liệu tích hợp và từ các công cụ quản lý nhật ký, Hồ dữ liệu và/hoặc hệ thống SIEM mà không cần phải triển khai các tác nhân riêng biệt trong cơ sở hạ tầng;
  • có thể được mua và triển khai dưới dạng giải pháp độc lập thay vì đưa vào
    thành phần của các sản phẩm khác.

Bảng dưới đây so sánh hai cách tiếp cận.

Bảng 1. Giải pháp UEBA “thuần túy” so với giải pháp tích hợp

Thể loại Nền tảng UEBA "thuần túy" Các giải pháp khác có UEBA tích hợp
Vấn đề cần giải quyết Phân tích hành vi người dùng và các thực thể. Việc thiếu dữ liệu có thể hạn chế UEBA chỉ phân tích hành vi của người dùng hoặc tổ chức.
Vấn đề cần giải quyết Phục vụ để giải quyết một loạt các vấn đề Chuyên về một nhóm nhiệm vụ hạn chế
Analytics Phát hiện sự bất thường bằng nhiều phương pháp phân tích khác nhau - chủ yếu thông qua các mô hình thống kê và học máy, cùng với các quy tắc và chữ ký. Đi kèm với tính năng phân tích tích hợp để tạo và so sánh hoạt động của người dùng và thực thể với hồ sơ của họ và đồng nghiệp. Tương tự như UEBA thuần túy, nhưng việc phân tích chỉ có thể được giới hạn ở người dùng và/hoặc tổ chức.
Analytics Khả năng phân tích nâng cao, không chỉ bị giới hạn bởi các quy tắc. Ví dụ: một thuật toán phân cụm với việc nhóm các thực thể động. Tương tự như UEBA “thuần túy”, nhưng việc nhóm thực thể trong một số mô hình mối đe dọa nhúng chỉ có thể được thay đổi theo cách thủ công.
Analytics Mối tương quan giữa hoạt động và hành vi của người dùng và các thực thể khác (ví dụ: sử dụng mạng Bayesian) và tổng hợp hành vi rủi ro cá nhân nhằm xác định hoạt động bất thường. Tương tự như UEBA thuần túy, nhưng việc phân tích chỉ có thể được giới hạn ở người dùng và/hoặc tổ chức.
Nguồn dữ liệu Nhận các sự kiện về người dùng và thực thể từ các nguồn dữ liệu trực tiếp thông qua các cơ chế tích hợp sẵn hoặc kho dữ liệu hiện có, chẳng hạn như SIEM hoặc Data lake. Các cơ chế thu thập dữ liệu thường chỉ trực tiếp và chỉ ảnh hưởng đến người dùng và/hoặc các thực thể khác. Không sử dụng các công cụ quản lý log/SIEM/Data lake.
Nguồn dữ liệu Giải pháp không nên chỉ dựa vào lưu lượng mạng làm nguồn dữ liệu chính và cũng không nên chỉ dựa vào các đại lý của chính mình để thu thập dữ liệu đo từ xa. Giải pháp chỉ có thể tập trung vào lưu lượng mạng (ví dụ: NTA - phân tích lưu lượng mạng) và/hoặc sử dụng các tác nhân của nó trên các thiết bị cuối (ví dụ: tiện ích giám sát nhân viên).
Nguồn dữ liệu Bão hòa dữ liệu người dùng/thực thể với ngữ cảnh. Hỗ trợ thu thập các sự kiện có cấu trúc trong thời gian thực, cũng như dữ liệu gắn kết có cấu trúc/không cấu trúc từ các thư mục CNTT - ví dụ: Active Directory (AD) hoặc các tài nguyên thông tin có thể đọc được bằng máy khác (ví dụ: cơ sở dữ liệu nhân sự). Tương tự như UEBA thuần túy, nhưng phạm vi dữ liệu theo ngữ cảnh có thể khác nhau tùy theo từng trường hợp. AD và LDAP là các kho lưu trữ dữ liệu theo ngữ cảnh phổ biến nhất được sử dụng bởi các giải pháp UEBA nhúng.
Sẵn có Cung cấp các tính năng được liệt kê như một sản phẩm độc lập. Không thể mua chức năng UEBA tích hợp mà không mua giải pháp bên ngoài được tích hợp sẵn.
Nguồn: Gartner (tháng 2019 năm XNUMX)

