Heute geben wir einen kurzen Überblick über den Markt für Benutzer- und Entity-Verhaltensanalysesysteme (UEBA) basierend auf der neuesten Gartner-Studie . Der UEBA-Markt befindet sich am Ende der „Enttäuschungsphase“ des Gartner-Hype-Zyklus für bedrohliche Technologien, was auf die Reife dieser Technologie hinweist. Das Paradox der Situation liegt jedoch im gleichzeitigen Wachstum der Investitionen in UEBA-Technologien und dem verschwindenden Markt unabhängiger UEBA-Lösungen. Gartner prognostiziert, dass die UEBA Teil der Funktionalität verwandter Lösungen im Bereich der Informationssicherheit wird. Der Begriff „UEBA“ ist wahrscheinlich veraltet und wird durch ein anderes Akronym ersetzt, das sich auf einen engeren Bereich (z. B. „Analyse des Benutzerverhaltens“), einen ähnlichen Bereich (z. B. „Datennutzung“) konzentriert oder sich einfach in einen solchen verwandelt ein neues Schlagwort (zum Beispiel sieht der Begriff „künstliche Intelligenz“ [KI] interessant aus, obwohl er für moderne UEBA-Hersteller keinen Sinn ergibt).

Die wichtigsten Ergebnisse der Gartner-Studie lassen sich wie folgt zusammenfassen:

Die Bestätigung der Reife des Marktes für Verhaltensanalysen von Benutzern und Unternehmen ist die Tatsache, dass diese Technologien vom mittleren und großen Unternehmenssegment zur Lösung einer Reihe von Geschäftsaufgaben verwendet werden.
Die UEBA-Analysefunktionen sind in eine Vielzahl verwandter Informationssicherheitstechnologien integriert, z. B. sichere Cloud Access Broker (CASB), Identitätsmanagement- und Verwaltungssysteme (IGA) SIEM-Systeme.
Der Hype um UEBA-Anbieter und die falsche Verwendung des Begriffs „künstliche Intelligenz“ erschweren das Verständnis der Kunden für den tatsächlichen Unterschied zwischen Herstellertechnologien und der Funktionalität von Lösungen ohne Pilotprojekt.
Käufer stellen fest, dass die Zeit für die Implementierung und den täglichen Einsatz von UEBA-Lösungen zeitaufwändiger sein kann und mehr Zeit in Anspruch nimmt, als der Hersteller verspricht, selbst wenn wir nur die grundlegenden Modelle zur Erkennung von Bedrohungen berücksichtigen. Das Hinzufügen eigener oder Grenzanwendungsszenarien kann äußerst schwierig sein und erfordert Fachwissen in Data Science und Analytics.

Strategische Prognose für die Marktentwicklung:

Bis 2021 wird der Markt für Verhaltensanalysesysteme für Benutzer und Unternehmen (UEBA) nicht mehr als separater Bereich existieren und sich auf andere Lösungen mit UEBA-Funktionalität verlagern.
Bis 2020 werden 95% aller UEBA-Bereitstellungen Teil der Funktionalität einer breiteren Sicherheitsplattform sein.

UEBA-Lösungen definieren

UEBA-Lösungen verwenden integrierte Analysen, um die Aktivität von Benutzern und anderen Entitäten (z. B. Hosts, Anwendungen, Netzwerkverkehr und Datenspeicherung) zu messen.
Sie erkennen Bedrohungen und potenzielle Vorfälle, die normalerweise eine abnormale Aktivität im Vergleich zum Standardprofil und -verhalten von Benutzern und Entitäten in ähnlichen Gruppen über einen bestimmten Zeitraum darstellen.

Die häufigsten Anwendungsszenarien im Unternehmenssegment sind die Erkennung und Reaktion von Bedrohungen sowie die Erkennung und Reaktion auf interne Bedrohungen (in den meisten Fällen auf gefährdete Insider, manchmal auf interne Angreifer).

