今天，我们将根据最新的Gartner研究提供用户和实体行为分析系统（UEBA）市场的简要概述。 UEBA市场处于针对威胁技术的Gartner炒作周期的“令人失望的阶段”的底部，这表明该技术已经成熟。但是，这种情况的矛盾在于UEBA技术投资的总体同步增长以及独立UEBA解决方案市场的消失。 Gartner预测，UEBA将成为信息安全领域相关解决方案功能的一部分。 “ UEBA”一词可能会过时，将由另一个缩写词代替，该首字母缩略词关注范围更窄（例如，“用户行为分析”），相似范围（例如，“数据使用情况”）或干脆变成一些新的流行词（例如，术语“人工智能” [AI]看起来很有趣，尽管它对现代UEBA制造商没有任何意义）。

Gartner研究的主要发现可以总结如下：

事实证明，用户和实体的行为分析市场已经成熟，这是大中型企业部门使用这些技术来解决许多业务任务的事实。
UEBA分析功能内置于各种相关的信息安全技术中，例如安全的云访问代理（CASB），身份管理和管理系统（IGA）SIEM系统；
围绕UEBA供应商的大肆宣传以及对“人工智能”一词的错误使用使客户“对没有试点项目的制造商技术与解决方案功能之间的真正区别有所了解”；
买家注意到，即使我们仅考虑基本的威胁检测模型，UEBA解决方案的实施时间和日常使用也可能比制造商承诺的时间更耗时且花费更多时间。添加自己的应用程序或边界应用程序可能非常困难，并且需要数据科学和分析方面的专业知识。

市场发展的战略预测：

到2021年，用户和实体行为分析系统（UEBA）的市场将不再存在，并将转向具有UEBA功能的其他解决方案；
到2020年，所有UEBA部署中的95％将成为更广泛的安全平台功能的一部分。

定义UEBA解决方案

UEBA解决方案使用内置的分析功能来衡量用户和其他实体（例如，主机，应用程序，网络流量和数据存储）的活动。
它们检测到威胁和潜在事件，与标准配置文件以及在一段时间内相似组中用户和实体的行为相比，通常表示异常活动。

在企业细分市场中，最常见的应用场景是威胁检测和响应，以及对内部威胁的检测和响应（在大多数情况下，是对受威胁的内部人的攻击，对内部攻击者的威胁）。

UEBA既是解决方案，又是特定工具中内置的功能：

该解决方案是“干净的” UEBA平台的制造商，包括还单独出售SIEM解决方案的供应商。在分析用户和实体的行为时，专注于各种业务任务。
嵌入式-制造商/部门将UEBA功能和技术集成到其解决方案中。通常专注于一组更具体的业务任务。在这种情况下，UEBA用于分析用户和/或实体的行为。

Gartner从三个方面对UEBA进行了检查，包括可解决的任务，分析和数据源（见图）。

干净的UEBA平台与嵌入式UEBA

Gartner认为“干净”的UEBA平台解决方案具有以下优点：

解决几个特定的任务，例如监视特权用户或在组织外部输出数据，而不是简单地抽象“监视异常用户活动”；
涉及使用复杂的分析，必要时基于基本分析方法；
提供多种数据收集选项，包括内置的数据源机制以及来自日志管理工具，Data Lake和/或SIEM系统的数据，而无需在基础架构中部署单独的代理；
可以作为独立的解决方案获取和部署，但不包含在其中
其他产品的成分。

下表比较了两种方法。

表1.“干净”的UEBA解决方案与嵌入式

类别分类	干净的UEBA平台	带有集成UEBA的其他解决方案
解决的问题	分析用户行为以及实体。	数据不足可能会限制UEBA仅分析用户或实体的行为。
解决的问题	服务于解决各种各样的任务。	专门从事有限的任务
分析工具	使用各种分析方法识别异常-主要通过统计模型和机器学习以及规则和签名进行识别。随附内置分析功能，以创建和比较用户和实体的活动及其个人资料和同事个人资料。	但是，类似于“纯” UEBA，分析只能限于用户和/或实体。
分析工具	先进的分析功能，不仅限于规则。例如，具有动态实体分组的聚类算法。	但是，类似于“纯” UEBA，某些内置威胁模型中的实体分组只能手动更改。
分析工具	用户和其他实体的活动和行为的相关性（例如，通过贝叶斯网络方法）以及单个风险行为的汇总，以识别异常活动。	但是，类似于“纯” UEBA，分析只能限于用户和/或实体。
资料来源	直接通过内置机制或现有数据存储（例如SIEM或Data Lake）从数据源接收用户和实体的事件。	数据获取机制通常仅是直接的，并且仅影响用户和/或其他实体。不要使用日志管理工具/ SIEM / Data Lake。
资料来源	该解决方案不仅应将网络流量作为主要数据源，而且还应完全依靠其自己的遥测收集代理。	该解决方案只能专注于网络流量（例如，NTA-网络流量分析）和/或在最终设备上使用其代理（例如，员工监控实用程序）。
资料来源	用户/实体数据的上下文饱和度。支持收集实时结构化事件以及IT目录中的结构化/非结构化连接数据，例如Active Directory（AD）或具有机器可读信息的其他资源（例如人力资源数据库）。	但是，类似于“纯” UEBA，上下文数据的范围在不同情况下可能会有所不同。 AD和LDAP是嵌入式UEBA解决方案使用的最常见的上下文数据存储。
有空	作为独立产品提供这些功能。	如果不购买嵌入式UEBA功能，就必须购买嵌入式UEBA功能。
资料来源：Gartner（2019年5月）

