ProHoster > Блог > ayelujara iroyin > Ọja UEBA ti ku - UEBA gigun

Ọja UEBA ti ku - UEBA gigun

Ọja UEBA ti ku - UEBA gigun

Loni a yoo pese akopọ kukuru ti ọja Olumulo ati Ẹda ihuwasi (UEBA) ti o da lori tuntun Gartner iwadi. Ọja UEBA wa ni isalẹ ti “ipele idamu” ni ibamu si Gartner Hype Cycle for Irokeke Awọn Imọ-ẹrọ Irokeke, nfihan idagbasoke ti imọ-ẹrọ. Ṣugbọn paradox ti ipo naa wa ni idagbasoke gbogbogbo nigbakanna ti awọn idoko-owo ni awọn imọ-ẹrọ UEBA ati ọja ti o padanu ti awọn solusan UEBA ominira. Gartner sọ asọtẹlẹ pe UEBA yoo di apakan ti iṣẹ ṣiṣe ti awọn solusan aabo alaye ti o ni ibatan. Ọrọ naa “UEBA” yoo ṣeeṣe ki o ṣubu kuro ni lilo ati rọpo nipasẹ adape miiran ti o dojukọ agbegbe agbegbe ohun elo ti o dín (fun apẹẹrẹ, “awọn atupale ihuwasi olumulo”), agbegbe ohun elo ti o jọra (fun apẹẹrẹ, “awọn atupale data”), tabi di diẹ ninu nirọrun. ọrọ buzzword tuntun (fun apẹẹrẹ, ọrọ naa “imọran atọwọda” [AI] dabi ohun ti o nifẹ, botilẹjẹpe ko ṣe oye eyikeyi si awọn aṣelọpọ UEBA ode oni).

Awọn awari bọtini lati inu iwadi Gartner ni a le ṣe akopọ bi atẹle:

  • Awọn idagbasoke ti ọja fun awọn atupale ihuwasi ti awọn olumulo ati awọn nkan jẹ idaniloju nipasẹ otitọ pe awọn imọ-ẹrọ wọnyi lo nipasẹ alabọde ati apakan ile-iṣẹ nla lati yanju nọmba awọn iṣoro iṣowo;
  • Awọn agbara atupale UEBA ni a ṣe sinu ọpọlọpọ awọn imọ-ẹrọ aabo alaye ti o ni ibatan, gẹgẹbi awọn alagbata aabo wiwọle awọsanma (CASBs), iṣakoso idanimọ ati iṣakoso (IGA) awọn eto SIEM;
  • Aruwo ti o wa ni ayika awọn olutaja UEBA ati lilo ti ko tọ ti ọrọ naa "imọran atọwọda" jẹ ki o ṣoro fun awọn onibara lati ni oye iyatọ gidi laarin awọn imọ-ẹrọ ti awọn olupese ati iṣẹ-ṣiṣe ti awọn iṣeduro laisi ṣiṣe iṣẹ akanṣe awakọ;
  • Awọn alabara ṣe akiyesi pe akoko imuse ati lilo lojoojumọ ti awọn solusan UEBA le jẹ alaapọn diẹ sii ati n gba akoko ju awọn ileri olupese lọ, paapaa nigbati o ba gbero awọn awoṣe wiwa irokeke ipilẹ nikan. Ṣafikun aṣa tabi awọn ọran lilo eti le nira pupọ ati nilo oye ni imọ-jinlẹ data ati awọn atupale.

Asọtẹlẹ idagbasoke ọja ilana:

  • Nipa 2021, ọja fun olumulo ati awọn ọna ṣiṣe ihuwasi ihuwasi (UEBA) yoo dẹkun lati wa bi agbegbe ti o yatọ ati pe yoo yipada si awọn solusan miiran pẹlu iṣẹ ṣiṣe UEBA;
  • Ni ọdun 2020, 95% ti gbogbo awọn imuṣiṣẹ UEBA yoo jẹ apakan ti pẹpẹ aabo ti o gbooro.

Definition ti UEBA solusan

Awọn ipinnu UEBA lo awọn atupale ti a ṣe sinu lati ṣe iṣiro iṣẹ ṣiṣe ti awọn olumulo ati awọn nkan miiran (gẹgẹbi awọn agbalejo, awọn ohun elo, ijabọ nẹtiwọọki ati awọn ile itaja data).
Wọn ṣe awari awọn irokeke ati awọn iṣẹlẹ ti o pọju, ni igbagbogbo o nsoju iṣẹ ṣiṣe ailorukọ ni akawe si profaili boṣewa ati ihuwasi ti awọn olumulo ati awọn nkan ni awọn ẹgbẹ ti o jọra ni akoko kan.

