Hari ini kami akan memberikan tinjauan singkat tentang pasar untuk sistem analisis perilaku pengguna dan entitas (UEBA) berdasarkan studi Gartner terbaru. Pasar UEBA berada di bagian bawah "tahap kekecewaan" dari Gartner Hype Cycle untuk Threat-Facing Technologies, yang menunjukkan kematangan teknologi ini. Tetapi paradoks dari situasi ini terletak pada pertumbuhan keseluruhan investasi simultan dalam teknologi UEBA dan menghilangnya pasar solusi UEBA independen. Gartner memprediksi bahwa UEBA akan menjadi bagian dari fungsionalitas solusi terkait di bidang keamanan informasi. Istilah "UEBA" kemungkinan akan kedaluwarsa dan akan digantikan oleh akronim lain yang berfokus pada ruang lingkup yang lebih sempit (misalnya, "analisis perilaku pengguna"), pada ruang lingkup yang sama (misalnya, "penggunaan data") atau hanya berubah menjadi beberapa kata kunci baru (misalnya, istilah "kecerdasan buatan" [AI] terlihat menarik, meskipun tidak masuk akal bagi produsen UEBA modern).

Temuan kunci dari studi Gartner dapat diringkas sebagai berikut:

Konfirmasi kematangan pasar analitik perilaku pengguna dan entitas adalah kenyataan bahwa teknologi ini digunakan oleh segmen perusahaan menengah dan besar untuk menyelesaikan sejumlah tugas bisnis;
Fungsi analitik UEBA dibangun ke dalam berbagai teknologi keamanan informasi terkait, seperti broker akses cloud (CASB), manajemen identitas dan sistem administrasi (IGA) sistem SIEM;
Hype seputar vendor UEBA dan penggunaan yang salah dari istilah "kecerdasan buatan" mempersulit pemahaman pelanggan tentang perbedaan nyata antara teknologi pabrikan dan fungsionalitas solusi tanpa proyek pilot;
Pembeli mencatat bahwa waktu implementasi dan penggunaan solusi UEBA sehari-hari dapat lebih memakan waktu dan lebih banyak waktu daripada yang dijanjikan oleh pabrikan, bahkan jika kita hanya mempertimbangkan model deteksi ancaman dasar. Menambahkan skenario aplikasi Anda sendiri atau batas bisa sangat sulit dan membutuhkan keahlian dalam ilmu data dan analitik.

Prakiraan strategis untuk pengembangan pasar:

Pada tahun 2021, pasar untuk sistem analisis perilaku pengguna dan entitas (UEBA) akan tidak ada lagi sebagai area terpisah dan akan beralih ke solusi lain dengan fungsionalitas UEBA;
Pada tahun 2020, 95% dari semua penyebaran UEBA akan menjadi bagian dari fungsionalitas platform keamanan yang lebih luas.

Menentukan Solusi UEBA

Solusi UEBA menggunakan analitik bawaan untuk mengukur aktivitas pengguna dan entitas lainnya (misalnya, host, aplikasi, lalu lintas jaringan, dan penyimpanan data).
Mereka mendeteksi ancaman dan potensi insiden, biasanya mewakili aktivitas abnormal dibandingkan dengan profil standar dan perilaku pengguna dan entitas dalam kelompok serupa selama periode waktu tertentu.

Skenario aplikasi yang paling umum di segmen perusahaan adalah deteksi dan respons ancaman, serta deteksi dan respons terhadap ancaman internal (dalam kebanyakan kasus, terhadap orang dalam yang dikompromikan; kadang-kadang terhadap penyerang internal).

UEBA adalah solusi dan fungsi yang dibangun ke dalam alat khusus:

Solusinya adalah produsen platform UEBA "bersih", termasuk vendor yang juga menjual solusi SIEM secara terpisah. Berfokus pada berbagai tugas bisnis dalam menganalisis perilaku pengguna dan entitas.
Tertanam - produsen / departemen mengintegrasikan fungsi dan teknologi UEBA ke dalam solusi mereka. Biasanya berfokus pada serangkaian tugas bisnis yang lebih spesifik. Dalam hal ini, UEBA digunakan untuk menganalisis perilaku pengguna dan / atau entitas.

Gartner memeriksa UEBA dalam penampang tiga sumbu, termasuk tugas yang dapat diselesaikan, analisis, dan sumber data (lihat gambar).

Bersihkan Platform UEBA vs. UEBA Tertanam

Gartner mempertimbangkan solusi platform UEBA "bersih" yang:

Selesaikan beberapa tugas khusus, seperti memantau pengguna yang memiliki hak istimewa atau mengeluarkan data di luar organisasi, daripada sekadar abstrak "memantau aktivitas pengguna yang tidak normal";
melibatkan penggunaan analitik canggih, yang, jika perlu, didasarkan pada pendekatan analitis dasar;
menyediakan beberapa opsi untuk pengumpulan data, termasuk mekanisme built-in dari sumber data, dan dari alat manajemen log, danau Data dan / atau sistem SIEM, tanpa perlu menggunakan agen terpisah dalam infrastruktur;
dapat diperoleh dan digunakan sebagai solusi independen, tetapi tidak termasuk dalam
komposisi produk lain.

Tabel di bawah membandingkan dua pendekatan.

Tabel 1. Solusi UEBA "Bersih" vs Tertanam

Kategori	Bersihkan Platform UEBA	Solusi lain dengan UEBA terintegrasi
Masalah yang harus dipecahkan	Analisis perilaku pengguna serta entitas.	Kurangnya data dapat membatasi UEBA dalam menganalisis perilaku hanya pengguna atau entitas.
Masalah yang harus dipecahkan	Berfungsi untuk menyelesaikan berbagai tugas.	Spesialisasi dalam serangkaian tugas terbatas
Analisis	Identifikasi anomali menggunakan berbagai metode analitis - terutama melalui model statistik dan pembelajaran mesin, bersama dengan aturan dan tanda tangan. Dilengkapi dengan analitik bawaan untuk membuat dan membandingkan aktivitas pengguna dan entitas dengan profil dan profil kolega mereka.	Mirip dengan UEBA "murni", bagaimanapun, analisis hanya dapat dibatasi untuk pengguna dan / atau entitas.
Analisis	Kemampuan analitik tingkat lanjut, tidak hanya dibatasi oleh aturan. Misalnya, algoritma pengelompokan dengan pengelompokan entitas dinamis.	Mirip dengan UEBA "murni", pengelompokan entitas dalam beberapa model ancaman bawaan hanya dapat diubah secara manual.
Analisis	Korelasi aktivitas dan perilaku pengguna dan entitas lain (misalnya, dengan metode jaringan Bayesian) dan agregasi perilaku risiko individu untuk mengidentifikasi aktivitas abnormal.	Mirip dengan UEBA "murni", bagaimanapun, analisis hanya dapat dibatasi untuk pengguna dan / atau entitas.
Sumber data	Menerima acara untuk pengguna dan entitas dari sumber data secara langsung melalui mekanisme bawaan atau penyimpanan data yang ada, seperti SIEM atau Danau data.	Mekanisme akuisisi data biasanya hanya mengarahkan dan memengaruhi hanya pengguna dan / atau entitas lain. Jangan gunakan alat manajemen log / SIEM / Data lake.
Sumber data	Solusinya seharusnya tidak hanya mengandalkan lalu lintas jaringan sebagai sumber data utama, serta secara eksklusif pada agen pengumpul telemetri sendiri.	Solusinya hanya dapat difokuskan pada lalu lintas jaringan (misalnya, NTA - analisis lalu lintas jaringan) dan / atau menggunakan agennya pada perangkat akhir (misalnya, utilitas pemantauan karyawan).
Sumber data	Kejenuhan data pengguna / entitas dengan konteks. Dukungan untuk pengumpulan acara terstruktur waktu-nyata, serta data terkoneksi terstruktur / tidak terstruktur dari direktori TI - misalnya, Active Directory (AD), atau sumber daya lain dengan informasi yang dapat dibaca mesin (misalnya, database sumber daya manusia).	Mirip dengan UEBA "murni", bagaimanapun, ruang lingkup data kontekstual dapat bervariasi dalam berbagai kasus. AD dan LDAP adalah penyimpanan data kontekstual yang paling umum digunakan oleh solusi UEBA tertanam.
Ketersediaan	Menyediakan fitur-fitur ini sebagai produk mandiri.	Tidak mungkin untuk membeli fungsionalitas UEBA tertanam tanpa membeli solusi eksternal yang melekat padanya.
Sumber: Gartner (Mei 2019)

