User Behavior Analysis(UBA)は、もともと検索の推奨と精密なマーケティングのためにeコマースの分野で使用されていました。ユーザーのクリック、お気に入り、購入、その他の行動を分析することで、ユーザーはユーザータグのポートレートを実現し、ユーザーの消費習慣を予測し、ユーザーが関心のある製品をプッシュして、精密なマーケティングの目的を達成できます。
間もなく、ユーザー行動分析(UBA)が情報セキュリティの分野に適用されました。一般に、従来のセキュリティテクノロジーは、検出エンジンによる検出に既知のルールに依存しています。この方法は、誤検知率が高く、精度が低く、新しい未知の脅威の動作を発見することは不可能です。また、ユーザーの行動分析は、多次元の長期分析、相関分析、行動モデリング、異常分析など、別の角度から問題を見つけて、より正確なセキュリティの脅威を見つけることです。
2014年、Gartnerはユーザー行動分析(UBA)市場の定義を発表しました。ユーザー行動分析(UBA)テクノロジーのターゲット市場は、セキュリティ(データの盗難)と詐欺(盗まれた情報の使用)に重点を置いており、企業が内部の脅威を検出してターゲットにするのに役立ちます。性的虐待と金融詐欺。そして2015年には、ユーザー行動分析(UBA)の名前をユーザーエンティティ行動分析(UEBA)に正式に変更しました。他のエンティティ(エンドポイント、ネットワーク、アプリケーションなど)の動作も分析しながら、ユーザーの動作をユーザー中心で分析します。ユーザーをエンティティ分析に関連付けると、分析結果がより正確になり、脅威の検出がより効果的になります。2016年には、ユーザーエンティティ行動分析(UEBA)がGartnerの情報セキュリティテクノロジーのトップ10の1つに選ばれ、2018年には、Gartnerのセキュリティチーム向けの新しいプロジェクトのトップ10の1つに選ばれました。
情報セキュリティの分野におけるUEBAの主な使用シナリオ:
データ侵害
IT時代からDT時代に突入し、DT時代では企業データが新時代のオイル・ゴールドになりましたが、データ漏洩の問題はますます深刻になっています。データ漏えいは、まず会社のブランドと評判に深刻な損害を与えると同時に、顧客の損失、事業の中断、財産の損害、補償、罰金の原因となります。そして、他のリスクや抜け穴があるかどうかは決してわかりません。IBM Security 2020データ侵害レポートは、データ侵害の平均総コストが386万ドルであると指摘しました。
悪意のある***がデータ漏洩の主な理由であり、内部の従業員による悪意のあるデータの盗難が典型的なデータ漏洩のシナリオです。内部の従業員は企業データ資産への法的アクセス権を持ち、通常は企業の機密データの保存場所を知っているため、従来のセキュリティ監査方法ではこの種の動作を効果的に検出できません。
UEBAをデータ漏洩防止(DLP)システムと組み合わせて、機密ファイルを検出できるようにすることができます。データファイルの動作を他のデータ送信アクティビティやネットワークアクティビティと組み合わせて分析することにより、データ漏洩検出を使用して、内部の担当者や外部の組織の動作をキャプチャできます。同時に、データ送信の方法と方法に応じて、機密データアクセスに関連する特性を選択し、企業の従業員とシステムの通常のアクティビティベースラインとユーザープロファイルを作成し、社内の従業員が機密データを盗む行為があるかどうかを判断し、そのような行為を発見するために事前に警告します。
インサイダーの脅威
近年、セキュリティインシデントに対する内部の脅威も次々と発生しており、セキュリティインシデントの半数以上は内部の従業員(悪意のあるものであれ不注意なものであれ)によって引き起こされています。インサイダーの脅威の主な動機は、経済的または商業的利益でもあります。脅威が組織内から、信頼できる承認されたユーザーから来た場合、ユーザーが通常の作業機能を実行しているだけなのか、実際に悪意のあるまたは怠慢なことを実行しているのかを判断するのは困難です。