因此，为了解决某些问题，内置的UEBA可以使用基本的UEBA分析（例如，无需老师的简单机器学习），但是同时，由于访问正确的数据，它通常比“纯” UEBA解决方案更有效。此外，与内置的UEBA工具相比，“干净的” UEBA平台有望提供更复杂的分析作为主要知识。这些结果总结在表2中。

表2.纯和嵌入式UEBA之间的差异结果

类别分类	干净的UEBA平台	带有集成UEBA的其他解决方案
分析工具	解决许多业务问题的适用性意味着需要更通用的UEBA功能集，重点是更复杂的分析和机器学习模型。	对少量业务任务的强调意味着高度专业化的功能，其重点在于具有更简单逻辑的特定应用程序的模型。
分析工具	分析模型的定制对于每种应用场景都是必需的。	已针对构建UEBA的工具预先配置了分析模型。整体上内置UEBA的工具可以更快地解决某些业务问题。
资料来源	从公司基础结构的各个角落访问数据源。	数量较少的数据源，通常受其下的代理的存在或具有UEBA功能的工具本身的限制。
资料来源	每个日志中包含的信息可能会受到数据源的限制，并且可能不包含集中式UEBA工具的所有必需数据。	可以专门配置由代理收集并传输到UEBA的源数据的数量和详细信息。
建筑学	它是该组织的完整UEBA产品。使用SIEM系统或Data Lake的功能可以更轻松地集成。	对于具有内置UEBA的每个解决方案，需要一套单独的UEBA功能。嵌入式UEBA解决方案通常需要您安装代理并管理数据。
整合性	分别将UEBA解决方案与其他工具进行手动集成。允许组织基于“同行中最好的”方法构建自己的技术堆栈。	UEBA功能的主要捆绑包已经由制造商嵌入到工具本身中。 UEBA模块是内置的，无法检索，因此客户无法用自己的东西替换它。
资料来源：Gartner（2019年5月）

UEBA的功能

UEBA正在成为可以从其他分析中受益的端到端网络安全解决方案的功能。 UEBA是这些决策的基础，代表了有关用户和/或实体行为模式的高级分析的令人印象深刻的一层。

当前，市场上的内置UEBA功能通过以下解决方案实现，按技术范围分组：

以数据为中心的审核和保护是专注于提高结构化和非结构化数据仓库（所谓的DCAP）安全性的制造商。

在这类供应商中，Gartner指出了Varonis网络安全平台，该平台提供了对用户行为的分析，以监控对非结构化数据的访问权限，其对各种信息存储的访问和使用情况的变化。
CASB系统通过使用自适应访问控制系统阻止对不需要的设备，用户和应用程序版本的云服务的访问，从而提供针对云SaaS应用程序中各种威胁的防护。

所有市场领先的CASB解决方案均具有UEBA功能。
DLP解决方案 -专注于检测组织外部关键数据的输出或其滥用。

DLP的成就主要基于对内容的理解，而较少关注于了解上下文，例如用户，应用程序，位置，时间，事件的速度和其他外部因素。为了有效，DLP产品必须同时识别内容和上下文。这就是为什么许多制造商开始在其解决方案中嵌入UEBA功能的原因。
员工监控是记录和复制员工行为的能力，通常以适合诉讼的数据格式（如有必要）进行。

对用户的持续监控通常会产生大量数据，需要人工手动过滤和分析。因此，UEBA在监视系统内使用，以提高这些解决方案的性能，并仅以高度风险来检测事件。
端点安全性-端点检测和响应（EDR）和端点保护平台（EPP）解决方案为操作系统提供了强大的工具和遥测功能
终端设备。

可以分析此类与用户相关的遥测，以提供内置的UEBA功能。
在线欺诈 -在线欺诈检测解决方案可以检测到异常活动，这表明通过虚假，恶意软件或不安全的连接操作/拦截浏览器流量来破坏客户帐户。

