Ландшафт угроз продолжает расти из года в год с новым типом субъектов угроз — пропорционально растет количество инцидентов кибербезопасности и их сложность. Согласно отчету Verizon о расследовании нарушений данных за 2019 год, 34 процента утечек вызваны внутренними субъектами, тогда как 69 процентов совершены посторонними. В отчете также говорится, что на обнаружение 56% нарушений ушло несколько месяцев или больше. Финансовая выгода является конечной и наиболее распространенной мотивацией для любых утечек данных.
Дело в том, что традиционные системы безопасности были созданы для поиска злоумышленников путем поиска известных сигнатур или эксплойтов в выбранном месте и в один момент времени с использованием точечных решений. Злоумышленники продолжают проникать в систему защиты предприятия и обходить ее. В чем сегодня нуждается цифровое предприятие, так это в возможностях быстрого обнаружения и реагирования с помощью поведенческой аналитики. Каждое предприятие сегодня генерирует огромное количество данных журнала в терабайтах по размеру от действий пользователя, активности сервера, приложений и сетевых устройств в ИТ-экосистеме организации. Тем не менее, организации не знают, как получить информацию из этих данных журналов, и у группы безопасности возникают проблемы с предоставлением контекстной ценности из журналов для обеспечения безопасности и управления работой цифрового предприятия.
User Behavior Analytics (UBA) — это инновация в методах управления безопасностью, которая использует возможности машинного обучения и больших данных для обнаружения киберугроз и может помочь предприятию вывести управление безопасностью и рисками на новый уровень, поскольку UBA упрощает для предприятий, чтобы получить представление о моделях поведения пользователей и объектов (активов), чтобы найти злонамеренных или преступных инсайдеров, не нарушая бизнес.
Возможности больших данных и машинного обучения. Чтобы найти угрозы на предприятии, сегодняшним цифровым предприятиям очень важно внедрить решение и возможности для автоматического изучения и обнаружения новых угроз, используя информацию, доступную в журналах. Например, если пользователь в своей повседневной деятельности использует свою собственную систему для выполнения своих обязанностей и в некоторых случаях получает доступ к файловым серверам, которые выглядят законными. Однако если тот же пользователь пытается получить доступ к системе руководителя в сети, то это нельзя считать «нормальной» активностью. Таким образом, решения UBA должны быть в состоянии изучить отношения пользователя и объекта, как отношения формируются и изменяются с течением времени, и автоматически предупреждать, если обнаружено ненормальное или злонамеренное поведение, которое отклоняется от нормального.
Чтобы внедрить и внедрить любую новую технологию на предприятии, необходимо понимать архитектуру, возможности, функции и то, как технология работает в среде при определенных условиях. Платформа UBA состоит из трех основных компонентов:
Интеграция данных: это основополагающие требования для создания возможностей UBA, которые должны быть в состоянии интегрироваться с требуемыми источниками журналов предприятия, включая журналы примеров структурированной или неструктурированной информации из SIEM, VPN-шлюз, данные сетевого потока и журналы приложений, а также журналы загрузки. из файлов csv и системного журнала. Для предприятий важно изучить поддерживаемые источники журналов, которые поддерживает конкретный поставщик UBA, и которые могут помочь реализовать предполагаемые варианты использования и удовлетворить потребности предприятия, прежде чем покупать решение.
Аналитика данных: его основная цель — обогащать и анализировать данные, использовать аналитический алгоритм для изучения примера среды, серверной и пользовательской активности, обычного пользователя и исполнительных пользователей или привилегированных пользователей, и разобраться в этом. И может анализировать поведение пользователя и системы, понимать нормальную и вредоносную активность и т. д.
Представление и визуализация данных: он показывает результаты анализа данных в форме, полезной для предприятия и группы безопасности, чтобы шаблоны и тенденции во взаимодействиях безопасности были очевидны, на них можно было воздействовать, и можно было получить всю связанную информацию путем детализации. в детализированные события уровня.
Возможности поиска угроз: поставщики UBA также предлагают возможности поиска угроз, позволяя команде безопасности запрашивать платформу, чтобы найти активность пользователя, содержащую определенные атрибуты, такие как предупреждение, инициированное из-за активности вредоносного ПО со стороны пользователя системы, с которой был связан, или обнаружение активности фишинговой электронной почты. от других решений для конечных точек и т. д. Решение должно быть в состоянии помочь в определении моделей аномального поведения, расставить приоритеты в отношении поведения с высоким риском и выкурить «шум», чтобы позволить аналитикам безопасности сосредоточиться на предупреждениях с высоким риском и высоким приоритетом.
Стратегический подход к созданию потенциала UBA: лучший подход к созданию новых возможностей на предприятии — это начать с небольших шагов, а затем продвигаться по одному шагу за раз, чтобы быть в состоянии справиться с текущими изменениями, а также для заинтересованной стороны. в состоянии понять технологию и ее бизнес-аспекты, понять, почему внедряется решение и какую ценность оно приносит для повышения уровня безопасности предприятия.
Кроме того, рынок UBA состоит из предложений и услуг различных поставщиков, которые могут помочь найти отдельных лиц или группы лиц, ответственных за нарушения безопасности. Поставщики могут помочь обнаружить различные типы объектов-нарушителей, таких как пользователь, система или IP-адрес, и отличаются своей способностью собирать, анализировать данные и связывать этого человека с группами или другими объектами, участвующими в злонамеренном поведении.
