Содержание статьи
Что такое UEBA
Аналитика поведения пользователей и событий (UEBA) - это категория решений безопасности, определенная Gartner в 2015 году. UEBA использует машинное обучение и глубокое обучение для моделирования поведения пользователей и устройств в корпоративных сетях. Он выявляет ненормальное поведение, определяет, влияет ли оно на безопасность, и предупреждает группы безопасности.
UEBA улучшает старые инструменты безопасности, которые выявляют инциденты безопасности с помощью статистического анализа и предопределенных правил корреляции. Эти методы были эффективны для известных угроз, но неэффективны для неизвестных атак и внутренних угроз (которые, похоже, похожи на обычные действия пользователей). UEBA может обнаруживать подозрительное поведение без предопределенных шаблонов или правил.
В чем разница между UEBA и UBA
До появления текущей категории UEBA Gartner определяла аналитику поведения пользователей (UBA) как инструмент кибербезопасности, который анализирует поведение пользователей в сетях и других компьютерных системах. UBA применяет расширенную аналитику для обнаружения аномалий.
Позже Gartner обновила свое определение и создала новую категорию User Entity and Behavior Analytics (UEBA), включающую поведенческий анализ объектов, отличных от пользователей, таких как маршрутизаторы, серверы и конечные точки. Решения UEBA более мощные, поскольку они могут обнаруживать сложные атаки нескольких пользователей, ИТ-устройств и IP-адресов.
По сути, UEBA расширяет UBA, наблюдая шаблоны и аномалии для других объектов, таких как сетевые устройства и серверы, а не только для отдельных пользователей.
Основным фактором перехода от UBA к UEBA стал взрыв устройств Интернета вещей (IoT), которые генерируют огромные объемы данных датчиков. UEBA может анализировать эти данные, просматривая устройства Интернета вещей по отдельности или в группах одноранговых устройств и выявлять подозрительное поведение, которое может указывать на злонамеренные намерения.
UEBA также можно использовать для мониторинга большого количества облачных ресурсов, которые предоставляются динамически и используются удаленно, что затрудняет их анализ с помощью традиционных инструментов безопасности. UEBA может просматривать облачные активы и определять, действуют ли они как группа нормально или ненормально.
Как работает UEBA и передовой опыт
Система UEBA собирает данные о действиях пользователей и сущностей из системных журналов. Он применяет передовые аналитические методы для анализа данных и устанавливает базовые модели поведения пользователей. UEBA постоянно отслеживает поведение объекта и сравнивает его с базовым поведением того же объекта или аналогичных объектов, чтобы обнаружить аномальное поведение.
Базовая оценка - это ключ к системе UEBA, поскольку она позволяет обнаруживать потенциальные угрозы. Система UEBA сравнивает установленный базовый уровень с текущим поведением пользователя, вычисляет оценку риска и определяет, приемлемы ли отклонения. Если оценка риска превышает определенный порог, система оповещает аналитиков по безопасности в режиме реального времени.
Три столпа UEBA
Определение Gartner включает три основных атрибута систем UEBA:
Три столпа UEBA.
Лучшие практики UEBA
Следуйте этим рекомендациям, чтобы успешно реализовать решение UEBA:
UEBA и аналитика безопасности больших данных
Аналитика больших данных позволяет предприятиям извлекать выгоду из больших объемов неструктурированных, полуструктурированных или структурированных данных. В этой области аналитика безопасности больших данных фокусируется на применении передовых аналитических методов к данным безопасности, чтобы более эффективно обнаруживать угрозы и экономить время для групп безопасности.
Следующие возможности отличают аналитику безопасности больших данных от традиционных инструментов безопасности:
SIEM и UEBA
Системы SIEM - это инфраструктура аналитики безопасности больших данных, развернутая многими организациями, занимающимися безопасностью. SIEM собирают и объединяют данные из инструментов безопасности и ИТ-систем, анализируют их и предоставляют в режиме реального времени предупреждения для групп безопасности.
Традиционно SIEM не включали технологию поведенческой аналитики - они обнаруживали угрозы с помощью определяемых пользователем правил корреляции. Решения UEBA были разработаны для устранения этого пробела и оказались очень эффективными при обнаружении сложных или неизвестных схем атак.