Awọn ọran lilo ti o wọpọ julọ ni apakan ile-iṣẹ jẹ wiwa irokeke ewu ati esi, bakanna bi wiwa ati idahun si awọn irokeke inu inu (julọ awọn inu ti o gbogun; nigbakan awọn ikọlu inu).

UEBA dabi ipinnu, ati iṣẹ, ti a ṣe sinu ohun elo kan pato:

  • Ojutu naa jẹ awọn aṣelọpọ ti awọn iru ẹrọ UEBA “funfun”, pẹlu awọn olutaja ti o tun ta awọn solusan SIEM lọtọ. Idojukọ lori ọpọlọpọ awọn iṣoro iṣowo ni awọn atupale ihuwasi ti awọn olumulo mejeeji ati awọn nkan.
  • Ti a fi sii - Awọn aṣelọpọ / awọn ipin ti o ṣepọ awọn iṣẹ UEBA ati awọn imọ-ẹrọ sinu awọn solusan wọn. Ojo melo lojutu lori kan diẹ kan pato ṣeto ti owo isoro. Ni ọran yii, UEBA ni a lo lati ṣe itupalẹ ihuwasi awọn olumulo ati/tabi awọn nkan.

Awọn wiwo Gartner UEBA pẹlu awọn aake mẹta, pẹlu awọn olutọpa iṣoro, awọn atupale, ati awọn orisun data (wo eeya).

Ọja UEBA ti ku - UEBA gigun

Awọn iru ẹrọ UEBA "Mimọ" dipo UEBA ti a ṣe sinu

Gartner ka pẹpẹ UEBA “funfun” lati jẹ awọn ojutu ti:

  • yanju ọpọlọpọ awọn iṣoro kan pato, gẹgẹbi abojuto awọn olumulo ti o ni anfani tabi jijade data ni ita ti ajo, kii ṣe “abojuto iṣẹ olumulo ailorukọ” nikan;
  • kan pẹlu lilo awọn atupale eka, dandan da lori awọn ọna itupalẹ ipilẹ;
  • pese awọn aṣayan pupọ fun gbigba data, pẹlu mejeeji awọn ọna orisun data ti a ṣe sinu ati lati awọn irinṣẹ iṣakoso log, adagun data ati / tabi awọn eto SIEM, laisi iwulo dandan lati ran awọn aṣoju lọtọ ni awọn amayederun;
  • le ti wa ni ra ati ransogun bi imurasilẹ-nikan solusan kuku ju to wa ni
    tiwqn ti awọn ọja miiran.

Tabili ti o wa ni isalẹ ṣe afiwe awọn ọna meji.