Этап 1. Определите и изучите решения, доступные на рынке, узнайте, кто является ведущими поставщиками, какие технологии, возможности или услуги они предлагают, и завершите оценку поставщиков на основе различных наборов анкет, таких как модель лицензирования, облачные и модель локального развертывания, аппаратное устройство и виртуальное устройство, доступные предварительно настроенные отчеты и возможности настройки, как выглядит архитектура и т. д. на высоком уровне. На этом этапе вы получите четкое представление о технологии, понимании функций, предложений поставщиков и о том, как решения могут работать на предприятии в отношении удовлетворения уникальных требований безопасности предприятия, встречаясь с поставщиками, обсуждая детали высокого уровня, и понимание дорожной карты продукта.
Этап 2. Как только в конце этапа 1 будет достигнуто понимание на высоком уровне, пришло время перейти к следующему этапу и начать более глубокое изучение решений 5 или 6 лучших поставщиков путем детализации. Этот этап требует времени и усилий, чтобы пройтись по решениям выбранных поставщиков и преобразовать 3–5 требований в варианты использования для настройки среды POC с решениями каждого поставщика. Этот этап также называют этапом оценки.
На этом этапе очень важно понять, с каким типом источников данных поставщик поддерживает прямую интеграцию для поддержки уникальных вариантов использования корпоративной безопасности, многие поставщики получают данные журналов из нескольких источников напрямую, а некоторым требуются соединители для получения данных из источников журналов. для загрузки нормализованных событий в платформу UBA.
На этапе оценки предприятию следует узнать у поставщиков UBA, какие варианты использования они в первую очередь поддерживают и смогут продемонстрировать в среде POC. Вот некоторые из вариантов использования, которые можно настроить в среде POC для начала:
а) Компрометация привилегированного пользователя — компрометация учетных данных привилегированного пользователя имеет решающее значение, например системного администратора или администратора баз данных, действия этих пользователей не выполняются по установленному шаблону и могут потребовать использования во время чрезвычайных ситуаций или пожаротушения. Поэтому трудно обнаружить настройку шаблонов или профиля использования, а затем обнаружение отклонения от нормального использования. Решение UBA должно уметь выявлять атаки на привилегированных пользователей и обнаруживать вредоносную активность в системах.
а) Фишинговые атаки — серьезная угроза для компаний любого размера, таких как строго регулируемые отрасли банковского дела или здравоохранения, где фишинговые атаки часто нацелены на финансовые данные, конфиденциальные данные пациентов или ценную интеллектуальную собственность. Крайне важно быстро обнаруживать, расследовать и реагировать на фишинговые атаки.
б) Компрометация привилегированного пользователя — компрометация учетных данных привилегированного пользователя имеет решающее значение, например системного администратора или администратора баз данных, действия этих пользователей не выполняются по установленному шаблону и могут потребовать использования во время чрезвычайных ситуаций или пожаротушения. Поэтому трудно обнаружить настройку шаблонов или профиля использования, а затем обнаружение отклонения от нормального использования. Решение UBA должно уметь выявлять атаки на привилегированных пользователей и обнаруживать вредоносную активность в системах.
c) Скомпрометированные учетные данные пользователя — решения UBA должны быть в состоянии определить, получил ли злоумышленник контроль над учетными данными пользователя, независимо от атаки или заражения вредоносным ПО.
d) Внутренняя угроза. Как было сказано ранее, существуют хорошо известные нарушения, совершенные мошенническими инсайдерами. Решение UBA должно обнаруживать, когда пользователь выполняет опасные действия, выходящие за рамки его/ее обычного базового уровня.
e) Обнаружение служебной учетной записи — предприятия используют различные служебные учетные записи для запуска приложений или систем, и эти учетные записи, как правило, будут иметь гораздо больше привилегий, чем обычные учетные записи пользователей, и это излюбленные учетные записи для злоумышленников. Решение UBA должно быть способно автоматически идентифицировать эти учетные записи служб и помечать ненормальное поведение в случае их возникновения.
В дополнение к приведенным выше вариантам использования некоторые решения поставщиков UBA также предоставляют расширенные возможности, некоторые из которых перечислены ниже:
Повышение безопасности облачных приложений SaaS с помощью UBA. Использование облачных приложений значительно выросло, и сегодня почти каждое предприятие использует облачные приложения. Тем не менее, безопасность приложений и данных SaaS по-прежнему отсутствует, а некоторые возможности безопасности обеспечиваются решениями поставщиков CASB. Решения UBA предлагают предприятиям гораздо больше информации об использовании их сотрудниками приложений SaaS, чтобы иметь возможность узнать, используется ли доступ не по назначению, злоупотребляется или скомпрометирован, а аналитика работает так же, как и локальные приложения, и ее следует считать важным компонентом. безопасного использования облачных приложений.
Поставщики UBA используют прикладной API, предоставляемый поставщиками SaaS, для загрузки данных и журналов приложений в платформу UBA для запуска и применения к ней аналитики, а также обеспечения видимости и понимания для предприятия.
Заключительный этап реализации и эксплуатации: в конце этапа 2 мы должны узнать и получить всю необходимую информацию, необходимую в отношении уникальных требований безопасности, какие решения доступны на рынке, которые могут удовлетворить конкретные требования, как решения действительно работают для работы, новые функции и возможности, которые это решение дает предприятию.
Настало время согласовать высшее руководство и директора по информационным технологиям/директорам по информационным технологиям, проведя их через презентацию, показывающую работу, проделанную на этапах 1 и 2, и «Путь к да» от них, чтобы перейти к этапу реализации.
Презентация для высшего руководства должна включать четкое экономическое обоснование, которое рассматривается для получения финансирования с помощью решений трех ведущих поставщиков, перечисленных в списке, в отношении:
Что произойдет, если мы не реализуем решение?
Плюсы и минусы каждого варианта, такие как стоимость, новые функции, возможности снижения рисков и т. д.
