Organisasi yang ingin menambahkan kemampuan analitik atau pembelajaran mesin canggih ke arsenal keamanan TI mereka memiliki solusi yang relatif baru yang mereka miliki: Analisis Perilaku Pengguna dan Entitas (UEBA).
Produk UEBA mengidentifikasi pola dalam perilaku pengguna yang khas, dan kemudian mendeteksi tindakan abnormal yang tidak cocok dengan pola tersebut dan dapat menimbulkan masalah keamanan. Selain itu, sistem UEBA mendeteksi peristiwa atipikal di berbagai entitas (entitas), yang meliputi workstation, perangkat lunak, lalu lintas jaringan, penyimpanan, dll., Dll.
Berbagai metode analitik digunakan untuk menentukan penyimpangan, termasuk pembelajaran mesin. Ngomong-ngomong, ada juga kelas sistem UBA yang, seperti yang Anda duga, hanya menganalisis informasi yang terkait dengan pengguna dan peran mereka. Sumber data untuk sistem UEBA adalah file log komponen server dan jaringan, sistem keamanan, log lokal dari PC yang berfungsi akhir.
Biasanya, solusi UEBA melakukan tugasnya setelah alat pertahanan dunia maya gagal mengidentifikasi ancaman dalam jaringan.
Meskipun solusi UEBA muncul belum lama ini, mereka dengan cepat menjadi populer di perusahaan besar. Menurut Gartner, UEBA solusi khusus penjualan dua kali lipat setiap tahun. Selain itu, banyak vendor menyertakan fungsionalitas UEBA dalam alat keamanan lain seperti SIEM (Informasi keamanan dan manajemen acara), analisis lalu lintas jaringan, identitas dan kontrol akses (IAM), perlindungan atau pencegahan titik akhir kebocoran data. Analis Gartner memperkirakan bahwa selama lima tahun, produk-produk UEBA individu yang akan tetap di pasar pada saat itu akan berubah menjadi solusi SIEM generasi berikutnya, sementara solusi UEBA lainnya akan menemukan ceruk pasar mereka dalam teknologi keamanan lainnya.
Algoritme sistem UEBA. Sumber: Gartner
Di bawah ini adalah deskripsi singkat tentang produk paling populer di segmen UEBA. Informasi lebih lanjut tentang produk dapat ditemukan di
tabel perbandingan UEBA di ROI4CIO, berdasarkan perbandingan pemimpin (menurut studi Gartner).
Exabeam analytics canggih
Exabeam memberikan solusi keamanan dan manajemen yang membantu organisasi dari semua ukuran melindungi informasi yang paling berharga. Produk Exabeam menggunakan teknologi pembelajaran mesin dan analitik perilaku dalam pekerjaan mereka.
Menurut para ahli Gartner, Exabeam Advanced Analytics adalah salah satu yang terbaik di kategori UBA. Dibandingkan dengan pesaing, solusi ini sangat mudah dipelajari untuk administrator sistem atau analis, yang berarti bahwa waktu penerapannya jauh lebih singkat. Analis tidak perlu menghabiskan berhari-hari atau berminggu-minggu mengumpulkan bukti dan merencanakan insiden berdasarkan informasi dari SIEM. Berkat fitur analitik canggih, garis waktu insiden yang dibuat sebelumnya menandai anomali dan menampilkan detail untuk sepenuhnya menangkap peristiwa dan konteksnya.
Apa yang sebelumnya memakan waktu berminggu-minggu sekarang dapat dilakukan dalam hitungan detik. Antarmuka pengguna produk nyaman, navigasi dan melihat data historis sangat cepat. Solusinya berisi ratusan model bawaan, beberapa di antaranya unik, tidak dapat ditemukan di antara pesaing, yang merupakan keunggulan utama produk. Perusahaan menawarkan dukungan teknis yang berkualitas untuk solusinya.
Tetapi alat pelaporan, sayangnya, praktis tidak ada. Pengguna dapat mencetak / mengekspor konten dari jendela browser, mengirim peringatan tentang sesi abnormal ke sistem SIEM, atau dia hanya dapat mengambil screenshot. Jika Anda membutuhkan sesuatu yang lebih, Anda harus menggunakan alat alternatif. Melihat lebih dari selusin acara di timeline memerlukan monitor resolusi tinggi, meskipun dalam kasus ini tidak lebih dari 20 acara yang sesuai. Ada fungsi pencarian khusus menggunakan panel pencarian "Pemburu Ancaman", yang menawarkan fungsionalitas yang baik.
