为什么我需要UEBA ?
正如预期的那样,今年在旧金山举行的展会为我们提供了与老朋友叙旧、结识新朋友、了解被吹捧为下一个大热门的解决方案的机会,并听取非供应商的意见,说明他们为什么需要其他产品。由于几乎每个展台都在谈论某种风味的分析,我可以理解为什么需要消除一点迷雾。
因为我们的最近收购了Niara也就是在行为分析领域,我们得到了公平份额的问题。这让我想起了以深度包检查或网络访问控制为主题的节目。问题不是关于新技术如何提供帮助,而是关于为什么他们现有的工具需要被替换。
对于NAC,我记得我反复解释过,活动目录(AD)并不是真正为了提供网络连接建立在何处或何时建立的数据而构建的。而且,为什么要求IT部门将每个BYO设备的信息输入到广告中是无法扩展的呢?过了一段时间这些问题才平息下来,所以我希望现在也会发生同样的事情。
所以,虽然不是一个全面的列表,让我们看看我确实听到了什么:
- 首先,有很多关于UEBA代表什么的问题。它是一个缩写——用户和实体行为分析。它的发音不是u-ee - bah,而是U-E-B-A。其思想是,在今天的移动工作环境中,用户携带多个设备,随时随地进行连接,在网络内部为每个用户建立连接和使用模式的基线是有益的。同样的道理也适用于相机、亚马逊Echo和其他伟大的新设备,这些设备可能会进入你的工程实验室、生产网络或行政简报中心。我应该提一下,确保物联网安全是今年RSA大会的另一项重要内容。
- UEBA有什么好处?假设一个用户的智能手机和笔记本电脑同时连接,但它们位于不同的办公室,相隔几个小时。UEBA是一种捕捉事件并确定它是否是正常行为的方法。也许用户共享了一个设备,或者他们的密码,或者其中一个设备被偷了。这可能是一些简单的事情,比如他们在旅行时把笔记本电脑留在了办公室,但如果没有基线,It怎么知道。在上述场景中,可以自动联系用户,以确定为什么他们的风险得分飙升。如果其中一个设备正在下载tb级的数据,而正常的行为是mb级,那么这个有问题的设备甚至可能会断开网络连接。所有需要做的就是将UEBA解决方案与策略管理解决方案集成起来,就像针对执行组件的Aruba ClearPass。
- 下一个问题是,为什么是UEBA而不是SIEM?这可能是最令人困惑的人,因为我们与提供SIEM的HPE团队的固有关系。UEBA的不同之处在于它能够使用机器学习(行为)模型而不是已知的签名来识别可能的攻击。事实上,我们的UEBA解决方案可以与所有主要的SIEM解决方案兼容,如ArcSight、QRadar、Splunk和McAfee ESM。此外,UEBA解决方案旨在提供对用户和实体如何利用内部基础设施和资源的集中可见性。另一方面,UEBA不是传统的日志聚合解决方案,这就是为什么SIEMs在安全生态系统中仍然扮演着重要角色。
虽然肯定会有更多的问题,但我将把它留到以后的博客中讨论,在那里我们可以更多地讨论机器学习,并更深入地探讨为什么与策略管理解决方案集成是有意义的。如果你有自己的问题,一定要让我知道。
