Geekly articles weekly

وفاة سوق UEBA - عاشت UEBA



اليوم سوف نقدم لمحة موجزة عن السوق لأنظمة تحليل السلوك المستخدم والكيان (UEBA) استنادا إلى أحدث دراسة غارتنر . يقع سوق UEBA في أسفل "مرحلة الإحباط" لدورة Gartner Hype لدورات مواجهة التهديدات ، مما يدل على نضج هذه التكنولوجيا. لكن مفارقة الوضع تكمن في النمو الكلي المتزامن للاستثمارات في تقنيات UEBA والسوق المختفية لحلول UEBA المستقلة. تتوقع Gartner أن UEBA ستصبح جزءًا من وظائف الحلول ذات الصلة في مجال أمن المعلومات. من المحتمل أن يكون مصطلح "UEBA" قديمًا وسيتم استبداله باختصار آخر يركز على نطاق أضيق (على سبيل المثال ، "تحليلات سلوك المستخدم") ، على نطاق مماثل (على سبيل المثال ، "استخدام البيانات") أو يتحول ببساطة إلى تبدو بعض الكلمات الطنانة الجديدة (على سبيل المثال ، مصطلح "الذكاء الاصطناعي" [AI] مثيراً للاهتمام ، على الرغم من أنه لا معنى بالنسبة لمصنعي UEBA الحديث).

يمكن تلخيص النتائج الرئيسية التي توصلت إليها دراسة غارتنر على النحو التالي:

  • تأكيد نضج السوق للتحليلات السلوكية للمستخدمين والكيانات هو حقيقة أن هذه التقنيات تستخدم من قبل قطاعات الشركات المتوسطة والكبيرة لحل عدد من المهام التجارية ؛
  • تم دمج وظائف تحليلات UEBA في مجموعة واسعة من تقنيات أمان المعلومات ذات الصلة ، مثل أنظمة الوصول السحابي الآمنة (CASB) وأنظمة إدارة الهوية وإدارة الهوية (IGA) ؛
  • الضجيج المحيط ببائعي UEBA والاستخدام غير الصحيح لمصطلح "الذكاء الاصطناعي" يعقد فهم العملاء للفرق الحقيقي بين تقنيات المصنعين ووظيفة الحلول دون مشروع رائد ؛
  • يلاحظ المشترون أن وقت التنفيذ والاستخدام اليومي لحلول UEBA قد يستغرق وقتًا أطول ويستغرق وقتًا أطول مما وعدت به الشركة المصنعة ، حتى لو أخذنا بعين الاعتبار نماذج الكشف عن التهديدات الأساسية فقط. قد تكون إضافة سيناريوهات التطبيق الخاصة بك أو الحدود صعبة للغاية وتتطلب خبرة في علم وتحليلات البيانات.

التوقعات الاستراتيجية لتطوير السوق:

  • بحلول عام 2021 ، سوف يتوقف سوق أنظمة تحليل سلوك المستخدم والكيان (UEBA) عن الوجود كمجال منفصل وسيتحول نحو حلول أخرى مع وظائف UEBA ؛
  • بحلول عام 2020 ، ستكون 95٪ من جميع عمليات نشر UEBA جزءًا من وظيفة نظام أمان أوسع.

تحديد حلول UEBA

تستخدم حلول UEBA تحليلات مضمنة لقياس نشاط المستخدمين والكيانات الأخرى (على سبيل المثال ، المضيفين والتطبيقات وحركة مرور الشبكة وتخزين البيانات).
يكتشفون التهديدات والحوادث المحتملة ، والتي عادة ما تمثل نشاطًا غير طبيعي مقارنةً بالملف الشخصي والسلوك القياسي للمستخدمين والكيانات في مجموعات مماثلة خلال فترة زمنية معينة.

تتمثل سيناريوهات التطبيق الأكثر شيوعًا في قطاع الشركات في الكشف عن التهديدات والاستجابة لها ، وكذلك الكشف عن التهديدات الداخلية والرد عليها (في معظم الحالات ، للمطلعين الداخليين للخطر ، وفي بعض الأحيان للمهاجمين الداخليين).

