来源:https://www.esecurityplanet.com/products/top-ueba-vendors.html
想要将高级分析或机器学习能力添加到IT安全库的组织有一个相对新的选择:用户和实体行为分析(user and entity behavior analytics ,UEBA)。
虽然UEBA的解决方案只存在了几年,但它们很快就在大型企业中流行起来。据高德纳咨询公司(Gartner)的数据,独立的UEBA解决方案的销量每年都在翻番,今年有望达到2亿美元。此外,许多供应商正在将UEBA功能并入其他安全工具,如安全信息和事件管理(SIEM)、网络流量分析、身份和访问管理(IAM)、端点安全、数据丢失预防或员工监视工具。Gartner分析师Avivah Litan预计,在未来5年内,独立的UEBA产品将会发展成为下一代SIEM解决方案,而其他UEBA产品将会进入其他安全技术领域。
一、UEBA解决方案如何工作
UEBA解决方案识别典型用户行为中的模式,然后查明与这些模式不匹配的异常活动,并与安全事故相对应。
例如,假设一家公司有一个名为Bob的开发人员。每天早晨,鲍勃早上8点左右登录网络。,有时来自家里,有时来自办公室。他首先检查他的电子邮件和公司的协作平台。然后,他每天大部分时间都在他的IDE中编写代码,在公司的基于云的开发和测试环境中工作,并访问与开发相关的网站。他可以访问许多不同的公司数据库,这些数据库是他正在创建的应用程序的一部分。他经常在午餐时工作,但他总是在周四中午休息一小时。他通常会在下午6或7点的时候离开。
之后的一天,鲍勃在一个星期四的中午下班回家,他从家里回来。他没有检查他的电子邮件或打开他的IDE,而是直接去了数据库,里面装满了客户信息,并开始查找特定的名字。他似乎没有对任何信息进行数字化复制或转移,但他确实查阅了大约25个人,他们都是财富500强企业的高管。
这类活动显然有点可疑。也许鲍勃只是略过了他平常的午餐约会,感觉有点不舒服,需要一些纪律处分。或者,他的密码已经被破解,黑客们正在寻找可以用来攻击该公司客户的网络钓鱼攻击的数据。或者,一个高级持久的威胁已经付给Bob很多钱,让他们从公司数据库获得一些信息。
这种类型的行为可能不会被其他安全解决方案所发现,但是UEBA解决方案可以发现它并在实时或接近实时的情况下标记它,允许安全人员快速地进行调查和响应。
为了描述这种类型的能力,这个行业似乎围绕着“用户和实体行为分析”这个术语,这是高德纳公司最喜欢的技术名称。然而,一些厂商继续使用“用户行为分析”或简单的“行为分析”。一些供应商说这三种术语的含义略有不同,而另一些则可以互换使用。这个购买指南包括使用所有三个描述符的产品。
一些专家认为,UEBA产品将慢慢被其他类型的产品所吸收,比如SIEM、IAM或端点安全解决方案。高德纳(Gartner)的阿维娃·利坦(Avivah Litan)甚至写道:“到2022年,将不再有UEBA市场。”当然,在这个领域已经有了很多的收购,在未来的5年里,看看这个购买指南中有多少供应商继续提供独立的UEBA产品,这将是很有趣的。
二、UEBA产品的最小特性
UEBA的解决方案应该提供什么?这个购买指南只包括独立的UEBA产品。它并不全面,但确实包括了目前市场上大多数知名的UEBA产品。
为了纳入购买指南,UEBA解决方案必须提供以下功能:
监视和分析用户和其他实体的行为。
检测可以指示内部攻击或危害用户凭证的异常行为
使用高级分析来检测多种威胁。
提供将可能与单个安全事件相关的多个异常活动关联的能力。
提供实时或接近实时的性能。
三、顶级UEBA解决方案
解决方案是按字母顺序排列的,还有我们从供应商信息中获得的特征。在这篇文章的底部是一个图表,分解了这些产品的一些特性。
3.1 Balabit Blindspotter
Balabit于2000年在布达佩斯成立,总部设在纽约,在布达佩斯、德国、匈牙利、法国、卢森堡、以色列和英国设有办事处。它从C5资本获得了800万美元的资金。它将自己描述为“领先的特权访问管理提供者(PAM)和日志管理解决方案”。该公司声称拥有超过100万的企业用户,其中包括25家财富100强公司的用户。
附加功能:
自动回复;
与Balabit特权会话管理、SIEMs、日志管理解决方案、LDAP和/或Active Directory集成;
风险评分;
屏幕内容分析;
识别击键和鼠标移动的行为生物识别技术。
市场和用例:企业安全运营团队,特别是在金融和电信领域。
交付:本地软件
定价:可根据要求提供报价。
3.2 Dtex Enterprise
