Hoje, forneceremos uma breve visão geral do mercado de sistemas de análise comportamental de usuários e entidades (UEBA) com base no mais recente estudo da Gartner . O mercado da UEBA está na parte inferior da “fase de decepção” do ciclo Hype Gartner para tecnologias voltadas para ameaças, que indica a maturidade dessa tecnologia. Mas o paradoxo da situação está no crescimento geral simultâneo de investimentos em tecnologias UEBA e no mercado em desaparecimento de soluções UEBA independentes. O Gartner prevê que o UEBA se tornará parte da funcionalidade de soluções relacionadas no campo da segurança da informação. O termo “UEBA” provavelmente ficará desatualizado e será substituído por outro acrônimo focado em um escopo mais restrito (por exemplo, “análise do comportamento do usuário”), em um escopo semelhante (por exemplo, “uso de dados”) ou simplesmente se transformar em alguma nova palavra da moda (por exemplo, o termo “inteligência artificial” [AI] parece interessante, embora não faça sentido para os fabricantes modernos de UEBA).

As principais conclusões do estudo da Gartner podem ser resumidas da seguinte forma:

A confirmação da maturidade do mercado para análises comportamentais de usuários e entidades é o fato de que essas tecnologias são usadas pelos segmentos corporativos de médio e grande porte para resolver uma série de tarefas de negócios;
As funções de análise da UEBA são incorporadas a uma ampla gama de tecnologias de segurança da informação relacionadas, como sistemas de segurança em nuvem (CASB), sistemas de gerenciamento de identidade e administração (IGA);
O hype em torno dos fornecedores da UEBA e o uso incorreto do termo "inteligência artificial" complica a compreensão dos clientes sobre a real diferença entre as tecnologias dos fabricantes e a funcionalidade das soluções sem um projeto piloto;
Os compradores observam que o tempo de implementação e o uso diário das soluções UEBA podem consumir mais tempo e levar mais tempo do que o fabricante promete, mesmo se considerarmos apenas os modelos básicos de detecção de ameaças. Adicionar seus próprios cenários de aplicação ou limite pode ser extremamente difícil e requer experiência em ciência de dados e análise.

Previsão estratégica para o desenvolvimento do mercado:

Até 2021, o mercado de sistemas de análise comportamental de usuários e entidades (UEBA) deixará de existir como uma área separada e passará a outras soluções com a funcionalidade UEBA;
Até 2020, 95% de todas as implantações da UEBA farão parte da funcionalidade de uma plataforma de segurança mais ampla.

Definindo soluções UEBA

As soluções UEBA usam análises internas para medir a atividade de usuários e outras entidades (por exemplo, hosts, aplicativos, tráfego de rede e armazenamento de dados).
Eles detectam ameaças e possíveis incidentes, geralmente representando atividades anormais em comparação com o perfil e o comportamento padrão de usuários e entidades em grupos semelhantes durante um certo período de tempo.

Os cenários de aplicativos mais comuns no segmento corporativo são detecção e resposta a ameaças, bem como detecção e resposta a ameaças internas (na maioria dos casos, a usuários comprometidos; às vezes a atacantes internos).

O UEBA é uma solução e uma função incorporadas a uma ferramenta específica:

A solução são os fabricantes de plataformas UEBA "limpas", incluindo fornecedores que também vendem soluções SIEM separadamente. Focado em uma ampla gama de tarefas de negócios na análise do comportamento de usuários e entidades.
Incorporado - fabricantes / departamentos que integram funções e tecnologias UEBA em suas soluções. Geralmente focado em um conjunto mais específico de tarefas de negócios. Nesse caso, o UEBA é usado para analisar o comportamento de usuários e / ou entidades.

O Gartner examina o UEBA em uma seção transversal de três eixos, incluindo tarefas solucionáveis, análises e fontes de dados (veja a figura).

Plataformas UEBA limpas versus UEBA incorporada

O Gartner considera as soluções da plataforma UEBA "limpas" que:

Resolva várias tarefas específicas, como monitorar usuários privilegiados ou enviar dados para fora da organização, em vez de simplesmente abstrair "monitorar atividades anormais do usuário";
envolver o uso de análises sofisticadas, as quais, se necessário, são baseadas em abordagens analíticas básicas;
fornecer várias opções para coleta de dados, incluindo mecanismos internos de fontes de dados e ferramentas de gerenciamento de logs, Data lake e / ou sistemas SIEM, sem a necessidade de implantar agentes separados na infraestrutura;
podem ser adquiridos e implantados como soluções independentes, mas não incluídos no
composição de outros produtos.

