사용자 및 엔티티 행동 분석(UEBA)이란 무엇인가요?
개요
UEBA(사용자 및 엔터티 행동 분석)는 머신러닝(ML), 딥러닝, 통계 분석을 사용하여 기업 네트워크 또는 컴퓨터 시스템에서 사용자 및 엔터티(예: 호스트, 애플리케이션, 네트워크 트래픽, 데이터 리포지토리)의 정상적인 행동 패턴을 식별하는 사이버 보안 솔루션의 한 유형입니다. 이러한 행동 패턴에서 이상 또는 편차가 감지되고 위험 점수가 지정된 임계값을 초과하면 UEBA 솔루션은 잠재적 위협 또는 사이버 공격이 진행 중인지 여부를 보안 운영 센터(SOC) 팀에 알립니다.
특히 많은 레거시 툴이 빠르게 구식이 되어가고 있는 요즘, UEBA는 현대 조직의 사이버 보안 스택에서 필수적인 툴입니다. 사이버 범죄자와 해커가 더욱 정교해지면서 보안 웹 게이트웨이(SWG), 방화벽 및 기타 침입 방지 도구와 같은 기존의 경계 방어 시스템을 더 쉽게 우회할 수 있게 되었습니다.
UEBA가 생소하다면 이 가이드를 통해 쉽게 이해할 수 있습니다. 아래에서는 UEBA 보안의 정의, 작동 방식, 사용자 행동 분석(UBA)과 UEBA의 차이점, UEBA 모범 사례에 대해 설명합니다.
사용자 및 엔티티 행동 분석(UEBA)
UEBA 보안이란 무엇인가요?
기존의 많은 사이버 보안 도구는 통계 분석과 사용자 정의 상관관계 규칙만을 사용하여 행동 패턴의 이상 징후나 편차를 식별합니다. 이러한 도구는 알려진 위협을 차단하는 데는 효과적이지만 알려지지 않은 공격이나 제로데이 공격, 내부자 위협에 대해서는 쓸모가 없습니다. 그러나 UEBA 보안을 사용하면 SOC 팀은 사용자가 정의한 규칙이나 패턴에 의존하지 않고도 전체 기업 네트워크 또는 컴퓨터 시스템에서 비정상적인 행동을 자동으로 탐지할 수 있습니다.
UEBA는 머신러닝, 딥 러닝, 통계 분석 기능을 결합하여 SOC 팀에 보다 포괄적인 위협 탐지 소프트웨어를 제공함으로써 조직이 여러 사용자와 엔터티에 걸친 복잡한 공격을 자동으로 탐지할 수 있도록 지원합니다. 또한 UEBA 솔루션은 로그와 보고서의 데이터를 그룹화하고 파일과 패킷의 정보를 분석할 수 있습니다.
UEBA 보안은 어떻게 작동하나요?
UEBA는 시스템 로그에서 일반적인 사용자 및 엔티티 행동 패턴에 대한 정보를 수집하는 방식으로 작동합니다. 그런 다음 지능형 통계 분석 방법을 적용하여 각 데이터 세트를 해석하고 이러한 행동 패턴의 기준선을 설정합니다. 행동 패턴 기준선을 설정하는 것은 시스템이 잠재적인 사이버 공격이나 위협을 탐지할 수 있게 해주기 때문에 UEBA의 핵심입니다.
UEBA 솔루션을 사용하면 현재 사용자 및 기업의 행동이 개별 기준선과 지속적으로 비교됩니다. 그런 다음 UEBA 사이버 위협 인텔리전스 소프트웨어가 위험 점수를 계산하고 행동 패턴의 이상이나 편차가 위험한지 식별합니다. 위험 점수가 특정 한도를 초과하면 UEBA 시스템은 SOC 팀원에게 경고를 보냅니다.
예를 들어, 사용자가 매일 5MB의 파일을 정기적으로 다운로드하다가 갑자기 기가바이트 용량의 파일을 다운로드하기 시작하면 UEBA 솔루션은 이러한 사용자 행동 패턴의 편차를 식별하고 보안 위협 가능성을 IT 부서에 알립니다.
가트너에 따르면 UEBA 솔루션은 세 가지 핵심 속성으로 정의됩니다:
- 사용 사례: UEBA 솔루션은 사용자와 기업 모두에 대한 행동 패턴을 분석, 탐지, 보고 및 모니터링할 수 있어야 합니다. 또한 과거의 포인트 솔루션과 달리 UEBA는 신뢰할 수 있는 호스트 모니터링이나 사기 탐지와 같은 특수 분석에만 집중하기보다는 다양한 사용 사례에 초점을 맞춰야 합니다.