Do đó, để giải quyết một số vấn đề nhất định, UEBA nhúng có thể sử dụng các phân tích UEBA cơ bản (ví dụ: học máy không giám sát đơn giản), nhưng đồng thời, do có thể truy cập chính xác vào dữ liệu cần thiết nên về tổng thể, nó có thể hiệu quả hơn so với “thuần túy” Giải pháp UEBA. Đồng thời, các nền tảng UEBA “thuần túy”, như mong đợi, cung cấp các phân tích phức tạp hơn làm bí quyết chính so với công cụ UEBA tích hợp sẵn. Những kết quả này được tóm tắt trong Bảng 2.

Bảng 2. Kết quả sự khác biệt giữa UEBA “thuần” và UEBA tích hợp

Thể loại Nền tảng UEBA "thuần túy" Các giải pháp khác có UEBA tích hợp
Analytics Khả năng ứng dụng để giải quyết nhiều vấn đề kinh doanh khác nhau ngụ ý một bộ chức năng UEBA phổ quát hơn, tập trung vào các mô hình phân tích và học máy phức tạp hơn. Tập trung vào một nhóm vấn đề kinh doanh nhỏ hơn có nghĩa là các tính năng chuyên môn cao sẽ tập trung vào các mô hình dành riêng cho ứng dụng với logic đơn giản hơn.
Analytics Việc tùy chỉnh mô hình phân tích là cần thiết cho từng kịch bản ứng dụng. Các mô hình phân tích được cấu hình sẵn cho công cụ được tích hợp sẵn UEBA. Một công cụ có UEBA tích hợp thường đạt được kết quả nhanh hơn trong việc giải quyết một số vấn đề kinh doanh nhất định.
Nguồn dữ liệu Truy cập vào các nguồn dữ liệu từ mọi ngóc ngách của cơ sở hạ tầng công ty. Ít nguồn dữ liệu hơn, thường bị giới hạn bởi sự sẵn có của các tác nhân dành cho chúng hoặc bản thân công cụ có chức năng UEBA.
Nguồn dữ liệu Thông tin trong mỗi nhật ký có thể bị giới hạn bởi nguồn dữ liệu và có thể không chứa tất cả dữ liệu cần thiết cho công cụ UEBA tập trung. Số lượng và chi tiết của dữ liệu thô được tác nhân thu thập và truyền tới UEBA có thể được định cấu hình cụ thể.
kiến trúc Nó là một sản phẩm UEBA hoàn chỉnh cho một tổ chức. Việc tích hợp dễ dàng hơn khi sử dụng các khả năng của hệ thống SIEM hoặc Hồ dữ liệu. Yêu cầu một bộ tính năng UEBA riêng cho từng giải pháp có UEBA tích hợp. Các giải pháp UEBA nhúng thường yêu cầu cài đặt tác nhân và quản lý dữ liệu.
Tích hợp Tích hợp thủ công giải pháp UEBA với các công cụ khác trong từng trường hợp. Cho phép một tổ chức xây dựng hệ thống công nghệ của mình dựa trên cách tiếp cận “tốt nhất trong số các công nghệ tương tự”. Các gói chức năng UEBA chính đã được nhà sản xuất đưa vào chính công cụ này. Mô-đun UEBA được tích hợp sẵn và không thể gỡ bỏ nên khách hàng không thể thay thế bằng mô-đun của riêng mình.
Nguồn: Gartner (tháng 2019 năm XNUMX)

UEBA như một chức năng

UEBA đang trở thành một tính năng của các giải pháp an ninh mạng toàn diện có thể hưởng lợi từ các phân tích bổ sung. UEBA làm nền tảng cho các giải pháp này, cung cấp một lớp phân tích nâng cao mạnh mẽ dựa trên các mẫu hành vi của người dùng và/hoặc thực thể.

Hiện nay trên thị trường, chức năng UEBA tích hợp được triển khai trong các giải pháp sau, được nhóm theo phạm vi công nghệ:

  • Kiểm tra và bảo vệ tập trung vào dữ liệu, là các nhà cung cấp tập trung vào việc cải thiện tính bảo mật của việc lưu trữ dữ liệu có cấu trúc và không cấu trúc (còn gọi là DCAP).