Table 1. "Pure" UEBA solusan vs-itumọ ti ni

ẹka Awọn iru ẹrọ UEBA "Mimọ". Awọn solusan miiran pẹlu UEBA ti a ṣe sinu
Isoro lati yanju Onínọmbà ti ihuwasi olumulo ati awọn nkan. Aini data le ṣe idinwo UEBA lati ṣe itupalẹ ihuwasi ti awọn olumulo tabi awọn nkan nikan.
Isoro lati yanju Sin lati yanju kan jakejado ibiti o ti isoro Amọja ni opin awọn iṣẹ ṣiṣe
Awọn atupale Wiwa Anomaly ni lilo ọpọlọpọ awọn ọna itupalẹ - nipataki nipasẹ awọn awoṣe iṣiro ati ẹkọ ẹrọ, papọ pẹlu awọn ofin ati awọn ibuwọlu. Wa pẹlu awọn atupale ti a ṣe sinu lati ṣẹda ati ṣe afiwe olumulo ati iṣẹ ṣiṣe si wọn ati awọn profaili awọn ẹlẹgbẹ. Iru si UEBA mimọ, ṣugbọn itupalẹ le ni opin si awọn olumulo ati/tabi awọn nkan nikan.
Awọn atupale Awọn agbara itupalẹ ilọsiwaju, kii ṣe opin nipasẹ awọn ofin nikan. Fun apẹẹrẹ, alugoridimu ikojọpọ pẹlu ṣiṣe akojọpọ awọn nkan. Iru si “mimọ” UEBA, ṣugbọn ikojọpọ nkankan ni diẹ ninu awọn awoṣe irokeke ifibọ le ṣee yipada pẹlu ọwọ nikan.
Awọn atupale Ibaṣepọ iṣẹ ṣiṣe ati ihuwasi ti awọn olumulo ati awọn nkan miiran (fun apẹẹrẹ, lilo awọn nẹtiwọọki Bayesian) ati akojọpọ ihuwasi eewu ẹni kọọkan lati le ṣe idanimọ iṣẹ ṣiṣe ailorukọ. Iru si UEBA mimọ, ṣugbọn itupalẹ le ni opin si awọn olumulo ati/tabi awọn nkan nikan.
Awọn orisun data Gbigba awọn iṣẹlẹ lori awọn olumulo ati awọn nkan lati awọn orisun data taara nipasẹ awọn ilana ti a ṣe sinu tabi awọn ile itaja data ti o wa tẹlẹ, gẹgẹbi SIEM tabi adagun data. Awọn ọna ẹrọ fun gbigba data nigbagbogbo jẹ taara nikan ati pe o kan awọn olumulo ati/tabi awọn nkan miiran. Maṣe lo awọn irinṣẹ iṣakoso log / SIEM / adagun data.
Awọn orisun data Ojutu ko yẹ ki o gbẹkẹle ijabọ nẹtiwọọki nikan bi orisun akọkọ ti data, tabi ko yẹ ki o gbẹkẹle awọn aṣoju tirẹ nikan lati gba telemetry. Ojutu le dojukọ ijabọ nẹtiwọọki nikan (fun apẹẹrẹ, NTA - itupalẹ ijabọ nẹtiwọọki) ati / tabi lo awọn aṣoju rẹ lori awọn ẹrọ ipari (fun apẹẹrẹ, awọn ohun elo ibojuwo oṣiṣẹ).
Awọn orisun data Saturating olumulo / nkankan data pẹlu o tọ. Ṣe atilẹyin ikojọpọ awọn iṣẹlẹ ti eleto ni akoko gidi, bakanna bi data isọpọ ti iṣeto / aiṣakoṣo lati awọn ilana IT – fun apẹẹrẹ, Active Directory (AD), tabi awọn orisun alaye ti o ṣee le ṣee ṣe ẹrọ miiran (fun apẹẹrẹ, awọn apoti isura data HR). Iru si UEBA mimọ, ṣugbọn ipari ti data ọrọ-ọrọ le yatọ lati ọran si ọran. AD ati LDAP jẹ awọn ile itaja data ọrọ-ọrọ ti o wọpọ julọ ti a lo nipasẹ awọn solusan UEBA ti a fi sii.
Wiwa Pese awọn ẹya ti a ṣe akojọ bi ọja ti o ni imurasilẹ. Ko ṣee ṣe lati ra iṣẹ ṣiṣe UEBA ti a ṣe sinu laisi rira ojutu ita kan ninu eyiti o ti kọ.
Orisun: Gartner (Oṣu Karun 2019)

Nitorinaa, lati yanju awọn iṣoro kan, UEBA ti a fi sii le lo awọn atupale UEBA ipilẹ (fun apẹẹrẹ, ẹkọ ẹrọ ti ko ni abojuto ti o rọrun), ṣugbọn ni akoko kanna, nitori iraye si deede data pataki, o le jẹ imunadoko diẹ sii ju “funfun” lọ. UEBA ojutu. Ni akoko kanna, awọn iru ẹrọ UEBA “funfun”, bi o ti ṣe yẹ, funni ni awọn atupale eka diẹ sii bi imọ-akọkọ ti a ṣe afiwe si ọpa UEBA ti a ṣe sinu. Awọn abajade wọnyi ni akopọ ni Tabili 2.

