UEBA(사용자 및 엔터티 동작 분석)란?

UEBA의 핵심은 UBA(사용자 동작 분석) 및 EBA(엔터티 동작 분석) 두 가지 주요 구성 요소로 구성됩니다.

UBA를 사용하면 조직에서 사용자 동작을 이해하여 잠재적인 보안 위험을 확인하고 중지할 수 있습니다. 이는 사용자 활동 전반의 패턴을 모니터링하고 분석하여 일반적인 동작에 대한 기준 모델을 형성함으로써 수행됩니다. 모델은 이 동작 학습 패턴에 따라 특정 사용자가 특정 활동을 수행할 확률을 결정합니다.

UBA와 마찬가지로 EBA는 조직이 네트워크 쪽에서 잠재적인 사이버 위협을 식별하는 데도 도움이 될 수 있습니다. EBA는 서버, 애플리케이션, 데이터베이스 및 IoT(사물 인터넷)와 같은 사람이 아닌 엔터티 간의 활동을 모니터링하고 분석합니다. 이렇게 하면 무단 데이터 액세스 또는 비정상적인 데이터 전송 패턴과 같이 위반을 나타낼 수 있는 의심스러운 동작을 식별할 수 있습니다.

UBA와 EBA는 함께 지리적 위치, 디바이스, 환경, 시간, 빈도 및 피어 또는 조직 전체 동작을 포함하여 다양한 아티팩트를 비교하는 솔루션을 형성합니다.

UEBA는 조직의 네트워크를 통해 연결된 모든 데이터 원본에서 사용자 및 엔터티 데이터를 수집합니다. 사용자 데이터에는 로그인 활동, 위치 및 데이터 액세스 패턴이 포함될 수 있지만 엔터티 데이터에는 네트워크 디바이스, 서버, 엔드포인트, 애플리케이션 및 기타 추가 서비스의 로그가 포함될 수 있습니다.

UEBA는 수집된 데이터를 분석하고 이를 사용하여 모든 사용자 및 엔터티에 대한 기준 또는 일반적인 동작 프로필을 정의합니다. 그런 다음, 기준선을 사용하여 들어오는 데이터에 따라 시간에 따라 지속적으로 학습하고 조정하는 동적 동작 모델을 만듭니다.

UEBA는 일반적인 동작에 대한 지침으로 기준을 사용하여 사용자 및 엔터티 활동을 실시간으로 모니터링하여 조직이 자산이 손상되었는지 확인할 수 있도록 지원합니다. 시스템은 경고를 트리거하는 비정상적으로 대용량 데이터 전송의 시작과 같은 일반적인 기준 동작에서 벗어나는 비정상적인 활동을 검색합니다. 자체적인 변칙이 반드시 악의적이거나 의심스러운 동작을 나타내는 것은 아니지만 검색, 조사 및 위협 헌팅을 개선하는 데 사용할 수 있습니다.

사용자 동작, 변칙 유형 및 잠재적 위험 수준에 대한 인사이트를 포함하는 경고는 SOC(보안 운영 센터) 팀에 전송됩니다. SOC 팀은 정보를 수신하고 동작, 컨텍스트 및 위험 우선 순위에 따라 조사를 추가로 수행해야 하는지 여부를 결정합니다.

조직은 광범위한 cyberthreat Cyber threat Intelligence는 조직이 사이버 공격으로부터 더 잘 보호하는 데 도움이 되는 정보입니다.사이버 위협 솔루션과 함께 UEBA를 사용하여 통합 보안 플랫폼을 형성하고 전반적으로 더 강력한 보안 상태를 누릴 수 있습니다. UEBA는 또한 모니터링을 위한 MDR(관리 검색 및 응답) 도구 및 PAM(권한 있는 액세스 관리) 솔루션과, 작업 및 대응을 위한 SIEM(보안 정보 및 이벤트 관리) 및 인시던트 대응 도구와 함께 작동합니다.

위협위협 인텔리전스를 사용하여 쿼리가 의심스러운 동작을 발견했는지 여부를 확인합니다. 동작이 의심스러운 경우 변칙은 추가 조사를 위한 잠재적 경로를 가리킵니다. UEBA는 사용자 와 엔터티 사이의 패턴을 분석하여 잠재적인 인시던트 또는 위반으로 에스컬레이션하기 전에 초기 사이버 위협, 내부자 사이버 위협, DDoS 공격 및 무차별 암호 대입 공격 등 훨씬 더 광범위한 사이버 공격을 더 빨리 검색할 수 있습니다.

UEBA 모델은 데이터 분석을 사용하여 진화하는 사용자 및 엔터티 동작 패턴에서 지속적으로 학습하는 기계 학습 알고리즘에 의해 구동됩니다. 보안 요구 사항에 실시간으로 적응함으로써 보안 솔루션은 정교한 사이버 위협을 포함하는 변화하는 보안 환경에도 효과적으로 유지될 수 있습니다.

