Эта статья содержит контент, который написан как реклама . ( Апрель 2021 г. ) ( Узнайте, как и когда удалить этот шаблон сообщения ) |
Аналитика поведения пользователей ( UBA ) по определению Gartner - это процесс кибербезопасности, связанный с обнаружением внутренних угроз , целевых атак и финансового мошенничества . Решения UBA изучают шаблоны человеческого поведения , а затем применяют алгоритмы и статистический анализ для обнаружения значимых аномалий из этих шаблонов - аномалий, указывающих на потенциальные угрозы. [1] Вместо отслеживания устройств или событий безопасности UBA отслеживает пользователей системы. [2] Платформы больших данных, такие как Apache Hadoop , расширяют функциональность UBA, позволяя анализировать петабайты.данные для обнаружения внутренних угроз и постоянных угроз повышенной сложности . [3] [4]
Цель [ править ]
Проблема, на которую отвечает UBA, по описанию генерального директора Nemertes Research Джоны Тилла Джонсона, заключается в том, что « системы безопасности предоставляют так много информации, что трудно обнаружить информацию, которая действительно указывает на потенциальную возможность реальной атаки. Аналитические инструменты помогают разобраться в огромном количестве угроз. данные, которые собирают SIEM , IDS / IPS, системные журналы и другие инструменты. Инструменты UBA используют специальный тип аналитики безопасности, который фокусируется на поведении систем и людей, которые их используют. Технология UBA впервые появилась в области маркетинга, чтобы помочь компании понимают и прогнозируют модели покупок потребителей . Но оказывается, что UBA может быть чрезвычайно полезен и в контексте безопасности ".[5]
Развитие рынка [ править ]
Развитие технологии UBA побудило Gartner преобразовать эту категорию в аналитику поведения пользователей и объектов ( UEBA ). В сентябре 2015 года Gartner опубликовала «Market Guide for User and Entity Analytics» вице-президента и выдающегося аналитика Авивы Литан, в котором были даны подробные определения и объяснения. UEBA упоминалась в более ранних отчетах Gartner, но не очень подробно. Расширение определения от UBA включает устройства, приложения, серверы , данные или что-либо с IP-адресом . Он выходит за рамки ориентированного на мошенничество UBA-фокуса к более широкому, охватывающему «злонамеренное и оскорбительное поведение, которое в противном случае оставалось бы незамеченным существующими системами мониторинга безопасности, такими как SIEM.и DLP ». [6] Добавление« сущности »отражает то, что устройства могут играть роль в сетевой атаке, а также могут быть полезны при обнаружении атак.« Когда конечные пользователи были скомпрометированы, вредоносное ПО может бездействовать и оставаться незамеченным в течение месяцы. Вместо того, чтобы пытаться найти, куда вошел посторонний, UEBA позволяют быстрее обнаруживать за счет использования алгоритмов обнаружения внутренних угроз » [7].
В частности, на рынке компьютерной безопасности существует множество поставщиков приложений UEBA. Они могут быть «дифференцированы ли они предназначены для мониторинга на территории или облако -О программным обеспечения как услуга (SaaS) приложение; методы , в которых они получают исходные данные, типа аналитики , которые они используют (т.е. упакованной аналитики, управляемая пользователем или написанная поставщиком), а также метод предоставления услуг (т. е. локально или в облаке) ». [8] Согласно рыночному справочнику за 2015 год, выпущенному Gartner, «рынок UEBA существенно вырос в 2015 году; поставщики UEBA увеличили свою клиентскую базу, началась консолидация рынка, а интерес клиентов Gartner к UEBA и аналитике безопасности увеличился». [9]В отчете далее прогнозировалось: «В следующие три года ведущие платформы UEBA станут предпочтительными системами для операций по обеспечению безопасности и расследований в некоторых организациях, которые они обслуживают. Будет - а в некоторых случаях уже и так - обнаруживать некоторые события безопасности. и анализировать отдельных нарушителей в UEBA, чем во многих устаревших системах мониторинга безопасности ». [9]
См. Также [ править ]
- Поведенческая аналитика
- Обнаружение аномалий в поведении сети
Ссылки [ править ]
- ^ Справочник по рынку для анализа поведения пользователей
- ^ Охота за аналитикой данных: находится ли ваш SIEM в списке исчезающих?
- ^ Ahlm, Эрик; Литан, Авива (26 апреля 2016 г.). «Рыночные тенденции: аналитика поведения пользователей и организаций расширяет охват рынка» . Gartner . Проверено 15 июля 2016 года .
- ^ «Кибербезопасность в петабайтном масштабе» . Проверено 15 июля 2016 года .
- ^ Инструменты поведенческой аналитики пользователей могут предотвратить атаки на систему безопасности.
- ^ "Руководство по анализу поведения пользователей и организаций" . www.gartner.com . Проверено 10 ноября 2016 .
- ^ Zurkus, Kacy (27 октября 2015). «Аналитика поведения пользователей, следующий шаг в обеспечении видимости безопасности» . CSO Online . Проверено 6 июня 2016 .
- ^ «Обнаружение нарушений безопасности на раннем этапе путем анализа поведения - умнее с Gartner» . Умнее с Gartner . 2015-06-04 . Проверено 6 июня 2016 .
- ^ a b «Руководство по анализу поведения пользователей и организаций» . Gartner, Inc. 22 сентября 2015 . Проверено 6 июня, 2016 .
Внешние ссылки [ править ]
- Азбука UBA