UEBA هو حل ووظيفة مدمجة في أداة محددة:

  • الحل هو الشركات المصنعة لأنظمة UEBA "النظيفة" ، بما في ذلك البائعين الذين يبيعون أيضًا حلول SIEM منفصلة. ركز على مجموعة واسعة من مهام العمل في تحليل سلوك كل من المستخدمين والكيانات.
  • مضمن - يقوم المصنعون / الإدارات بدمج وظائف وتقنيات UEBA في حلولهم. تركز عادة على مجموعة أكثر تحديدا من المهام التجارية. في هذه الحالة ، يتم استخدام UEBA لتحليل سلوك المستخدمين و / أو الكيانات.

يفحص Gartner UEBA في مقطع عرضي من ثلاثة محاور ، بما في ذلك المهام القابلة للحل والتحليلات ومصادر البيانات (انظر الشكل).



تنظيف أنظمة UEBA مقابل UEBA المضمنة


تعتبر Gartner حلول الأنظمة الأساسية "النظيفة" لنظام UEBA التي:

  • حل العديد من المهام المحددة ، مثل مراقبة المستخدمين المميزين أو إخراج البيانات خارج المؤسسة ، بدلاً من مجرد "مراقبة نشاط المستخدم غير الطبيعي" ؛
  • تنطوي على استخدام تحليلات متطورة ، والتي ، إذا لزم الأمر ، تستند إلى النهج التحليلية الأساسية ؛
  • توفير عدة خيارات لجمع البيانات ، بما في ذلك كل من الآليات المدمجة لمصادر البيانات ، ومن أدوات إدارة السجل ، وبيانات بحيرة و / أو أنظمة SIEM ، دون الحاجة إلى نشر وكلاء منفصلين في البنية التحتية ؛
  • يمكن الحصول عليها ونشرها كحلول مستقلة ، ولكن لا يتم تضمينها في
    تكوين المنتجات الأخرى.

يقارن الجدول أدناه بين النهجين.

الجدول 1. "نظيف" حلول UEBA مقابل المضمنة
فئة
تنظيف منصات UEBA
حلول أخرى مع UEBA متكاملة
مشكلة يجب حلها
تحليل سلوك المستخدم وكذلك الكيانات.
قد يحد نقص البيانات من UEBA في تحليل سلوك المستخدمين أو الكيانات فقط.
مشكلة يجب حلها
يعمل على حل مجموعة واسعة من المهام.
متخصص في مجموعة محدودة من المهام
تحليلات
تحديد الحالات الشاذة باستخدام الأساليب التحليلية المختلفة - بشكل رئيسي من خلال النماذج الإحصائية والتعلم الآلي ، جنبا إلى جنب مع القواعد والتوقيعات. يأتي مع تحليلات مدمجة لإنشاء ومقارنة نشاط المستخدم والكيان مع ملفاته الشخصية وملفات تعريف الزميل.
وعلى غرار UEBA "النقي" ، لا يمكن أن يقتصر التحليل إلا على المستخدمين و / أو الكيانات.
تحليلات
قدرات تحليلية متقدمة ، لا تقتصر فقط على القواعد. على سبيل المثال ، خوارزمية التجميع مع التجميع الديناميكي للكيانات.
وعلى غرار UEBA "الخالص" ، لا يمكن تغيير تجميع الكيانات في بعض نماذج التهديدات المدمجة إلا يدويًا.
تحليلات
ارتباط نشاط وسلوك المستخدمين والكيانات الأخرى (على سبيل المثال ، بطريقة شبكة بايز) وتجميع سلوك الخطر الفردي من أجل تحديد النشاط غير الطبيعي.
وعلى غرار UEBA "النقي" ، لا يمكن أن يقتصر التحليل إلا على المستخدمين و / أو الكيانات.
مصادر البيانات
تلقي الأحداث للمستخدمين والكيانات من مصادر البيانات مباشرة من خلال آليات مدمجة أو مخازن البيانات الحالية ، مثل SIEM أو بحيرة البيانات.
آليات الحصول على البيانات عادة ما تكون مباشرة وتؤثر فقط على المستخدمين و / أو الكيانات الأخرى. لا تستخدم أدوات إدارة السجل / SIEM / بحيرة البيانات.
مصادر البيانات
لا ينبغي أن يعتمد الحل فقط على حركة مرور الشبكة كمصدر رئيسي للبيانات ، وكذلك حصريًا على وكلاء جمع القياس عن بُعد.
يمكن أن يركز الحل فقط على حركة مرور الشبكة (على سبيل المثال ، NTA - تحليل حركة مرور الشبكة) و / أو استخدام وكلاءها على الأجهزة الطرفية (على سبيل المثال ، أدوات مراقبة الموظفين).
مصادر البيانات
تشبع بيانات المستخدم / الكيان مع السياق. دعم لجمع الأحداث المهيكلة في الوقت الحقيقي ، وكذلك البيانات المتصلة المهيكلة / غير المهيكلة من أدلة تكنولوجيا المعلومات - على سبيل المثال ، Active Directory (AD) ، أو غيرها من الموارد مع معلومات قابلة للقراءة آليا (على سبيل المثال ، قاعدة بيانات الموارد البشرية).
على غرار UEBA "النقي" ، قد يختلف نطاق البيانات السياقية في حالات مختلفة. يعد AD و LDAP أكثر مخازن البيانات السياقية شيوعًا التي تستخدمها حلول UEBA المضمنة.
توفر
يوفر هذه الميزات كمنتج مستقل.
من المستحيل شراء وظيفة UEBA مضمنة دون شراء الحل الخارجي الذي يتم تضمينه فيه.
المصدر: غارتنر (مايو 2019)


