Hoy proporcionaremos una breve descripción del mercado para los sistemas de análisis de comportamiento de usuarios y entidades (UEBA) basados en el último estudio de Gartner . El mercado UEBA se encuentra en la parte inferior de la "etapa de decepción" del Ciclo de bombo de Gartner para las tecnologías que enfrentan amenazas, lo que indica la madurez de esta tecnología. Pero la paradoja de la situación radica en el crecimiento general simultáneo de las inversiones en tecnologías UEBA y la desaparición del mercado de soluciones UEBA independientes. Gartner predice que UEBA se convertirá en parte de la funcionalidad de soluciones relacionadas en el campo de la seguridad de la información. Es probable que el término "UEBA" caduque y sea reemplazado por otro acrónimo centrado en un alcance más limitado (por ejemplo, "análisis del comportamiento del usuario"), en un alcance similar (por ejemplo, "uso de datos") o simplemente se convierta en alguna nueva palabra de moda (por ejemplo, el término "inteligencia artificial" [AI] parece interesante, aunque no tiene ningún sentido para los fabricantes modernos de UEBA).

Los hallazgos clave del estudio de Gartner se pueden resumir de la siguiente manera:

La confirmación de la madurez del mercado para el análisis del comportamiento de usuarios y entidades es el hecho de que estas tecnologías son utilizadas por los segmentos corporativos medianos y grandes para resolver una serie de tareas comerciales;
Las funciones de análisis de UEBA están integradas en una amplia gama de tecnologías de seguridad de la información relacionadas, como los corredores de acceso seguro a la nube (CASB), los sistemas SIEM de gestión de identidad y administración (IGA);
La exageración que rodea a los vendedores de UEBA y el uso incorrecto del término "inteligencia artificial" complica la comprensión de los clientes de la diferencia real entre las tecnologías de los fabricantes y la funcionalidad de las soluciones sin un proyecto piloto;
Los compradores observan que el tiempo de implementación y el uso diario de las soluciones UEBA puede llevar más tiempo y tomar más tiempo del que promete el fabricante, incluso si consideramos solo los modelos básicos de detección de amenazas. Agregar sus propios escenarios de aplicación de límite puede ser extremadamente difícil y requerir experiencia en ciencia de datos y análisis.

Previsión estratégica para el desarrollo del mercado:

Para 2021, el mercado de sistemas de análisis de comportamiento de usuarios y entidades (UEBA) dejará de existir como un área separada y cambiará hacia otras soluciones con funcionalidad UEBA;
Para 2020, el 95% de todas las implementaciones de UEBA serán parte de la funcionalidad de una plataforma de seguridad más amplia.

Definición de soluciones UEBA

Las soluciones UEBA utilizan análisis integrados para medir la actividad de los usuarios y otras entidades (por ejemplo, hosts, aplicaciones, tráfico de red y almacenamiento de datos).
Detectan amenazas e incidentes potenciales, que generalmente representan una actividad anormal en comparación con el perfil estándar y el comportamiento de usuarios y entidades en grupos similares durante un cierto período de tiempo.

Los escenarios de aplicación más comunes en el segmento corporativo son la detección y respuesta a amenazas, así como la detección y respuesta a amenazas internas (en la mayoría de los casos, a personas internas comprometidas; a veces a atacantes internos).

UEBA es tanto una solución como una función integrada en una herramienta específica:

La solución son los fabricantes de plataformas UEBA "limpias", incluidos los proveedores que también venden por separado soluciones SIEM. Centrado en una amplia gama de tareas empresariales en el análisis del comportamiento de usuarios y entidades.
Integrado: fabricantes / departamentos que integran funciones y tecnologías UEBA en sus soluciones. Por lo general, se centra en un conjunto más específico de tareas comerciales. En este caso, UEBA se utiliza para analizar el comportamiento de los usuarios y / o entidades.

Gartner examina el UEBA en una sección transversal de tres ejes, que incluye tareas solucionables, análisis y fuentes de datos (ver figura).

Plataformas UEBA limpias vs. UEBA integradas

Gartner considera las soluciones de plataforma UEBA "limpias" que:

Resuelva varias tareas específicas, como monitorear usuarios privilegiados o enviar datos fuera de la organización, en lugar de simplemente "monitorear la actividad anormal del usuario";
implican el uso de análisis sofisticados, que, si es necesario, se basan en enfoques analíticos básicos;
brindan varias opciones para la recopilación de datos, incluidos los mecanismos integrados de las fuentes de datos y las herramientas de gestión de registros, Data Lake y / o sistemas SIEM, sin la necesidad de implementar agentes separados en la infraestructura;
se puede adquirir e implementar como soluciones independientes, pero no se incluye en
composición de otros productos.