- 애널리틱스: UEBA 솔루션은 단일 패키지에서 여러 분석 접근 방식을 사용하여 행동 패턴 이상을 탐지할 수 있는 고급 분석 기능을 제공해야 합니다. 여기에는 통계 모델과 머신 러닝 (ML)은 물론 규칙과 시그니처가 포함됩니다.
- 데이터 소스: UEBA 솔루션은 기본적으로 데이터 소스에서 또는 기존 데이터 저장소(예: 보안 정보 및 이벤트 관리(SIEM), 데이터 웨어하우스 또는 데이터 레이크)를 통해 사용자 및 엔터티 활동의 데이터를 수집할 수 있어야 합니다.
UBA 툴과 UEBA 툴의 차이점
가트너에서 정의한 사용자 행동 분석(UBA)은 네트워크 또는 컴퓨터 시스템에서 사용자 행동 패턴을 엄격하게 분석하는 사이버 보안 도구로, UEBA의 전신입니다. UBA 솔루션은 여전히 고급 분석을 적용하여 행동 패턴 이상을 식별했지만 라우터, 서버, 엔드포인트와 같은 다른 개체를 분석할 수 없었습니다.
이후 Gartner는 UBA의 정의를 업데이트하여 사용자와 엔터티(개별 또는 피어 그룹)의 행동 분석을 모두 포함하는 UEBA를 만들었습니다. UEBA 솔루션은 사용자가 정의한 상관관계 규칙에 의존하지 않고 ML과 딥러닝을 사용하여 개인, 디바이스, 네트워크(클라우드 기반 네트워크 포함)에서 내부자 위협(예: 데이터 유출), 지능형 지속 위협 또는 제로데이 공격과 같은 복잡한 공격을 인식하기 때문에 UBA 솔루션보다 더 강력합니다.
UEBA 모범 사례
원칙적으로 UEBA 도구는 기존의 사이버 보안 도구나 모니터링 시스템(예: CASB 또는 침입 탐지 시스템(IDS))을 대체해서는 안 됩니다. 대신 UEBA를 전체 보안 스택에 통합하여 조직의 전반적인 보안 태세를 강화해야 합니다. 기타 UEBA 모범 사례는 다음과 같습니다:
- 지정된 IT 구성원만 UEBA 시스템 알림을 받도록 하세요.
- 권한이 있는 사용자 계정과 권한이 없는 사용자 계정 모두 잠재적으로 위험한 것으로 간주합니다.
- 내부 및 외부 위협을 모두 염두에 두고 새로운 정책과 규칙을 만드세요.
- UEBA를 SIEM과 같은 빅 데이터 보안 분석과 결합하여 복잡하거나 알려지지 않은 위협을 보다 효과적으로 탐지하고 분석하세요.
사이버레스 아크사이트로 UEBA 배포하기 Intelligence
고급 사용자 및 엔터티 행동 분석과 관련해서는 CyberRes(Micro Focus 사업 부문) Arcsight Intelligence 가 복잡한 사이버 위협으로부터 조직을 보호하는 데 도움이 될 수 있습니다. 기업 내 사용자 및 엔터티 행동 패턴에 대한 상황별 보기를 제공하는 강력한 UEBA 도구는 SOC 팀이 너무 늦기전에 내부자 위협 및 APT와같은 위협을 시각화하고 조사할 수 있는 포괄적인 도구를 제공합니다.
ArcSight 행동 분석을 통한 내부자 위협 차단
또한, 저희의 이상 징후 탐지 모델은 모든 사용자나 엔티티의 행동 패턴이 동일할 것으로 예상하지 않으므로 수많은 오탐지 경고를 처리할 필요가 없습니다. ArcSight Intelligence , 저희 소프트웨어는 수학적 확률과 비지도 머신러닝을 활용하여 사이버 위협을 보다 정확하게 식별함으로써 비정상적인 행동과 실제 위협을 명확히 구분합니다.
ArcSight Intelligence 에서 UEBA 솔루션을 활용하여 SOC 팀이 기업 네트워크에 숨겨진 위협을 신속하게 발견하는 방법을 알아볼 준비가 되셨다면 지금 바로 데모를 요청하세요.
