UEBA는 사용자 및 법인 행동 분석을 의미합니다. 이전에는 사용자 행동 분석으로 알려졌던 UEBA는 잠재적인 사이버 보안 위험 또는 위협을 식별하기 위해 사용자 행동 이상을 추적하는 프로세스입니다. 사용자 행동에 대한 대규모 데이터 세트를 보유하고, 사이버 공격을 사전에 방어하거나 과도한 피해를 입히기 전에 차단할 수 있는 경고 또는 특정 조치를 트리거하기 위해 해당 세트 내의 데이터 표준과 다른 데이터를 사용하는 것이 좋습니다.
UEBA는 어떻게 작동하나요?
UEBA는 정상적인 행동과 비정상적인 행동을 구분하기 위해 조직 내 사용자 및 법인의 행동을 추적합니다. 사이버 보안의 맥락에서 사용자 또는 조직은 IT 시스템, 비즈니스 프로세스 또는 조직(정부 포함)일 수 있습니다.
UEBA는 데이터를 지속적으로 검토하고 분석하여 특정 활동이나 행동이 이상한지, 사이버 공격을 초래할 수 있기 때문에 잠재적으로 위험한지 여부를 판단하여 이러한 사용자와 법인을 모니터링합니다.
예를 들어, 해커는 직원의 암호를 훔쳐 시스템에 로그인할 수 있습니다. 해당 시스템에 들어가면 해커는 사용자가 과거에 행동했던 방식과 완전히 다른 방식으로 행동하여 사이버 위협 경보를 촉발할 수 있습니다.
UEBA는 머신러닝, 통계 분석 및 고급 분석의 조합을 통해 이러한 정교한 이상 추적을 달성합니다. 일반적으로, UEBA 시스템은 사용자 행동에 대한 “기준선”을 설정하고 이 기준선과 활동을 비교합니다.
UEBA 대 SIEM: 어떻게 다른가요?
보안 정보 및 이벤트 관리(SIEM)는 대시보드를 사용하여 모든 보안 관련 정보 및 이벤트에 대한 전체적인 뷰를 제공한 다음 필요한 경우 알림을 트리거합니다. SIEM 플랫폼은 다양한 보안 툴 및 IT 시스템에서 데이터를 수집 및 집계한 다음 해당 데이터를 분석합니다.
반면, UEBA 시스템은 머신러닝을 적용하여 사용자 행동을 분석하므로, 이 정보를 사용하여 잠재적인 사이버 위협을 예측하고 실시간 경보를 보낼 수 있습니다. SIEM은 원래의 프로세스이지만, 기업들은 곧 UEBA 전략을 SIEM에 통합함으로써 SIEM이 위협을 실시간으로 모니터링하고 신속하게 대응하는 데 훨씬 더 효과적이라는 사실을 알게 되었습니다. UEBA는 사용자 행동을 추적하고 분석하지만 SIEM은 그렇지 않기 때문입니다.
UBA 대 UEBA: 동일한가요?
사용자 행동 분석(UBA)과 UEBA의 차이점을 이해하면 “E”가 추가된 이유와 누가 추가했는지 이해할 수 있습니다.
“UEBA”의 “E”는 “법인”을 의미하며, 2017년 가트너 마켓 가이드에서 발췌했습니다. “UBA” 대신 “UEBA”를 사용한 것은 이번이 처음이었습니다. 그때까지 UBA 기술의 주요 초점은 데이터 도난과 사기였습니다. 그러나 기업들은 관리형 및 비관리형 엔드포인트, 클라우드 및 모바일 애플리케이션, 네트워크 및 다양한 외부 위협 등 사이버 위협이 사용자들보다 훨씬 높은 곳에서 발생하기 시작했다는 사실을 깨달았습니다. 가트너는 이러한 사이버 리스크의 다른 출처를 “법인”이라고 칭했습니다.
즉, UBA와 UEBA는 동일하지 않지만 매우 밀접한 관련이 있습니다. UEBA는 UBA의 최신 버전입니다.
UEBA와 SOAR 비교: 어떤 것이 더 나을까요?
SOAR(Security Orchestration, Automation and Response) 툴을 통해 조직은 다양한 시스템과 플랫폼에서 데이터를 수집하고 중앙 집중화하여 보안 위협에 더 빠르게 대응할 수 있습니다. 이러한 방식으로 SOAR 툴은 모든 사이버 보안 관련 데이터 및 활동에 대한 “단일 진실 소스”를 달성하는 방법으로 간주됩니다. 또한 SOAR 시스템을 사용하여 낮은 수준의 보안 위협에 대한 대응을 자동화할 수 있습니다.
SOAR은 자동화, 데이터 수집 및 집계를 강조하지만, UEBA는 사용자 및 엔터티 동작 분석에 중점을 둡니다. SOAR은 속도를 높일 수 있지만, UEBA는 SOAR이 할 수 없는 이상을 발견할 수 있습니다. 따라서 도구나 방법이 다른 도구나 방법보다 더 낫지 않습니다. 오히려 서로 보완적이고, 서로 다른 혜택을 제공하며, 서로 함께 사용하는 것이 가장 좋습니다.
UEBA를 사용해야 하는 세 가지 이유
UEBA는 잠재적인 사이버 위협을 모니터링하고 제한하는 강력한 도구입니다. 다음은 UEBA를 사용해야 하는 세 가지 주요 이유입니다.
- 공격 표면 감소
UEBA는 보안팀에게 시스템의 허점과 약점을 알려 전체 공격 표면을 줄여 사이버 공격의 가능성을 줄입니다.
- 운영 효율성 향상
UEBA는 자동화 및 머신러닝을 통해 위협을 식별하고 검증함으로써 보안팀의 수작업 워크로드를 줄일 수 있습니다. 이를 통해 보안 전문가들은 경보를 추적하는 대신 실제 위협에 더 많은 시간을 집중할 수 있습니다.
- 슈퍼파워
“슈퍼파워”는 과장될 수 있지만, UEBA는 잠재적인 데이터 유출이 발생하기 전에 탐지하고, 하이재킹된 계정을 식별하고, 권한의 오용을 방지하는 기능을 포함하여 특정 사이버 보안 관련 특수한 권한을 조직에 제공합니다.
이러한 이유로, UEBA는 특히 SOAR과 같은 다른 전략과 함께 사이버 공격을 선제적으로 식별하고 예방하며 조직의 사이버 위협에 대한 노출을 줄이는 매우 효과적인 방법입니다.