وبالتالي ، لحل بعض المشكلات ، يمكن لـ UEBA المدمج استخدام تحليلات UEBA الأساسية (على سبيل المثال ، التعلم الآلي البسيط بدون معلم) ، ولكن نظرًا للوصول إلى البيانات الصحيحة ، يمكن أن يكون أكثر فعالية بشكل عام من حل UEBA "النقي". علاوة على ذلك ، من المتوقع أن تقدم منصات UEBA "النظيفة" تحليلات أكثر تطوراً باعتبارها الدراية الرئيسية مقارنة بأداة UEBA المدمجة. تم تلخيص هذه النتائج في الجدول 2.

الجدول 2. نتيجة الاختلافات بين UEBA النقي وجزءا لا يتجزأ
فئة
تنظيف منصات UEBA
حلول أخرى مع UEBA متكاملة
تحليلات
تتضمن قابلية تطبيق حل العديد من مشكلات العمل مجموعة عالمية أكثر من وظائف UEBA مع التركيز على تحليلات أكثر تعقيدًا ونماذج تعلم الآلة.
يتضمن التركيز على مجموعة أصغر من مهام العمل وظائف متخصصة للغاية تركز على نماذج لتطبيقات محددة ذات منطق أبسط.
تحليلات
يعد تخصيص النموذج التحليلي ضروريًا لكل سيناريو تطبيق.
يتم تكوين النماذج التحليلية مسبقًا للأداة التي تم تصميم UEBA فيها. تؤدي الأداة التي تحتوي على UEBA المدمج ككل إلى نتائج أسرع في حل بعض مشكلات العمل.
مصادر البيانات
الوصول إلى مصادر البيانات من جميع أركان البنية التحتية للشركات.
عدد أقل من مصادر البيانات ، وعادة ما يكون محدودا بسبب وجود وكلاء تحتها أو عن طريق الأداة نفسها مع وظائف UEBA.
مصادر البيانات
قد تكون المعلومات الواردة في كل سجل محدودة بمصدر البيانات وقد لا تحتوي على جميع البيانات اللازمة لأداة UEBA مركزية.
يمكن تكوين مقدار وتفاصيل البيانات المصدر التي يجمعها الوكيل ونقلها إلى UEBA بشكل خاص.
هندسة معمارية
إنه منتج UEBA كامل للمنظمة. تكامل أسهل باستخدام إمكانيات نظام SIEM أو بحيرة البيانات.
يتطلب مجموعة منفصلة من وظائف UEBA لكل حل يحتوي على UEBA مضمن. غالبًا ما تتطلب منك حلول UEBA المدمجة تثبيت الوكلاء وإدارة البيانات.
التكامل
التكامل اليدوي لحلول UEBA مع الأدوات الأخرى في كل حالة. يسمح للمنظمة ببناء كومة تكنولوجية خاصة بها تعتمد على نهج "الأفضل بين الأقران".
يتم تضمين الحزم الرئيسية لوظائف UEBA بالفعل في الأداة نفسها من قبل الشركة المصنعة. وحدة UEBA مدمجة ولا يمكن استعادتها ، لذلك لا يمكن للعملاء استبدالها بشيء خاص بهم.
المصدر: غارتنر (مايو 2019)