UEBA ist sowohl eine Lösung als auch eine Funktion, die in ein bestimmtes Tool integriert ist:

Die Lösung sind die Hersteller "sauberer" UEBA-Plattformen, einschließlich Anbieter, die auch SIEM-Lösungen separat verkaufen. Konzentrierte sich auf eine Vielzahl von Geschäftsaufgaben bei der Analyse des Verhaltens von Benutzern und Entitäten.
Eingebettet - Hersteller / Abteilungen, die UEBA-Funktionen und -Technologien in ihre Lösungen integrieren. Konzentriert sich normalerweise auf eine bestimmte Reihe von Geschäftsaufgaben. In diesem Fall wird UEBA verwendet, um das Verhalten von Benutzern und / oder Entitäten zu analysieren.

Gartner untersucht die UEBA in einem Querschnitt von drei Achsen, einschließlich lösbarer Aufgaben, Analysen und Datenquellen (siehe Abbildung).

Saubere UEBA-Plattformen im Vergleich zu eingebetteten UEBA

Gartner betrachtet die „sauberen“ UEBA-Plattformlösungen als:

Lösen Sie mehrere spezifische Aufgaben, z. B. das Überwachen privilegierter Benutzer oder das Ausgeben von Daten außerhalb des Unternehmens, anstatt einfach nur "Überwachen abnormaler Benutzeraktivitäten" zu abstrahieren.
den Einsatz ausgefeilter Analysen beinhalten, die bei Bedarf auf grundlegenden analytischen Ansätzen basieren;
Bereitstellung mehrerer Optionen für die Datenerfassung, einschließlich integrierter Mechanismen für Datenquellen und von Protokollverwaltungstools, Data Lake- und / oder SIEM-Systemen, ohne dass separate Agenten in der Infrastruktur bereitgestellt werden müssen;
kann als unabhängige Lösung erworben und bereitgestellt werden, ist jedoch nicht in enthalten
Zusammensetzung anderer Produkte.

Die folgende Tabelle vergleicht die beiden Ansätze.

Tabelle 1. „Saubere“ UEBA-Lösungen im Vergleich zu Embedded

Kategorie	Reinigen Sie die UEBA-Plattformen	Andere Lösungen mit integrierter UEBA
Zu lösendes Problem	Analyse des Benutzerverhaltens sowie von Entitäten.	Mangelnde Daten können die UEBA bei der Analyse des Verhaltens nur von Benutzern oder Entitäten einschränken.
Problem gelöst	Dient zur Lösung einer Vielzahl von Aufgaben.	Spezialisiert auf eine begrenzte Anzahl von Aufgaben
Analytik	Identifizierung von Anomalien mit verschiedenen Analysemethoden - hauptsächlich durch statistische Modelle und maschinelles Lernen sowie Regeln und Signaturen. Integrierte Analyse zum Erstellen und Vergleichen von Benutzer- und Entitätsaktivitäten mit ihren Profilen und Kollegenprofilen.	Ähnlich wie bei der „reinen“ UEBA kann die Analyse jedoch nur auf Benutzer und / oder Entitäten beschränkt werden.
Analytik	Erweiterte Analysefunktionen, die nicht nur durch Regeln eingeschränkt sind. Zum Beispiel ein Clustering-Algorithmus mit dynamischer Gruppierung von Entitäten.	Ähnlich wie bei der „reinen“ UEBA kann die Gruppierung von Entitäten in einigen Modellen integrierter Bedrohungen jedoch nur manuell geändert werden.
Analytik	Korrelation von Aktivität und Verhalten von Benutzern und anderen Entitäten (z. B. nach der Bayes'schen Netzwerkmethode) und Aggregation des individuellen Risikoverhaltens, um abnormale Aktivitäten zu identifizieren.	Ähnlich wie bei der „reinen“ UEBA kann die Analyse jedoch nur auf Benutzer und / oder Entitäten beschränkt werden.
Datenquellen	Empfangen von Ereignissen für Benutzer und Entitäten aus Datenquellen direkt über integrierte Mechanismen oder vorhandene Datenspeicher wie SIEM oder Data Lake.	Datenerfassungsmechanismen sind normalerweise nur direkt und betreffen nur Benutzer und / oder andere Entitäten. Verwenden Sie keine Protokollverwaltungstools / SIEM / Data Lake.
Datenquellen	Die Lösung sollte sich nicht nur auf den Netzwerkverkehr als Hauptdatenquelle stützen, sondern ausschließlich auf eigene Telemetrie-Erfassungsagenten.	Die Lösung kann sich nur auf den Netzwerkverkehr konzentrieren (z. B. NTA - Netzwerkverkehrsanalyse) und / oder ihre Agenten auf Endgeräten verwenden (z. B. Dienstprogramme zur Mitarbeiterüberwachung).
Datenquellen	Sättigung von Benutzer- / Entitätsdaten mit Kontext. Unterstützung für die Erfassung strukturierter Ereignisse in Echtzeit sowie strukturierter / unstrukturierter verbundener Daten aus IT-Verzeichnissen - z. B. Active Directory (AD) oder anderen Ressourcen mit maschinenlesbaren Informationen (z. B. einer Personaldatenbank).	Ähnlich wie bei der „reinen“ UEBA kann der Umfang der Kontextdaten jedoch in verschiedenen Fällen variieren. AD und LDAP sind die am häufigsten verwendeten Kontextdatenspeicher, die von eingebetteten UEBA-Lösungen verwendet werden.
Verfügbarkeit	Bietet diese Funktionen als eigenständiges Produkt.	Es ist unmöglich, eingebettete UEBA-Funktionen zu kaufen, ohne die externe Lösung zu kaufen, in die sie eingebettet ist.
Quelle: Gartner (Mai 2019)