В последние годы аналитики и поставщики осознали, что расширенная аналитика может сделать SIEM более эффективными при обнаружении и анализе угроз. В результате многие системы SIEM следующего поколения предлагают встроенные решения UEBA.
Решения по защите данных
Ведущее в отрасли решение для защиты данных обеспечивает аналитику поведения пользователей, которая устанавливает базовые параметры доступа к данным и предупреждает об аномальной активности.
Комплексный подход основан на нескольких уровнях защиты данных, включая:
- Что такое UEBA
- В чем разница между UEBA и UBA
- Как работает UEBA и передовой опыт
- Лучшие практики UEBA
- UEBA и аналитика безопасности больших данных
- SIEM и UEBA
- Решения по защите данных
Что такое UEBA
Аналитика поведения пользователей и событий (UEBA) - это категория решений безопасности, определенная Gartner в 2015 году. UEBA использует машинное обучение и глубокое обучение для моделирования поведения пользователей и устройств в корпоративных сетях. Он выявляет ненормальное поведение, определяет, влияет ли оно на безопасность, и предупреждает группы безопасности.
UEBA улучшает старые инструменты безопасности, которые выявляют инциденты безопасности с помощью статистического анализа и предопределенных правил корреляции. Эти методы были эффективны для известных угроз, но неэффективны для неизвестных атак и внутренних угроз (которые, похоже, похожи на обычные действия пользователей). UEBA может обнаруживать подозрительное поведение без предопределенных шаблонов или правил.
В чем разница между UEBA и UBA
До появления текущей категории UEBA Gartner определяла аналитику поведения пользователей (UBA) как инструмент кибербезопасности, который анализирует поведение пользователей в сетях и других компьютерных системах. UBA применяет расширенную аналитику для обнаружения аномалий.
Позже Gartner обновила свое определение и создала новую категорию User Entity and Behavior Analytics (UEBA), включающую поведенческий анализ объектов, отличных от пользователей, таких как маршрутизаторы, серверы и конечные точки. Решения UEBA более мощные, поскольку они могут обнаруживать сложные атаки нескольких пользователей, ИТ-устройств и IP-адресов.
По сути, UEBA расширяет UBA, наблюдая шаблоны и аномалии для других объектов, таких как сетевые устройства и серверы, а не только для отдельных пользователей.
Основным фактором перехода от UBA к UEBA стал взрыв устройств Интернета вещей (IoT), которые генерируют огромные объемы данных датчиков. UEBA может анализировать эти данные, просматривая устройства Интернета вещей по отдельности или в группах одноранговых устройств и выявлять подозрительное поведение, которое может указывать на злонамеренные намерения.
UEBA также можно использовать для мониторинга большого количества облачных ресурсов, которые предоставляются динамически и используются удаленно, что затрудняет их анализ с помощью традиционных инструментов безопасности. UEBA может просматривать облачные активы и определять, действуют ли они как группа нормально или ненормально.
Как работает UEBA и передовой опыт
Система UEBA собирает данные о действиях пользователей и сущностей из системных журналов. Он применяет передовые аналитические методы для анализа данных и устанавливает базовые модели поведения пользователей. UEBA постоянно отслеживает поведение объекта и сравнивает его с базовым поведением того же объекта или аналогичных объектов, чтобы обнаружить аномальное поведение.
Базовая оценка - это ключ к системе UEBA, поскольку она позволяет обнаруживать потенциальные угрозы. Система UEBA сравнивает установленный базовый уровень с текущим поведением пользователя, вычисляет оценку риска и определяет, приемлемы ли отклонения. Если оценка риска превышает определенный порог, система оповещает аналитиков по безопасности в режиме реального времени.
Три столпа UEBA
Определение Gartner включает три основных атрибута систем UEBA:
- Сценарии использования - решенияUEBA сообщают о поведении объектов и пользователей в сети. Он обнаруживает, отслеживает и предупреждает об аномалиях. Решения UEBA должны подходить для множества вариантов использования, в отличие от систем, которые выполняют специализированный анализ, такой как мониторинг доверенных хостов, обнаружение мошенничества и т. д.
- Источники данных - решенияUEBA могут получать данные из общего хранилища данных. Такие репозитории включают хранилище данных, озеро данных или систему управления информацией и событиями безопасности (SIEM). Инструменты UEBA не размещают программные агенты непосредственно в ИТ-среде для сбора данных.