UEBA كدالة


أصبحت UEBA إحدى ميزات حلول الأمن السيبراني الشاملة التي يمكن أن تستفيد من تحليلات إضافية. UEBA هو الأساس لهذه القرارات ، التي تمثل طبقة رائعة من التحليلات المتقدمة على أنماط سلوك المستخدم و / أو الكيان.

حاليًا ، يتم تطبيق وظائف UEBA المدمجة في السوق في الحلول التالية ، مجمعة حسب النطاق التكنولوجي:

  • يعد التدقيق والحماية المتمحوران حول البيانات من الشركات المصنعة التي تركز على تحسين أمان مستودعات البيانات المهيكلة وغير المنظمة (ما يطلق عليه DCAP).

    في هذه الفئة من البائعين ، يلاحظ غارتنر ، من بين أمور أخرى ، منصة الأمن السيبراني Varonis ، والتي تقدم تحليلًا لسلوك المستخدم لمراقبة التغييرات في حقوق الوصول إلى البيانات غير المهيكلة ، والوصول إليها واستخدامها في مستودعات معلومات متنوعة.
  • أنظمة CASB التي توفر الحماية ضد التهديدات المختلفة في تطبيقات SaaS السحابية من خلال حظر الوصول إلى الخدمات السحابية للأجهزة غير المرغوب فيها والمستخدمين وإصدارات التطبيقات باستخدام نظام تحكم بالوصول القابل للتكيف.

    تشمل جميع حلول CASB الرائدة في السوق قدرات UEBA.
  • حلول DLP - تركز على اكتشاف مخرجات البيانات الهامة خارج المنظمة أو إساءة استخدامها.

    تعتمد إنجازات DLP إلى حد كبير على فهم المحتوى ، مع تركيز أقل على فهم السياق ، مثل المستخدم والتطبيق والموقع والوقت وسرعة الأحداث والعوامل الخارجية الأخرى. لكي تكون فعالة ، يجب أن تتعرف منتجات DLP على المحتوى والسياق. هذا هو السبب في أن العديد من الشركات المصنعة بدأت في تضمين وظائف UEBA في حلولها.
  • مراقبة الموظف هي القدرة على تسجيل وإعادة إنتاج تصرفات الموظف ، عادةً بتنسيق بيانات مناسب للتقاضي (إذا لزم الأمر).

    غالبًا ما يولِّد الرصد المستمر للمستخدمين كمية هائلة من البيانات التي تتطلب التصفية والتحليل اليدوي من قبل أي شخص. لذلك ، يتم استخدام UEBA ضمن أنظمة المراقبة لتحسين أداء هذه الحلول واكتشاف الحوادث بدرجة عالية من المخاطر.
  • أمان نقطة النهاية - توفر حلول الكشف عن نقطة النهاية واستجابتها (EDR) ومنصة حماية نقطة النهاية (EPP) أدوات قوية وقياس عن بعد لنظام التشغيل على
    الأجهزة نهاية.