La siguiente tabla compara los dos enfoques.

Tabla 1. Soluciones UEBA "limpias" vs integradas

Categoría	Plataformas UEBA limpias	Otras soluciones con UEBA integrado
Problema a resolver	Análisis del comportamiento del usuario, así como de las entidades.	La falta de datos puede limitar la UEBA al analizar el comportamiento de solo usuarios o entidades.
Problema a resolver	Sirve para resolver una amplia gama de tareas.	Se especializa en un conjunto limitado de tareas.
Analítica	Identificación de anomalías utilizando diversos métodos analíticos, principalmente a través de modelos estadísticos y aprendizaje automático, junto con reglas y firmas. Viene con análisis integrados para crear y comparar la actividad de usuarios y entidades con sus perfiles y perfiles de colegas.	Sin embargo, similar al UEBA "puro", el análisis solo puede limitarse a usuarios y / o entidades.
Analítica	Capacidades analíticas avanzadas, no limitadas solo por reglas. Por ejemplo, un algoritmo de agrupamiento con agrupación dinámica de entidades.	Sin embargo, de manera similar a la UEBA "pura", la agrupación de entidades en algunos modelos de amenazas incorporadas solo se puede cambiar manualmente.
Analítica	Correlación de la actividad y el comportamiento de los usuarios y otras entidades (por ejemplo, mediante el método de red bayesiano) y agregación de comportamiento de riesgo individual para identificar actividades anormales.	Sin embargo, similar al UEBA "puro", el análisis solo puede limitarse a usuarios y / o entidades.
Fuentes de datos	Recepción de eventos para usuarios y entidades de fuentes de datos directamente a través de mecanismos integrados o almacenes de datos existentes, como SIEM o Data lake.	Los mecanismos de adquisición de datos generalmente son solo directos y afectan solo a los usuarios y / u otras entidades. No utilice herramientas de gestión de registros / SIEM / Data lake.
Fuentes de datos	La solución no solo debe depender del tráfico de red como fuente principal de datos, sino también exclusivamente de sus propios agentes de recopilación de telemetría.	La solución solo puede enfocarse en el tráfico de red (por ejemplo, NTA - análisis del tráfico de red) y / o usar sus agentes en dispositivos finales (por ejemplo, utilidades de monitoreo de empleados).
Fuentes de datos	Saturación de datos de usuario / entidad con contexto. Soporte para la recopilación de eventos estructurados en tiempo real, así como datos conectados estructurados / no estructurados de directorios de TI, por ejemplo, Active Directory (AD) u otros recursos con información legible por máquina (por ejemplo, una base de datos de recursos humanos).	Sin embargo, similar al UEBA "puro", el alcance de los datos contextuales puede variar en diferentes casos. AD y LDAP son los almacenes de datos contextuales más comunes utilizados por las soluciones UEBA integradas.
Disponibilidad	Proporciona estas características como un producto independiente.	Es imposible comprar la funcionalidad UEBA integrada sin comprar la solución externa en la que está integrada.
Fuente: Gartner (mayo de 2019)

Por lo tanto, para resolver ciertos problemas, el UEBA incorporado puede utilizar análisis básicos de UEBA (por ejemplo, aprendizaje automático simple sin un maestro), pero al mismo tiempo, debido al acceso a los datos correctos, generalmente puede ser más efectivo que una solución UEBA "pura". Además, se espera que las plataformas UEBA "limpias" ofrezcan análisis más sofisticados como el principal know-how en comparación con la herramienta UEBA incorporada. Estos resultados se resumen en la tabla 2.