Zur Lösung bestimmter Probleme kann die integrierte UEBA grundlegende UEBA-Analysen verwenden (z. B. einfaches maschinelles Lernen ohne Lehrer). Gleichzeitig kann sie aufgrund des Zugriffs auf die richtigen Daten im Allgemeinen effektiver sein als eine „reine“ UEBA-Lösung. Darüber hinaus wird erwartet, dass die „sauberen“ UEBA-Plattformen im Vergleich zum integrierten UEBA-Tool anspruchsvollere Analysen als Haupt-Know-how bieten. Diese Ergebnisse sind in Tabelle 2 zusammengefasst.

Tabelle 2. Das Ergebnis der Unterschiede zwischen reinem und eingebettetem UEBA

Kategorie	Reinigen Sie die UEBA-Plattformen	Andere Lösungen mit integrierter UEBA
Analytik	Die Anwendbarkeit zur Lösung vieler geschäftlicher Probleme setzt einen universelleren Satz von UEBA-Funktionen voraus, wobei der Schwerpunkt auf komplexeren Analyse- und maschinellen Lernmodellen liegt.	Die Betonung einer kleineren Anzahl von Geschäftsaufgaben impliziert hochspezialisierte Funktionen, die sich auf Modelle für bestimmte Anwendungen mit einfacherer Logik konzentrieren.
Analytik	Die Anpassung des Analysemodells ist für jedes Anwendungsszenario erforderlich.	Für das Tool, in dem die UEBA erstellt wird, sind analytische Modelle vorkonfiguriert. Ein Tool mit integrierter UEBA als Ganzes führt zur schnelleren Lösung bestimmter geschäftlicher Probleme.
Datenquellen	Zugriff auf Datenquellen aus allen Ecken der Unternehmensinfrastruktur.	Eine geringere Anzahl von Datenquellen, die normalerweise durch die Anwesenheit von Agenten unter ihnen oder durch das Tool selbst mit UEBA-Funktionen begrenzt sind.
Datenquellen	Die in jedem Protokoll enthaltenen Informationen sind möglicherweise durch die Datenquelle begrenzt und enthalten möglicherweise nicht alle erforderlichen Daten für ein zentrales UEBA-Tool.	Die Menge und Details der vom Agenten gesammelten und an die UEBA übertragenen Quelldaten können speziell konfiguriert werden.
Architektur	Es ist ein vollständiges UEBA-Produkt für die Organisation. Einfachere Integration mit den Funktionen des SIEM-Systems oder des Data Lake.	Erfordert einen separaten Satz von UEBA-Funktionen für jede Lösung mit integriertem UEBA. Bei eingebetteten UEBA-Lösungen müssen Sie häufig Agenten installieren und Daten verwalten.
Integration	Manuelle Integration von UEBA-Lösungen mit jeweils anderen Tools. Ermöglicht dem Unternehmen, einen eigenen Technologie-Stack zu erstellen, der auf dem Ansatz „Best unter Peers“ basiert.	Die Hauptpakete der UEBA-Funktionen sind vom Hersteller bereits in das Tool selbst eingebettet. Das UEBA-Modul ist integriert und kann nicht abgerufen werden, sodass Kunden es nicht durch ein eigenes ersetzen können.
Quelle: Gartner (Mai 2019)

