UEBAが現代の攻撃を止められない理由

UEBAのセキュリティ・ギャップ

UEBAは異常なユーザーやエンティティの振る舞いを特定しますが、事前に定義されたベースラインと統計モデルに依存しているため、攻撃者は回避することができます。洗練された脅威、インサイダー攻撃、クラウドベースの侵害は、しばしばUEBAの検出を回避するため、セキュリティ・チームは誤検出が多く、攻撃者の行動をリアルタイムに把握することができません。

攻撃者はいかにしてUEBAを回避するか

1.スロー＆アダプティブ・アタック 

攻撃者は通常のアクティビティに紛れ込み、徐々に権限をエスカレートさせ、異常を誘発しないようにする。

2.クラウドとSAASの盲点 

UEBAは、IDベースの攻撃が発生する最新のクラウドやSaaSアプリケーションに対する深い可視性を欠いていることが多い。

3.アラート過多と誤検知 

UEBAは大量のアラートを生成するため、SOCチームは本当の脅威に集中することが難しくなる。

UEBAの可視性ギャップが現実にもたらすもの

以下のScattered Spider シナリオでは 、UEBAが失敗するのはUEBAが無関係だからではなく、最新のハイブリッド攻撃における攻撃者の行動を検知 するスピード、スコープ、特異性が欠けているからだ。 

UEBAが異常を検知-現代の攻撃者は適応する

UEBAは行動を分析しますが、リアルタイムでの検知や、ネットワーク、クラウド、IDをまたがる攻撃者の動きに関する深いコンテキストが欠けています。 ゆっくりと行動を変えたり、盗んだ認証情報を使用したりする攻撃者は、UEBAを完全に回避することができます。

UEBAは統計的モデリングと振る舞い ベースライニングを適用している：

• 攻撃者がゆっくりと特権をエスカレートさせた場合は？UEBAはインクリメンタルな変更を悪意があるものとしてフラグを立てないかもしれない。
• クラウドベースの脅威が検知されないとしたら？UEBAはSaaSやハイブリッド・クラウドのワークロードとの深い統合を欠いていることが多い。
• ノイズが多すぎるとしたら？セキュリティチームは、優先順位が明確でないアラートに圧倒されています。

Vectra AIがギャップを埋める方法

UEBAは、通常の行動からの逸脱を識別しますが、低速でステルス性の高いクラウドベースの攻撃を検知 ことは困難です。 Vectra AI Platformは、リアルタイムで脅威を検知し、異常な振る舞い 超えた攻撃者の動きを明らかにします。

• アクティブな攻撃を検知：AIは統計的な異常値だけでなく、実際の脅威を識別します。
• クラウドとアイデンティティのリスクを監視UEBAが苦手とするハイブリッド環境やSaaS環境を深く可視化します。
• 警戒の疲労を軽減：ノイズを遮断し、信頼性の高い検知を浮上させます。

Vectra AIは、アイデンティティの行動を時系列でマッピングし、人間および人間以外のアイデンティティの正常な行動を追跡します。これにより、従来のUEBAソリューションよりも96%少ないアラートで、特権の乱用、不正な横移動、リスクの高い自動化行動を検知 することができます。

Vectra AIとUEBAの比較

UEBAは異常を特定し、Vectra AIは行動の逸脱を超えた真の脅威を検出します。両者の比較は以下の通り：