    يمكن تحليل القياس عن بُعد المتصل بالمستخدم لتوفير وظائف UEBA مضمنة.
  • الاحتيال عبر الإنترنت - تقوم حلول الكشف عن الاحتيال عبر الإنترنت باكتشاف نشاط غير طبيعي ، مما يشير إلى اختراق حساب العميل عبر اتصالات وهمية أو برامج ضارة أو تشغيل اتصالات غير آمنة / اعتراض حركة مرور المتصفح.

    تستخدم معظم حلول الاحتيال جوهر UEBA وتحليل المعاملات وقياس خصائص الجهاز ، بينما تكملها الأنظمة الأكثر تطوراً عن طريق مطابقة العلاقات في قاعدة بيانات معرفات الهوية.
  • IAM والتحكم في الوصول - يمثل Gartner اتجاها في التطور بين الشركات المصنعة لأنظمة التحكم في الوصول ، والذي يتكون من التكامل مع البائعين النظيفين ودمج بعض وظائف UEBA في منتجاتهم.
  • تستخدم IAM وأنظمة إدارة الهوية وإدارتها ( IGAs ) UEBA لتغطية سيناريوهات تحليل السلوكيات والهوية مثل الكشف عن الحالات الشاذة والتجمع الديناميكي للكيانات المشابهة وتحليل تسجيل الدخول للنظام وتحليل سياسة الوصول.
  • IAM والتحكم في الوصول المتميز (PAM) - فيما يتعلق بدور التحكم في استخدام الحسابات الإدارية ، تحتوي حلول PAM على القياس عن بعد لعرض كيفية استخدام الحسابات الإدارية ومتى وأين وأين. يمكن تحليل هذه البيانات باستخدام وظيفة UEBA المضمنة لوجود سلوك غير طبيعي للمسؤولين أو وجود نية ضارة.
  • الشركات المصنعة لـ NTA (تحليل حركة مرور الشبكة) - استخدم مزيجًا من التعلم الآلي والتحليلات المتقدمة والاكتشاف القائم على القواعد لتحديد النشاط المشبوه في شبكات الشركة.

    تحلل أدوات NTA باستمرار حركة مرور المصدر و / أو سجلات الدفق (على سبيل المثال NetFlow) لإنشاء نماذج تعكس سلوك الشبكة العادي ، مع التركيز بشكل أساسي على تحليل سلوك الكيان.
  • SIEM - لدى العديد من موردي SIEM الآن وظيفة تحليل بيانات متقدمة مضمنة في SIEM ، أو كوحدة نمطية منفصلة لـ UEBA. طوال عام 2018 وما زال في عام 2019 ، كان هناك عدم وضوح مستمر للحدود بين وظيفة SIEM و UEBA ، كما هو موضح في المقال "Technology Insight for the Modern SIEM" . أصبحت أنظمة SIEM أفضل في العمل مع التحليلات وتقدم سيناريوهات تطبيق أكثر تعقيدًا.

سيناريوهات تطبيق UEBA


يمكن لحلول UEBA حل مجموعة واسعة من المهام. ومع ذلك ، يوافق عملاء Gartner على أن سيناريو التطبيق الرئيسي يشمل الكشف عن فئات مختلفة من التهديدات ، يتحقق من خلال عرض وتحليل الارتباطات المتكررة لسلوك المستخدم والكيانات الأخرى:

  • الوصول غير المصرح به وحركة البيانات ؛
  • سلوك مشبوه للمستخدمين المميزين ، أو نشاط ضار أو غير مصرح به للموظفين ؛
  • الوصول غير القياسي واستخدام الموارد السحابية ؛
  • وغيرها

يوجد أيضًا عدد من سيناريوهات تطبيق غير متعلقة بالأمن السيبراني ، مثل الاحتيال أو مراقبة الموظفين ، والتي قد يكون من الضروري استخدام UEBA. ومع ذلك ، فهي تتطلب غالبًا مصادر بيانات غير مرتبطة بتكنولوجيا المعلومات وأمن المعلومات ، أو نماذج تحليلية محددة ذات فهم عميق لهذا المجال. فيما يلي وصف للسيناريوهات الخمسة الرئيسية والتطبيقات التي يوافق عليها كل من مصنعي UEBA وعملائهم.