- Аналитика - решенияUEBA изолируют аномалии с помощью аналитических методов, включая машинное обучение, статистические модели, правила и сигнатуры угроз.
Три столпа UEBA.
Лучшие практики UEBA
Следуйте этим рекомендациям, чтобы успешно реализовать решение UEBA:
- При создании новых политик и правил учитывайте как внутренние, так и внешние угрозы.
- Убедитесь, что только соответствующие члены команды получают предупреждения UEBA.
- Не считайте непривилегированные учетные записи безвредными. Злоумышленники обычно получают контроль над стандартными учетными записями и повышают привилегии для проникновения в конфиденциальные системы. Системы UEBA могут помочь обнаружить несанкционированное повышение привилегий.
- Не относитесь к процессам и инструментам UEBA как к замене базовых систем мониторинга, таких как системы обнаружения вторжений (IDS). Они должны дополнять традиционную инфраструктуру мониторинга.
UEBA и аналитика безопасности больших данных
Аналитика больших данных позволяет предприятиям извлекать выгоду из больших объемов неструктурированных, полуструктурированных или структурированных данных. В этой области аналитика безопасности больших данных фокусируется на применении передовых аналитических методов к данным безопасности, чтобы более эффективно обнаруживать угрозы и экономить время для групп безопасности.
Следующие возможности отличают аналитику безопасности больших данных от традиционных инструментов безопасности:
- Масштабируемость - анализ и сопоставление текущих и исторических событий безопасности в нескольких организационных системах.
- Отчетность и визуализация - помощь пользователям в понимании сложных данных, фрагментов и кубиков, а также легкого создания визуализаций для извлечения информации.
- Хранение больших данных - эффективное хранение больших объемов данных, их обработка и анализ с использованием масштабируемых систем, таких как Hadoop или ElasticSearch.
- Контекст - отображение данных в отношении пользователей, устройств и событий. Данные без этого контекста гораздо менее полезны и могут привести к ложным срабатываниям.
- Широкая функциональность - использование данных безопасности для обнаружения большого количества угроз и хранение исторических данных для обнаружения и расследования будущих угроз.
SIEM и UEBA
Системы SIEM - это инфраструктура аналитики безопасности больших данных, развернутая многими организациями, занимающимися безопасностью. SIEM собирают и объединяют данные из инструментов безопасности и ИТ-систем, анализируют их и предоставляют в режиме реального времени предупреждения для групп безопасности.
Традиционно SIEM не включали технологию поведенческой аналитики - они обнаруживали угрозы с помощью определяемых пользователем правил корреляции. Решения UEBA были разработаны для устранения этого пробела и оказались очень эффективными при обнаружении сложных или неизвестных схем атак.
В последние годы аналитики и поставщики осознали, что расширенная аналитика может сделать SIEM более эффективными при обнаружении и анализе угроз. В результате многие системы SIEM следующего поколения предлагают встроенные решения UEBA.
Решения по защите данных
Ведущее в отрасли решение для защиты данных обеспечивает аналитику поведения пользователей, которая устанавливает базовые параметры доступа к данным и предупреждает об аномальной активности.
Комплексный подход основан на нескольких уровнях защиты данных, включая:
- Брандмауэр базы данных - блокирует внедрение SQL-кода и другие угрозы при оценке известных уязвимостей.
- Управление правами пользователей - отслеживает доступ к данным и действия привилегированных пользователей для выявления чрезмерных, несоответствующих и неиспользуемых привилегий.
- Маскирование и шифрование данных - запутывает конфиденциальные данные, так что они будут бесполезны для злоумышленников, даже если они каким-то образом извлечены.
- Предотвращение потери данных (DLP) - проверяет данные в движении, в состоянии покоя на серверах, в облачном хранилище или на конечных устройствах.
- Обнаружение и классификация данных - выявляет расположение, объем и контекст данных в локальной среде и в облаке.
- Мониторинг активности баз данных - отслеживает реляционные базы данных, хранилища данных, большие данные и мэйнфреймы для генерации предупреждений в реальном времени о нарушениях политики.
- Приоритизация предупреждений - используется технологии искусственного интеллекта и машинного обучения для анализа потока событий безопасности и определения приоритетов наиболее важных из них.