Micro Focus Security ArcSight UBA
ArcSight User Behavior Analytics memberi perusahaan informasi terperinci tentang penggunanya, yang sangat menyederhanakan pembuatan data perilaku untuk membantu mengurangi ancaman. Ini membantu untuk mendeteksi dan menyelidiki perilaku pengguna jahat, ancaman internal dan penyalahgunaan akun. Dengan demikian, ini memungkinkan organisasi untuk mendeteksi pelanggaran sebelum mereka menyebabkan kerusakan yang signifikan.
Analisis Perilaku Pengguna ArcSight membantu pelanggan mengurangi risiko serangan siber dan mendeteksi perilaku abnormal dengan membandingkan log sistem manajemen otentikasi pengguna dengan log TI lain yang dihasilkan oleh aplikasi dan jaringan. Selain itu, produk ini memberikan respons yang lebih cepat terhadap ancaman yang diidentifikasi melalui integrasi yang lebih dalam dengan SIEM, serta investigasi insiden yang lebih cepat. Faktanya adalah bahwa UBA menganalisis data yang terkait dengan pengguna, mengidentifikasi penyimpangan dan membandingkannya dengan analog, aktivitas historis, dan / atau pelanggaran perilaku yang telah ditentukan sebelumnya.
Dengan cara ini, ArcSight UBA mendeteksi perilaku pengguna yang tidak normal, yang sangat penting untuk mendeteksi peretasan atau penyalahgunaan akun. Micro Focus menawarkan kasus penggunaan yang paling matang dan terbukti untuk keamanan di UBA dan integrasi simbiotik dengan SIEM.
Forcepoint UEBA
Solusi Forcepoint Analytics dan Entity Behavior Analytics (UEBA) memungkinkan tim keamanan untuk secara proaktif memantau perilaku abnormal berisiko tinggi dalam suatu organisasi. Platform keamanan analitik menciptakan konteks yang tak tertandingi dengan menggabungkan data terstruktur dan tidak terstruktur untuk mengidentifikasi dan memblokir pengguna jahat, berkompromi, dan lalai. Forcepoint mendeteksi berbagai masalah penting, seperti akun yang dikompromikan, spionase perusahaan, pencurian kekayaan intelektual, dan penipuan.
Menilai nuansa interaksi orang, data, perangkat, dan aplikasi, Forcepoint UEBA memprioritaskan tenggat waktu untuk kelompok keamanan. Solusi perangkat lunak Forcepoint dibangun berdasarkan empat prinsip:
Konteks yang kaya. Produk menyatukan konten yang dikumpulkan dari sumber data yang berbeda. Dengan demikian, melengkapi kemampuan solusi SIEM dan solusi lain di bidang keamanan informasi, untuk mengidentifikasi dan mencegah tindakan pengguna yang tidak diinginkan.
Analisis perilaku. Forcepoint UEBA menggunakan beberapa jenis analitik perilaku dan konten yang ketat yang difokuskan pada pendeteksian perubahan, pola, dan anomali untuk mendeteksi serangan kompleks dengan lebih baik.
Cari dan temukan. Menyediakan investigasi forensik yang kuat dan alat deteksi melalui antarmuka pengguna kontekstual untuk pemantauan berkelanjutan dan penelitian mendalam.
Alur kerja yang intuitif. Menyediakan pelaporan proaktif yang terintegrasi sepenuhnya dengan alur kerja administrator sistem dan arsitektur informasi klien yang ada untuk mengoptimalkan efisiensi operasional.
Analisis Perilaku Pengguna Splunk
Salah satu kekuatan utama Analisis Perilaku Pengguna Splunk adalah deteksi ancaman yang tidak diketahui dan perilaku abnormal menggunakan pembelajaran mesin.
Analisis Perilaku Pengguna Splunk menawarkan fitur-fitur berikut:
Deteksi ancaman tingkat lanjut. Produk mendeteksi kelainan dan ancaman tidak dikenal yang diabaikan oleh alat keamanan tradisional.