من الداخل الخبيثة


يراقب موفرو حلول UEBA هذا السيناريو الموظفين والمتعاقدين الموثوق بهم فقط من حيث السلوك غير العادي أو "الضار" أو الضار. لا يقوم البائعون في هذا المجال من الخبرة بمراقبة أو تحليل سلوك حسابات الخدمة أو الكيانات الأخرى غير البشرية. بالنسبة للجزء الأكبر ، وهذا بسبب أنهم لا يركزون على اكتشاف التهديدات المتقدمة عندما يختطف المتسللون الحسابات الموجودة. بدلاً من ذلك ، فهم يهدفون إلى تحديد الموظفين المشاركين في أنشطة ضارة.

في الواقع ، يأتي مفهوم "الخبيثة الخبيثة" من المستخدمين الموثوق بهم الذين لديهم نية خبيثة والذين يبحثون عن طرق لإلحاق الضرر بصاحب العمل. نظرًا لأنه من الصعب تقييم النية الضارة ، فإن أفضل الشركات المصنعة في هذه الفئة تقوم بتحليل بيانات سلوك السياق التي لا يمكن الوصول إليها بسهولة في سجلات التدقيق.

يقوم مزودو الحلول في هذا المجال أيضًا بإضافة وتحليل البيانات غير المهيكلة على النحو الأمثل ، مثل محتوى البريد الإلكتروني أو تقارير الإنتاجية أو معلومات الوسائط الاجتماعية ، لتشكيل سياق للسلوك.

تهديد من الداخل والتهديدات الدخيلة


وتتمثل المهمة في اكتشاف وتحليل السلوك "السيئ" بسرعة بمجرد أن يتمكن المهاجم من الوصول إلى المؤسسة وبدأ التحرك داخل البنية التحتية لتكنولوجيا المعلومات.
من الصعب للغاية اكتشاف التهديدات الوسواسية (APTs) ، مثل التهديدات غير المعروفة أو غير المفهومة بالكامل ، وغالبًا ما يتم إخفاءها تحت النشاط المشروع للمستخدمين أو حسابات الأعمال. عادة ما يكون لمثل هذه التهديدات نموذج عمل شامل (انظر ، على سبيل المثال ، مقال " معالجة سلسلة قتل السيبرانية ") أو سلوكهم لم يعتبر حتى الآن ضارًا. هذا يجعل من الصعب اكتشافهم باستخدام تحليلات بسيطة (على سبيل المثال ، المطابقة حسب الأنماط أو العتبات أو قواعد الارتباط).

ومع ذلك ، فإن العديد من هذه التهديدات المهووسة تؤدي إلى سلوكيات مختلفة ، وغالبًا ما ترتبط بمستخدمين أو كيانات غير مشكوك فيها (تسمى ما يسمى بالداخلين المطلعين). توفر منهجيات UEBA العديد من الفرص المهمة للكشف عن هذه التهديدات ، وزيادة نسبة الإشارة إلى الضوضاء ، وتوحيد حجم الإشعارات وتقليلها ، وإعطاء الأولوية للاستجابات المتبقية وتسهيل الاستجابة والتحقيق الفعالين في الحوادث.

غالبًا ما يكون لدى بائعي UEBA الذين يستهدفون مجال العمل هذا تكامل ثنائي الاتجاه مع أنظمة SIEM في مؤسساتهم.

تصفية البيانات


المهمة في هذه الحالة هي اكتشاف حقيقة إخراج البيانات خارج المؤسسة.
يقوم المصنِّعون الذين يركزون على هذه المهمة عادةً بتعزيز إمكانات أنظمة DLP أو التحكم في الوصول إلى البيانات (DAG) من خلال الكشف عن الحالات الشاذة والتحليلات المتقدمة ، وبالتالي زيادة نسبة الإشارة إلى الضوضاء ، وتوحيد حجم الإشعارات وتحديد أولويات الاستجابات المتبقية. بالنسبة للسياق الإضافي ، تعتمد الشركات المصنعة بشكلٍ أكبر على حركة مرور الشبكة (مثل بروكسيات الويب) وبيانات الجهاز النهائي ، حيث أن تحليل مصادر البيانات هذه يمكن أن يساعد في استكشاف تسرب البيانات.