Dtex系统于2000年在澳大利亚推出,现在在圣何塞安家落户。它已经从Norwest Venture Partners和Wing Venture Capital筹集了1500万美元的资金。它的UEBA平台是它的主要产品。
附加功能:
可视化;
指示板;
法庭审计跟踪;
专家调优;
警报审查;
与白金版中可用的第三方解决方案的集成;
市场和用例:企业安全运营团队。
交付:本地软件
端点:无限
吞吐量/带宽限制:没有;Dtex收集器每天将大约1-2 MB的用户发送到服务器。
定价:Dtex信号产品只提供用户行为的可见性,每个用户每月2美元。企业和白金版本合并分析,可应要求提供报价。
3.3E8 Security Fusion Platform
E8安全系统以一个数学概念命名,于2013年由一个在大数据分析、安全和机器学习方面拥有丰富经验的团队创建。它的Fusion UEBA平台是唯一的产品,它可以检测内部和外部的威胁。该公司已从阿莱格斯资本、3月资本合作伙伴、战略网络风险投资公司和蜂巢筹集了2180万美元的资金。
附加功能:
与其他安全解决方案集成;
一键搜索和筛选;
非监督机器学习;
Hadoop-based;
无代理(Agentless);
市场和用例:企业安全运营团队。
交付:本地软件
定价:可根据要求提供报价。
3.4Exabeam Advanced Analytics
现在,4岁的Exabeam提供了一个SIEM平台,集成了它的独立产品,用于日志管理、UEBA、事件响应、查询和云集成。该公司总部位于加州圣马特奥市,已获得6500万美元的融资,其中包括今年早些时候完成的3000万美元融资。该公司的主要投资者包括光速创投和思科投资。根据该公司的说法,Exabeam Advanced Analytics是“世界上部署最多的行为分析平台”。
附加功能:
与其他Exabeam产品和大多数SIEM产品集成;
接受来自数百个不同来源的数据;
专利会话数据模型;
风险评分;
Ransomware检测和预防;
会话时间线;
预警优先化;
市场和用例:任何大型组织。Exabeam为联邦政府机构设立了一个特别的咨询委员会和项目;
交付:物理设备或云准备的虚拟机;
端点:无限;
吞吐量/带宽限制:没有;水平扩展;
定价:可根据要求提供报价;
3.5Forcepoint Insider Threat
Forcepoint公司声称其用户行为监测技术已经保护了政府和其他组织长达15年之久。它以前被称为Websense,成立于1994年。在雷声公司以19亿美元的价格收购了该公司之后,它被重新命名为“Forcepoint”,并将其与雷声公司的网络产品和Stonesoft组织合并。Forcepoint目前拥有超过2万名客户。
附加功能:
分布式体系结构
个人每日综合风险得分。
风险优先级
可定制的策略
可视化
用户屏幕的视频回放。
时间线
取证
基于代理的
市场和用例:企业安全运营团队。
交付:本地软件
端点:无限
吞吐量/带宽限制:没有
定价:可根据要求提供报价。
3.6Fortscale
Fortscale专门研究用户行为分析,专门针对针对内部威胁的分析。它提供了两种产品:SOC的Fortscale UEBA,这是为公司在其安全操作中心部署而设计的,以及Fortscale Presidio,一个UEBA引擎,其他安全厂商可以嵌入到他们的产品中。该公司于2012年在以色列的特拉维夫成立,募集了3900万美元的资金,其中包括在2017年2月完成的700万美元的融资。主要投资者包括Blumberg Capital、CME Ventures、Evolution Equity Partners、英特尔Capital和Valor Capital Group。
附加功能:
与DLP和其他安全解决方案的集成;
多元风险评分;
智能警报;
一键式调查能力;
警报转发;
Hadoop-based;
Darknet分析;
无代理;
市场和用例:安全供应商,各种规模的组织;
交付:on -premises软件(只在Linux上运行)或嵌入到其他安全解决方案中;
定价:可根据要求提供报价。
3.7Gurucul Risk Analytics (GRA)
Gurucul提供三种不同类型的安全分析:UEBA、身份分析和云安全分析。都是基于其预测基于身份行为异常引擎(PIBAE)。有关该公司财务状况的细节难以获得,但它是由曾为身份管理供应商Vaau工作过的安全老兵于2009年创建的,该公司是由Sun Microsystems收购的,然后是甲骨文公司(Oracle)。它的总部设在洛杉矶。
附加功能:
大量机器学习算法库;
模糊基于逻辑链接分析;
粒度自适应风险模型;
无签名的;
模块化的体系结构;
事务得分;