UEBA als Funktion

UEBA wird zu einem Merkmal von End-to-End-Cybersicherheitslösungen, die von zusätzlichen Analysen profitieren können. Die UEBA liegt diesen Entscheidungen zugrunde und stellt eine beeindruckende Ebene fortschrittlicher Analysen zu Benutzer- und / oder Entitätsverhaltensmustern dar.

Derzeit ist die auf dem Markt integrierte UEBA-Funktionalität in den folgenden Lösungen implementiert, die nach technologischem Umfang gruppiert sind:

Datenzentrierte Prüfung und Schutz sind Anbieter, die sich auf die Verbesserung der Sicherheit strukturierter und unstrukturierter Data Warehouses (sogenanntes DCAP) konzentrieren.

In dieser Kategorie von Anbietern stellt Gartner unter anderem die Varonis-Cybersicherheitsplattform fest , die eine Analyse des Benutzerverhaltens bietet, um Änderungen der Zugriffsrechte auf unstrukturierte Daten sowie deren Zugriff und Verwendung für verschiedene Informationsrepositorys zu überwachen.
CASB-Systeme , die Schutz vor verschiedenen Bedrohungen in Cloud-SaaS-Anwendungen bieten, indem sie den Zugriff auf Cloud-Dienste für unerwünschte Geräte, Benutzer und Anwendungsversionen mithilfe eines adaptiven Zugriffskontrollsystems blockieren.

Alle marktführenden CASB-Lösungen verfügen über UEBA-Funktionen.
DLP-Lösungen - konzentrieren sich auf die Erkennung der Ausgabe kritischer Daten außerhalb des Unternehmens oder deren Missbrauch.

DLP-Erfolge basieren größtenteils auf dem Verständnis des Inhalts, wobei der Schwerpunkt weniger auf dem Verständnis des Kontexts wie Benutzer, Anwendung, Ort, Zeit, Geschwindigkeit von Ereignissen und anderen externen Faktoren liegt. Um effektiv zu sein, müssen DLP-Produkte sowohl Inhalt als auch Kontext erkennen. Aus diesem Grund beginnen viele Hersteller, UEBA-Funktionen in ihre Lösungen einzubetten.
Mitarbeiterüberwachung ist die Fähigkeit, Mitarbeiteraktionen aufzuzeichnen und zu reproduzieren, normalerweise in einem für Rechtsstreitigkeiten geeigneten Datenformat (falls erforderlich).

Die ständige Überwachung der Benutzer erzeugt häufig eine exorbitante Datenmenge, die eine manuelle Filterung und Analyse durch eine Person erfordert. Daher wird UEBA in Überwachungssystemen verwendet, um die Leistung dieser Lösungen zu verbessern und Vorfälle mit nur einem hohen Risiko zu erkennen.
Endpoint Security - Endpoint Detection and Response (EDR) - und Endpoint Protection Platform (EPP) -Lösungen bieten leistungsstarke Tools und Telemetrie für das Betriebssystem
Endgeräte.