보안 분석가는 변칙을 사용하여 위반을 확인하고, 위반을 평가하고, 잠재적 보안 인시던트에 대한 시기적절하고 실행 가능한 인사이트를 제공하며, SOC 팀에서 사례를 추가로 조사하는 데 사용할 수 있습니다. 이로 인해 더 빠르고 효율적인 인시던트 해결이 수행되어 전체 조직에서 사이버 위협의 전반적인 영향을 최소화할 수 있습니다.

하이브리드 또는 원격 작업 시대에서 오늘날의 조직은 항상 진화하는 사이버 위협과 마주하고 있으며, 이 때문에 해당 방법도 진화해야 합니다. 새로운 사이버 위협과 기존 사이버 위협을 보다 효과적으로 감지하기 위해 보안 분석가는 변칙을 찾습니다. 단일 변칙이 반드시 악의적인 동작을 나타내는 것은 아니지만 킬 체인에 여러 변칙이 있으면 더 큰 위험을 나타낼 수 있습니다. 보안 분석가는 식별된 비정상적인 동작에 대한 경고를 추가하여 검색을 더욱 향상시킬 수 있습니다. 조직은 UEBA를 채택하고 기존 사무실 설정 이외의 디바이스를 포함하도록 보안 범위를 확장함으로써 로그인 보안을 사전에 개선하고 사이버 위협을 완화하며 전체적으로 복원력과 보안 환경을 강화할 수 있습니다.

금융 서비스 및 의료 서비스와 같은 규제된 산업에서 데이터 보호 및 개인 정보 보호 규정은 모든 회사가 준수해야 하는 표준과 함께 제공됩니다. UEBA’의 지속적인 모니터링 및 보고 기능은 조직에서 이러한 규정 준수 요구 사항을 추적하는 데 도움이 됩니다.

UEBA는 조직에 귀중한 인사이트를 제공하지만 고려해야 할 고유한 과제 집합도 함께 제공합니다. 다음은 UEBA를 구현할 때 해결해야 하는 몇 가지 일반적인 문제입니다.

• 가양성 및 부정
  경우에 따라 UEBA 시스템은 정상적인 동작을 의심스러운 것으로 잘못 분류하고 가양성(false positive)을 생성할 수 있습니다. UEBA는 거짓 부정을 생성할 수 있는 실제 보안 사이버 위협을 누락할 수도 있습니다. 보다 정확한 사이버 위협 탐지를 위해 조직은 주의하여 경고를 조사해야 합니다.
  
  
• 엔터티 간에 일관되지 않은 이름 지정
  리소스 공급자는 도메인 이름 컨텍스트가 없는 사용자 이름과 같이 엔터티를 충분히 식별하지 않는 경고를 만들 수 있습니다. 이 경우 사용자 엔터티를 동일한 계정의 다른 인스턴스와 병합할 수 없으며 별도의 엔터티로 식별됩니다. 이러한 위험을 최소화하려면 표준화된 양식을 사용하여 엔터티를 식별하고 엔터티를 ID 공급자와 동기화하여 단일 디렉터리를 만드는 것이 중요합니다.
  
  
• 개인 정보 보호 문제
  강화된 보안 작업은 개별 개인 정보 보호 권한을 희생해서는 안 됩니다. 사용자 및 엔터티 동작을 지속적으로 모니터링하면 윤리 및 개인 정보 보호와 관련된 질문이 제기되므로 보안 도구, 특히 AI 강화 보안 도구를 책임감 있게 사용해야 합니다.
  
  
• 빠르게 진화하는 사이버 위협 
  UEBA 시스템은 변화하는 사이버 위협 환경에 적응하도록 설계되었지만 빠르게 진화하는 사이버 위협과 보조를 맞추는 데 여전히 어려움을 겪을 수 있습니다. 사이버 공격 기술 및 패턴이 변화’함에 따라 조직의 요구 사항을 해결하기 위해 UEBA 기술을 계속 조정하는 것이 중요합니다.

기계 학습, AI 통합 및 데이터 분석의 발전으로 UEBA의 미래를 밝게 보고 있습니다. 다음은 UEBA의 발전에 영향을 미칠 가능성이 높은 가장 매력적인 추세 및 개발 중 몇 가지입니다.

• 발전 AI 사이버 보안
  AI 및 기계 학습이 계속해서 더 강력하고 정교해짐에 따라 UEBA’의 예측 기능은 더욱 발전할 것으로 예상됩니다. 들어오는 데이터를 기반으로 지속적으로 학습하는 기계 학습 알고리즘은 복잡한 패턴과 변칙을 더 잘 식별하고, 사이버 위협 탐지의 정확도를 향상시키고, 가양성을 줄여야 합니다.
  