风险等级的时间线;
混合了UEBA和身份分析的混合行为分析;
Hadoop-based;
市场和用例:企业安全操作;
交付:设备、虚拟机、云或裸金属;
定价:可根据要求提供报价。
3.8Haystax Technology Constellation Analytics Platform
总部位于弗吉尼亚州麦克莱恩市的Haystax公司的5000万用户中,有许多联邦政府机构和金融机构的雇员。据该公司网站介绍,它还“帮助保护了最后7个超级碗”。该公司成立于2012年,募集资金仅400万美元,但已经完成了三笔收购:2013年4月的数字沙箱,2013年5月的FlexPoint技术,以及2014年8月的NetCentrics公司。
附加功能:
内部可信度的综合观点;
贝叶斯分析;
误报率低;
协作可视化;
威胁报警;
资产编目;
事件监控;
事故报告;
无代理;
市场和用例:联邦政府、金融行业、企业IT安全、公共安全;
交付:软件或基于云计算的;
端点:无限;
吞吐量/带宽限制:没有;
定价:可根据要求提供报价。
3.9HPE Niara
HPE在2017年2月宣布了收购行为分析公司Niara的计划。交易条款没有披露。Niara于2013年在加州森尼维尔成立,在购买之前获得了2940万美元的资金。HPE表示,计划将Niara公司纳入Aruba ClearPass网络安全投资组合。HPE在2015年以30亿美元收购了Aruba。
附加功能:
交互式可视化;
从几乎任何来源获取数据;
集成取证;
Entity360风险概况;
风险评分;
使长期历史调查;
与SIEM和其他安全解决方案集成;
无代理;
市场和用例:企业安全运营团队;
交付:现场或云软件或设备;也可作为on-premises Hadoop应用程序可用;
端点:无限;
吞吐量/带宽限制:没有;
定价:可根据要求提供报价。
3.10Interset
总部位于加拿大渥太华的Interset之前被称为FileTrek,提供基于云的软件,用于分享和跟踪企业内容。随着时间的推移,该公司开发了大数据分析和安全能力,并在2014年推出了行为分析平台。今天,该公司只专注于安全分析和UEBA。该公司获得了1000万美元的投资资金,同时还获得了1000万美元的投资。
附加功能:
可扩展到超过25万用户;
被多个美国情报机构使用;
灵活、可扩展的分析引擎;
200多个机器学习模型;
与大多数SIEM系统集成;
Hadoop-based;
可选的代理;
市场和用例:企业安全运营团队;
交付:本地或云;
端点:无限;
吞吐量/带宽限制:没有(带宽使用率非常低);
定价:可以在请求。
3.11微软高级威胁分析
2014年11月,微软宣布收购总部位于以色列的安全情报初创公司Aorato。在收购之前,Aorato已经获得了1100万美元的股权融资。2015年,微软向其企业移动套件添加了高级威胁分析,并将其作为独立产品提供。有点让人困惑的是,微软认为先进的威胁分析是其云平台的一部分,但该产品只能用于现场部署。
附加功能:
SIEM集成;
攻击时间线;
移动性支持;
组织安全图;
电子邮件警报;
深度数据包检测;
无代理;
市场和用例:小企业;
交付:本地软件;
端点:数十万支持;
吞吐量/带宽限制:没有;
定价:在各种许可策略下可获得的报价和可协商的报价。独立许可证的预估价格为每位用户80美元,每台操作系统每年为61.50美元。
3.12Palo Alto Networks LightCyber Magna
帕洛阿尔托网络公司最近收购了LightCyber,目前还不清楚该公司计划将LightCyber的UEBA解决方案作为独立产品提供多长时间。最终,LightCyber可能会被合并到Palo Alto的下一代防火墙中。就目前而言,该公司似乎仍在提供其Magna的平台。在收购之前,LightCyber已经获得了3,650万美元的资金。它成立于2011年。
附加功能:
网络处理(N2PA)技术;
恶意软件检测;
Magna云专家系统sandbox检查系统;
灵活的部署;
高度可操作的警报数量少;
网络流量分析;
与其他安全工具的集成;
隔离功能;
无代理;
市场和用例:企业安全运营团队;
交付:硬件或虚拟设备,on-premises或cloud;
定价:可根据要求提供报价。
3.13Preempt
虽然它成立于2014年,但它在2016年夏天才悄然兴起。它将其UEBA产品称为“行为防火墙”,它还提供了身份验证解决方案和免费密码健康检查器。该公司已筹集了1000万美元的资金。
附加功能:
自动响应警报
用户风险评分
多因素身份验证功能
事件分类和优先级
事件响应
取证分析
降低警报