Eine solche benutzerbezogene Telemetrie kann analysiert werden, um integrierte UEBA-Funktionen bereitzustellen.
Online-Betrug - Online-Betrugserkennungslösungen erkennen abnormale Aktivitäten, die auf eine Gefährdung des Kundenkontos durch einen Dummy, Malware oder den Betrieb unsicherer Verbindungen / das Abfangen des Browserverkehrs hinweisen.

Die meisten Betrugslösungen verwenden die Quintessenz von UEBA, Transaktionsanalyse und Messung von Geräteeigenschaften, während fortschrittlichere Systeme sie durch übereinstimmende Beziehungen in einer Datenbank mit Identitätskennungen ergänzen.
IAM und Zugangskontrolle - Gartner markiert einen Entwicklungstrend bei Herstellern von Zugangskontrollsystemen, der darin besteht, sich in saubere Anbieter zu integrieren und einige UEBA-Funktionen in ihre Produkte zu integrieren.
IAMs und IGAs (Identity Management and Administration Systems) verwenden UEBA, um Verhaltens- und Identitätsanalyseszenarien wie Anomalieerkennung, dynamische Gruppierung ähnlicher Entitäten, Systemanmeldeanalyse und Analyse von Zugriffsrichtlinien abzudecken.
IAM und privilegierte Zugriffskontrolle (PAM) - In Verbindung mit der Kontrolle der Verwendung von Verwaltungskonten verfügen PAM-Lösungen über Telemetrie, um anzuzeigen, wie, warum, wann und wo Verwaltungskonten verwendet wurden. Diese Daten können mithilfe der integrierten UEBA-Funktionalität auf abnormales Verhalten von Administratoren oder böswillige Absichten analysiert werden.
Hersteller von NTA (Network Traffic Analysis) - Verwenden Sie eine Kombination aus maschinellem Lernen, erweiterten Analysen und regelbasierter Erkennung, um verdächtige Aktivitäten in Unternehmensnetzwerken zu identifizieren.

NTA-Tools analysieren ständig den Quellverkehr und / oder Stream-Datensätze (z. B. NetFlow), um Modelle zu erstellen, die das normale Netzwerkverhalten widerspiegeln, wobei der Schwerpunkt hauptsächlich auf der Analyse des Verhaltens von Entitäten liegt.
SIEM - Viele SIEM-Anbieter verfügen jetzt über erweiterte Datenanalysefunktionen, die in SIEM oder als separates UEBA-Modul integriert sind. Während des gesamten Jahres 2018 und noch 2019 wurden die Grenzen zwischen der SIEM- und der UEBA-Funktionalität kontinuierlich verwischt, wie im Artikel „Technology Insight for the Modern SIEM“ beschrieben . SIEM-Systeme können besser mit Analysen arbeiten und bieten komplexere Anwendungsszenarien.

UEBA-Anwendungsszenarien

UEBA-Lösungen können eine Vielzahl von Aufgaben lösen. Gartner-Kunden sind sich jedoch einig, dass das Hauptanwendungsszenario die Erkennung verschiedener Kategorien von Bedrohungen umfasst, die durch die Anzeige und Analyse häufiger Korrelationen des Benutzerverhaltens und anderer Entitäten erreicht werden:

unbefugter Zugriff und unbefugte Weitergabe von Daten;
verdächtiges Verhalten privilegierter Benutzer, böswillige oder nicht autorisierte Aktivitäten von Mitarbeitern;
nicht standardmäßiger Zugriff und Nutzung von Cloud-Ressourcen;
usw.

