Как готовить UEBA: рецепты от Гартнер

Как готовить UEBA: рецепты от Гартнер
Я написал в прошлой заметке, что Гартнер 16-го ноября, пригласив Антона Чувакина, провел в Москве мини-семинар, посвятив его двум темам - поведенческой аналитике и внедрению и эксплуатации DLP-решений. Про вторую часть я писать сегодня не буду, сконцетрируюсь на первой презентации, которая очень хорошо ложится в серию заметок, посвященных мониторингу ИБ.

тут более подробно написано, почему), так как сама идея DLP обречена на неудачу в современной ИТ-среде, но, видимо, DLP-вендоров это мало останавливает и они хотят придать новый толчок своим продуктам с помощью хайповой UEBA.

Понятно, что помимо SIEM и DLP, технология UEBA может развиваться и самостоятельно. По такому пути пошли лидеры этого рынка - Securonix и Exabeam (у нас “чистых” отечественных UEBA-вендоров не наблюдается). Учитывая вышесказанное, не исключаю, что указанные компании будут куплены более крупными игроками и слиты с существующими продуктами. Гартнер считает, что UEBA-функциональность будет появляться и в других нишах ИБ - CASB, EDR, NTA, что еще острее поставит вопрос о необходимости UEBA как самостоятельного решения или выбору UEBA, как технологии в каком-либо из существующих на рынке продуктов.


Гартнер видит два бизнес-кейса для покупки UEBA:

  • Улучшение обнаружения угроз, пропускаемых другими средствами защиты. Но есть ли у вас такие средства? Вы используете что-то помимо IDS/IPS и антивирусов? Вы применяете NTA, CASB? У вас уже есть SIEM и вы, имея многолетний опыт работы с ним, понимаете, что его возможностей вам реально не хватает? Это важный момент. UEBA нужна тогда, когда вы реально перепробовали все и вас это не устраивает. Вот тогда вы действительно готовы потратить кругленькую сумму денег на поведенческую аналитику. Если же для вас это очередной хайп и вы с трудом понимаете, что такое UEBA и зачем она нужна, то стоит повременить с выбором.
  • Повышение эффективности повседневных операций по ИБ, позволяющих более оперативно детектировать компрометацию пользовательских учетных записей, утечки данных, нарушения привилегированных пользователей и т.п. Но тут вновь нас подстерегает засада. Вы вообще оцениваете эффективность своих операций по ИБ? Вы реально оценивали временные и финансовые затраты на их реализацию? Вы попробовали снизить их более простыми и, возможно, бесплатными методами? Может начать с этого? Вот если вы готовы с цифрами в руках показать, что текущее положение дел вас действительно не устраивает, вам стоит посмотреть в сторону UEBA. Но только в этом случае. В противном случае вы потратите много денег и так и не поймете, стало ли у вас лучше и “эффективнее”.


Среди некоторых ключевых проблем, с которыми сталкиваются заказчики, внедряющие или внедрившие UEBA, Гартнер называет следующие:

  • Доступность и качество исходных данных. Да-да, спустя 20 лет с момента появления SIEM на рынке, это до сих пор основная проблема в мониторинге ИБ. Именно ей была посвящена конференция ЦБИ, о которой я писал в предыдущей заметке.
  • Квалификация аналитиков. В прошлый раз, на семинаре Gartner в Москве, рассказывая про продвинутую аналитику, Антон Чувакин также касался этой проблемы. У вас есть на примете те, кого на Западе называют data scientist? Они должны хорошо разбираться в ИБ и математике одновременно, чтобы строить и проверять корректность используемых моделей поведения, закладываемых в решения UEBA. Зачастую найти таких специалистов почти нереально, а их годовой фонд оплаты труда может быть выше стоимости UEBA-решения. Без грамотных аналитиков приоретенное решение превратится в тыкву и станет очередной бесполезной игрушкой в руках службы ИБ.
  • Оценка эффективности технологии. Ну я бы назвал это общей проблемой в ИБ, а не только в UEBA.
  • Приватность. Да, работа с Большими данными - вообще представляет большую проблему для приватности, так по анализу разрозненных данных можно делать очень интересные, и часто нелицеприятные, выводы о поведении пользователей, что вступает в конфликт с конституционными правами граждан на невмешательство в частную жизнь. Антон рассказывал, что одного из американских UEBA-вендоров европейские заказчики даже попросили переименовать продукт, чтобы из его названия исчезли слова “user behavior analysis”, которые являются табу в Европе, так борющейся за права граждан. У нас, кстати, это тоже может скоро стать проблемой, так как Роскомнадзор готовит законопроект по так называемым большим пользовательским данным и регулированию деятельности по работе с ними. Он может коснуться и UEBA-решений (да и вообще анализа Big Data в контексте ИБ).



В заключении Антон Чувакин сделал достаточно важное замечание про будущее всех решений на базе продвинутой аналитики (advanced analytics). Безопасность - это всегда про умного нарушителя и какой бы супер-умной не была технология, она всегда будет сталкиваться с иррациональным поведением человека, которое сложно предсказывать. У автоматизированных систем принятия решений в ИБ (читай, ИБ-роботов) есть будущее, но нельзя полагаться на них целиком - роль человека в принятии решений остается очень важной. Поэтому, внедряя  UEBA, SIEM, SOC, EDR, NTA и т.п. не забывайте уделять должное внимание квалификации своего персонала, который внедряет, настраивает и эксплуатирует все современные “умные” ИБ-технологии.


ЗЫ. Кстати, мы внутри службы ИБ Cisco тоже используем UEBA-решение. Но, как это уже было с системой продвинутого анализа событий безопасности OpenSOC, мы не нашли устраивающего нас на рынке решения по ИБ (хотя и инвестировали 30 миллионов долларов в Exabeam) и в итоге написали собственную систему контроля поведения пользователей. Как нибудь я расскажу об этом решении, также как я уже описывал систему OpenSOC.
Alt text
Комментарии для сайта Cackle