A tabela abaixo compara as duas abordagens.

Tabela 1. Soluções UEBA “limpas” versus incorporadas

Categoria	Plataformas UEBA limpas	Outras soluções com UEBA integrado
Problema a ser resolvido	Análise do comportamento do usuário, bem como entidades.	A falta de dados pode limitar a UEBA na análise do comportamento de apenas usuários ou entidades.
Problema a ser resolvido	Serve para resolver uma ampla gama de tarefas.	Especializado em um conjunto limitado de tarefas
Google Analytics	Identificação de anomalias usando vários métodos analíticos - principalmente por meio de modelos estatísticos e aprendizado de máquina, juntamente com regras e assinaturas. Vem com análises integradas para criar e comparar as atividades de usuários e entidades com seus perfis e perfis de colegas.	Semelhante ao UEBA "puro", no entanto, a análise pode ser limitada apenas a usuários e / ou entidades.
Google Analytics	Recursos analíticos avançados, não limitados apenas por regras. Por exemplo, um algoritmo de clustering com agrupamento dinâmico de entidades.	Semelhante ao UEBA "puro", no entanto, o agrupamento de entidades em alguns modelos de ameaças internas só pode ser alterado manualmente.
Google Analytics	Correlação de atividade e comportamento de usuários e outras entidades (por exemplo, pelo método de rede bayesiano) e agregação de comportamentos de risco individuais, a fim de identificar atividade anormal.	Semelhante ao UEBA "puro", no entanto, a análise pode ser limitada apenas a usuários e / ou entidades.
Fontes de dados	Recebendo eventos para usuários e entidades de fontes de dados diretamente por meio de mecanismos internos ou armazenamentos de dados existentes, como SIEM ou Data lake.	Os mecanismos de aquisição de dados geralmente são apenas diretos e afetam apenas usuários e / ou outras entidades. Não use ferramentas de gerenciamento de log / SIEM / Data Lake.
Fontes de dados	A solução não deve confiar apenas no tráfego da rede como principal fonte de dados, bem como exclusivamente em seus próprios agentes de coleta de telemetria.	A solução pode ser focada apenas no tráfego de rede (por exemplo, NTA - análise do tráfego de rede) e / ou usar seus agentes em dispositivos finais (por exemplo, utilitários de monitoramento de funcionários).
Fontes de dados	Saturação dos dados do usuário / entidade com o contexto. Suporte para a coleta de eventos estruturados em tempo real, bem como dados conectados estruturados / não estruturados de diretórios de TI - por exemplo, Active Directory (AD) ou outros recursos com informações legíveis por máquina (por exemplo, um banco de dados de recursos humanos).	Semelhante ao UEBA "puro", no entanto, o escopo dos dados contextuais pode variar em diferentes casos. AD e LDAP são os armazenamentos de dados contextuais mais comuns usados pelas soluções UEBA incorporadas.
Disponibilidade	Fornece esses recursos como um produto independente.	É impossível comprar a funcionalidade UEBA incorporada sem comprar a solução externa na qual está incorporada.
Fonte: Gartner (maio de 2019)

Assim, para resolver certos problemas, o UEBA interno pode usar análises UEBA básicas (por exemplo, aprendizado de máquina simples sem um professor), mas, ao mesmo tempo, devido ao acesso aos dados corretos, geralmente pode ser mais eficaz do que uma solução UEBA "pura". Além disso, espera-se que as plataformas UEBA “limpas” ofereçam análises mais sofisticadas como o principal know-how em comparação com a ferramenta UEBA integrada. Esses resultados estão resumidos na tabela 2.