Tabla 2. El resultado de las diferencias entre UEBA puro e incrustado

Categoría	Plataformas UEBA limpias	Otras soluciones con UEBA integrado
Analítica	La aplicabilidad para resolver muchos problemas comerciales implica un conjunto más universal de funciones UEBA con énfasis en análisis más complejos y modelos de aprendizaje automático.	El énfasis en un conjunto más pequeño de tareas comerciales implica funciones altamente especializadas centradas en modelos para aplicaciones específicas con una lógica más simple.
Analítica	La personalización del modelo analítico es necesaria para cada escenario de aplicación.	Los modelos analíticos están preconfigurados para la herramienta en la que se construye el UEBA. Una herramienta con UEBA incorporado en su conjunto resulta más rápido para resolver ciertos problemas comerciales.
Fuentes de datos	Acceso a fuentes de datos desde todos los rincones de la infraestructura corporativa.	Un número menor de fuentes de datos, generalmente limitado por la presencia de agentes debajo de ellos o por la herramienta misma con funciones UEBA.
Fuentes de datos	La información contenida en cada registro puede estar limitada por la fuente de datos y puede no contener todos los datos necesarios para una herramienta UEBA centralizada.	La cantidad y el detalle de los datos fuente recopilados por el agente y transferidos al UEBA pueden configurarse especialmente.
Arquitectura	Es un producto UEBA completo para la organización. Integración más fácil usando las capacidades del sistema SIEM o Data lake.	Requiere un conjunto separado de funciones UEBA para cada solución que tenga un UEBA incorporado. Las soluciones UEBA integradas a menudo requieren que instale agentes y administre datos.
Integración	Integración manual de soluciones UEBA con otras herramientas en cada caso. Permite que la organización construya su propia pila de tecnología basada en el enfoque de "mejor entre pares".	El fabricante ya integra los paquetes principales de funciones UEBA en la herramienta. El módulo UEBA está integrado y no se puede recuperar, por lo que los clientes no pueden reemplazarlo con algo propio.
Fuente: Gartner (mayo de 2019)

UEBA como una función

UEBA se está convirtiendo en una característica de las soluciones de ciberseguridad de extremo a extremo que pueden beneficiarse de análisis adicionales. UEBA subyace a estas decisiones, representando una capa impresionante de análisis avanzado sobre patrones de comportamiento de usuarios y / o entidades.

Actualmente, la funcionalidad UEBA incorporada en el mercado se implementa en las siguientes soluciones, agrupadas por alcance tecnológico:

La auditoría y la protección centradas en los datos son fabricantes que se centran en mejorar la seguridad de los almacenes de datos estructurados y no estructurados (denominado DCAP).

En esta categoría de proveedores, Gartner señala, entre otras cosas, la plataforma de seguridad cibernética Varonis , que ofrece un análisis del comportamiento del usuario para monitorear los cambios en los derechos de acceso a datos no estructurados, su acceso y uso para varios repositorios de información.
Sistemas CASB que ofrecen protección contra diversas amenazas en aplicaciones SaaS en la nube al bloquear el acceso a los servicios en la nube para dispositivos no deseados, usuarios y versiones de aplicaciones que utilizan un sistema de control de acceso adaptativo.

Todas las soluciones CASB líderes en el mercado incluyen capacidades UEBA.
Soluciones DLP : enfocadas en la detección de la salida de datos críticos fuera de la organización o su abuso.

Los logros de DLP se basan en gran medida en la comprensión del contenido, con menos enfoque en la comprensión del contexto, como el usuario, la aplicación, la ubicación, el tiempo, la velocidad de los eventos y otros factores externos. Para ser efectivos, los productos DLP deben reconocer tanto el contenido como el contexto. Es por eso que muchos fabricantes están comenzando a incorporar la funcionalidad UEBA en sus soluciones.
El monitoreo de los empleados es la capacidad de registrar y reproducir las acciones de los empleados, generalmente en un formato de datos adecuado para litigios (si es necesario).

El monitoreo constante de los usuarios a menudo genera una cantidad exorbitante de datos que requieren un filtrado y análisis manual por parte de una persona. Por lo tanto, UEBA se utiliza dentro de los sistemas de monitoreo para mejorar el rendimiento de estas soluciones y detectar incidentes con solo un alto grado de riesgo.
Endpoint Security: las soluciones de detección y respuesta de punto final (EDR) y plataforma de protección de punto final (EPP) proporcionan herramientas potentes y telemetría para el sistema operativo en
dispositivos finales

Dicha telemetría relacionada con el usuario puede analizarse para proporcionar funciones integradas de UEBA.
Fraude en línea: las soluciones de detección de fraude en línea detectan actividad anormal, lo que indica el compromiso de la cuenta de un cliente a través de una simulación, malware u operación de conexiones inseguras / intercepción del tráfico del navegador.