Table 2. Abajade ti awọn iyato laarin "funfun" ati-itumọ ti ni UEBA

ẹka Awọn iru ẹrọ UEBA "Mimọ". Awọn solusan miiran pẹlu UEBA ti a ṣe sinu
Awọn atupale Ohun elo fun yanju ọpọlọpọ awọn iṣoro iṣowo tumọ si eto agbaye diẹ sii ti awọn iṣẹ UEBA pẹlu tcnu lori awọn atupale eka diẹ sii ati awọn awoṣe ikẹkọ ẹrọ. Idojukọ lori eto ti o kere ju ti awọn iṣoro iṣowo tumọ si awọn ẹya amọja ti o ga julọ ti o dojukọ awọn awoṣe kan pato ohun elo pẹlu ọgbọn ti o rọrun.
Awọn atupale Isọdi ti awoṣe analitikali jẹ pataki fun oju iṣẹlẹ ohun elo kọọkan. Awọn awoṣe atupale ti wa ni tunto tẹlẹ fun ọpa ti o ni UEBA ti a ṣe sinu rẹ. Ọpa kan pẹlu UEBA ti a ṣe sinu gbogbogbo ṣaṣeyọri awọn abajade yiyara ni lohun awọn iṣoro iṣowo kan.
Awọn orisun data Wiwọle si awọn orisun data lati gbogbo awọn igun ti awọn amayederun ile-iṣẹ. Awọn orisun data diẹ, nigbagbogbo ni opin nipasẹ wiwa awọn aṣoju fun wọn tabi ohun elo funrararẹ pẹlu awọn iṣẹ UEBA.
Awọn orisun data Alaye ti o wa ninu akọọlẹ kọọkan le ni opin nipasẹ orisun data ati pe o le ma ni gbogbo data pataki ninu fun irinṣẹ UEBA aarin. Iye ati alaye ti data aise ti a gba nipasẹ aṣoju ati gbigbe si UEBA le tunto ni pataki.
faaji O jẹ ọja UEBA pipe fun agbari kan. Ijọpọ rọrun ni lilo awọn agbara ti eto SIEM tabi adagun data. Nilo eto lọtọ ti awọn ẹya UEBA fun ọkọọkan awọn ojutu ti o ni UEBA ti a ṣe sinu. Awọn ojutu UEBA ti a fi sinu nigbagbogbo nilo fifi sori awọn aṣoju ati iṣakoso data.
Ijọpọ Ijọpọ ọwọ ti ojutu UEBA pẹlu awọn irinṣẹ miiran ni ọran kọọkan. Gba laaye agbari lati kọ akopọ imọ-ẹrọ rẹ ti o da lori ọna “dara julọ laarin awọn afọwọṣe”. Awọn idii akọkọ ti awọn iṣẹ UEBA ti wa tẹlẹ ninu ọpa funrararẹ nipasẹ olupese. UEBA module ti wa ni-itumọ ti ni ati ki o ko ba le yọ, ki awọn onibara ko le ropo o pẹlu nkankan ti ara wọn.
Orisun: Gartner (Oṣu Karun 2019)

UEBA bi iṣẹ kan

UEBA n di ẹya ti opin-si-opin awọn solusan cybersecurity ti o le ni anfani lati awọn itupalẹ afikun. UEBA ṣe agbekalẹ awọn solusan wọnyi, pese ipele ti o lagbara ti awọn atupale ilọsiwaju ti o da lori olumulo ati/tabi awọn ilana ihuwasi nkan.

Lọwọlọwọ lori ọja, iṣẹ ṣiṣe UEBA ti a ṣe sinu rẹ ni imuse ni awọn solusan atẹle, ti a ṣajọpọ nipasẹ iwọn imọ-ẹrọ:

  • Ayẹwo-ti dojukọ data ati aabo, jẹ awọn olutaja ti o ni idojukọ lori imudarasi aabo ti iṣeto ati ipamọ data ti ko ni ipilẹ (aka DCAP).

    Ninu ẹka ti awọn olutaja, awọn akọsilẹ Gartner, ninu awọn ohun miiran, Varonis cybersecurity Syeed, eyiti o funni ni atupale ihuwasi olumulo lati ṣe atẹle awọn ayipada ninu awọn igbanilaaye data ti ko ṣeto, iwọle, ati lilo kọja awọn ile itaja alaye oriṣiriṣi.

  • CASB awọn ọna šiše, nfunni ni aabo lodi si awọn irokeke oriṣiriṣi ni awọn ohun elo SaaS ti o da lori awọsanma nipa didi wiwọle si awọn iṣẹ awọsanma fun awọn ẹrọ aifẹ, awọn olumulo ati awọn ẹya ohun elo nipa lilo eto iṣakoso wiwọle adaṣe.

    Gbogbo awọn ojutu CASB ti o darí ọja pẹlu awọn agbara UEBA.

  • Awọn solusan DLP - lojutu lori wiwa gbigbe data pataki ni ita agbari tabi ilokulo rẹ.