Tabela 2. O resultado das diferenças entre UEBA puro e incorporado

Categoria	Plataformas UEBA limpas	Outras soluções com UEBA integrado
Google Analytics	A aplicabilidade para resolver muitos problemas de negócios implica em um conjunto mais universal de funções da UEBA, com ênfase em modelos de análise e aprendizado de máquina mais complexos.	A ênfase em um conjunto menor de tarefas de negócios implica funções altamente especializadas focadas em modelos para aplicativos específicos com lógica mais simples.
Google Analytics	A personalização do modelo analítico é necessária para cada cenário de aplicativo.	Os modelos analíticos são pré-configurados para a ferramenta na qual o UEBA é construído. Uma ferramenta com UEBA integrada como um todo resulta mais rápido na solução de certos problemas de negócios.
Fontes de dados	Acesso a fontes de dados de todos os cantos da infraestrutura corporativa.	Um número menor de fontes de dados, geralmente limitado pela presença de agentes sob elas ou pela própria ferramenta com funções UEBA.
Fontes de dados	As informações contidas em cada log podem ser limitadas pela fonte de dados e podem não conter todos os dados necessários para uma ferramenta UEBA centralizada.	A quantidade e os detalhes dos dados de origem coletados pelo agente e transferidos para o UEBA podem ser especialmente configurados.
Arquitetura	É um produto UEBA completo para a organização. Integração mais fácil usando os recursos do sistema SIEM ou Data Lake.	Requer um conjunto separado de funções UEBA para cada solução que possui um UEBA interno. As soluções UEBA incorporadas geralmente exigem a instalação de agentes e o gerenciamento de dados.
Integração	Integração manual de soluções UEBA com outras ferramentas em cada caso. Permite que a organização construa sua própria pilha de tecnologia com base na abordagem "melhor entre pares".	Os principais pacotes de funções da UEBA já estão incorporados na própria ferramenta pelo fabricante. O módulo UEBA é incorporado e não pode ser recuperado, portanto, os clientes não podem substituí-lo por algo próprio.
Fonte: Gartner (maio de 2019)

UEBA como uma função

A UEBA está se tornando um recurso de soluções completas de segurança cibernética que podem se beneficiar de análises adicionais. A UEBA está subjacente a essas decisões, representando uma camada impressionante de análises avançadas sobre os padrões de comportamento do usuário e / ou da entidade.

Atualmente, a funcionalidade UEBA integrada no mercado é implementada nas seguintes soluções, agrupadas por escopo tecnológico:

A auditoria e a proteção centradas em dados são fabricantes focados em melhorar a segurança de data warehouses estruturados e não estruturados (o chamado DCAP).

Nesta categoria de fornecedores, o Gartner observa, entre outras coisas, a plataforma de segurança cibernética Varonis , que oferece uma análise do comportamento do usuário para monitorar alterações nos direitos de acesso a dados não estruturados, seu acesso e uso para vários armazenamentos de informações.
Sistemas CASB que oferecem proteção contra várias ameaças em aplicativos SaaS em nuvem, bloqueando o acesso a serviços em nuvem para dispositivos, usuários e versões de aplicativos indesejados usando um sistema de controle de acesso adaptável.

Todas as soluções CASB líderes de mercado incluem recursos UEBA.
Soluções DLP - focadas na detecção da saída de dados críticos fora da organização ou em seu abuso.

As conquistas do DLP são amplamente baseadas no entendimento do conteúdo, com menos foco no entendimento do contexto, como usuário, aplicativo, local, horário, velocidade dos eventos e outros fatores externos. Para serem eficazes, os produtos DLP devem reconhecer o conteúdo e o contexto. É por isso que muitos fabricantes estão começando a incorporar a funcionalidade UEBA em suas soluções.
O monitoramento de funcionários é a capacidade de registrar e reproduzir as ações dos funcionários, geralmente em um formato de dados adequado para litígios (se necessário).

O monitoramento constante dos usuários geralmente gera uma quantidade exorbitante de dados, exigindo filtragem e análise manual por uma pessoa. Portanto, o UEBA é usado nos sistemas de monitoramento para melhorar o desempenho dessas soluções e detectar incidentes com apenas um alto grau de risco.
Endpoint Security - As soluções Endpoint Detection and Response (EDR) e Endpoint Protection Platform (EPP) fornecem ferramentas poderosas e telemetria para o sistema operacional em
dispositivos finais.

Essa telemetria relacionada ao usuário pode ser analisada para fornecer funções UEBA internas.
Fraude online - as soluções de detecção de fraude online detectam atividades anormais, o que indica comprometimento da conta de um cliente por meio de um manequim, malware ou operação de conexões / interceptação inseguras do tráfego do navegador.