La mayoría de las soluciones contra el fraude utilizan la quintaesencia de UEBA, el análisis transaccional y la medición de las características del dispositivo, mientras que los sistemas más avanzados los complementan al relacionar relaciones en una base de datos de identificadores de identidad.
IAM y control de acceso : Gartner marca una tendencia en la evolución entre los fabricantes de sistemas de control de acceso, que consiste en integrarse con proveedores limpios e integrar algunas funciones de UEBA en sus productos.
El IAM y los sistemas de administración y gestión de identidad ( IGA ) utilizan UEBA para cubrir escenarios de análisis de comportamiento e identidad, como la detección de anomalías, la agrupación dinámica de entidades similares, el análisis de inicio de sesión del sistema y el análisis de políticas de acceso.
IAM y control de acceso privilegiado (PAM) : en relación con la función de controlar el uso de cuentas administrativas, las soluciones PAM tienen telemetría para mostrar cómo, por qué, cuándo y dónde se usaron las cuentas administrativas. Estos datos pueden analizarse utilizando la funcionalidad UEBA incorporada para detectar el comportamiento anormal de los administradores o la intención maliciosa.
Fabricantes de NTA (Network Traffic Analysis) : utilice una combinación de aprendizaje automático, análisis avanzado y descubrimiento basado en reglas para identificar actividades sospechosas en redes corporativas.

Las herramientas de NTA analizan constantemente el tráfico de origen y / o los registros de flujo (por ejemplo, NetFlow) para crear modelos que reflejen el comportamiento normal de la red, centrándose principalmente en analizar el comportamiento de la entidad.
SIEM : muchos proveedores de SIEM ahora tienen una funcionalidad avanzada de análisis de datos integrada en SIEM, o como un módulo UEBA separado. A lo largo de 2018 y aún en 2019, ha habido una continua borrosidad de los límites entre la funcionalidad SIEM y UEBA, como se revela en el artículo "Technology Insight for the Modern SIEM" . Los sistemas SIEM han mejorado en el trabajo con análisis y ofrecen escenarios de aplicaciones más complejos.

Escenarios de aplicación UEBA

Las soluciones UEBA pueden resolver una amplia gama de tareas. Sin embargo, los clientes de Gartner están de acuerdo en que el escenario principal de la aplicación incluye la detección de varias categorías de amenazas, logradas mediante la visualización y el análisis de correlaciones frecuentes del comportamiento del usuario y otras entidades:

acceso no autorizado y movimiento de datos;
comportamiento sospechoso de usuarios privilegiados, actividad maliciosa o no autorizada de los empleados;
acceso no estándar y uso de recursos en la nube;
y otros

También hay una serie de escenarios de aplicaciones atípicas que no son de ciberseguridad, como fraude o monitoreo de empleados, para los cuales el uso de UEBA puede estar justificado. Sin embargo, a menudo requieren fuentes de datos que no están relacionadas con TI y la seguridad de la información, o modelos analíticos específicos con un profundo conocimiento de esta área. Los cinco escenarios y aplicaciones principales que los fabricantes de UEBA y sus clientes acuerdan se describen a continuación.

Insider malicioso

Los proveedores de soluciones UEBA que cubren este escenario monitorean a los empleados y contratistas de confianza solo en términos de comportamiento no estándar, "malo" o malicioso. Los proveedores en esta área de especialización no supervisan ni analizan el comportamiento de las cuentas de servicio u otras entidades no humanas. En su mayor parte, es por esto que no se centran en detectar amenazas avanzadas cuando los piratas informáticos secuestran cuentas existentes. En cambio, su objetivo es identificar a los empleados involucrados en actividades maliciosas.

De hecho, el concepto de "información privilegiada maliciosa" proviene de usuarios de confianza con intenciones maliciosas que buscan formas de infligir daños a su empleador. Dado que la intención maliciosa es difícil de evaluar, los mejores fabricantes de esta categoría analizan los datos de comportamiento contextual que no son fácilmente accesibles en los registros de auditoría.

Los proveedores de soluciones en esta área también agregan y analizan de manera óptima datos no estructurados, como contenido de correo electrónico, informes de productividad o información de redes sociales, para formar un contexto de comportamiento.

Información privilegiada y amenazas intrusivas comprometidas

La tarea es detectar y analizar rápidamente el comportamiento "malo" tan pronto como el atacante obtuvo acceso a la organización y comenzó a moverse dentro de la infraestructura de TI.
Las amenazas obsesivas (APT, por sus siglas en inglés), como amenazas desconocidas o aún no completamente entendidas, son extremadamente difíciles de detectar y a menudo se esconden bajo la actividad legítima de los usuarios o cuentas comerciales. Dichas amenazas suelen tener un modelo de trabajo integral (véase, por ejemplo, el artículo " Abordar la cadena de asesinatos cibernéticos ") o su comportamiento aún no se ha considerado malicioso. Esto hace que sean difíciles de detectar utilizando análisis simples (por ejemplo, coincidencia por patrones, umbrales o reglas de correlación).

