Dies ist eine Vorhersage der Gartner-Analystin Avivah Litan in ihrem jüngsten Blogeintrag, Der verschwindende UEBA-Markt. Natürlich hat sie unsere Aufmerksamkeit hier bei Vectra erregt. Wir sind kein eigenständiges Unternehmen für User-Entity-Behaviour-Analytics (UEBA) und wollen es auch gar nicht sein. In erster Linie sind wir ein KI-Unternehmen, das Bedrohungsjägern die nötigen Fähigkeiten verleiht. Aber wir finden uns oft in dieser Diskussion mit Leuten wieder, die glauben, dass UEBA allein die Probleme der Welt lösen wird (und vielleicht auch den Kaffee am Morgen kocht).
Ganz im Ernst: Es ist verwirrend, die Nuancen der Technologie zu verstehen, wenn das Ziel immer das gleiche ist. Das Ziel von Vectra ist die Jagd nach Bedrohungen. Das Gleiche gilt für UEBA, aber mit einem kleinen Unterschied: Es identifiziert Benutzer, die sich anders verhalten.
Genau hier liegt das Problem. UEBA geht davon aus, dass jedes anomale Verhalten schlecht ist, was, wie jeder weiß, nicht der Fall ist. Anstatt einfach nur merkwürdiges Verhalten zu erkennen, ist es viel wichtiger, den Schweregrad echter Bedrohungen für wichtige Vermögenswerte mit einem Höchstmaß an Sicherheit zu erkennen.
Im Kern ist dies der Unterschied zwischen einfachen Anomaliemodellen und den wichtigeren Modellen zum Verhalten von Angreifern, auf die sich Vectra konzentriert. Die spezifischen Anomalien, nach denen Sie suchen, und die Art und Weise, wie sie mit Heuristiken und anderen Techniken kombiniert werden, sind entscheidend.
Mit der richtigen Mischung aus beidem können Sie die verräterischen Verhaltensweisen von Bedrohungen erkennen, die echte Cyberangreifer entlarven, anstatt manuell herausfinden zu müssen, ob einfache Unregelmäßigkeiten zu etwas Ernsterem führen könnten.
Litan von Gartner fährt fort, dass die UEBA-Anbieter in den Markt für Security Event Information Management (SIEM) integriert werden. Nach meinen eigenen Beobachtungen macht diese Verschiebung durchaus Sinn: UEBA nutzt Protokolle für die Analyse, die bereits in SIEMs stattfindet.
Mithilfe künstlicher Intelligenz, die eine automatisierte Bedrohungsjagd in Echtzeit ermöglicht, erkennt Vectra das Angriffsverhalten in Netzwerken und priorisiert es anhand von Bedrohungs- und Sicherheitsbewertungen.
Diese wichtigen Informationen von Vectra können problemlos in UEBA, endpoint detection and response, NAC und Firewall-Lösungen eingespeist werden, wodurch die Erkennungs- und Reaktionsmöglichkeiten in Echtzeit automatisiert werden.
Vectra befürwortet einen architektonischen Ansatz, um diese Ökosystemintegration zu erreichen. In diesem Blog wird erläutert, wie wir uns in die adaptive Sicherheitsarchitektur von Gartner einfügen, und es werden Anleitungen für die Abbildung Ihres Ökosystems und die Integration unterschiedlicher Sicherheitstools und -systeme, einschließlich SIEMs, gegeben.