    Trong danh mục nhà cung cấp này, Gartner lưu ý, trong số những thứ khác, Nền tảng an ninh mạng Varonis, cung cấp phân tích hành vi người dùng để theo dõi các thay đổi về quyền, quyền truy cập và cách sử dụng dữ liệu phi cấu trúc trên các kho thông tin khác nhau.

  • Hệ thống CASB, cung cấp khả năng bảo vệ chống lại các mối đe dọa khác nhau trong các ứng dụng SaaS dựa trên đám mây bằng cách chặn quyền truy cập vào dịch vụ đám mây đối với các thiết bị, người dùng và phiên bản ứng dụng không mong muốn bằng hệ thống kiểm soát truy cập thích ứng.

    Tất cả các giải pháp CASB dẫn đầu thị trường đều bao gồm các tính năng của UEBA.

  • Giải pháp DLP – tập trung vào việc phát hiện việc truyền dữ liệu quan trọng ra bên ngoài tổ chức hoặc việc lạm dụng dữ liệu đó.

    Những tiến bộ của DLP chủ yếu dựa trên việc hiểu nội dung, ít tập trung vào việc hiểu bối cảnh như người dùng, ứng dụng, địa điểm, thời gian, tốc độ của sự kiện và các yếu tố bên ngoài khác. Để có hiệu quả, các sản phẩm DLP phải nhận dạng được cả nội dung và ngữ cảnh. Đây là lý do tại sao nhiều nhà sản xuất bắt đầu tích hợp chức năng UEBA vào giải pháp của họ.

  • Giám sát nhân viên là khả năng ghi lại và phát lại các hành động của nhân viên, thường ở định dạng dữ liệu phù hợp với thủ tục pháp lý (nếu cần).

    Việc giám sát người dùng liên tục thường tạo ra một lượng dữ liệu khổng lồ đòi hỏi phải lọc thủ công và phân tích của con người. Do đó, UEBA được sử dụng bên trong các hệ thống giám sát để cải thiện hiệu suất của các giải pháp này và chỉ phát hiện các sự cố có nguy cơ cao.

  • Bảo mật điểm cuối – Các giải pháp phát hiện và phản hồi điểm cuối (EDR) và nền tảng bảo vệ điểm cuối (EPP) cung cấp công cụ đo lường từ xa và hệ điều hành mạnh mẽ để
    thiết bị dùng cuối.

    Phép đo từ xa liên quan đến người dùng như vậy có thể được phân tích để cung cấp chức năng UEBA tích hợp.

  • Lừa đảo trực tuyến – Giải pháp phát hiện gian lận trực tuyến phát hiện hoạt động sai lệch cho thấy sự xâm phạm tài khoản của khách hàng thông qua giả mạo, phần mềm độc hại hoặc khai thác các kết nối không an toàn/chặn lưu lượng truy cập trình duyệt.

    Hầu hết các giải pháp chống gian lận đều sử dụng bản chất của UEBA, phân tích giao dịch và đo lường thiết bị, cùng với các hệ thống tiên tiến hơn bổ sung cho chúng bằng cách khớp các mối quan hệ trong cơ sở dữ liệu nhận dạng.

  • IAM và kiểm soát truy cập – Gartner lưu ý xu hướng tiến hóa giữa các nhà cung cấp hệ thống kiểm soát truy cập là tích hợp với các nhà cung cấp thuần túy và xây dựng một số chức năng UEBA vào sản phẩm của họ.
  • Hệ thống quản trị và quản trị danh tính (IGA) và IAM sử dụng UEBA để bao gồm các tình huống phân tích hành vi và nhận dạng như phát hiện sự bất thường, phân tích nhóm động của các thực thể tương tự, phân tích đăng nhập và phân tích chính sách truy cập.
  • IAM và Quản lý quyền truy cập đặc quyền (PAM) – Do có vai trò giám sát việc sử dụng tài khoản quản trị, các giải pháp PAM có tính năng đo từ xa để chỉ ra cách thức, lý do, thời gian và địa điểm sử dụng tài khoản quản trị. Dữ liệu này có thể được phân tích bằng chức năng tích hợp của UEBA để phát hiện hành vi bất thường của quản trị viên hoặc mục đích xấu.
  • Nhà sản xuất NTA (Phân tích lưu lượng mạng) – sử dụng kết hợp công nghệ máy học, phân tích nâng cao và phát hiện dựa trên quy tắc để xác định hoạt động đáng ngờ trên mạng công ty.

