Разбираемся с UBA вместе с Gartner

Аватар пользователя prozorov
Автор: Прозоров Андрей, Независимый эксперт и блоггер
(0)
()
В последнее время появляется все больше полезных (и русскоязычных) материалов по теме UBA\UEBA, вот лишь некоторые из них:
  • Моя заметка "UEBA: Смешать, но не взбалтывать" (ссылка
  • Моя заметка "UBA или UEBA? Все дело в Е!" (ссылка)
  • Обзор рынка систем поведенческого анализа — User and Entity Behavioral Analytics (UBA/UEBA) (ссылка)
Ну, и сегодняшняя заметка Алексея Лукацкого про встречу с Gartner 16.11.2017 (ссылка), на которой были представлены 2 часовые презентации - видения Gartner по рынкам UEBA/UBA и DLP. 
Я тоже послушал эти презентации, а еще и посетил индивидуальную встречу с аналитиками Gartner (эта опция доступна для подписчиков). Получили огромное количество полезной информации, из которой я выбрал несколько важных (и не самых очевидных) мыслей про UBA/UEBA.

Общие вопросы и суть UBA/UEBA
  • UEBA на русский язык лучше всего переводить как "аналитика поведения пользователей и других объектов" («entity» - самое сложное слово). 
  • UBA/UEBA позволяет извлекать смысл из множества данных (собранных другими средствами), из "общего делать частные выводы".
  • Отдельных UEBA-решений мало, чаще всего стоит говорить про решения с функционалом UBA. В ближайшие годы стоит ожидать такой функционал в DLP, CASB и EDR.
  • Сейчас на рынке 2 ведущих производителя UEBA: Securonix и Exabeam. Они очень сильны в технологиях, а также имеют наибольшее число пилотов и внедрений. Помимо них стоит присмотреться к Splunk (у него есть отдельное платное решение), Gurucul и классическим "сильным" SIEM, в которых есть модуль UBA. 
  • Очень часто UBA/UEBA используют поверх DLP. Все дело в том, что последние генерят слишком много событий/срабатываний (и ложных в том числе), а UBA/UEBA позволяет выделить из них важные. Что печально, но при этом UBA/UEBA обычно стоят даже дороже DLP...
  • Искусственный интеллект (ИИ) в ИБ пока слишком слаб, поэтому маркетинговые материалы, в которых упоминается "использование ИИ" следует воспринимать как "используются методы из области ИИ". 

Про кейсы использования и источники данных
  • Use case - проблема, которая у вас есть, и вы уже пытались ее решить.
  • Почему заказчики стали присматриваться к UBA/UEBA, какие сценарии использования?
  • Стандартный (и самый частый) кейс для UEBA - поиск скомпрометированных аккаунтов. А вот кейс с выявлением инсайдеров (злонамеренных) - технически самый сложный. Умный инсайдер скрывает/маскирует свою деятельность...
  • Что важно, задачи/кейсы, которые сможет решать UBA/UEBA будeт сильно зависеть от подключенных источников и от полноты и качества входных данных (да, это до сих пор проблема).
  • Чем "кормить" UEBA? В большинстве проектов основной источник данных - SIEM/LM. Дополнительно полезно еще подавать сам трафик, детальную информацию с конечных станций (EDR) и информацию из HR и других бизнес-систем.

Про SIEM vs UEBA
  • "SIEM is broad, but UEBA is smart!"
  • Принципиальная разница между UEBA и SIEM в том, что в SIEM надо самостоятельно писать правила (корреляции), а UEBA решает сама (дада, суть в машинном обучении). По сути, UEBA можно считать "автоматизированным/самообучающимся SIEM"
  • UEBA часто берет данные из бизнес-систем (например, HR) в отличие от SIEM, который с ними пока плохо умеет работать.
  • В будущем рынки SIEM и UEBA скорее всего сольются (SIEMы поумнеют). Это произойдет через 3-5 лет. Gartner хотел даже использовать термин NG (Next Generation) SIEM, но от него отказались (на термин NGFW на них слишком много производителей обиделись :))). 
  • И, в перспективе, рынок UEBA сместится в сторону SIEM...
  • Поэтому стратегия ждать пока производитель того SIEM, который у вас уже закуплен, доделает свой модуль UBA, вполне имеет смысл...

Про пилоты / тестирование UBA/UEBA
  • Важно предварительно определить для себя важнейший кейс использования UBA/UEBA и на пилоте тестировать именно его. 
  • Желательно проводить длительные пилоты (до 3 месяцев), но и это не гарантирует результат. Типовые кейсы, заявленные производителем, могут в вашем конкретном случае и не работать. 
  • Не каждый заказчик найдет для себя ту ценность в использовании UBA/UEBA, которая бы соответствовала стоимости такого решения (да, цена обычно высока).
  • Неожиданно, но отличным подходом/методом для тестирования UEBA является проведение тестирования на проникновение.
  • Некоторые производители "жульничают" на пилотах и показывают вручную настроенные правила, а не создаваемые ИИ.
  • Если UBA/UEBA не понимает контекст, то будет много ложных срабатываний.
  • Типовая схема пилота:
  • Интересный совет: Если на пилоте UEBA работает хуже вашего SIEM (дает меньше результата) - то не покупайте такую UEBA.
Оцените материал:
Total votes: 21
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.