Questa è la previsione fatta da Avivah Litan, analista di Gartner, nel suo ultimo post sul blog, Il mercato UEBA che scompare. Naturalmente ha attirato la nostra attenzione qui a Vectra. Non siamo un'azienda indipendente di analisi del comportamento dell'entità utente (UEBA), né vogliamo esserlo. Siamo innanzitutto un'azienda di intelligenza artificiale che fornisce assistenza ai cacciatori di minacce. Ma spesso ci troviamo a discutere con persone che credono che l'UEBA da sola risolverà i problemi del mondo (e forse farà anche il caffè al mattino).
In tutta serietà, diventa confuso cercare di capire le sfumature della tecnologia quando l'obiettivo finale è sempre lo stesso. L'obiettivo di Vectra è quello di andare a caccia di minacce. Lo stesso vale per UEBA, ma con un tocco: in poche parole, identifica gli utenti che si comportano in modo diverso.
Qui sta il problema. L'UEBA presuppone che tutti i comportamenti anomali siano negativi, cosa che tutti sanno non essere vera. Invece di limitarsi a rilevare i comportamenti anomali, è molto più importante individuare con il massimo grado di certezza la gravità delle minacce reali alle risorse chiave.
È questa la differenza tra i semplici modelli di anomalie e i più importanti modelli di comportamento degli aggressori su cui si concentra Vectra. Le anomalie specifiche da ricercare e il modo in cui vengono combinate con l'euristica e altre tecniche sono fondamentali.
Il giusto mix di entrambi vi permette di individuare i comportamenti rivelatori delle minacce che smascherano i veri cyberattaccanti, anziché costringervi a capire manualmente se semplici stranezze possano portare a qualcosa di più serio.
Litan di Gartner prosegue affermando che i fornitori di UEBA saranno assorbiti dal mercato della gestione delle informazioni sugli eventi di sicurezza (SIEM). In base alle mie osservazioni, questo passaggio ha perfettamente senso: l'UEBA sfrutta i log per l'analisi, cosa che già avviene nei SIEM.
Utilizzando l'intelligenza artificiale che fornisce una caccia alle minacce automatizzata in tempo reale, Vectra rileva i comportamenti di attacco all'interno delle reti e li classifica con punteggi di minaccia e certezza.
Queste informazioni critiche provenienti da Vectra vengono facilmente trasmesse alle soluzioni UEBA, di rilevamento e risposta endpoint , NAC e firewall, automatizzando così le capacità di rilevamento e risposta in tempo reale.
Vectra sostiene un approccio architettonico per raggiungere questa integrazione dell'ecosistema. Questo blog spiega come ci collochiamo all'interno dell'architettura di sicurezza adattiva di Gartner e fornisce indicazioni sulla mappatura del vostro ecosistema e sull'integrazione di strumenti e sistemi di sicurezza diversi, compresi i SIEM.