    Awọn ilọsiwaju DLP jẹ ipilẹ pupọ lori agbọye akoonu, pẹlu idojukọ diẹ si oye ipo bii olumulo, ohun elo, ipo, akoko, iyara ti awọn iṣẹlẹ, ati awọn ifosiwewe ita miiran. Lati munadoko, awọn ọja DLP gbọdọ da akoonu mejeeji ati ọrọ-ọrọ mọ. Eyi ni idi ti ọpọlọpọ awọn aṣelọpọ n bẹrẹ lati ṣepọ iṣẹ UEBA sinu awọn solusan wọn.

  • Abáni monitoring ni agbara lati gbasilẹ ati tun ṣe awọn iṣe oṣiṣẹ, nigbagbogbo ni ọna kika data ti o dara fun awọn ilana ofin (ti o ba jẹ dandan).

    Mimojuto awọn olumulo nigbagbogbo n ṣe ipilẹṣẹ iye data ti o lagbara pupọ ti o nilo sisẹ afọwọṣe ati itupalẹ eniyan. Nitorinaa, a lo UEBA inu awọn eto ibojuwo lati mu iṣẹ ṣiṣe ti awọn solusan wọnyi ṣe ati rii awọn iṣẹlẹ eewu giga nikan.

  • Aabo Ipari - Wiwa ipari ipari ati idahun (EDR) awọn ipinnu ati awọn iru ẹrọ idabobo ipari (EPP) pese ohun elo ti o lagbara ati telemetry ẹrọ ṣiṣe si
    opin awọn ẹrọ.

    Iru telemetry ti o ni ibatan olumulo le ṣe itupalẹ lati pese iṣẹ ṣiṣe UEBA ti a ṣe sinu.

  • Online jegudujera - Awọn ojutu wiwa ẹtan ori ayelujara ṣe awari iṣẹ ṣiṣe ti o tọkasi ifarakanra ti akọọlẹ alabara nipasẹ spoof, malware, tabi ilokulo awọn asopọ ti ko ni aabo / idalọwọduro ijabọ aṣawakiri.

    Pupọ julọ awọn solusan ẹtan lo pataki ti UEBA, itupalẹ idunadura ati wiwọn ẹrọ, pẹlu awọn ọna ṣiṣe ilọsiwaju diẹ sii ti o ni ibamu pẹlu awọn ibatan ibaramu ni ibi ipamọ data idanimọ.

  • IAM ati iṣakoso wiwọle - Gartner ṣe akiyesi aṣa itiranya laarin awọn olutaja eto iṣakoso wiwọle lati ṣepọ pẹlu awọn olutaja mimọ ati kọ diẹ ninu awọn iṣẹ ṣiṣe UEBA sinu awọn ọja wọn.
  • IAM ati awọn eto iṣakoso idanimọ ati iṣakoso (IGA). lo UEBA lati bo awọn oju iṣẹlẹ ihuwasi ati idanimọ idanimọ gẹgẹbi wiwa anomaly, itupalẹ akojọpọ kikojọpọ ti awọn nkan ti o jọra, itupalẹ iwọle, ati itupalẹ eto imulo wiwọle.
  • IAM ati Isakoso Wiwọle Ni anfani (PAM) - Nitori ipa ti ibojuwo lilo awọn akọọlẹ iṣakoso, awọn solusan PAM ni telemetry lati ṣafihan bii, kilode, nigbawo ati ibiti a ti lo awọn akọọlẹ iṣakoso. A le ṣe itupalẹ data yii nipa lilo iṣẹ ṣiṣe ti UEBA fun wiwa ihuwasi ailorukọ ti awọn alabojuto tabi ero irira.
  • Awọn oluṣelọpọ NTA (Itupalẹ ijabọ Nẹtiwọọki) - lo apapo ti ẹkọ ẹrọ, awọn atupale ilọsiwaju ati wiwa ti o da lori ofin lati ṣe idanimọ iṣẹ ifura lori awọn nẹtiwọọki ajọ.

    Awọn irinṣẹ NTA nigbagbogbo ṣe itupalẹ ijabọ orisun ati/tabi awọn igbasilẹ sisan (fun apẹẹrẹ NetFlow) lati kọ awọn awoṣe ti o ṣe afihan ihuwasi nẹtiwọọki deede, ni akọkọ idojukọ lori awọn atupale ihuwasi nkan.

