Аналитика поведения пользователей - User behavior analytics
Аналитика поведения пользователей (UBA) как определено Gartner это информационная безопасность процесс о обнаружение инсайдерских угроз, целевые атаки и финансовое мошенничество. Решения UBA рассматривают шаблоны человеческое поведение, а затем применить алгоритмы и статистический анализ для обнаружения значимых аномалий из этих шаблонов - аномалий, указывающих на потенциальные угрозы.[1] Вместо отслеживания устройств или событий безопасности UBA отслеживает пользователей системы.[2] Большое количество данных платформы как Apache Hadoop увеличивают функциональность UBA, позволяя им анализировать петабайты ценность данных для обнаружения инсайдерские угрозы и сложные постоянные угрозы.[3][4]
Цель
Проблема, на которую реагирует UBA, описана Nemertes Research Генеральный директор Джона Тилль Джонсон, вот что "Охранные системы предоставляют так много информации, что трудно найти информацию, которая действительно указывает на возможность реальной атаки. Инструменты аналитики помогают разобраться в огромном количестве данных, которые SIEM, IDS / IPS, системные журналы, и другие инструменты собираются. Инструменты UBA используют специальный тип аналитики безопасности, который фокусируется на поведении систем и людей, которые их используют. Технология UBA впервые появилась в области маркетинга, чтобы помочь компаниям понять и предсказать потребителя.модели покупок. Но, как оказалось, UBA может быть чрезвычайно полезен и в контексте безопасности ". [5]
Развитие рынка
Развитие технологии UBA привело к тому, что компания Gartner расширила эту категорию до аналитика поведения пользователей и сущностей ("UEBA"). В сентябре 2015 года Gartner опубликовала Market Guide for User and Entity Analytics, подготовленное вице-президентом и выдающимся аналитиком Авивой Литан, в котором дано подробное определение и объяснение. UEBA упоминалась в более ранних отчетах Gartner, но не очень подробно. Расширение определение из UBA включает устройства, приложения, серверы, данные, или что-нибудь с айпи адрес. Он выходит за рамки ориентированного на мошенничество UBA-фокуса к более широкому, охватывающему «злонамеренное и оскорбительное поведение, которое в противном случае оставалось бы незамеченным для существующих систем мониторинга безопасности, таких как SIEM и DLP».[6] Добавление «объекта» отражает то, что устройства могут играть роль в сетевой атаке, а также могут быть полезны для выявления атак. "Когда конечные пользователи были скомпрометированы, вредоносное ПО могут бездействовать и оставаться незамеченными в течение нескольких месяцев. Вместо того, чтобы пытаться определить, куда вошел посторонний, UEBA позволяют быстрее обнаруживать за счет использования алгоритмов обнаружения внутренних угроз ».[7]
Особенно в компьютерная безопасность На рынке существует множество поставщиков приложений UEBA. Их можно "различать по тому, предназначены ли они для локального мониторинга или облако -основан программное обеспечение как сервис (SaaS) приложения; методы, которыми они получают исходные данные; тип используемой аналитики (т. е. пакетная аналитика, управляемая пользователем или написанная поставщиком) и метод предоставления услуг (т. е. локальный или облачный) ".[8] Согласно рыночному справочнику Gartner за 2015 год, «рынок UEBA существенно вырос в 2015 году; поставщики UEBA увеличили свою клиентскую базу, началась консолидация рынка, а интерес клиентов Gartner к UEBA и аналитике безопасности увеличился».[9] В отчете далее прогнозировалось: «В течение следующих трех лет ведущие платформы UEBA станут предпочтительными системами для операций по обеспечению безопасности и расследований в некоторых организациях, которые они обслуживают. Будет - а в некоторых случаях уже и так - обнаруживать некоторые события безопасности. и анализировать отдельных нарушителей в UEBA, чем во многих устаревших системах мониторинга безопасности ».[9]
Смотрите также
Рекомендации
- ^ Маркетинговый справочник по аналитике поведения пользователей
- ^ Охота за аналитикой данных: находится ли ваш SIEM в списке угроз?
- ^ Ahlm, Эрик; Литан, Авива (26 апреля 2016 г.). «Рыночные тенденции: аналитика поведения пользователей и организаций расширяет охват рынка». Gartner. Получено 15 июля 2016.
- ^ «Кибербезопасность в петабайтном масштабе». Получено 15 июля 2016.
- ^ Инструменты поведенческой аналитики пользователей могут предотвратить атаки на систему безопасности
- ^ "Руководство по анализу поведения пользователей и организаций". www.gartner.com. Получено 2016-11-10.
- ^ Зуркус, Кейси (27 октября 2015 г.). «Анализ поведения пользователей, следующий шаг в обеспечении видимости безопасности». CSO Online. Получено 2016-06-06.
- ^ «Выявление нарушений безопасности на раннем этапе путем анализа поведения - эффективнее с Gartner». Умнее с Gartner. 2015-06-04. Получено 2016-06-06.
- ^ а б "Руководство по анализу поведения пользователей и организаций". Gartner, Inc. 22 сентября 2015 г.. Получено 6 июня, 2016.