与其他安全解决方案的集成。
市场和用例:企业安全运营团队。
交付:本地软件
定价:可根据要求提供报价。
3.14 RedOwl
RedOwl于2011年在马里兰州的巴尔的摩成立,并从投资者那里筹集了2160万美元。除了帮助识别网络攻击之外,RedOwl还声称它的UEBA平台还能检测到工作场所的暴力和骚扰,识别不需要的知识产权,以及潜在的飞行风险以及确保遵守金融行业法规的员工。
附加功能:
从任何来源获取数据;
可扩展数据模型;
通信分析;
可视化;
基于角色的仪表盘;
自然语言处理;
内容分类;
风险评分;
将数据转换为描述;
市场和用例:企业安全运营团队和监视团队,特别是在金融服务行业;
交付:On-premises软件、设备或虚拟私有云;
定价:可根据要求提供报价。
3.15Securonix Bolt
Securonix最近推出的产品——斯诺克安全分析平台,融合了SIEM、UEBA和欺诈检测能力。然而,该公司还提供了一个名为Bolt的独立UEBA解决方案。该公司成立于2008年,在德州的艾迪生设有办事处;旧金山,新泽西州泽西市,洛杉矶,亚特兰大,乔治亚州,弗吉尼亚州维也纳,英国和印度也有相关办事处。Securonix表示,世界500强企业中有三分之一使用其产品。
附加功能:
超过1000个单击部署威胁模型;
350个连接器;
可视化;
调查和应对能力;
欺诈报告;
贸易监测;
患者数据分析;
威胁模型交换库;
预测和自适应学习;
与SNYPR安全分析平台集成;
无代理;
市场和用例:企业安全运营团队,特别是大型企业;
交付:On-premises软件或基于云的;
定价:可根据要求提供报价。
3.16Splunk用户行为分析
尽管Splunk以其日志监控和分析解决方案而闻名,但它也提供了基于hadoop的UBA解决方案。该公司成立于2003年,是为了支持开源Splunk软件,现在该公司声称拥有超过13000名客户,其中包括《财富》100强中的85家。该公司在纳斯达克(NASDAQ)的标志“SPLK”(SPLK)下公开交易,2016年的收入为9.5亿美元。Splunk公司拥有2700多名员工,总部位于旧金山。
附加功能:
安全指示板;
Hadoop-based;
多维行为基线;
与Splunk企业和Splunk企业安全集成;
异常的探索;
无代理;
市场和用例:企业安全运营团队;
交付:On-premises软件或AWS服务;
端点:单个节点上的500,000个端点(附加节点的附加扩展);
吞吐量/带宽限制:没有;
定价:可根据要求提供报价。
3.17Varonis DatAlert
Varonis创建于2005年,提供各种数据管理、治理和安全产品,包括UBA提供的DatAlert。它的重点主要是保护公司免受内部威胁。在初创公司的日子里,Varonis在2014年上市之前从股票公司筹集了2879万美元。它的股票现在在纳斯达克市场以VRNS的名义交易。2016年,该公司的收入为1.645亿美元。公司总部设在纽约。
附加功能:
预测威胁模型;
安全时间机器;
与其他安全解决方案的集成;
基于web的仪表盘;
预警得分和优先级;
自定义警报条件;
为某些平台代理,为其他平台代理;
市场和用例:企业安全运营团队;
交付:本地软件;
端点:不适用;UEBA发生在服务器上,而不是端点;
吞吐量/带宽限制:没有;
定价:可根据要求提供报价。
3.18Veriato Recon
总部位于佛罗里达州棕榈滩花园。Veriato专注于员工监控解决方案,包括Recon,它的UEBA产品。该公司成立于1998年,原名Spectorsoft。该公司在100多个国家拥有超过5万名客户。
附加功能:
简单的调优;
行为组;
报警;
与SIEM和其他安全解决方案集成;
心理语言学分析;
屏幕快照;
击键记录;
基于代理的;
市场和用例:企业安全运营团队和人力资源部门;
交付:本地软件;
端点:20万的单个实例;
吞吐量/带宽限制:没有;
定价:可根据要求提供报价。
3.19ZoneFox
ZoneFox成立于2012年,是一家位于苏格兰爱丁堡的小型初创公司。2015年,该公司获得了650,000英镑的融资,而且是英国代码库技术孵化器的一部分。2016年末,该公司宣布计划将员工人数增加三倍,希望在2017年底前雇佣30人。
附加功能:
详细的取证;
可视化;
指示板;
联邦安全;
网络监控;
增强情报;
基于代理的;
市场和用例:企业安全运营团队,特别是银行、制造商和游戏开发商;
交付:On-premises软件或基于云的;
定价:可根据要求提供报价。
四、 UEBA产品特性比较
下面是比较19个UEBA供应商解决方案的图表:
