As organizações que desejam adicionar recursos analíticos avançados ou de aprendizado de máquina ao seu arsenal de segurança de TI têm uma solução relativamente nova à sua disposição: Análise de Comportamento de Usuários e Entidades (UEBA).
Os produtos UEBA identificam padrões no comportamento típico do usuário e, em seguida, detectam ações anormais que não correspondem a esses padrões e podem apresentar problemas de segurança. Além disso, os sistemas UEBA detectam eventos atípicos em várias entidades (entidades), que incluem estações de trabalho, software, tráfego de rede, armazenamento, etc., etc.
Uma variedade de métodos analíticos são usados para determinar desvios, incluindo aprendizado de máquina. A propósito, também há uma classe de sistemas UBA que, como você pode imaginar, analisa apenas as informações associadas aos usuários e suas funções. As fontes de dados para sistemas UEBA são arquivos de log de componentes de servidor e rede, sistemas de segurança, logs locais do PC final.
Normalmente, as soluções UEBA fazem seu trabalho depois que outras ferramentas de defesa cibernética não conseguem identificar ameaças na rede.
Embora as soluções UEBA tenham aparecido há pouco tempo, elas rapidamente se tornaram populares entre as grandes corporações. Segundo o Gartner, as vendas de soluções especializadas da UEBA dobram a cada ano. Além disso, muitos fornecedores incluem a funcionalidade UEBA em outras ferramentas de segurança, como SIEM (Gerenciamento de informações e eventos de segurança), análise de tráfego de rede, controle de identidade e acesso (IAM), proteção ou prevenção de terminais. vazamentos de dados. Os analistas do Gartner prevêem que, ao longo de cinco anos, produtos UEBA individuais que permaneceriam no mercado até então se transformarão em soluções SIEM de próxima geração, enquanto outras soluções UEBA encontrarão seu nicho em outras tecnologias de segurança.
O algoritmo dos sistemas UEBA. Fonte: Gartner
Abaixo está uma breve descrição dos produtos mais populares no segmento UEBA. Mais informações sobre os produtos podem ser encontradas na
tabela de comparação da UEBA no ROI4CIO, com base em uma comparação de líderes (de acordo com o estudo da Gartner).
Análise avançada Exabeam
A Exabeam fornece soluções de segurança e gerenciamento que ajudam organizações de todos os tamanhos a proteger as informações mais valiosas. Os produtos Exabeam usam tecnologia de aprendizado de máquina e análises comportamentais em seu trabalho.
De acordo com especialistas do Gartner, o Exabeam Advanced Analytics é um dos melhores da categoria UBA. Comparada aos concorrentes, esta solução é muito fácil de aprender para administradores ou analistas de sistemas, o que significa que seu tempo de implementação é muito menor. Os analistas não precisam passar dias ou semanas coletando evidências e plotando incidentes com base em informações do SIEM. Graças ao recurso de análise avançada, a linha do tempo dos incidentes pré-criados marca anomalias e exibe detalhes para capturar completamente o evento e seu contexto.
O que levou semanas antes agora pode ser feito em segundos. A interface do usuário do produto é conveniente, a navegação e a visualização de dados históricos são extremamente rápidas. A solução contém centenas de modelos embutidos, alguns dos quais exclusivos, que não podem ser encontrados entre os concorrentes, que é a principal vantagem do produto. A empresa oferece suporte técnico qualificado para suas soluções.
Mas a ferramenta de relatórios, infelizmente, está praticamente ausente. O usuário pode imprimir / exportar o conteúdo da janela do navegador, enviar alertas sobre sessões anormais para o sistema SIEM ou apenas tirar capturas de tela. Se você precisar de algo mais, deve recorrer ao uso de uma ferramenta alternativa. A visualização de mais de uma dúzia de eventos na linha do tempo requer um monitor de alta resolução, embora, mesmo nesse caso, não sejam mais do que 20 eventos. Há uma função de pesquisa personalizada usando o painel de pesquisa “Threat Hunter”, que oferece boas funcionalidades.
Micro Focus Security ArcSight UBA
O ArcSight User Behavior Analytics fornece às empresas informações detalhadas sobre seus usuários, o que simplifica bastante a geração de dados comportamentais para ajudar a mitigar ameaças. Ajuda a detectar e investigar o comportamento malicioso do usuário, ameaças internas e abuso de conta. Assim, permite que as organizações detectem violações antes que causem danos significativos.
O ArcSight User Behavior Analytics ajuda os clientes a reduzir o risco de ataques cibernéticos e detectar comportamentos anormais, comparando os logs do sistema de gerenciamento de autenticação de usuários com outros logs de TI gerados por aplicativos e redes. Além disso, o produto fornece uma resposta mais rápida às ameaças identificadas através de uma integração mais profunda com o SIEM, além de uma investigação mais rápida de incidentes. O fato é que o UBA analisa dados relacionados aos usuários, identifica desvios e os compara com análogos, atividades históricas e / ou violações do comportamento esperado predeterminado.
Dessa forma, o ArcSight UBA detecta um comportamento anormal do usuário, o que é muito importante para detectar hackers ou abuso de conta. A Micro Focus oferece os casos de uso mais maduros e comprovados para segurança no UBA e integração perfeita simbiótica com o SIEM.
