Unternehmen, die ihr IT-Sicherheitsarsenal um erweiterte Analyse- oder maschinelle Lernfunktionen erweitern möchten, verfügen über eine relativ neue Lösung: User and Entity Behavior Analytics (UEBA).
UEBA-Produkte identifizieren Muster im typischen Benutzerverhalten und erkennen dann abnormale Aktionen, die nicht mit diesen Mustern übereinstimmen und möglicherweise Sicherheitsprobleme verursachen. Darüber hinaus erkennen UEBA-Systeme atypische Ereignisse in verschiedenen Entitäten (Entitäten), einschließlich Workstations, Software, Netzwerkverkehr, Speicher usw. usw.
Eine Vielzahl von Analysemethoden wird verwendet, um Abweichungen zu bestimmen, einschließlich maschinelles Lernen. Übrigens gibt es auch eine Klasse von UBA-Systemen, die, wie Sie sich vorstellen können, nur die Informationen analysieren, die den Benutzern und ihren Rollen zugeordnet sind. Datenquellen für UEBA-Systeme sind Protokolldateien von Server- und Netzwerkkomponenten, Sicherheitssysteme und lokale Protokolle vom endgültigen Arbeits-PC.
In der Regel erledigen UEBA-Lösungen ihre Aufgabe, nachdem andere Cyber-Defense-Tools Bedrohungen im Netzwerk nicht erkannt haben.
Obwohl UEBA-Lösungen vor nicht allzu langer Zeit erschienen, wurden sie bei großen Unternehmen schnell populär. Laut Gartner verdoppelt sich der Umsatz mit UEBA-Speziallösungen jedes Jahr. Darüber hinaus bieten viele Anbieter UEBA-Funktionen in anderen Sicherheitstools wie SIEM (Sicherheitsinformations- und Ereignisverwaltung), Netzwerkverkehrsanalyse, Identitäts- und Zugriffskontrolle (IAM), Endpunktschutz oder -prävention Datenlecks. Analysten von Gartner prognostizieren, dass einzelne UEBA-Produkte, die bis dahin auf dem Markt bleiben würden, im Laufe von fünf Jahren zu SIEM-Lösungen der nächsten Generation werden, während andere UEBA-Lösungen ihre Nische in anderen Sicherheitstechnologien finden werden.
Der Algorithmus der UEBA-Systeme. Quelle: Gartner
Nachfolgend finden Sie eine kurze Beschreibung der beliebtesten Produkte im UEBA-Segment. Weitere Informationen zu den Produkten finden Sie in
der UEBA-Vergleichstabelle zu ROI4CIO, die auf einem Vergleich der Marktführer basiert (laut Gartner-Studie).
Exabeam Advanced Analytics
Exabeam bietet Sicherheits- und Verwaltungslösungen, mit denen Unternehmen jeder Größe die wertvollsten Informationen schützen können. Exabeam-Produkte verwenden bei ihrer Arbeit maschinelles Lernen und Verhaltensanalysen.
Laut Gartner-Experten gehört Exabeam Advanced Analytics zu den besten in der UBA-Kategorie. Im Vergleich zu Mitbewerbern ist diese Lösung für Systemadministratoren oder Analysten sehr einfach zu erlernen, was bedeutet, dass die Implementierungszeit viel kürzer ist. Analysten müssen nicht Tage oder Wochen damit verbringen, Beweise zu sammeln und Vorfälle auf der Grundlage von Informationen von SIEM zu zeichnen. Dank der erweiterten Analysefunktion markiert die Zeitleiste vorgefertigter Vorfälle Anomalien und zeigt Details an, um das Ereignis und seinen Kontext vollständig zu erfassen.
Was früher Wochen gedauert hat, kann jetzt in Sekunden erledigt werden. Die Benutzeroberfläche des Produkts ist bequem, die Navigation und Anzeige historischer Daten erfolgt extrem schnell. Die Lösung enthält Hunderte von eingebauten Modellen, von denen einige einzigartig sind. Sie können nicht von Wettbewerbern gefunden werden, was der Hauptvorteil des Produkts ist. Das Unternehmen bietet qualifizierten technischen Support für seine Lösungen.
Leider fehlt das Reporting-Tool praktisch. Der Benutzer kann den Inhalt des Browserfensters drucken / exportieren, Warnungen über abnormale Sitzungen an das SIEM-System senden oder einfach Screenshots machen. Wenn Sie etwas mehr benötigen, müssen Sie ein alternatives Tool verwenden. Das Anzeigen von mehr als einem Dutzend Ereignissen auf der Zeitachse erfordert einen hochauflösenden Monitor, obwohl selbst in diesem Fall nicht mehr als 20 Ereignisse passen. Es gibt eine benutzerdefinierte Suchfunktion über das Suchfeld "Threat Hunter", die eine gute Funktionalität bietet.