Es gibt auch eine Reihe von atypischen Nicht-Cybersicherheits-Anwendungsszenarien wie Betrug oder Mitarbeiterüberwachung, für die die Verwendung von UEBA gerechtfertigt sein kann. Sie erfordern jedoch häufig Datenquellen, die sich nicht auf IT- und Informationssicherheit beziehen, oder spezifische Analysemodelle mit einem tiefen Verständnis dieses Bereichs. Die fünf wichtigsten Szenarien und Anwendungen, denen sowohl die UEBA-Hersteller als auch ihre Kunden zustimmen, werden im Folgenden beschrieben.

Bösartiger Insider

Die UEBA-Lösungsanbieter, die dieses Szenario abdecken, überwachen Mitarbeiter und vertrauenswürdige Auftragnehmer nur im Hinblick auf nicht standardmäßiges, „schlechtes“ oder böswilliges Verhalten. Anbieter in diesem Fachgebiet überwachen oder analysieren das Verhalten von Dienstkonten oder anderen nicht menschlichen Einheiten nicht. Zum größten Teil konzentrieren sie sich deshalb nicht darauf, erweiterte Bedrohungen zu erkennen, wenn Hacker vorhandene Konten entführen. Stattdessen zielen sie darauf ab, Mitarbeiter zu identifizieren, die an böswilligen Aktivitäten beteiligt sind.

Tatsächlich stammt das Konzept des „böswilligen Insiders“ von vertrauenswürdigen Benutzern mit böswilliger Absicht, die nach Möglichkeiten suchen, ihrem Arbeitgeber Schaden zuzufügen.Da böswillige Absichten schwer zu bewerten sind, analysieren die besten Hersteller in dieser Kategorie kontextbezogene Verhaltensdaten, auf die in Überwachungsprotokollen nicht leicht zugegriffen werden kann.

Lösungsanbieter in diesem Bereich fügen auch unstrukturierte Daten wie E-Mail-Inhalte, Produktivitätsberichte oder Informationen zu sozialen Medien optimal hinzu und analysieren sie, um einen Kontext für das Verhalten zu bilden.

Kompromittierte Insider- und aufdringliche Bedrohungen

«» , -.
(APT), , , . (., , " Addressing the Cyber Kill Chain ") . (, , ).

, , (.. ). UEBA , /, , .

UEBA, , SIEM- .

.
, , DLP- (DAG) , /, . (, -) , .

, .

Hersteller unabhängiger UEBA-Lösungen in diesem Fachgebiet beobachten und analysieren das Benutzerverhalten vor dem Hintergrund eines bereits etablierten Rechtssystems, um übermäßige Berechtigungen oder anomalen Zugriff zu identifizieren. Dies gilt für alle Arten von Benutzern und Konten, einschließlich privilegierter Konten und Dienstkonten. Unternehmen verwenden UEBA auch, um ruhende Konten und Benutzerrechte zu entfernen, die höher als erforderlich sind.

Priorisierung von Vorfällen

, , , . UEBA . UEBA , (, ).

UEBA-

Der Marktschmerz von UEBA-Lösungen ist ihr hoher Preis, ihre komplexe Implementierung, Wartung und Verwendung. Während Unternehmen mit der Anzahl der verschiedenen internen Portale zu kämpfen haben, erhalten sie eine andere Konsole. Der Umfang der Investition von Zeit und Ressourcen in ein neues Tool hängt von den Herausforderungen und Arten der Analyse ab, die zur Lösung dieser Probleme erforderlich sind, und erfordert meistens große Investitionen.

Entgegen den Behauptungen vieler Hersteller ist UEBA kein „abgestimmtes und vergessenes“ Werkzeug, das dann tagelang ununterbrochen arbeiten kann.
Gartner, , , 3 6 UEBA , . , , 18 .

, UEBA :

,
– , .
, – , .
.

Zum Beispiel:
- UEBA- SIEM- , SIEM ?
- UEBA-?
- SIEM- , UEBA-, ?
, , .
– , , ; ; .
.
, . 30 ( 90 ) , «». . , .
, (/), .

UEBA-Markt stirbt - Es lebe die UEBA