Jadi, untuk memecahkan masalah tertentu, UEBA bawaan dapat menggunakan analisis UEBA dasar (misalnya, pembelajaran mesin sederhana tanpa guru), tetapi pada saat yang sama, karena akses ke data yang tepat, secara umum dapat lebih efektif daripada solusi UEBA "murni". Selain itu, platform UEBA "bersih" diharapkan menawarkan analitik yang lebih canggih sebagai pengetahuan utama dibandingkan dengan alat UEBA bawaan. Hasil ini dirangkum dalam tabel 2.

Tabel 2. Hasil perbedaan antara UEBA murni dan embedded

Kategori	Bersihkan Platform UEBA	Solusi lain dengan UEBA terintegrasi
Analisis	Penerapan untuk memecahkan banyak masalah bisnis menyiratkan serangkaian fungsi UEBA yang lebih universal dengan penekanan pada analitik yang lebih kompleks dan model pembelajaran mesin.	Penekanan pada serangkaian tugas bisnis yang lebih kecil menyiratkan fungsi yang sangat khusus yang berfokus pada model untuk aplikasi spesifik dengan logika yang lebih sederhana.
Analisis	Kustomisasi model analitis diperlukan untuk setiap skenario aplikasi.	Model analitik sudah dipra-konfigurasi untuk alat di mana UEBA dibangun. Alat dengan UEBA bawaan secara keseluruhan menghasilkan lebih cepat dalam menyelesaikan masalah bisnis tertentu.
Sumber data	Akses ke sumber data dari semua sudut infrastruktur perusahaan.	Sejumlah kecil sumber data, biasanya dibatasi oleh keberadaan agen di bawah mereka atau oleh alat itu sendiri dengan fungsi UEBA.
Sumber data	Informasi yang terkandung dalam setiap log mungkin dibatasi oleh sumber data dan mungkin tidak mengandung semua data yang diperlukan untuk alat UEBA terpusat.	Jumlah dan detail data sumber yang dikumpulkan oleh agen dan ditransfer ke UEBA dapat dikonfigurasi secara khusus.
Arsitektur	Ini adalah produk UEBA lengkap untuk organisasi. Integrasi yang lebih mudah menggunakan kemampuan sistem SIEM atau Data lake.	Membutuhkan serangkaian fungsi UEBA terpisah untuk setiap solusi yang memiliki UEBA bawaan. Solusi UEBA tertanam seringkali mengharuskan Anda untuk menginstal agen dan mengelola data.
Integrasi	Integrasi manual solusi UEBA dengan alat lain dalam setiap kasus. Mengizinkan organisasi membangun tumpukan teknologinya sendiri berdasarkan pendekatan “terbaik di antara rekan-rekan”.	Bundel utama fungsi UEBA sudah tertanam dalam alat itu sendiri oleh pabrikan. Modul UEBA terintegrasi dan tidak dapat diambil, sehingga pelanggan tidak dapat menggantinya dengan sesuatu milik mereka sendiri.
Sumber: Gartner (Mei 2019)

UEBA sebagai fungsi

UEBA menjadi fitur dari solusi keamanan siber ujung-ke-ujung yang dapat memanfaatkan analitik tambahan. UEBA mendasari keputusan ini, mewakili lapisan analisis canggih yang mengesankan pada pola perilaku pengguna dan / atau entitas.

Saat ini, fungsionalitas UEBA bawaan di pasar diimplementasikan dalam solusi berikut, dikelompokkan berdasarkan lingkup teknologi:

Audit dan perlindungan data-sentris adalah produsen yang fokus pada peningkatan keamanan gudang data terstruktur dan tidak terstruktur (disebut DCAP).