  
• XDR(확장 검색 및 응답) 및 EDR(엔드포인트 검색 및 응답) 통합 
  UEBA는 EDR 및 XDR 솔루션은 AI 및 자동화를 사용하는 통합 보안 인시던트 플랫폼입니다.XDR 솔루션과 더욱 긴밀하게 통합될 것으로 예상됩니다. EDR 솔루션은 보안 범위를 확장하여 엔드포인트 간에 플랫폼 간 가시성을 제공합니다. XDR 솔루션은 네트워크, 서버, 클라우드 기반 애플리케이션 및 엔드포인트를 비롯한 광범위한 제품에 보안을 제공하여 이 범위를 더욱 넓혀 줍니다. UEBA를 XDR 및 EDR에 통합하면 조직이 다중 클라우드 다중 플랫폼 환경에서 사이버 위협을 보다 효과적으로 감지하고 대응할 수 있도록 이러한 솔루션에서 제공하는 위협 인텔리전스가 향상됩니다.
  
  
• 인시던트 대응 자동화 
  UEBA 인사이트와 결합하면 자동화된 인시던트 응답이 더 빠르고 정교하며 더 효율적이 되어 전체 보안 인시던트의 영향을 줄일 수 있습니다.
  
  
• 보다 사전 예방적인 보안 기능 
  UEBA는 ID 및 엔드포인트 검색과 보호 솔루션에 추가로 포함됩니다. 점점 더 정교해지는 사이버 공격에 직면하면서 UEBA는 보완적인 보안 솔루션과 함께 발전하여 더 많은 고급 위협 탐지와 신속한 인시던트 대응을 제공할 것입니다. 예를 들어 관리되는 MXDR(확장 검색 및 응답)은 관리되는 모니터링, 헌팅 및 수정 서비스(MDR)를 XDR의 확장된 보안 보호와 결합하여 엔드포인트를 넘어 빠르고 효과적이며 사전 예방적 사이버 위협 범위를 제공합니다. 이러한 새로운 UEBA 기능을 통해 SOC 팀은 다양한 IT 환경에서 사이버 위협을 사전에 검색할 수 있으므로 조직에서 새로운 사이버 위협보다 앞서 나갈 수 있습니다.

NTA(네트워크 트래픽 분석)는 실제로 UEBA와 많은 유사성을 공유하지만 포커스, 애플리케이션 및 규모 측면에서는 다른 사이버 보안 접근 방식입니다. 포괄적인 사이버 보안 솔루션을 구성할 때 두 가지 방법이 함께 잘 작동합니다.

• 기계 학습 및 AI를 통해 네트워크 내에서 사용자 및 엔터티의 동작을 이해하고 모니터링하는 데 중점을 둡니다.
• 로그인 활동, 액세스 로그 및 이벤트 데이터뿐만 아니라 엔터티 간의 상호 작용을 포함할 수 있는 사용자 및 엔터티 원본에서 데이터를 수집합니다.
• 모델 또는 기준을 사용하여 잠재적인 인시던트를 초래할 수 있는 내부자 위협, 손상된 계정 및 비정상적인 동작을 식별합니다.

• 데이터 패킷을 검사하고 잠재적 위협을 나타낼 수 있는 패턴을 식별하여 네트워크 내 데이터의 흐름을 이해하고 모니터링하는 데 중점을 둡니다.
• 네트워크 로그, 프로토콜, IP 주소 및 트래픽 패턴을 포함할 수 있는 네트워크 트래픽 데이터를 수집합니다.
• 트래픽 패턴을 사용하여 DDoS 공격, 맬웨어, 데이터 도용 및 반출과 같은 네트워크 기반 위협을 식별합니다.
• UEBA뿐만 아니라 다른 네트워크 보안 도구 및 기술과 원활하게 작동합니다.

사이버 보안 위협이 빠른 속도로 계속 발전함에 따라 UEBA 솔루션은 이전보다 조직의 방어 전략에 더욱 중요해지고 있습니다. 향후 사이버 위협으로부터 기업을 더 잘 보호하는 핵심은 지속적 교육, 사전 대응, 인식 고취입니다.

차세대 UEBA 기능으로 조직의 사이버 보안 강화에 관심이 있는 경우 최신 옵션을 살펴보는 것이 좋습니다. 통합 보안 운영 솔루션 SIEM 및 UEBA의 기능을 통합하여 조직이 한 플랫폼에서 정교한 사이버 위협을 실시간으로 보고 중지할 수 있도록 지원합니다. 클라우드, 플랫폼 및 엔드포인트 서비스에서 통합 보안 및 가시성을 통해 더 빠르게 이동합니다. 전체 기술 스택에서 보안 데이터를 집계하여 보안 상태의 전체 개요를 확인하고 AI를 사용하여 잠재적 사이버 위협을 파악합니다.