Из Википедии, бесплатной энциклопедии
Перейти к навигации Перейти к поиску

Аналитика поведения пользователей ( UBA ) по определению Gartner - это процесс кибербезопасности, связанный с обнаружением внутренних угроз , целевых атак и финансового мошенничества . Решения UBA изучают шаблоны человеческого поведения , а затем применяют алгоритмы и статистический анализ для обнаружения значимых аномалий из этих шаблонов - аномалий, указывающих на потенциальные угрозы. [1] Вместо отслеживания устройств или событий безопасности UBA отслеживает пользователей системы. [2] Платформы больших данных, такие как Apache Hadoop , расширяют функциональность UBA, позволяя анализировать петабайты.данные для обнаружения внутренних угроз и постоянных угроз повышенной сложности . [3] [4]

Цель [ править ]

Проблема, на которую отвечает UBA, по описанию генерального директора Nemertes Research Джоны Тилла Джонсона, заключается в том, что « системы безопасности предоставляют так много информации, что трудно обнаружить информацию, которая действительно указывает на потенциальную возможность реальной атаки. Аналитические инструменты помогают разобраться в огромном количестве угроз. данные, которые собирают SIEM , IDS / IPS, системные журналы и другие инструменты. Инструменты UBA используют специальный тип аналитики безопасности, который фокусируется на поведении систем и людей, которые их используют. Технология UBA впервые появилась в области маркетинга, чтобы помочь компании понимают и прогнозируют модели покупок потребителей . Но оказывается, что UBA может быть чрезвычайно полезен и в контексте безопасности ".[5]

Развитие рынка [ править ]

Развитие технологии UBA побудило Gartner преобразовать эту категорию в аналитику поведения пользователей и объектов ( UEBA ). В сентябре 2015 года Gartner опубликовала «Market Guide for User and Entity Analytics» вице-президента и выдающегося аналитика Авивы Литан, в котором были даны подробные определения и объяснения. UEBA упоминалась в более ранних отчетах Gartner, но не очень подробно. Расширение определения от UBA включает устройства, приложения, серверы , данные или что-либо с IP-адресом . Он выходит за рамки ориентированного на мошенничество UBA-фокуса к более широкому, охватывающему «злонамеренное и оскорбительное поведение, которое в противном случае оставалось бы незамеченным существующими системами мониторинга безопасности, такими как SIEM.и DLP ». [6] Добавление« сущности »отражает то, что устройства могут играть роль в сетевой атаке, а также могут быть полезны при обнаружении атак.« Когда конечные пользователи были скомпрометированы, вредоносное ПО может бездействовать и оставаться незамеченным в течение месяцы. Вместо того, чтобы пытаться найти, куда вошел посторонний, UEBA позволяют быстрее обнаруживать за счет использования алгоритмов обнаружения внутренних угроз » [7].

В частности, на рынке компьютерной безопасности существует множество поставщиков приложений UEBA. Они могут быть «дифференцированы ли они предназначены для мониторинга на территории или облакопрограммным обеспечения как услуга (SaaS) приложение; методы , в которых они получают исходные данные, типа аналитики , которые они используют (т.е. упакованной аналитики, управляемая пользователем или написанная поставщиком), а также метод предоставления услуг (т. е. локально или в облаке) ». [8] Согласно рыночному справочнику за 2015 год, выпущенному Gartner, «рынок UEBA существенно вырос в 2015 году; поставщики UEBA увеличили свою клиентскую базу, началась консолидация рынка, а интерес клиентов Gartner к UEBA и аналитике безопасности увеличился». [9]В отчете далее прогнозировалось: «В следующие три года ведущие платформы UEBA станут предпочтительными системами для операций по обеспечению безопасности и расследований в некоторых организациях, которые они обслуживают. Будет - а в некоторых случаях уже и так - обнаруживать некоторые события безопасности. и анализировать отдельных нарушителей в UEBA, чем во многих устаревших системах мониторинга безопасности ». [9]

См. Также [ править ]

  • Поведенческая аналитика
  • Обнаружение аномалий в поведении сети

Ссылки [ править ]

  1. ^ Справочник по рынку для анализа поведения пользователей
  2. ^ Охота за аналитикой данных: находится ли ваш SIEM в списке исчезающих?
  3. ^ Ahlm, Эрик; Литан, Авива (26 апреля 2016 г.). «Рыночные тенденции: аналитика поведения пользователей и организаций расширяет охват рынка» . Gartner . Проверено 15 июля 2016 года .
  4. ^ «Кибербезопасность в петабайтном масштабе» . Проверено 15 июля 2016 года .
  5. ^ Инструменты поведенческой аналитики пользователей могут предотвратить атаки на систему безопасности.
  6. ^ "Руководство по анализу поведения пользователей и организаций" . www.gartner.com . Проверено 10 ноября 2016 .
  7. ^ Zurkus, Kacy (27 октября 2015). «Аналитика поведения пользователей, следующий шаг в обеспечении видимости безопасности» . CSO Online . Проверено 6 июня 2016 .
  8. ^ «Обнаружение нарушений безопасности на раннем этапе путем анализа поведения - умнее с Gartner» . Умнее с Gartner . 2015-06-04 . Проверено 6 июня 2016 .
  9. ^ a b «Руководство по анализу поведения пользователей и организаций» . Gartner, Inc. 22 сентября 2015 . Проверено 6 июня, 2016 .

Внешние ссылки [ править ]

  • Азбука UBA