Dalam kategori vendor ini, Gartner mencatat, antara lain, platform cybersecurity Varonis , yang menawarkan analisis perilaku pengguna untuk memantau perubahan dalam hak akses ke data yang tidak terstruktur, akses mereka dan penggunaannya untuk berbagai penyimpanan informasi.
Sistem CASB yang menawarkan perlindungan terhadap berbagai ancaman dalam aplikasi SaaS cloud dengan memblokir akses ke layanan cloud untuk perangkat, pengguna, dan versi aplikasi yang tidak diinginkan menggunakan sistem kontrol akses adaptif.

Semua solusi CASB yang terkemuka di pasar mencakup kemampuan UEBA.
Solusi DLP - berfokus pada deteksi output data penting di luar organisasi atau penyalahgunaannya.

Pencapaian DLP sebagian besar didasarkan pada pemahaman tentang konten, dengan kurang fokus pada pemahaman konteks, seperti pengguna, aplikasi, lokasi, waktu, kecepatan peristiwa, dan faktor eksternal lainnya. Agar efektif, produk DLP harus mengenali konten dan konteks. Itulah sebabnya banyak produsen mulai menanamkan fungsionalitas UEBA dalam solusi mereka.
Pemantauan karyawan adalah kemampuan untuk merekam dan mereproduksi tindakan karyawan, biasanya dalam format data yang sesuai untuk litigasi (jika perlu).

Pemantauan konstan dari pengguna sering menghasilkan jumlah data selangit yang membutuhkan penyaringan dan analisis manual oleh seseorang. Oleh karena itu, UEBA digunakan dalam sistem pemantauan untuk meningkatkan kinerja solusi ini dan mendeteksi insiden dengan tingkat risiko yang tinggi.
Endpoint Security - Endpoint Detection and Response (EDR) dan Endpoint Protection Platform (EPP) solusi menyediakan alat dan telemetri yang kuat untuk sistem operasi pada
perangkat akhir.

Telemetri yang terkait dengan pengguna tersebut dapat dianalisis untuk menyediakan fungsi UEBA bawaan.
Penipuan online - solusi deteksi penipuan online mendeteksi aktivitas abnormal, yang mengindikasikan kompromi akun klien melalui tiruan, malware, atau operasi koneksi tidak aman / intersepsi traffic browser.

Sebagian besar solusi penipuan menggunakan intisari UEBA, analisis transaksional, dan pengukuran karakteristik perangkat, sementara sistem yang lebih canggih melengkapi mereka dengan mencocokkan hubungan dalam database pengidentifikasi identitas.
IAM dan kontrol akses - Gartner menandai tren evolusi di antara produsen sistem kontrol akses, yang terdiri dari mengintegrasikan dengan vendor bersih dan mengintegrasikan beberapa fungsi UEBA ke dalam produk mereka.
IAM dan Sistem Manajemen dan Administrasi Identitas ( IGA ) menggunakan UEBA untuk mencakup skenario analitik perilaku dan identitas seperti deteksi anomali, pengelompokan dinamis entitas yang serupa, analisis login sistem, dan analisis kebijakan akses.
IAM dan kontrol akses istimewa (PAM) - sehubungan dengan peran mengendalikan penggunaan akun administratif, solusi PAM memiliki telemetri untuk menampilkan bagaimana, mengapa, kapan dan di mana akun administratif digunakan. Data-data ini dapat dianalisis menggunakan fungsionalitas UEBA bawaan untuk keberadaan perilaku administrator yang tidak normal atau niat jahat.
Produsen NTA (Analisis Lalu Lintas Jaringan) - menggunakan kombinasi pembelajaran mesin, analitik canggih, dan penemuan berbasis aturan untuk mengidentifikasi aktivitas mencurigakan di jaringan perusahaan.

Alat NTA terus-menerus menganalisis lalu lintas sumber dan / atau streaming catatan (mis., NetFlow) untuk membangun model yang mencerminkan perilaku jaringan normal, terutama berfokus pada menganalisis perilaku entitas.
SIEM - banyak vendor SIEM sekarang memiliki fungsionalitas analitik data canggih yang dibangun ke dalam SIEM, atau sebagai modul UEBA terpisah. Sepanjang 2018 dan masih pada 2019, telah terjadi pengaburan batas-batas yang terus-menerus antara fungsi SIEM dan UEBA, sebagaimana diungkapkan dalam artikel "Wawasan Teknologi untuk SIEM Modern" . Sistem SIEM telah menjadi lebih baik dalam bekerja dengan analitik dan menawarkan skenario aplikasi yang lebih kompleks.