Sin embargo, muchas de estas amenazas obsesivas conducen a comportamientos diferentes, a menudo asociados con usuarios o entidades desprevenidos (los denominados expertos comprometidos). Las metodologías UEBA ofrecen varias oportunidades interesantes para detectar tales amenazas, aumentar la relación señal / ruido, consolidar y reducir el volumen de notificaciones, priorizar las respuestas restantes y facilitar una respuesta efectiva e investigación de incidentes.

Los proveedores de UEBA que se dirigen a esta área de trabajo a menudo tienen integración bidireccional con los sistemas SIEM en sus organizaciones.

Filtrado de datos

La tarea en este caso es detectar el hecho de la salida de datos fuera de la organización.
Los fabricantes que se centran en esta tarea generalmente mejoran las capacidades de los sistemas DLP o de control de acceso a datos (DAG) con detección de anomalías y análisis avanzados, lo que aumenta la relación señal-ruido, consolida el volumen de notificaciones y prioriza las respuestas restantes. Para un contexto adicional, los fabricantes generalmente confían más en el tráfico de red (como proxies web) y en los datos del dispositivo final, ya que analizar estas fuentes de datos puede ayudar a investigar la filtración de datos.

La detección de exfiltración de datos se utiliza para capturar hackers internos y externos que amenazan a la organización.

Autenticación y control de acceso privilegiado.

Los fabricantes de soluciones UEBA independientes en esta área de especialización observan y analizan el comportamiento del usuario en el contexto de un sistema de derechos ya establecido para identificar privilegios excesivos o acceso anómalo. Esto se aplica a todos los tipos de usuarios y cuentas, incluidas las cuentas privilegiadas y de servicio. Las organizaciones también usan UEBA para deshacerse de cuentas inactivas y privilegios de usuario que son más altos de lo requerido.

Priorización de incidentes

El objetivo de esta tarea es priorizar las notificaciones generadas por las soluciones de su stack tecnológico para comprender qué incidentes o incidentes potenciales deben abordarse primero. Las metodologías y herramientas de UEBA son útiles para identificar incidentes particularmente anormales o especialmente peligrosos para una organización determinada. En este caso, el mecanismo UEBA no solo utiliza el nivel básico de actividad y los modelos de amenaza, sino que también satura los datos con información sobre la estructura organizativa de la empresa (por ejemplo, recursos o roles críticos y niveles de acceso de los empleados).

Problemas al implementar soluciones UEBA

El dolor del mercado de las soluciones UEBA es su alto precio, implementación compleja, mantenimiento y uso. Si bien las empresas luchan con la cantidad de portales internos diferentes, obtienen otra consola. El tamaño de la inversión de tiempo y recursos en una nueva herramienta depende de los desafíos y los tipos de análisis necesarios para resolverlos, y la mayoría de las veces requieren grandes inversiones.

Contrariamente a lo que afirman muchos fabricantes, UEBA no es una herramienta "ajustada y olvidada", que puede funcionar continuamente durante días y días.
Los clientes de Gartner, por ejemplo, observan que lleva de 3 a 6 meses lanzar la iniciativa UEBA desde cero antes de recibir los primeros resultados de la solución de los problemas para los que se implementó esta solución. Para tareas más complejas, como identificar amenazas internas en una organización, el plazo se extiende a 18 meses.

Factores que afectan la complejidad de la implementación de UEBA y la efectividad futura de la herramienta:

Complejidad de la arquitectura de la organización, la topología de la red y las políticas de gestión de datos.
Disponibilidad de los datos correctos con el nivel de detalle correcto
La complejidad de los algoritmos analíticos del fabricante, por ejemplo, el uso de modelos estadísticos y aprendizaje automático contra patrones y reglas simples.
, – , .
.

Por ejemplo:
- UEBA- SIEM- , SIEM ?
- UEBA-?
- SIEM- , UEBA-, ?
, , .
– , , ; ; .
.
, . 30 ( 90 ) , «». . , .
, (/), .

El mercado de la UEBA muere - Larga vida a la UEBA