  • siem - ọpọlọpọ awọn olutaja SIEM ni bayi ni iṣẹ ṣiṣe itupalẹ data ilọsiwaju ti a ṣe sinu SIEM, tabi gẹgẹ bi module UEBA lọtọ. Ni gbogbo ọdun 2018 ati titi di ọdun 2019, ilokuro lemọlemọfún ti awọn aala laarin SIEM ati iṣẹ UEBA, bi a ti jiroro ninu nkan naa. "Oye imọ-ẹrọ fun SIEM ti ode oni". Awọn eto SIEM ti dara julọ ni ṣiṣẹ pẹlu awọn atupale ati fifunni awọn oju iṣẹlẹ ohun elo ti o nipọn diẹ sii.

Awọn oju iṣẹlẹ ohun elo UEBA

Awọn ojutu UEBA le yanju ọpọlọpọ awọn iṣoro. Bibẹẹkọ, awọn alabara Gartner gba pe ọran lilo akọkọ jẹ wiwa awọn oriṣiriṣi awọn ẹka ti awọn irokeke, ti o waye nipasẹ iṣafihan ati itupalẹ awọn ibatan loorekoore laarin ihuwasi olumulo ati awọn nkan miiran:

  • wiwọle laigba aṣẹ ati gbigbe data;
  • ihuwasi ifura ti awọn olumulo ti o ni anfani, irira tabi iṣẹ laigba aṣẹ ti awọn oṣiṣẹ;
  • wiwọle ti kii ṣe deede ati lilo awọn orisun awọsanma;
  • ati awọn omiiran.

Awọn nọmba kan tun wa ti awọn ọran lilo kii ṣe cybersecurity, gẹgẹbi jibiti tabi ibojuwo oṣiṣẹ, eyiti UEBA le jẹ idalare. Sibẹsibẹ, wọn nigbagbogbo nilo awọn orisun data ni ita IT ati aabo alaye, tabi awọn awoṣe itupalẹ pato pẹlu oye jinlẹ ti agbegbe yii. Awọn oju iṣẹlẹ akọkọ marun ati awọn ohun elo ti awọn aṣelọpọ UEBA mejeeji ati awọn alabara wọn gba ni a ṣalaye ni isalẹ.

"Oluwa irira"

Awọn olupese ojutu UEBA ti o bo oju iṣẹlẹ yii nikan ṣe abojuto awọn oṣiṣẹ ati awọn alagbaṣe ti o ni igbẹkẹle fun dani, “buburu,” tabi ihuwasi irira. Awọn olutaja ni agbegbe ti oye ko ṣe atẹle tabi ṣe itupalẹ ihuwasi ti awọn akọọlẹ iṣẹ tabi awọn nkan miiran ti kii ṣe eniyan. Ni pataki nitori eyi, wọn ko ni idojukọ lori wiwa awọn irokeke ilọsiwaju nibiti awọn olosa gba awọn akọọlẹ ti o wa tẹlẹ. Dipo, wọn ṣe ifọkansi lati ṣe idanimọ awọn oṣiṣẹ ti o ni ipa ninu awọn iṣẹ ipalara.

Ni pataki, imọran ti “oluwadi irira” jẹ lati ọdọ awọn olumulo ti o ni igbẹkẹle pẹlu ero irira ti o wa awọn ọna lati fa ibajẹ si agbanisiṣẹ wọn. Nitori ero irira nira lati ṣe iwọn, awọn olutaja ti o dara julọ ni ẹka yii ṣe itupalẹ data ihuwasi ọrọ-ọrọ ti ko ni irọrun wa ninu awọn akọọlẹ iṣayẹwo.

Awọn olupese ojutu ni aaye yii tun ṣe afikun daradara ati ṣe itupalẹ awọn data ti a ko ṣeto, gẹgẹbi akoonu imeeli, awọn ijabọ iṣẹ ṣiṣe, tabi alaye media awujọ, lati pese aaye fun ihuwasi.

Oluranlọwọ ti o gbogun ati awọn irokeke ifọle

Ipenija naa ni lati rii ni iyara ati itupalẹ ihuwasi “buburu” ni kete ti ikọlu naa ti ni iraye si ajo naa ti o bẹrẹ gbigbe laarin awọn amayederun IT.
Irokeke idaniloju (APTs), bii awọn irokeke ti a ko mọ tabi ti ko ti ni oye ni kikun, nira pupọ pupọ lati ṣawari ati nigbagbogbo tọju lẹhin iṣẹ ṣiṣe olumulo tabi awọn akọọlẹ iṣẹ. Iru awọn ihalẹ bẹẹ nigbagbogbo ni awoṣe iṣẹ ṣiṣe eka kan (wo, fun apẹẹrẹ, nkan naa “ Ti n sọrọ lori Pq Kill Cyber") tabi iwa wọn ko tii ṣe ayẹwo bi ipalara. Eyi jẹ ki wọn nira lati rii ni lilo awọn atupale ti o rọrun (gẹgẹbi ibaramu nipasẹ awọn ilana, awọn iloro, tabi awọn ofin ibamu).