    Các công cụ NTA liên tục phân tích các bản ghi lưu lượng và/hoặc luồng nguồn (ví dụ: NetFlow) để xây dựng các mô hình phản ánh hành vi mạng thông thường, chủ yếu tập trung vào phân tích hành vi thực thể.

  • SIÊM – nhiều nhà cung cấp SIEM hiện có chức năng phân tích dữ liệu nâng cao được tích hợp trong SIEM hoặc dưới dạng mô-đun UEBA riêng biệt. Trong suốt năm 2018 và cho đến năm 2019, ranh giới giữa chức năng SIEM và UEBA liên tục bị xóa nhòa, như đã thảo luận trong bài viết. "Cái nhìn sâu sắc về công nghệ cho SIEM hiện đại". Các hệ thống SIEM đã hoạt động tốt hơn với khả năng phân tích và đưa ra các kịch bản ứng dụng phức tạp hơn.

Kịch bản ứng dụng UEBA

Các giải pháp của UEBA có thể giải quyết được nhiều vấn đề. Tuy nhiên, khách hàng của Gartner đồng ý rằng trường hợp sử dụng chính liên quan đến việc phát hiện các loại mối đe dọa khác nhau, đạt được bằng cách hiển thị và phân tích mối tương quan thường xuyên giữa hành vi của người dùng và các thực thể khác:

  • truy cập trái phép và di chuyển dữ liệu;
  • hành vi đáng ngờ của người dùng đặc quyền, hoạt động độc hại hoặc trái phép của nhân viên;
  • truy cập và sử dụng tài nguyên đám mây không chuẩn;
  • vv

Ngoài ra còn có một số trường hợp sử dụng không liên quan đến an ninh mạng không điển hình, chẳng hạn như gian lận hoặc giám sát nhân viên, mà UEBA có thể biện minh. Tuy nhiên, họ thường yêu cầu các nguồn dữ liệu ngoài CNTT và bảo mật thông tin hoặc các mô hình phân tích cụ thể với hiểu biết sâu sắc về lĩnh vực này. Năm kịch bản và ứng dụng chính mà cả nhà sản xuất UEBA và khách hàng của họ đều đồng ý được mô tả dưới đây.

"Nội gián độc hại"

Các nhà cung cấp giải pháp UEBA xử lý tình huống này chỉ giám sát nhân viên và nhà thầu đáng tin cậy về hành vi bất thường, "xấu" hoặc độc hại. Các nhà cung cấp trong lĩnh vực chuyên môn này không giám sát hoặc phân tích hành vi của các tài khoản dịch vụ hoặc các thực thể không phải con người khác. Phần lớn là vì điều này, họ không tập trung vào việc phát hiện các mối đe dọa nâng cao nơi tin tặc chiếm đoạt các tài khoản hiện có. Thay vào đó, chúng nhằm mục đích xác định nhân viên tham gia vào các hoạt động có hại.

Về cơ bản, khái niệm “nội gián độc hại” bắt nguồn từ những người dùng đáng tin cậy với mục đích xấu tìm cách gây thiệt hại cho chủ nhân của họ. Vì mục đích xấu khó đo lường nên các nhà cung cấp tốt nhất trong danh mục này sẽ phân tích dữ liệu hành vi theo ngữ cảnh không dễ có trong nhật ký kiểm tra.

Các nhà cung cấp giải pháp trong không gian này cũng thêm và phân tích dữ liệu phi cấu trúc một cách tối ưu, chẳng hạn như nội dung email, báo cáo năng suất hoặc thông tin trên mạng xã hội, để cung cấp bối cảnh cho hành vi.