A maioria das soluções de fraude usa a quintessência do UEBA, análise transacional e medição das características do dispositivo, enquanto sistemas mais avançados os complementam combinando relacionamentos em um banco de dados de identificadores de identidade.
IAM e controle de acesso - o Gartner marca uma tendência em evolução entre os fabricantes de sistemas de controle de acesso, que consiste na integração com fornecedores limpos e na integração de algumas funções da UEBA em seus produtos.
O IAM e os IGAs (Identity Management and Administration Systems) usam o UEBA para cobrir cenários de análise comportamental e de identidade, como detecção de anomalias, agrupamento dinâmico de entidades semelhantes, análise de login do sistema e análise de políticas de acesso.
IAM e controle de acesso privilegiado (PAM) - em conexão com a função de controlar o uso de contas administrativas, as soluções PAM têm telemetria para mostrar como, por que, quando e onde as contas administrativas foram usadas. Esses dados podem ser analisados usando a funcionalidade interna do UEBA para a presença de comportamento anormal dos administradores ou intenção maliciosa.
Fabricantes de NTA (Network Traffic Analysis) - use uma combinação de aprendizado de máquina, análise avançada e descoberta baseada em regras para identificar atividades suspeitas nas redes corporativas.

As ferramentas NTA analisam constantemente o tráfego de origem e / ou os registros de fluxo (por exemplo, NetFlow) para criar modelos que refletem o comportamento normal da rede, concentrando-se principalmente na análise do comportamento da entidade.
SIEM - muitos fornecedores SIEM agora têm funcionalidade avançada de análise de dados incorporada no SIEM ou como um módulo UEBA separado. Ao longo de 2018 e ainda em 2019, houve um borrão contínuo dos limites entre a funcionalidade SIEM e UEBA, conforme divulgado no artigo "Visão sobre a tecnologia para o SIEM moderno" . Os sistemas SIEM se tornaram melhores no trabalho com análises e oferecem cenários de aplicativos mais complexos.

Cenários de aplicativos UEBA

As soluções UEBA podem resolver uma ampla variedade de tarefas. No entanto, os clientes do Gartner concordam que o cenário principal do aplicativo inclui a detecção de várias categorias de ameaças, alcançadas pela exibição e análise de correlações frequentes do comportamento do usuário e de outras entidades:

acesso não autorizado e movimentação de dados;
comportamento suspeito de usuários privilegiados, atividade maliciosa ou não autorizada dos funcionários;
acesso não padrão e uso de recursos da nuvem;
e outros

Há também vários cenários atípicos de aplicativos que não são de segurança cibernética, como fraude ou monitoramento de funcionários, para os quais o uso do UEBA pode ser garantido. No entanto, eles geralmente exigem fontes de dados que não estão relacionadas à segurança da TI e da informação ou modelos analíticos específicos com um profundo entendimento dessa área. Os cinco principais cenários e aplicativos que os fabricantes da UEBA e seus clientes concordam estão descritos abaixo.

Insider malicioso

Os provedores de soluções UEBA que cobrem esse cenário monitoram funcionários e prestadores de serviços confiáveis apenas em termos de comportamento não padrão, "ruim" ou malicioso. Os fornecedores nesta área de especialização não monitoram ou analisam o comportamento de contas de serviço ou outras entidades não humanas. Na maioria das vezes, é por isso que eles não estão focados em detectar ameaças avançadas quando os hackers sequestram contas existentes. Em vez disso, eles visam identificar funcionários envolvidos em atividades maliciosas.

De fato, o conceito de "insider malicioso" vem de usuários confiáveis com intenção maliciosa que procuram maneiras de causar danos ao empregador. Como a intenção maliciosa é difícil de avaliar, os melhores fabricantes desta categoria analisam dados de comportamento contextual que não são facilmente acessíveis nos logs de auditoria.

Os fornecedores de soluções nessa área também adicionam e analisam de maneira ideal dados não estruturados, como conteúdo de email, relatórios de produtividade ou informações de mídia social, para formar um contexto de comportamento.

Informações privilegiadas comprometidas e ameaças intrusivas

A tarefa é detectar e analisar rapidamente comportamentos "ruins" assim que o invasor obtém acesso à organização e começa a se mover dentro da infraestrutura de TI.
As ameaças obsessivas (APTs), como ameaças desconhecidas ou ainda não totalmente compreendidas, são extremamente difíceis de detectar e geralmente se ocultam sob a atividade legítima de usuários ou contas comerciais. Essas ameaças geralmente têm um modelo de trabalho abrangente (consulte, por exemplo, o artigo " Abordando a cadeia de assassinatos cibernéticos ") ou seu comportamento ainda não foi considerado malicioso. Isso dificulta a detecção usando análises simples (por exemplo, correspondência por padrões, limites ou regras de correlação).

