So holen Sie dies Beste aus UEBA hervor

Rogue-Insider und externe Angreifer sind unter Geschäftsanwendungen von Unternehmen zu einem wachsenden Problem geworden.

Externe Angreifer nutzen gestohlene Zugangsdaten, um sich qua Insider auszugeben und eine Vernetzung zu Anwendungen herzustellen, während Insider synchron in SaaS- und selbst entwickelten Anwendungen nicht hinreichend überwacht werden. Dies stellt ein Risiko pro Mitwirkender und Administratoren dar, die Misshandlung betreiben und sich an böswilligen Aktivitäten beteiligen könnten.

Erkennungslösungen pro Benutzer, Netzwerke und Geräte basieren hinaus zwei Haupttechnologien: Steuern und Warenmuster, die illegales oder böswilliges Verhalten definieren; und statistische Volumen-/Häufigkeitsmethoden basierend hinaus Durchschnittswerten und Standardabweichungen von Aktivitäten, wie z. B. welcher Zahl welcher Anmeldungen oder welcher Zahl welcher E-Mails.

Ebendiese Technologien werden oft qua User Entity Behavioral Analytics (UEBA) bezeichnet. Sie legen Basislinien pro Durchschnitt, Streuung, Median und andere statistische Metriken steif und wiedererkennen dann abnormale Werte via dieser Basislinien.

Benutzer befolgen nicht immer Steuern

Doron Hendler, Mitbegründer und Geschäftsführer von RevealSecurity, sagt, dass Steuern und UEBA aufgrund welcher großen Gemeinsamkeiten in den Netzwerk-, Geräte- und Benutzerzugriffsschichten effektiv waren: Welcher Markt verwendet im Großen und Ganzen eine begrenzte Zahl von Netzwerkprotokollen und eine Handvoll Betriebssysteme Systeme.

„Wenn es jedoch um die Anwendungsschicht geht, ist UEBA aufgrund welcher großen Unterschiede zwischen den Anwendungen gescheitert“, sagt er.

Hendler erklärt, dass welcher Sicherheitsmarkt vor oben einem Jahrzehnt statistische Analysen eingeführt hat, um regelbasierte Lösungen zu erweitern, um eine genauere Erkennung pro die Unterbau- und Zugriffsebenen zu zuteil werden lassen.

„Doch hat UEBA aufgrund einer grundlegend falschen Behauptung nicht wie versprochen geliefert, die Sorgfalt drastisch zu potenzieren und Fehlalarme zu reduzieren: dass dies Benutzerverhalten durch statistische Größen wie die durchschnittliche tägliche Zahl von Aktivitäten charakterisiert werden kann“, sagt er.

Er argumentiert, dass sie falsche Behauptung in UEBA integriert ist, dies vereinen Benutzer durch vereinen Durchschnitt von Aktivitäten charakterisiert. „Realiter nach sich ziehen Menschen jedoch kein durchschnittliches Verhalten, und es ist von dort zwecklos zu versuchen, menschliches Verhalten mit Größen wie ‚Durchschnitt‘, ‚Streuung‘ oder ‚Median‘ einer einzelnen Umtrieb zu charakterisieren“, sagt er.

UEBA funktioniert nur mit den richtigen Information

David Swift, leitender Sicherheitsstratege unter Netenrich, sagt, dass zu viele Unternehmen in die UEBA einsteigen, ohne ihre Geisteshaltung darüber zu ändern, wie dies Management von Sicherheitsereignissen funzen sollte.

„Im Vorhinein Sie jemals mit einem Lieferant sprechen, sollte ein Nachrichten die wichtigsten Information pro dies Unternehmen identifizieren – sie zeigen die erforderlichen Protokolldaten an – und die Anwendungsfälle definieren, die eine Risiko darstellen würden, die die einzelnen Indikatoren und Verursacher definieren, die zum Erstellen von Inhalten verwendet werden. ” er sagt. Dann zu tun sein sie Modelle erstellen, die mehrere Ereignisse und mehrere Korrelationen pro eine positive Inkraftsetzung korrelieren.

„UEBA funktioniert nur mit den richtigen Information“, fügt Swift hinzu. „Zusammen mit den meisten fehlgeschlagenen Implementierungen wurden nie Identitätsdaten oder wichtige Anwendungen abgerufen. Ohne Identität gibt es in UEBA keinen ‚Benutzer‘. Ohne Anwendungsereignisse löst es immer noch identisch Schnee von gestern Problem – Schadsoftware-Erkennung.“

Ende seiner Sicht ist UEBA sehr triumphierend, wenn eine unternehmenskritische Benutzung und IAM-Information in die Zurverfügungstellung einbezogen werden.