Performa lebih tinggi. Otomatis menggabungkan ratusan anomali yang terdeteksi menjadi satu ancaman, sangat menyederhanakan kehidupan seorang analis keamanan
Kemampuan investigasi insiden yang kuat. Solusi ini menggunakan kemampuan investigasi yang mendalam dan karakteristik perilaku dasar yang kuat untuk setiap entitas, anomali, atau ancaman.
Visibilitas dan deteksi yang ditingkatkan. Mengotomatiskan deteksi ancaman menggunakan pembelajaran mesin, yang memungkinkan Anda menghabiskan lebih banyak waktu untuk menghilangkan ancaman itu sendiri dan meningkatkan keamanan.
Perburuan ancaman dipercepat. Analisis Perilaku Pengguna Splunk dengan cepat mengidentifikasi benda-benda aneh tanpa melibatkan keterlibatan manusia. Solusi ini berisi berbagai jenis anomali yang berbeda (lebih dari 65) dan klasifikasi ancaman (lebih dari 25) untuk pengguna, akun, perangkat, dan aplikasi.
Sumber daya SOC yang diperbesar. Secara otomatis menggabungkan ratusan anomali yang diamati di beberapa entitas - pengguna, akun, perangkat, dan aplikasi - menjadi satu ancaman umum untuk respons yang lebih cepat.
Securonix UEBA
Solusi Securonix UEBA memperkenalkan kemampuan analitik berbasis pembelajaran mesin canggih. Di antara kelebihan produk, hal-hal berikut harus diperhatikan:
Mengurangi risiko ancaman orang dalam. Securonix membuat profil risiko lengkap untuk setiap pengguna di lingkungan perusahaan berdasarkan informasi tentang identitas, pekerjaan, pelanggaran keamanan, aktivitas dan akses TI, akses fisik, dan bahkan catatan telepon.
Produk mengidentifikasi area risiko yang sebenarnya dengan membandingkan aktivitas pengguna dengan baseline masing-masing, baseline dari kelompok di mana mereka berada, dan indikator ancaman yang terkenal. Hasil dievaluasi dan disajikan dalam kartu skor interaktif.
Visibilitas yang lebih baik di cloud Anda. Di sini perlu diperhatikan fitur-fitur seperti pemantauan cloud-to-cloud dengan API terintegrasi untuk semua infrastruktur cloud utama dan teknologi aplikasi; deteksi aktivitas berbahaya dengan menganalisis hak dan peristiwa pengguna; korelasi cloud dan data lokal untuk menambah informasi tentang konteks objek. Selain itu, analisis ujung-ke-ujung dari pola ancaman harus ditunjukkan, sehingga menimbulkan respons.
Deteksi proaktif penipuan di perusahaan. Produk ini mampu mengidentifikasi serangan penipuan kompleks yang biasanya menghindari metode deteksi berbasis tanda tangan menggunakan perilaku tanpa tanda tangan canggih dan metode analisis abnormal rekan-ke-rekan. Yang juga perlu diperhatikan adalah fungsi mendeteksi pembajakan akun, perilaku pengguna yang tidak normal, penipuan transaksi, dan pelanggaran pencucian uang.
Ringkasan
Sistem kelas UEBA / UBA adalah elemen penting dalam mengidentifikasi jenis ancaman yang tidak diketahui, serangan APT, serta karyawan yang melanggar aturan IS di dalam perusahaan. Produk UEBA fokus pada empat tugas dasar.
Pertama, analisis informasi yang sederhana dan canggih dari berbagai sumber menggunakan metode pembelajaran mesin, secara berkala atau terus-menerus, secara real time. Kedua, UEBA dirancang untuk deteksi operasional serangan dan anomali lain yang biasanya tidak terdeteksi oleh alat keamanan informasi klasik.
Ketiga, ini adalah penentuan signifikansi peristiwa yang dikumpulkan dari berbagai sumber (sistem seperti SIEM, DLP, AD, dll) untuk dengan cepat menanggapi administrator keamanan informasi.
Keempat, respons yang kuat terhadap peristiwa, dipastikan oleh fakta bahwa administrator IS memiliki informasi yang komprehensif dan terperinci tentang insiden tersebut.
Lebih banyak produk UEBA dan informasi lebih rinci tentang mereka dapat ditemukan di tabel perbandingan UEBA di ROI4CIO.
Penulis ulasan: Oleg Pilipenko, untuk ROI4CIO