大多数欺诈解决方案都使用UEBA的精髓，事务分析和设备特征度量，而更高级的系统则通过匹配身份标识符数据库中的关系来对它们进行补充。
IAM和访问控制 -Gartner标志着访问控制系统制造商之间的发展趋势，这包括与干净的供应商集成并将某些UEBA功能集成到其产品中。
IAM和身份管理与管理系统（ IGA ）使用UEBA覆盖行为和身份分析方案，例如异常检测，相似实体的动态分组，系统登录分析和访问策略分析。
IAM和特权访问控制（PAM） -结合控制管理帐户使用的角色，PAM解决方案具有遥测功能，可以显示如何，为什么，何时以及在何处使用管理帐户。可以使用内置的UEBA功能对这些数据进行分析，以查看是否存在管理员的异常行为或恶意意图。
NTA（网络流量分析）制造商 -结合使用机器学习，高级分析和基于规则的发现来识别公司网络中的可疑活动。

NTA工具不断分析源流量和/或流记录（例如NetFlow），以建立反映正常网络行为的模型，主要侧重于分析实体行为。
SIEM-许多SIEM供应商现在具有内置在SIEM中或作为单独的UEBA模块的高级数据分析功能。在整个2018年以及直到2019年，SIEM和UEBA功能之间的界限一直在不断模糊，正如文章“现代SIEM的技术见解”中所披露的那样。 SIEM系统在处理分析方面变得更好，并提供了更复杂的应用程序场景。

UEBA应用方案

UEBA解决方案可以解决各种各样的任务。但是，Gartner客户同意，主要应用场景包括通过显示和分析用户行为与其他实体的频繁相关性来检测各种类别的威胁：

未经授权访问和移动数据；
特权用户的可疑行为，员工的恶意或未经授权的活动；
非标准访问和使用云资源；
和其他

还有许多非典型的非网络安全应用程序场景，例如欺诈或员工监控，可以保证使用UEBA。但是，他们通常需要与IT和信息安全无关的数据源，或者对这一领域有深入了解的特定分析模型。 UEBA制造商及其客户都同意的五个主要方案和应用如下所述。

恶意内幕

涵盖此方案的UEBA解决方案提供商仅根据非标准，“不良”或恶意行为来监控员工和受信任的承包商。这方面的专业知识的供应商不会监视或分析服务帐户或其他非人为实体的行为。在大多数情况下，正是由于这个原因，当黑客劫持现有帐户时，他们不专注于检测高级威胁。相反，他们旨在确定参与恶意活动的员工。

实际上，“恶意内部人员”的概念来自具有恶意意图的受信任用户，他们正在寻找对雇主造成损害的方法。由于很难评估恶意意图，因此该类别中最好的制造商将分析在审计日志中不易访问的上下文行为数据。

该领域的解决方案提供商还可以最佳地添加和分析非结构化数据，例如电子邮件内容，生产力报告或社交媒体信息，以形成行为环境。

内幕和侵入威胁的妥协

任务是一旦攻击者获得对组织的访问权并开始在IT基础架构中移动，便迅速检测并分析“不良”行为。
强迫性威胁（APT），例如未知或尚未完全理解的威胁，非常难以检测，并且经常隐藏在用户或企业帐户的合法活动中。此类威胁通常具有全面的工作模型（例如，参见“ 解决网络杀伤链 ”一文），或者其行为尚未被视为恶意行为。这使它们难以使用简单的分析（例如，按模式，阈值或关联规则进行匹配）进行检测。

但是，这些强迫症中的许多威胁会导致不同的行为，通常与毫无戒心的用户或实体（所谓的受害内部人）相关。 UEBA方法提供了一些有趣的机会来检测此类威胁，提高信噪比，合并并减少通知数量，确定其余响应的优先级并促进对事件的有效响应和调查。

针对此工作领域的UEBA供应商通常在其组织中与SIEM系统进行双向集成。

资料筛选

在这种情况下，任务是检测组织外部数据输出的事实。
专注于此任务的制造商通常会通过异常检测和高级分析来增强DLP或数据访问控制（DAG）系统的功能，从而提高信噪比，合并通知量并优先处理其余响应。对于附加的上下文，制造商通常更多地依赖网络流量（例如Web代理）和终端设备数据，因为分析这些数据源可以帮助调查数据泄露。

数据泄露检测用于捕获威胁组织的内部人员和外部黑客。

身份验证和特权访问控制

独立UEBA解决方案的制造商在这一专业领域中，会在已经形成的权利系统的背景下观察并分析用户行为，以识别过多的特权或异常访问。这适用于所有类型的用户和帐户，包括特权帐户和服务帐户。 UEBA, , , .

, , , . UEBA . UEBA , (, ).

UEBA-

UEBA- , , . , , . , , .

, UEBA – « », .
Gartner, , , 3 6 UEBA , . , , 18 .

, UEBA :

,
– , .
, – , .
.

例如：
- UEBA- SIEM- , SIEM ?
- UEBA-?
- SIEM- , UEBA-, ?
, , .
– , , ; ; .
.
, . 30 ( 90 ) , «». . , .
, (/), .

UEBA市场消失-UEBA万岁