Micro Focus Security ArcSight UBA
ArcSight User Behavior Analytics bietet Unternehmen detaillierte Informationen zu ihren Benutzern. Dies vereinfacht die Generierung von Verhaltensdaten erheblich, um Bedrohungen zu minimieren. Es hilft, böswilliges Benutzerverhalten, interne Bedrohungen und Kontomissbrauch zu erkennen und zu untersuchen. Auf diese Weise können Unternehmen Verstöße erkennen, bevor sie erheblichen Schaden anrichten.
Mit ArcSight User Behaviour Analytics können Kunden das Risiko von Cyberangriffen verringern und abnormales Verhalten erkennen, indem sie die Protokolle des Benutzerauthentifizierungsmanagementsystems mit anderen von Anwendungen und Netzwerken generierten IT-Protokollen vergleichen. Darüber hinaus bietet das Produkt eine schnellere Reaktion auf erkannte Bedrohungen durch eine tiefere Integration in SIEM sowie eine schnellere Untersuchung von Vorfällen. Tatsache ist, dass das UBA die mit Benutzern verbundenen Daten analysiert, Abweichungen identifiziert und sie mit Analoga, historischen Aktivitäten und / oder Verstößen gegen vorbestimmtes erwartetes Verhalten vergleicht.
Auf diese Weise erkennt ArcSight UBA abnormales Benutzerverhalten, was sehr wichtig ist, um Hacking oder Kontomissbrauch zu erkennen. Micro Focus bietet die ausgereiftesten und bewährten Anwendungsfälle für Sicherheit im UBA und die symbiotische nahtlose Integration in SIEM.
Forcepoint UEBA
Mit der UEBA-Lösung (Forcepoint User and Entity Behavior Analytics) können Sicherheitsteams proaktiv risikoreiches abnormales Verhalten innerhalb eines Unternehmens proaktiv überwachen. Die analytische Sicherheitsplattform schafft einen unvergleichlichen Kontext, indem strukturierte und unstrukturierte Daten kombiniert werden, um böswillige, kompromittierte und fahrlässige Benutzer zu identifizieren und zu blockieren. Forcepoint erkennt verschiedene kritische Probleme wie kompromittierte Konten, Unternehmensspionage, Diebstahl von geistigem Eigentum und Betrug.
Forcepoint UEBA bewertet die Nuancen der Interaktion von Personen, Daten, Geräten und Anwendungen und priorisiert Fristen für Sicherheitsgruppen. Die Forcepoint-Softwarelösung basiert auf vier Prinzipien:
Reichhaltiger Kontext. Das Produkt vereint Inhalte aus unterschiedlichen Datenquellen. Ergänzt somit die Möglichkeiten von SIEM-Lösungen und anderen Lösungen im Bereich der Informationssicherheit, um unerwünschte Benutzeraktionen zu identifizieren und zu verhindern.
Verhaltensanalyse. Forcepoint UEBA verwendet verschiedene Arten strenger Verhaltens- und Inhaltsanalysen, die sich auf die Erkennung von Änderungen, Mustern und Anomalien konzentrieren, um komplexe Angriffe besser erkennen zu können.
Suche und Entdeckung. Bietet leistungsstarke forensische Untersuchungs- und Erkennungstools über eine kontextbezogene Benutzeroberfläche für die kontinuierliche Überwachung und eingehende Recherche.
Intuitiver Workflow. Bietet proaktive Berichterstellung, die vollständig in den Workflow des Systemadministrators und die vorhandene Clientinformationsarchitektur integriert ist, um die betriebliche Effizienz zu optimieren.
Splunk-Benutzerverhaltensanalyse
Eine der Hauptstärken der Splunk-Benutzerverhaltensanalyse ist die Erkennung unbekannter Bedrohungen und abnormalen Verhaltens durch maschinelles Lernen.
Die Splunk-Benutzerverhaltensanalyse bietet die folgenden Funktionen:
Erweiterte Bedrohungserkennung. Das Produkt erkennt Anomalien und unbekannte Bedrohungen, die von herkömmlichen Sicherheitstools übersehen werden.
Höhere Leistung. Automatisiert die Kombination von Hunderten von erkannten Anomalien zu einer einzigen Bedrohung und vereinfacht so das Leben eines Sicherheitsanalysten erheblich
Leistungsstarke Funktionen zur Untersuchung von Vorfällen. Die Lösung verwendet umfassende Ermittlungsfunktionen und leistungsstarke grundlegende Verhaltensmerkmale für jede Entität, Anomalie oder Bedrohung.