Skenario Aplikasi UEBA

Solusi UEBA dapat menyelesaikan berbagai tugas. Namun, pelanggan Gartner setuju bahwa skenario aplikasi utama mencakup deteksi berbagai kategori ancaman, yang dicapai dengan menampilkan dan menganalisis korelasi yang sering terjadi pada perilaku pengguna dan entitas lainnya:

akses dan perpindahan data yang tidak sah;
perilaku mencurigakan dari pengguna yang diistimewakan, aktivitas berbahaya atau tidak sah dari karyawan;
akses non-standar dan penggunaan sumber daya cloud;
dan lainnya

Ada juga sejumlah skenario aplikasi non-cybersecurity atipikal, seperti penipuan atau pemantauan karyawan, yang penggunaan UEBA mungkin diperlukan. Namun, mereka sering memerlukan sumber data yang tidak terkait dengan TI dan keamanan informasi, atau model analitis khusus dengan pemahaman mendalam tentang bidang ini. Lima skenario utama dan aplikasi yang disetujui oleh pabrikan UEBA dan pelanggannya dijelaskan di bawah ini.

Orang Dalam Berbahaya

Penyedia solusi UEBA yang mencakup skenario ini memantau karyawan dan kontraktor tepercaya hanya dalam hal perilaku yang tidak standar, "buruk", atau jahat. Vendor dalam bidang keahlian ini tidak memantau atau menganalisis perilaku akun layanan atau entitas non-manusia. Sebagian besar, karena hal inilah mereka tidak fokus mendeteksi ancaman lanjutan ketika peretas membajak akun yang ada. Sebagai gantinya, mereka bertujuan untuk mengidentifikasi karyawan yang terlibat dalam kegiatan berbahaya.

Bahkan, konsep "orang dalam jahat" berasal dari pengguna tepercaya dengan niat jahat yang mencari cara untuk menimbulkan kerusakan pada majikan mereka. Karena niat jahat sulit untuk dievaluasi, produsen terbaik dalam kategori ini menganalisis data perilaku kontekstual yang tidak mudah diakses dalam log audit.

Penyedia solusi di bidang ini juga secara optimal menambahkan dan menganalisis data yang tidak terstruktur, seperti konten email, laporan produktivitas, atau informasi media sosial, untuk membentuk konteks perilaku.

Orang Dalam dan Ancaman Mengganggu yang dikompromikan

Tugasnya adalah untuk dengan cepat mendeteksi dan menganalisis perilaku "buruk" segera setelah penyerang memperoleh akses ke organisasi dan mulai bergerak dalam infrastruktur TI.
Ancaman obsesif (APT), seperti ancaman yang tidak diketahui, atau belum sepenuhnya dipahami, sangat sulit dideteksi dan seringkali disembunyikan di bawah aktivitas sah dari pengguna atau akun bisnis. Ancaman semacam itu biasanya memiliki model kerja yang komprehensif (lihat, misalnya, artikel " Mengatasi Rantai Pembunuh Cyber ") atau perilaku mereka belum dianggap berbahaya. Ini membuat mereka sulit dideteksi menggunakan analitik sederhana (misalnya, pencocokan berdasarkan pola, ambang batas, atau aturan korelasi).

Namun, banyak dari ancaman mengganggu ini mengarah pada perilaku yang berbeda, sering dikaitkan dengan pengguna atau entitas yang tidak menaruh curiga (yang disebut orang dalam yang dikompromikan). Metodologi UEBA menawarkan beberapa peluang menarik untuk mendeteksi ancaman seperti itu, meningkatkan rasio sinyal-ke-kebisingan, mengkonsolidasikan dan mengurangi volume pemberitahuan, memprioritaskan respons yang tersisa dan memfasilitasi respons dan investigasi insiden yang efektif.