Sibẹsibẹ, ọpọlọpọ ninu awọn irokeke ifọle wọnyi ja si ni ihuwasi ti kii ṣe deede, nigbagbogbo pẹlu awọn olumulo tabi awọn nkan ti a ko fura (aka ti awọn inu inu ti o gbogun). Awọn imọ-ẹrọ UEBA nfunni ni ọpọlọpọ awọn aye ti o nifẹ lati ṣawari iru awọn irokeke, ilọsiwaju ifihan-si-ariwo ipin, isọdọkan ati dinku iwọn iwifunni, ṣaju awọn itaniji ti o ku, ati dẹrọ idahun isẹlẹ to munadoko ati iwadii.

Awọn olutaja UEBA ti o fojusi agbegbe iṣoro yii nigbagbogbo ni isọpọ-itọnisọna pẹlu awọn eto SIEM ti ajo naa.

Exfiltration Data

Iṣẹ-ṣiṣe ninu ọran yii ni lati rii otitọ pe data ti wa ni gbigbe ni ita ajo naa.
Awọn olutaja dojukọ ipenija yii ni igbagbogbo lo DLP tabi awọn agbara DAG pẹlu wiwa anomaly ati awọn atupale ilọsiwaju, nitorinaa imudarasi ipin ifihan-si-ariwo, isọdọkan iwọn iwifunni, ati iṣaju awọn okunfa ti o ku. Fun afikun ọrọ-ọrọ, awọn olutaja ni igbagbogbo gbarale diẹ sii lori ijabọ nẹtiwọọki (bii awọn aṣoju wẹẹbu) ati data ipari, bi itupalẹ awọn orisun data wọnyi le ṣe iranlọwọ ninu awọn iwadii imudara data.

Iwari exfiltration data ti wa ni lilo lati yẹ inu ati awọn olosa ita ti o n halẹ mọ ajo naa.

Idanimọ ati isakoso ti anfani wiwọle

Awọn aṣelọpọ ti awọn ipinnu UEBA ominira ni agbegbe yii ti oye ṣe akiyesi ati itupalẹ ihuwasi olumulo lodi si abẹlẹ ti eto awọn ẹtọ ti o ti ṣẹda tẹlẹ lati ṣe idanimọ awọn anfani pupọ tabi iwọle ailorukọ. Eyi kan si gbogbo iru awọn olumulo ati awọn akọọlẹ, pẹlu awọn anfani ati awọn iroyin iṣẹ. Awọn ile-iṣẹ tun lo UEBA lati yọkuro awọn akọọlẹ isinmi ati awọn anfani olumulo ti o ga ju ti o nilo lọ.

Ifojusi iṣẹlẹ

Ibi-afẹde ti iṣẹ-ṣiṣe yii ni lati ṣe pataki awọn iwifunni ti ipilẹṣẹ nipasẹ awọn solusan ninu akopọ imọ-ẹrọ wọn lati loye iru awọn iṣẹlẹ tabi awọn iṣẹlẹ ti o pọju yẹ ki o koju ni akọkọ. Awọn ilana UEBA ati awọn irinṣẹ jẹ iwulo ni idamo awọn iṣẹlẹ ti o jẹ aibikita tabi paapaa lewu fun agbari ti a fun. Ni ọran yii, ẹrọ UEBA kii ṣe nikan lo ipele ipilẹ ti iṣẹ ṣiṣe ati awọn awoṣe irokeke, ṣugbọn tun ṣe alaye data pẹlu alaye nipa eto iṣeto ti ile-iṣẹ (fun apẹẹrẹ, awọn orisun pataki tabi awọn ipa ati awọn ipele wiwọle ti awọn oṣiṣẹ).

Awọn iṣoro ti imuse awọn solusan UEBA

Irora ọja ti awọn solusan UEBA jẹ idiyele giga wọn, imuse eka, itọju ati lilo. Lakoko ti awọn ile-iṣẹ n tiraka pẹlu nọmba ti awọn ọna abawọle inu oriṣiriṣi, wọn n gba console miiran. Iwọn idoko-owo ti akoko ati awọn orisun ni ọpa tuntun da lori awọn italaya ti o wa ni ọwọ ati awọn iru awọn itupalẹ ti o nilo lati yanju wọn, ati nigbagbogbo nilo awọn idoko-owo nla.