Nội bộ bị xâm phạm và các mối đe dọa xâm nhập

Thách thức là phải nhanh chóng phát hiện và phân tích hành vi “xấu” khi kẻ tấn công đã giành được quyền truy cập vào tổ chức và bắt đầu di chuyển trong cơ sở hạ tầng CNTT.
Các mối đe dọa chắc chắn (APT), như các mối đe dọa chưa biết hoặc chưa được hiểu đầy đủ, cực kỳ khó phát hiện và thường ẩn sau các tài khoản dịch vụ hoặc hoạt động hợp pháp của người dùng. Những mối đe dọa như vậy thường có mô hình hoạt động phức tạp (ví dụ, xem bài viết “ Giải quyết chuỗi tiêu diệt mạng") hoặc hành vi của họ chưa được đánh giá là có hại. Điều này khiến chúng khó phát hiện bằng cách sử dụng các phân tích đơn giản (chẳng hạn như so khớp theo mẫu, ngưỡng hoặc quy tắc tương quan).

Tuy nhiên, nhiều mối đe dọa xâm nhập này dẫn đến hành vi không chuẩn, thường liên quan đến những người dùng hoặc tổ chức không nghi ngờ (hay còn gọi là những người trong nội bộ bị xâm phạm). Các kỹ thuật của UEBA mang đến một số cơ hội thú vị để phát hiện các mối đe dọa như vậy, cải thiện tỷ lệ tín hiệu trên nhiễu, củng cố và giảm khối lượng thông báo, ưu tiên các cảnh báo còn lại và tạo điều kiện thuận lợi cho việc điều tra và ứng phó sự cố hiệu quả.

Các nhà cung cấp UEBA nhắm đến lĩnh vực có vấn đề này thường tích hợp hai chiều với hệ thống SIEM của tổ chức.

Lọc dữ liệu

Nhiệm vụ trong trường hợp này là phát hiện thực tế rằng dữ liệu đang được truyền ra bên ngoài tổ chức.
Các nhà cung cấp tập trung vào thách thức này thường tận dụng khả năng DLP hoặc DAG với khả năng phát hiện bất thường và phân tích nâng cao, từ đó cải thiện tỷ lệ tín hiệu trên nhiễu, hợp nhất khối lượng thông báo và ưu tiên các trình kích hoạt còn lại. Đối với bối cảnh bổ sung, các nhà cung cấp thường phụ thuộc nhiều hơn vào lưu lượng truy cập mạng (chẳng hạn như proxy web) và dữ liệu điểm cuối, vì việc phân tích các nguồn dữ liệu này có thể hỗ trợ điều tra việc đánh cắp dữ liệu.

Tính năng phát hiện lọc dữ liệu được sử dụng để phát hiện những kẻ trong nội bộ và tin tặc bên ngoài đang đe dọa tổ chức.

Xác định và quản lý quyền truy cập đặc quyền

Các nhà sản xuất giải pháp UEBA độc lập trong lĩnh vực chuyên môn này quan sát và phân tích hành vi của người dùng dựa trên nền tảng của hệ thống quyền đã được hình thành để xác định các đặc quyền quá mức hoặc quyền truy cập bất thường. Điều này áp dụng cho tất cả các loại người dùng và tài khoản, bao gồm cả tài khoản dịch vụ và tài khoản đặc quyền. Các tổ chức cũng sử dụng UEBA để loại bỏ các tài khoản không hoạt động và đặc quyền người dùng cao hơn mức yêu cầu.

Ưu tiên sự cố

Mục tiêu của nhiệm vụ này là ưu tiên các thông báo do các giải pháp trong hệ thống công nghệ của họ tạo ra để hiểu những sự cố hoặc sự cố tiềm ẩn nào cần được giải quyết trước. Các phương pháp và công cụ của UEBA rất hữu ích trong việc xác định các sự cố đặc biệt bất thường hoặc đặc biệt nguy hiểm đối với một tổ chức nhất định. Trong trường hợp này, cơ chế UEBA không chỉ sử dụng cấp độ cơ bản của các mô hình hoạt động và mối đe dọa mà còn bão hòa dữ liệu bằng thông tin về cơ cấu tổ chức của công ty (ví dụ: các nguồn lực hoặc vai trò quan trọng và cấp độ truy cập của nhân viên).