Vendor UEBA yang menargetkan bidang kerja ini sering kali memiliki integrasi dua arah dengan sistem SIEM di organisasi mereka.

Pemfilteran data

Tugas dalam hal ini adalah untuk mendeteksi fakta output data di luar organisasi.
Produsen yang fokus pada tugas ini biasanya meningkatkan kemampuan DLP atau sistem kontrol akses data (DAG) dengan deteksi anomali dan analitik canggih, sehingga meningkatkan rasio sinyal-ke-noise, mengkonsolidasikan volume pemberitahuan dan memprioritaskan sisa tanggapan. Untuk konteks tambahan, produsen biasanya lebih mengandalkan lalu lintas jaringan (seperti proksi web) dan mengakhiri data perangkat, karena menganalisis sumber data ini dapat membantu menyelidiki pengusiran data.

Deteksi pengelupasan data digunakan untuk menangkap orang dalam dan peretas eksternal yang mengancam organisasi.

Otentikasi dan kontrol akses istimewa

Pembuat solusi UEBA independen dalam bidang keahlian ini mengamati dan menganalisis perilaku pengguna dengan latar belakang sistem hak yang sudah terbentuk untuk mengidentifikasi hak istimewa yang berlebihan atau akses yang tidak wajar. Ini berlaku untuk semua jenis pengguna dan akun, termasuk akun istimewa dan akun layanan. Organisasi juga menggunakan UEBA untuk menyingkirkan akun yang tidak aktif dan hak istimewa pengguna yang lebih tinggi dari yang dibutuhkan.

Prioritas insiden

Tujuan dari tugas ini adalah memprioritaskan pemberitahuan yang dihasilkan oleh solusi dari tumpukan teknologi mereka untuk memahami insiden atau potensi insiden mana yang harus ditangani terlebih dahulu. Metodologi dan alat UEBA berguna dalam mengidentifikasi insiden yang sangat tidak normal atau yang berbahaya bagi organisasi tertentu. Dalam hal ini, mekanisme UEBA tidak hanya menggunakan tingkat dasar aktivitas dan model ancaman, tetapi juga menjenuhkan data dengan informasi tentang struktur organisasi perusahaan (misalnya, sumber daya kritis atau peran dan tingkat akses karyawan).

Masalah dalam mengimplementasikan solusi UEBA

Kesulitan pasar dari solusi UEBA adalah harga tinggi, implementasi yang rumit, pemeliharaan dan penggunaannya. Sementara perusahaan berjuang dengan jumlah portal internal yang berbeda, mereka mendapatkan konsol lain. Ukuran investasi waktu dan sumber daya dalam alat baru tergantung pada tantangan dan jenis analitik yang diperlukan untuk menyelesaikannya, dan paling sering membutuhkan investasi besar.

Bertentangan dengan klaim banyak produsen, UEBA bukanlah alat yang “disetel dan dilupakan”, yang kemudian dapat bekerja terus menerus selama berhari-hari.
Pelanggan Gartner, misalnya, mencatat bahwa diperlukan waktu 3 hingga 6 bulan untuk meluncurkan inisiatif UEBA dari awal sebelum menerima hasil pertama dari penyelesaian masalah yang diimplementasikan solusi ini. Untuk tugas yang lebih kompleks, seperti mengidentifikasi ancaman orang dalam dalam suatu organisasi, istilah ini diperpanjang hingga 18 bulan.

Faktor-faktor yang mempengaruhi kompleksitas implementasi UEBA dan efektivitas alat di masa mendatang:

Kompleksitas arsitektur organisasi, topologi jaringan, dan kebijakan manajemen data
Ketersediaan data yang tepat dengan tingkat detail yang benar
Kompleksitas algoritma analitik dari pabrikan - misalnya, penggunaan model statistik dan pembelajaran mesin terhadap pola dan aturan sederhana.
, – , .
.

Sebagai contoh:
- UEBA- SIEM- , SIEM ?
- UEBA-?
- SIEM- , UEBA-, ?
, , .
– , , ; ; .
.
, . 30 ( 90 ) , «». . , .
, (/), .

Pasar UEBA Meninggal - UEBA Langsung Lama