„Wenn eine neue geschäftskritische Benutzung hinaus Anomalien analysiert wird, ist welcher Zahl pro dies Unternehmen hoch, wenn wir Insider und kompromittierte Konten finden“, erklärt er. “Wenn UEBA qua bessere Schadsoftware-Erkennung verwendet wird und keine neuen Datenquellen verwendet werden, ist es zum Scheitern verurteilt.”

In Bezug hinaus False Positives, die UEBA reduzieren helfen soll, fügt Swift hinzu, dass anomaliebasierte Steuern nie dazu gedacht waren, null False Positives zu nach sich ziehen.

„Bedrohungsketten waren immer dazu gedacht, mehrere Indikatoren zu einem Prototyp mit geringen Fehlalarmen zu kombinieren“, erklärt er. „Es ging immer um Modelle, die mehrere Indikatoren miteinander zusammenbinden, wenn wir Fehlalarme reduzieren wollen.“ Er fügt hinzu, dass Bedrohungsketten, wenn sie gut gemacht sind, eine niedrige (ungefähr 3 %) falsch-positive Satz vertrauenswürdig.

Anwendungsfälle pro UEBA

Mike Parkin, leitender technischer Ingenieur unter Vulcan Cyber, sagt, dass UEBA in Fällen triumphierend sein kann, in denen dies Benutzerverhalten sehr stimmig ist.

Zusammen mit Call-Center-Mitarbeitern etwa, die von bestimmten Orten zu bestimmten Zeiten funktionieren, sind Änderungen in ihrem Verhalten offensichtlich.

„Aufwärts welcher anderen Seite sind Menschen, die im Kundendienst funktionieren, wie zum Exempel Verkäufer, die Kunden kommen, viel schwieriger vorherzusagen“, sagt er.

Obwohl er sagt, dass er nicht welcher Meinung ist, dass die Behauptung, dass Personen „durchschnittliches Verhalten“ demonstrieren, völlig falsch ist, ist die Fehlerquote pro dies Verhalten welcher Menschen „sehr, sehr“ weitläufig.

Er stellt steif, dass manche Merkmale, wie z. B. welcher Schreibrhythmus, sehr unterschiedlich sein können, Arbeitsmuster, einschließlich Standorte und Ressourcenzugriff, jedoch viel variabler sein können. „Wenn sich UEBA-Anwendungen hinaus die Erscheinungsform von Verhaltensweisen verdichten, die sie genau vorhersagen können, werden sie effektiver, sowohl …. als auch die Anwendungen selbst ihre Analysen verbessern, um ein breiteres Spektrum von Verhaltensweisen besser vorhersagen zu können“, fügt er hinzu.

Ende Swifts Ziel gibt es keinen „Durchschnitt“ – es gibt nur erlerntes Verhalten und anomales Verhalten.

„Menschen sind Gewohnheitstiere“, sagt er. „Zu lernen, welches an einem Benutzer oder einer Maschine einzigartig ist, ist nicht schwergewichtig.“

Datenbanktechnisch bedeutet dies den Gerüst einer zweiten Datensammlung extrinsisch welcher Events. SQL-Anweisungen wie „select from where unique“ kennzeichnen normale Ereignisse; dann zu tun sein sie gezählt und summiert werden.

„Es ist ziemlich simpel, Verhaltensprofile zu erstellen, und sie funzen“, sagt Swift. „Peer-Anomalien – Sie nach sich ziehen irgendwas getan, welches andere nicht tun – sind irgendwas weniger scharf und trocken, und viele sind Schneeflocken. Allerdings selbst mit Peer-Gruppen wie Titel und Kommando plumpsen die meisten unter die Normen.“

Parkin weist darauf hin, dass nicht jede UEBA-Benutzung gleich ist und dass es große Unterschiede in welcher Wirksamkeit zwischen ihnen gibt, selbst intrinsisch derselben Benutzung, da sie verschiedene Aspekte des Verhaltens betrachtet.

“Gesamt, [UEBA] kann eine wertvolle Komplement des Stapels sein, gleichwohl es ist keine Wunderwaffe, die jede Risiko hinaus magische Weise identifizieren kann”, sagt er.