Những vấn đề khi triển khai giải pháp UEBA

Điểm yếu của thị trường đối với các giải pháp UEBA là giá cao, việc triển khai, bảo trì và sử dụng phức tạp. Trong khi các công ty đang vật lộn với số lượng cổng nội bộ khác nhau, họ đang có được một bảng điều khiển khác. Quy mô đầu tư thời gian và nguồn lực vào một công cụ mới phụ thuộc vào các nhiệm vụ trước mắt và loại phân tích cần thiết để giải quyết chúng và hầu hết thường yêu cầu đầu tư lớn.

Trái ngược với những gì nhiều nhà sản xuất tuyên bố, UEBA không phải là một công cụ “cài đặt và quên nó đi” để có thể chạy liên tục trong nhiều ngày liên tục.
Ví dụ: khách hàng của Gartner lưu ý rằng phải mất từ ​​​​3 đến 6 tháng để khởi động sáng kiến ​​UEBA từ đầu để thu được kết quả đầu tiên trong việc giải quyết các vấn đề mà giải pháp này đã được triển khai. Đối với các nhiệm vụ phức tạp hơn, chẳng hạn như xác định các mối đe dọa nội bộ trong một tổ chức, thời gian sẽ tăng lên 18 tháng.

Các yếu tố ảnh hưởng đến khó khăn khi triển khai UEBA và hiệu quả của công cụ trong tương lai:

  • Sự phức tạp của kiến ​​trúc tổ chức, cấu trúc liên kết mạng và chính sách quản lý dữ liệu
  • Sự sẵn có của dữ liệu phù hợp ở mức độ chi tiết phù hợp
  • Sự phức tạp của các thuật toán phân tích của nhà cung cấp—ví dụ: việc sử dụng các mô hình thống kê và học máy so với các mẫu và quy tắc đơn giản.
  • Bao gồm số lượng phân tích được định cấu hình trước—tức là sự hiểu biết của nhà sản xuất về dữ liệu nào cần được thu thập cho từng nhiệm vụ cũng như những biến và thuộc tính nào là quan trọng nhất để thực hiện phân tích.
  • Nhà sản xuất có thể tự động tích hợp với dữ liệu cần thiết dễ dàng như thế nào.

    Ví dụ:

    • Nếu giải pháp UEBA sử dụng hệ thống SIEM làm nguồn dữ liệu chính thì SIEM có thu thập thông tin từ các nguồn dữ liệu được yêu cầu không?
    • Nhật ký sự kiện cần thiết và dữ liệu bối cảnh tổ chức có thể được chuyển đến giải pháp UEBA không?
    • Nếu hệ thống SIEM chưa thu thập và kiểm soát được các nguồn dữ liệu cần thiết cho giải pháp UEBA thì làm sao chuyển chúng sang đó?

  • Kịch bản ứng dụng đối với tổ chức quan trọng như thế nào, nó yêu cầu bao nhiêu nguồn dữ liệu và mức độ trùng lặp của nhiệm vụ này với lĩnh vực chuyên môn của nhà sản xuất.
  • Cần có mức độ trưởng thành và tham gia của tổ chức như thế nào - ví dụ: việc tạo ra, phát triển và sàng lọc các quy tắc và mô hình; gán trọng số cho các biến để đánh giá; hoặc điều chỉnh ngưỡng đánh giá rủi ro.
  • Giải pháp của nhà cung cấp và kiến ​​trúc của nó có khả năng mở rộng như thế nào so với quy mô hiện tại của tổ chức và các yêu cầu trong tương lai của tổ chức đó.
  • Đã đến lúc xây dựng các mô hình, hồ sơ và nhóm chính cơ bản. Các nhà sản xuất thường yêu cầu ít nhất 30 ngày (và đôi khi lên đến 90 ngày) để tiến hành phân tích trước khi họ có thể xác định các khái niệm “thông thường”. Tải dữ liệu lịch sử một lần có thể tăng tốc độ đào tạo mô hình. Một số trường hợp thú vị có thể được xác định nhanh hơn bằng cách sử dụng các quy tắc so với sử dụng máy học với lượng dữ liệu ban đầu cực kỳ nhỏ.
  • Mức độ nỗ lực cần thiết để xây dựng hồ sơ tài khoản và nhóm động (dịch vụ/người) có thể khác nhau rất nhiều giữa các giải pháp.

Nguồn: www.habr.com

Thêm một lời nhận xét