Ni ilodisi ohun ti ọpọlọpọ awọn aṣelọpọ beere, UEBA kii ṣe “ṣeto rẹ ki o gbagbe rẹ” ọpa ti o le lẹhinna ṣiṣẹ nigbagbogbo fun awọn ọjọ ni opin.
Awọn alabara Gartner, fun apẹẹrẹ, ṣe akiyesi pe o gba lati awọn oṣu 3 si awọn oṣu 6 lati ṣe ifilọlẹ ipilẹṣẹ UEBA lati ibere lati gba awọn abajade akọkọ ti ipinnu awọn iṣoro fun eyiti a ti ṣe imuse ojutu yii. Fun awọn iṣẹ ṣiṣe eka diẹ sii, gẹgẹbi idamo awọn irokeke inu inu ile-iṣẹ kan, akoko naa pọ si awọn oṣu 18.

Awọn okunfa ti o ni ipa iṣoro ti imuse UEBA ati imunadoko iwaju ti ọpa:

  • Complexity ti faaji agbari, nẹtiwọki topology ati data isakoso imulo
  • Wiwa ti awọn ọtun data ni ọtun ipele ti apejuwe awọn
  • Idiju ti awọn algoridimu atupale ataja—fun apẹẹrẹ, lilo awọn awoṣe iṣiro ati ẹkọ ẹrọ dipo awọn ilana ti o rọrun ati awọn ofin.
  • Iye awọn atupale iṣeto-tẹlẹ ti o wa pẹlu - iyẹn ni, oye ti olupese ti kini data nilo lati gba fun iṣẹ-ṣiṣe kọọkan ati kini awọn oniyipada ati awọn abuda ṣe pataki julọ lati ṣe itupalẹ naa.
  • Bii o ṣe rọrun fun olupese lati ṣepọ laifọwọyi pẹlu data ti o nilo.

    Fun apere:

    • Ti ojutu UEBA ba lo eto SIEM gẹgẹbi orisun akọkọ ti data rẹ, ṣe SIEM n gba alaye lati awọn orisun data ti o nilo?
    • Njẹ awọn akọọlẹ iṣẹlẹ ti o ṣe pataki ati data ọrọ-ọrọ le ṣee darí si ojutu UEBA kan?
    • Ti eto SIEM ko ba gba ati ṣakoso awọn orisun data ti o nilo nipasẹ ojutu UEBA, lẹhinna bawo ni wọn ṣe le gbe sibẹ?

  • Bawo ni oju iṣẹlẹ ohun elo ṣe ṣe pataki fun agbari, melo ni awọn orisun data ti o nilo, ati melo ni iṣẹ-ṣiṣe yii ṣe ni lqkan pẹlu agbegbe imọ-ẹrọ ti olupese.
  • Kini ipele ti idagbasoke ati ilowosi ti o nilo - fun apẹẹrẹ, ẹda, idagbasoke ati isọdọtun ti awọn ofin ati awọn awoṣe; fifi awọn iwọn si awọn oniyipada fun igbelewọn; tabi ṣatunṣe ala igbelewọn eewu.
  • Bawo ni ti iwọn ni ojutu olutaja ati faaji rẹ ni akawe si iwọn lọwọlọwọ ti agbari ati awọn ibeere iwaju rẹ.
  • Akoko lati kọ awọn awoṣe ipilẹ, awọn profaili ati awọn ẹgbẹ bọtini. Awọn aṣelọpọ nigbagbogbo nilo o kere ju awọn ọjọ 30 (ati nigbakan to awọn ọjọ 90) lati ṣe itupalẹ ṣaaju ki wọn le ṣalaye awọn imọran “deede”. Ikojọpọ data itan ni ẹẹkan le yara ikẹkọ awoṣe. Diẹ ninu awọn ọran ti o nifẹ ni a le ṣe idanimọ yiyara ni lilo awọn ofin ju lilo ikẹkọ ẹrọ pẹlu iye iyalẹnu kekere ti data ibẹrẹ.
  • Ipele igbiyanju ti o nilo lati kọ akojọpọ ti o ni agbara ati profaili akọọlẹ (iṣẹ / eniyan) le yatọ pupọ laarin awọn ojutu.

orisun: www.habr.com

Fi ọrọìwòye kun