يتم استخدام كشف تسرب البيانات للقبض على الأشخاص الداخليين والمتسللين الخارجيين الذين يهددون المنظمة.

المصادقة والتحكم في الوصول المميز


يقوم مصنعو حلول UEBA المستقلة في هذا المجال من الخبرة بمراقبة وتحليل سلوك المستخدم على خلفية نظام حقوق تم تشكيله بالفعل من أجل تحديد الامتيازات المفرطة أو الوصول غير العادي. ينطبق هذا على جميع أنواع المستخدمين والحسابات ، بما في ذلك الحسابات المميزة وحسابات الخدمة. تستخدم المؤسسات أيضًا UEBA للتخلص من الحسابات الخاملة وامتيازات المستخدم التي تزيد عن المطلوب.

تحديد أولويات الحادث


الهدف من هذه المهمة هو إعطاء الأولوية للإعلامات التي تم إنشاؤها بواسطة حلول مكدس التكنولوجيا الخاصة بهم من أجل فهم الحوادث أو الحوادث المحتملة التي يجب معالجتها أولاً. تعتبر منهجيات UEBA وأدواتها مفيدة في تحديد الحوادث غير الطبيعية بشكل خاص أو تلك الخطرة بشكل خاص بالنسبة لمنظمة معينة. في هذه الحالة ، لا تستخدم آلية UEBA المستوى الأساسي لنماذج النشاط والتهديد فحسب ، ولكنها أيضًا تشبع البيانات بمعلومات حول الهيكل التنظيمي للشركة (على سبيل المثال ، الموارد أو الأدوار المهمة ومستويات وصول الموظفين).

مشاكل في تنفيذ حلول UEBA


آلام السوق لحلول UEBA هي الثمن الباهظ والتنفيذ المعقد والصيانة والاستخدام. بينما تحاول الشركات التعامل مع عدد البوابات الداخلية المختلفة ، فإنها تحصل على وحدة تحكم أخرى. يعتمد حجم استثمار الوقت والموارد في أداة جديدة على التحديات وأنواع التحليلات الضرورية لحلها ، وغالبًا ما تتطلب استثمارات كبيرة.

على عكس ادعاءات العديد من المصنّعين ، فإن UEBA ليست أداة "مضبوطة ومنسية" ، والتي يمكنها العمل بشكل مستمر لعدة أيام متتالية.
على سبيل المثال ، لاحظ عملاء Gartner أن الأمر يستغرق من 3 إلى 6 أشهر لإطلاق مبادرة UEBA من نقطة الصفر قبل استلام النتائج الأولى لحل المشكلات التي تم تطبيق هذا الحل عليها. بالنسبة للمهام الأكثر تعقيدًا ، مثل تحديد التهديدات الداخلية في المؤسسة ، يتم تمديد المدة إلى 18 شهرًا.

العوامل التي تؤثر على تعقيد تنفيذ UEBA والفعالية المستقبلية للأداة:

  • تعقيد بنية المنظمة ، طوبولوجيا الشبكة ، وسياسات إدارة البيانات
  • توفر البيانات الصحيحة مع المستوى الصحيح من التفاصيل
  • تعقيد خوارزميات التحليلات من الشركة المصنعة - على سبيل المثال ، استخدام النماذج الإحصائية والتعلم الآلي مقابل الأنماط والقواعد البسيطة.
  • , – , .
  • .

    على سبيل المثال:

    • UEBA- SIEM- , SIEM ?
    • UEBA-?
    • SIEM- , UEBA-, ?

  • , , .
  • – , , ; ; .
  • .
  • , . 30 ( 90 ) , «». . , .
  • , (/), .

Source: https://habr.com/ru/post/ar468989/

More articles:


All Articles