사용자 및 엔티티 행동 분석(UEBA)

UEBA(User and Entity Behavior Analytics) 솔루션은 비정상적인 행동을 기반으로 사이버 보안 위협을 식별하도록 설계되었습니다. 솔루션이 조직의 시스템이 정상적으로 작동하는 방식을 명확하게 이해하면 잠재적인 위협을 나타낼 수 있는 편차를 식별할 수 있습니다. 예를 들어, 회사 데이터베이스에서 대량으로 비정상적인 데이터 다운로드는 데이터 침해가 진행 중임을 나타낼 수 있습니다.

데모 요청하기 자세히 알아보기

사용자 및 엔티티 행동 분석(UEBA)

UEBA(User and Entity Behavior Analytics)는 어떻게 작동하나요?

UEBA 솔루션은 조직의 네트워크를 통해 디바이스에 배포됩니다. 배포 후 일정 기간 동안 UEBA 솔루션은 디바이스를 모니터링하고 정상적인 사용 프로필을 빌드합니다. 여기에는 해당 디바이스의 다양한 사용자에 의한 활동이 포함됩니다. 잠시 후, UEBA는 정상과 비정상으로 간주되는 행동에 대한 좋은 모델을 갖게 되었습니다. 이 시점에서 학습 모드에서 활성 모드로 전환할 수 있습니다.

활성 모드에 있는 동안 UEBA 솔루션은 다양한 작업을 모니터링하고 정상 동작 모델에 따라 평가합니다. 비정상적인 활동이 관찰되면 관리자에게 경고하고 잠재적인 위협을 차단하도록 설계된 응답을 트리거할 수 있습니다.

예를 들어 조직의 사용자는 일반적으로 근무일의 대부분을 문서를 편집하고 인터넷을 검색하는 데 사용할 수 있습니다. 계정이 갑자기 다른 시스템에 요청하고 네트워크를 탐색하기 시작하면 UEBA 솔루션에서 경고를 발생시킬 수 있습니다. 이러한 활동 변경은 무해할 수 있지만 사용자의 자격 증명이 공격자에 의해 손상되었음을 나타낼 수도 있습니다. 이것이 추적인 경우 UEBA 솔루션에서 제공하는 경고는 조직에 문제를 해결할 수 있는 기회를 제공합니다.

사용자 및 엔터티 행동 분석(UEBA)의 필요성

공격자가 사용자 계정에 액세스할 수 있는 경우 목표를 달성하기 위해 멀웨어 및 유사한 기술을 사용할 필요가 없을 수 있습니다. 이로 인해 이러한 유형의 악성 콘텐츠를 탐지하도록 설계된 일부 보안 솔루션에 문제가 발생할 수 있습니다.

그러나 공격자는 목표를 달성하는 과정에서 표준에서 벗어난 행동을 취할 가능성이 높습니다. 예를 들어, 데이터에 액세스하지 않고는 데이터 침해를 수행할 수 없으며 랜섬웨어에는 많은 수의 파일 작업이 포함됩니다. UEBA 솔루션은 이러한 비정상적인 활동을 식별하고 보고할 수 있으므로 조직은 멀웨어 또는 악성 콘텐츠가 없는 경우에도 공격을 탐지할 수 있습니다.

UEBA 혜택

UEBA는 조직의 SOC(보안 운영 센터 )에 다음과 같은 다양한 이점을 제공합니다.

  • 광범위한 위협 탐지: UEBA는 정상적인 동작에서 벗어난 부분을 찾아 위협을 식별합니다. 이를 통해 멀웨어 또는 악성 콘텐츠를 사용하지 않는 위협을 포함하여 광범위한 위협을 식별할 수 있습니다.
  • 자동 분석: UEBA는 대량의 데이터를 자동으로 수집 및 분석하여 모델을 구축하고 비정상적인 이벤트를 감지합니다. 이렇게 하면 보안 분석가가 이 분석을 수행할 필요 없이 중요한 컨텍스트를 얻을 수 있습니다.
  • 향상된 보안: UEBA는 다른 보안 솔루션으로는 탐지하기 어려운 내부자 위협 및 기타 위험을 식별할 수 있습니다. 결과적으로 조직의 사이버 공격 위험을 줄일 수 있습니다.

UEBA vs. NTA

UEBA와 네트워크 트래픽 분석(NTA)(네트워크 탐지 및 대응(NDR )이라고도 함)은 모두 동일한 위협 중 일부를 식별할 수 있으며 둘 다 머신 러닝 및 데이터 분석 과 같은 유사한 기술을 사용합니다. 그러나 그들은 동일한 솔루션이 아닙니다. 예를 들어, NTA는 비정상으로 레이블이 지정된 이벤트뿐만 아니라 조직 네트워크의 이벤트에 대한 광범위한 가시성을 제공할 수 있습니다. 반면, UEBA 솔루션은 모니터링되는 디바이스의 로컬 이벤트에 대한 가시성을 제공하는 반면, NTA는 네트워크 수준 이벤트에 대한 가시성만 제공합니다.

UEBA vs. 보안 정보 및 이벤트 관리(SIEM)

UEBA와 보안 정보 및 이벤트 관리( 보안 정보 및 이벤트 관리 (SIEM)) 솔루션은 모두 머신 러닝 및 데이터 분석을 사용하여 위협을 식별합니다. 그러나 서로 다른 유형의 위협을 식별하도록 설계된 서로 다른 솔루션입니다.

일반적으로 보안 정보 및 이벤트 관리(SIEM) 솔루션은 덜 정교하고 일회성 위협을 식별할 수 있으며 보안 관리에 중점을 둡니다. 그러나 보다 정교하고 미묘한 공격 캠페인에 대한 가시성이 부족할 수 있습니다.

반면 UEBA 솔루션은 사용자 및 디바이스의 프로필을 구축하고 이러한 프로필과의 편차를 찾는 데 더 중점을 둡니다. 이를 통해 보다 미묘한 공격을 식별하고 보안 정보 및 이벤트 관리(SIEM)가 놓칠 수 있는 내부자 위협을 탐지할 수 있습니다.

인피니티 XDR과 UEBA

UEBA 솔루션은 조직의 보안 스택에 있는 다른 솔루션을 보완하는 중요한 기능을 제공합니다. UEBA는 잠재적인 공격과 연결될 수 있는 비정상적인 동작을 탐지하고 보고함으로써 조직의 보안 팀이 악성 콘텐츠를 식별하고 차단하는 데 중점을 둔 다른 솔루션에서 놓칠 수 있는 내부자 위협 및 기타 공격을 탐지할 수 있도록 합니다.

UEBA 기능은 엔터프라이즈 통합 보안 플랫폼의 일부가 되어야 합니다. 체크 포인트 Infinity XDR(확장 탐지 및 대응)은 다른 다양한 보안 기능과 함께 UEBA를 제공합니다. 이 솔루션 브리프에서 Infinity XDR의 전체 기능에 대해 자세히 알아보세요. 그렇다면 지금바로 무료 데모에 등록 하여 Infinity XDR이 지능형 보안 위협으로부터 조직을 보호하는 데 어떻게 도움이 되는지 자세히 알아보세요.

×
  피드백
이 웹사이트는 기능 및 분석, 마케팅 목적으로 쿠키를 사용합니다. 이 웹사이트를 계속 이용하면 쿠키 사용에 동의하는 것입니다. 자세한 내용은 쿠키 관련 공지사항을 참조하세요.
확인