No entanto, muitas dessas ameaças obsessivas levam a comportamentos diferentes, geralmente associados a usuários ou entidades incautos (os chamados insiders comprometidos). As metodologias da UEBA oferecem várias oportunidades interessantes para detectar tais ameaças, aumentar a taxa de sinal / ruído, consolidar e reduzir o volume de notificações, priorizar as respostas restantes e facilitar uma resposta eficaz e investigação de incidentes.

Os fornecedores da UEBA direcionados a essa área de trabalho geralmente têm integração bidirecional com os sistemas SIEM em suas organizações.

Filtragem de dados

A tarefa neste caso é detectar o fato da saída de dados fora da organização.
Os fabricantes que se concentram nessa tarefa geralmente aprimoram os recursos dos sistemas DLP ou DAG (controle de acesso a dados) com detecção de anomalias e análises avançadas, aumentando assim a relação sinal / ruído, consolidando o volume de notificações e priorizando as respostas restantes. Para um contexto adicional, os fabricantes geralmente confiam mais no tráfego de rede (como proxies da Web) e nos dados do dispositivo final, pois a análise dessas fontes de dados pode ajudar a investigar a exfiltração de dados.

A detecção de exfiltração de dados é usada para capturar insiders e hackers externos que ameaçam a organização.

Autenticação e controle de acesso privilegiado

Fabricantes de soluções UEBA independentes nesta área de especialização observam e analisam o comportamento do usuário no contexto de um sistema de direitos já estabelecido, a fim de identificar privilégios excessivos ou acesso anômalo. Isso se aplica a todos os tipos de usuários e contas, incluindo contas privilegiadas e de serviço. As organizações também usam o UEBA para se livrar de contas inativas e privilégios de usuário maiores do que o necessário.

Priorização de incidentes

O objetivo desta tarefa é priorizar as notificações geradas pelas soluções de sua pilha de tecnologia para entender quais incidentes ou possíveis incidentes devem ser tratados primeiro. As metodologias e ferramentas da UEBA são úteis na identificação de incidentes particularmente anormais ou especialmente perigosos para uma determinada organização. Nesse caso, o mecanismo UEBA não apenas usa o nível básico de modelos de atividade e ameaça, mas também satura os dados com informações sobre a estrutura organizacional da empresa (por exemplo, recursos ou funções críticas e níveis de acesso dos funcionários).

Problemas na implementação de soluções UEBA

A dor do mercado das soluções UEBA é seu alto preço, implementação, manutenção e uso complexos. Enquanto as empresas lutam com o número de diferentes portais internos, elas obtêm outro console. O tamanho do investimento de tempo e recursos em uma nova ferramenta depende dos desafios e tipos de análise necessários para resolvê-los e, na maioria das vezes, exigem grandes investimentos.

Ao contrário do que muitos fabricantes afirmam, o UEBA não é uma ferramenta "sintonizada e esquecida", que pode funcionar continuamente por dias a fio.
Os clientes do Gartner, por exemplo, observam que são necessários de 3 a 6 meses para lançar a iniciativa UEBA do zero antes de receber os primeiros resultados da solução dos problemas para os quais essa solução foi implementada. Para tarefas mais complexas, como a identificação de ameaças internas em uma organização, o prazo é estendido para 18 meses.

Fatores que afetam a complexidade da implementação da UEBA e a eficácia futura da ferramenta:

Complexidade da arquitetura organizacional, topologia de rede e políticas de gerenciamento de dados
Disponibilidade dos dados corretos com o nível certo de detalhes
A complexidade dos algoritmos de análise do fabricante - por exemplo, o uso de modelos estatísticos e o aprendizado de máquina contra padrões e regras simples.
, – , .
.

Por exemplo:
- UEBA- SIEM- , SIEM ?
- UEBA-?
- SIEM- , UEBA-, ?
, , .
– , , ; ; .
.
, . 30 ( 90 ) , «». . , .
, (/), .

Mercado UEBA morre - vida longa UEBA