Forcepoint UEBA
A solução UEBA (Forcepoint User and Entity Behavior Analytics) permite que as equipes de segurança monitorem proativamente o comportamento anormal de alto risco dentro de uma organização. A plataforma de proteção analítica cria um contexto incomparável combinando dados estruturados e não estruturados para identificar e bloquear usuários mal-intencionados, comprometidos e negligentes. O Forcepoint detecta vários problemas críticos, como contas comprometidas, espionagem corporativa, roubo de propriedade intelectual e fraude.
Avaliando as nuances da interação de pessoas, dados, dispositivos e aplicativos, o Forcepoint UEBA prioriza prazos para grupos de segurança. A solução de software Forcepoint é baseada em quatro princípios:
Contexto rico. O produto reúne o conteúdo coletado de fontes de dados diferentes. Assim, complementando os recursos das soluções SIEM e outras soluções no campo da segurança da informação, para identificar e impedir ações indesejadas do usuário.
Análise comportamental. O Forcepoint UEBA emprega vários tipos de análise rigorosa de comportamento e conteúdo focada na detecção de alterações, padrões e anomalias, a fim de detectar melhor ataques complexos.
Pesquisa e descoberta. Fornece poderosas ferramentas de investigação e detecção forenses por meio de uma interface de usuário contextual para monitoramento contínuo e pesquisa aprofundada.
Fluxo de trabalho intuitivo. Fornece relatórios proativos que se integram totalmente ao fluxo de trabalho do administrador do sistema e à arquitetura de informações do cliente existente para otimizar a eficiência operacional.
Análise de comportamento do usuário Splunk
Um dos principais pontos fortes da Análise de comportamento do usuário do Splunk é a detecção de ameaças desconhecidas e comportamento anormal usando o aprendizado de máquina.
A Análise de Comportamento do Usuário Splunk oferece os seguintes recursos:
Detecção avançada de ameaças. O produto detecta anormalidades e ameaças desconhecidas que são ignoradas pelas ferramentas de segurança tradicionais.
Maior desempenho. Automatiza a combinação de centenas de anomalias detectadas em uma única ameaça, simplificando bastante a vida de um analista de segurança
Poderosos recursos de investigação de incidentes. A solução utiliza recursos investigativos profundos e características comportamentais básicas poderosas para qualquer entidade, anomalia ou ameaça.
Visibilidade e detecção aprimoradas. Automatiza a detecção de ameaças usando o aprendizado de máquina, o que permite que você gaste mais tempo eliminando as ameaças e melhorando a segurança.
Caça às ameaças acelerada. A Análise de Comportamento do Usuário Splunk identifica rapidamente objetos anômalos sem envolver o envolvimento humano. A solução contém uma ampla variedade de tipos diferentes de anomalias (mais de 65) e classificações de ameaças (mais de 25) para usuários, contas, dispositivos e aplicativos.
Recursos SOC aumentados. Combina automaticamente centenas de anomalias observadas em várias entidades - usuários, contas, dispositivos e aplicativos - em uma ameaça comum para uma resposta mais rápida.
Securonix UEBA
A solução Securonix UEBA apresenta recursos avançados de análise baseada em aprendizado de máquina. Entre as vantagens do produto, destacamos:
Reduzindo o risco de ameaças internas. O Securonix cria um perfil de risco exaustivo para cada usuário no ambiente da empresa, com base em informações sobre identidade, emprego, violações de segurança, atividade e acesso de TI, acesso físico e até registros telefônicos.
O produto identifica áreas de risco verdadeiras comparando a atividade do usuário com suas linhas de base individuais, linhas de base dos grupos aos quais pertencem e indicadores de ameaças conhecidos. Os resultados são avaliados e apresentados em scorecards interativos.
Melhor visibilidade na sua nuvem. Aqui vale a pena destacar recursos como monitoramento nuvem a nuvem com APIs integradas para todas as principais infraestruturas de nuvem e tecnologias de aplicativos; detecção de atividades maliciosas analisando direitos e eventos do usuário; correlação de dados locais e na nuvem para adicionar informações sobre o contexto do objeto. Além disso, uma análise de ponta a ponta dos padrões de ameaças deve ser indicada, dando origem a uma resposta.
Detecção proativa de fraudes na empresa. O produto é capaz de identificar ataques fraudulentos complexos que geralmente evitam métodos de detecção baseados em assinaturas usando comportamento avançado sem assinatura e métodos de análise anormal ponto a ponto. Também digno de nota são as funções de detecção de seqüestro de conta, comportamento anormal do usuário, fraude de transação e violações à lavagem de dinheiro.
Sumário
Os sistemas de classe UEBA / UBA são um elemento importante na identificação de tipos desconhecidos de ameaças, ataques de APT e funcionários que violam as regras de IS da empresa. Os produtos da UEBA concentram-se em quatro tarefas básicas.
Em primeiro lugar, uma análise simples e avançada de informações de várias fontes, usando métodos de aprendizado de máquina, periodicamente ou continuamente, em tempo real. Em segundo lugar, os UEBAs são projetados para a detecção operacional de ataques e outras anomalias que geralmente não são detectadas pelas ferramentas clássicas de segurança da informação.
Terceiro, esta é a determinação da importância dos eventos coletados de várias fontes (sistemas como SIEM, DLP, AD, etc.) para responder rapidamente aos administradores de segurança da informação.
Quarto, uma resposta poderosa aos eventos, garantida pelo fato de os administradores de SI terem informações abrangentes e detalhadas sobre o incidente.
Mais produtos UEBA e informações mais detalhadas sobre eles podem ser encontrados na tabela de comparação UEBA no ROI4CIO.
Autor do comentário: Oleg Pilipenko, para ROI4CIO