Комментарии 8
UEBA? Это шутка такая? Как газмяс?
Чую - пора валить с хабра
Да, это профессиональный акроним, к сожалению, часть профессиональных терминов пришло к нам из других стран. Так например, в информационной безопасности часто расследование компьютерных инцидентов рассматривают на ТТ MITRE, а все средства защиты информации относят к разным категориям (DLP, NAC, TI, SGRS и тд...). Посмотрите карту рынка ИБ 2023 год на портале Аналитического центра TAdviser. Категория "Системы анализа поведения пользователей и сущностей (UEBA)" - 12 компаний. Хотя как по мне так в этой категории гораздо больше продуктов. Мы же можем в этот раздел добавить и песочницы, там же присутствует поведенческий анализ вредоносов...
Есть ли перспектива в развитии UEBA?
Есть, если моделирование проводится не студентами, которые в реальности не сталкивались с угрозами ИБ, не участвовали в расследованиях инцидентов. Хотя многие средства защиты из-за этого развиваются сами в себе, а кто их эксплуатирует страдают и подстраиваются.
Есть ли перспектива в развитии UEBA в информационной безопасности?
Для кого конкретно перспективы? Для разработчиков? До тех пор, пока некоторые холдинги будут покупать перекрашенные и чуть-чуть подкрученные, лишт бы запускались open-source и другие с нарешенной лицензией средства, конечно есть преспективы.. А если серьезно, то только реально предотвращенные убытки от инцидентов ИБ могут показать преспективность этого направления.
Проблема с моделированием и с созданием наборов данных очень актуальная. Брать в чистом виде то, что лежит в открытом доступе для ueba не получается. Тк в наших инфраструктурах слишком все-таки много специфических процессов, традиций работы и функций у устройств. Мы делаем наборы сами, над этой задачей работает 2 полноценных группы и есть свой киберполигон. Про студентов у меня даже были публикации в научных журналах за рубежом на эту тему. Мы с коллегами из СПб ФИЦ РАН (Лаборатория проблем компьютерной безопасности) в свое время показали как размечают наборы студенты и доказали, что вообще-то нейросеть справляется лучше ) Но это было по ботам в социальных сетях. Отдельно как нибудь расскажу, покажу результаты экспериментов. Было интересно.
По второму вопросу соглашусь с Вами, я все таки сторонник реального импортозамещения и верю, что в наших силах создавать прекрасные решения. Можно конечно брать и базовые открытые вещи, но в России очень большая и сильные математические и инженерные школы, все можно делать гораздо лучше чем то, что перекрашивают "из коробки".
я все таки сторонник реального импортозамещения и верю, что в наших силах создавать прекрасные решения. Можно конечно брать и базовые открытые вещи, но в России очень большая и сильные математические и инженерные школы
А вот тут есть "раскоряка" на самом деле
- с одной стороны, импортозамещение ради импортозамещения, сделаем всё сами с нуля, и всё такое,
- а с другой - глобализация, при которой даже у опенсорсного решения пользовательская база может превышать весь рынок страны, и ресурсов в его разработку может быть вложено больше, чем способен вложить отечественный разработчик за то время, за какое от него потребитель согласен подождать адекватное решение.
В этом контексте хотелось бы услышать как раз от вас обоснование того, что "перспектива в развитии UEBA" есть именно написании полностью своего, а не улучшении существующего для применениях его в каких-то специфических нишах. Или каково вообще ваше видение баланса между "сделать своё vs улучшить существующее"?
вроде бы логично использовать для этой технологии ML с обучением (на инцидентах), но тут вроде про другие подходы. Профилирование + выявление отклонений.
Поведенческий анализ — дискуссия об UEBA