Verbesserte Sichtbarkeit und Erkennung. Automatisiert die Erkennung von Bedrohungen mithilfe von maschinellem Lernen, sodass Sie mehr Zeit damit verbringen können, die Bedrohungen selbst zu beseitigen und die Sicherheit zu verbessern.
Beschleunigte Bedrohungssuche. Die Splunk-Benutzerverhaltensanalyse identifiziert schnell anomale Objekte ohne menschliche Beteiligung. Die Lösung enthält eine Vielzahl verschiedener Arten von Anomalien (über 65) und Bedrohungsklassifizierungen (über 25) für Benutzer, Konten, Geräte und Anwendungen.
Erweiterte SOC-Ressourcen. Kombiniert automatisch Hunderte von Anomalien, die in mehreren Entitäten - Benutzern, Konten, Geräten und Anwendungen - beobachtet wurden, zu einer gemeinsamen Bedrohung für eine schnellere Reaktion.
Securonix UEBA
Die Securonix UEBA-Lösung bietet erweiterte Analysefunktionen, die auf maschinellem Lernen basieren. Unter den Vorteilen des Produkts sollte Folgendes beachtet werden:
Reduzierung des Risikos von Insider-Bedrohungen. Securonix erstellt für jeden Benutzer in der Unternehmensumgebung ein umfassendes Risikoprofil, das auf Informationen zu Identität, Beschäftigung, Sicherheitsverletzungen, IT-Aktivitäten und -Zugriff, physischem Zugriff und sogar Telefonaufzeichnungen basiert.
Das Produkt identifiziert echte Risikobereiche, indem es die Benutzeraktivität mit ihren einzelnen Basislinien, Basislinien der Gruppen, zu denen sie gehören, und bekannten Bedrohungsindikatoren vergleicht. Die Ergebnisse werden ausgewertet und in interaktiven Scorecards dargestellt.
Bessere Sichtbarkeit in Ihrer Cloud. Hier sind Funktionen wie die Cloud-to-Cloud-Überwachung mit integrierten APIs für alle wichtigen Cloud-Infrastrukturen und Anwendungstechnologien zu beachten. Erkennung böswilliger Aktivitäten durch Analyse von Benutzerrechten und Ereignissen; Korrelation von Cloud- und lokalen Daten, um Informationen über den Kontext des Objekts hinzuzufügen. Darüber hinaus sollte eine End-to-End-Analyse der Bedrohungsmuster angezeigt werden, die zu einer Reaktion führt.
Proaktive Aufdeckung von Betrug im Unternehmen. Das Produkt ist in der Lage, komplexe betrügerische Angriffe zu identifizieren, bei denen normalerweise signaturbasierte Erkennungsmethoden vermieden werden, indem fortschrittliches signaturloses Verhalten und abnormale Peer-to-Peer-Analysemethoden verwendet werden. Erwähnenswert sind auch die Funktionen zur Erkennung von Kontoentführungen, abnormalem Benutzerverhalten, Transaktionsbetrug und Verstößen gegen die Geldwäsche.
Zusammenfassung
UEBA / UBA-Klassensysteme sind ein wichtiges Element bei der Identifizierung unbekannter Arten von Bedrohungen, APT-Angriffen sowie von Mitarbeitern, die gegen IS-Regeln im Unternehmen verstoßen. UEBA-Produkte konzentrieren sich auf vier grundlegende Aufgaben.
Erstens eine einfache und fortschrittliche Analyse von Informationen aus verschiedenen Quellen unter Verwendung von Methoden des maschinellen Lernens, periodisch oder kontinuierlich, in Echtzeit. Zweitens sind UEBAs für die betriebliche Erkennung von Angriffen und anderen Anomalien konzipiert, die von klassischen Informationssicherheitstools normalerweise nicht erkannt werden.
Drittens ist dies die Bestimmung der Bedeutung von Ereignissen, die aus verschiedenen Quellen (Systemen wie SIEM, DLP, AD usw.) gesammelt wurden, um schnell auf Administratoren der Informationssicherheit zu reagieren.
Viertens eine leistungsstarke Reaktion auf Ereignisse, die durch die Tatsache sichergestellt wird, dass IS-Administratoren über umfassende und detaillierte Informationen zu dem Vorfall verfügen.
Weitere UEBA-Produkte und detailliertere Informationen dazu finden Sie in der UEBA-Vergleichstabelle zu ROI4CIO.
Rezensionsautor: Oleg Pilipenko, für ROI4CIO