UEBAテクノロジーは、機械学習アルゴリズムの自己学習機能とプラグイン拡張学習機能を使用し、監視なし、半監視、および監視付きの学習方法を使用してさまざまなモデルを継続的に最適化し、ディープラーニングなどの高度なテクノロジーを使用して内部の脅威を検出できます。
分析エンジンは、企業内の各ID(ユーザーとエンティティ)の動的ベースラインを構築し、ベースライン偏差分析を通じて内部の異常な動作の検出と予測を実現できます。これは、ブルートフォースクラッキング、疑わしいパスワードリセット、アカウント共有、異常な機器、リモートログインなど、インサイダーの悪意のある動作を特定するのに役立ちます。
大胆なスタイルのアカウントが失われました
アカウントの不正流用は常に企業を悩ませている問題点であり、エンドユーザーの関心と経験が関係しています。特権アカウントはさらにターゲットを絞っています。***が企業に入り、失われたアカウントを取得すると、それらは企業の内部ネットワーク内を水平に移動して***を起動し、見つけるのが困難になります。
UEBAテクノロジーは、ビッグデータテクノロジーを使用して、通常の行動と人員の抽象的な誘導を通じて行動の肖像画を生成します。これに基づいて、異常なログイン時間、場所、機器、過去にアクセスされていない情報システムへのアクセスやデータアセットの操作習慣、頻繁なログインとログアウトなどの異常な動作についてアカウントアクティビティを比較し、アカウントのパフォーマンスを比較して分析しますアクティビティが個人の行動のポートレートや部門の行動のポートレートから逸脱しているかどうか、アカウントのリスク状況を包括的に判断し、セキュリティチームがアカウントの障害を時間内に見つけるのに役立ちます。
ホスト障害
ホストの喪失は、企業に対する典型的な内部脅威の1つです。ハッカーは、内部サーバーを使用して「ミートマシン」を形成し、企業ネットワークシステムを水平方向に攻撃します。
このようなシナリオでは、UEBAはデバイスの動作プロファイルを構築し、エンタープライズイントラネットホストまたはサーバーのアクティビティパターン、アカウントログイン、トラフィックサイズ、ファイル転送、およびアクティブなアウトリーチに基づいて動的な動作ベースラインを構築できます。ベースラインを使用して異常な状況を検出し、欠落しているホストを検出し、資産情報を組み合わせて特定の期間とホスト情報を特定し、企業が欠落しているホストを時間内に見つけてソースを追跡できるようにします。
UEBAのアプリケーションシナリオは非常に豊富で、内部セキュリティに重点が置かれています。上記のシナリオに加えて、アクセスと認証、アカウントと権限の異常、バイパス制御動作の検出、インシデント調査などもあります。さまざまな業界の絶え間なく変化するセキュリティ要件、およびさまざまな業界でのアプリケーションの継続的な深化と蓄積により、UEBAはますます多くの種類の問題を解決し、アプリケーションの範囲はますます広くなります。
ホログラフィックネットワーク制御について:ホログラフィックネットワーク制御テクノロジーは、NG-DLP、UEBA、NG-SIEM、CASBの4つの高度なテクノロジーを統合し、機械学習(人工インテリジェンス)を組み合わせて、ネットワーク内の目に見えないユーザーデバイスデータをリアルタイムで検出および再構築します。 「対話型の関係、ユーザーの行動を中心とした情報セキュリティリスク認識プラットフォームの立ち上げ、企業情報セキュリティ管理のための認識と死角のないインテリジェントなトレーサビリティシステムの提供、過去の効率的かつ正確な監査、現在の監視、未来の防止、大幅な改善ITセキュリティの運用と保守、およびセキュリティ担当者は、事故に対応し、証拠チェーンを取得し、説明責任を果たし、ITシステムの能力と効率を回復します。