UEBA(사용자 및 엔터티 행동 분석)는 머신 러닝(ML), 딥 러닝 및 통계 분석을 사용하여 기업 네트워크 또는 컴퓨터 시스템에서 사용자 및 엔터티(예: 호스트, 애플리케이션, 네트워크 트래픽 및 데이터 저장소)의 정상적인 행동 패턴을 식별하는 사이버 보안 솔루션의 한 유형입니다. 이러한 행동 패턴에서 이상 징후나 편차가 감지되고 위험 점수가 지정된 임계값을 초과하면 UEBA 솔루션은 잠재적 위협 또는 사이버 공격이 진행 중인지 여부를 보안 운영 센터(SOC) 팀에 알립니다.

특히 많은 레거시 도구가 빠르게 구식이 되어가는 현대 조직의 사이버 보안 스택에서 UEBA는 필수적인 도구입니다. 사이버 범죄자와 해커의 수법이 더욱 정교해지면서 보안 웹 게이트웨이(SWG), 방화벽 및 기타 침입 방지 도구와 같은 기존의 경계 방어 시스템을 더 쉽게 우회할 수 있게 되었습니다.

UEBA에 익숙하지 않다면 이 가이드를 통해 자세히 알아보세요. 아래에서는 UEBA 보안의 정의, 작동 방식, 사용자 행동 분석(UBA)과 UEBA의 차이점, UEBA 모범 사례에 대해 설명합니다.

사용자 및 엔티티 행동 분석(UEBA)

UEBA 보안이란 무엇인가요?

기존의 많은 사이버 보안 도구는 통계 분석과 사용자 정의 상관관계 규칙만을 사용하여 행동 패턴의 이상 징후나 편차를 식별했습니다. 이러한 도구는 알려진 위협을 차단하는 데는 효과적이지만 알려지지 않은 공격이나 제로데이 공격 및 내부자 위협에 대해서는 쓸모없습니다. 그러나 UEBA 보안을 사용하면 SOC 팀은 사용자 정의 규칙이나 패턴에 의존하지 않고도 전체 기업 네트워크 또는 컴퓨터 시스템에서 비정상적인 동작을 자동으로 탐지할 수 있습니다.

UEBA는 ML, 딥 러닝, 통계 분석의 힘을 결합하여 SOC 팀에 보다 포괄적인 위협 탐지 소프트웨어를 제공함으로써 조직이 여러 사용자와 엔터티에 걸쳐 복잡한 공격을 자동으로 탐지할 수 있도록 지원합니다. 또한 UEBA 솔루션은 로그와 보고서의 데이터를 그룹화하고 파일과 패킷의 정보를 분석할 수 있습니다.

UEBA 보안은 어떻게 작동하나요?

UEBA는 시스템 로그에서 일반적인 사용자 및 엔티티 행동 패턴에 대한 정보를 수집하여 작동합니다. 그런 다음 지능형 통계 분석 방법을 적용하여 각 데이터 세트를 해석하고 이러한 행동 패턴의 기준선을 설정합니다. 행동 패턴 기준선을 설정하는 것은 시스템이 잠재적인 사이버 공격이나 위협을 탐지할 수 있게 해주는 UEBA의 핵심입니다.

UEBA 솔루션을 사용하면 현재 사용자 및 엔티티의 동작을 개별 기준선과 지속적으로 비교할 수 있습니다. 그런 다음 UEBA 사이버 위협 인텔리전스 소프트웨어가 위험 점수를 계산하고 행동 패턴의 이상 징후나 편차가 위험한지 식별합니다. 위험 점수가 특정 한도를 초과하면 UEBA 시스템에서 SOC 팀원에게 경고를 보냅니다.

예를 들어, 사용자가 매일 5MB의 파일을 정기적으로 다운로드하다가 갑자기 기가바이트 용량의 파일을 다운로드하기 시작하면 UEBA 솔루션은 이러한 사용자 행동 패턴의 편차를 식별하고 보안 위협 가능성을 IT 부서에 알립니다.

가트너에 따르면 UEBA 솔루션은 세 가지 핵심 속성으로 정의됩니다:

사용 사례: UEBA 솔루션은 사용자와 엔터티 모두의 행동 패턴을 분석, 감지, 보고 및 모니터링할 수 있어야 합니다. 또한 과거의 포인트 솔루션과 달리 UEBA는 신뢰할 수 있는 호스트 모니터링이나 사기 탐지 등 특수한 분석에만 집중하기보다는 다양한 사용 사례에 초점을 맞춰야 합니다.
애널리틱스: UEBA 솔루션은 단일 패키지에서 여러 분석 접근 방식을 사용하여 행동 패턴 이상을 감지할 수 있는 고급 분석 기능을 제공해야 합니다. 여기에는 통계 모델과 머신 러닝 (ML), 규칙 및 서명이 포함됩니다.
데이터 소스: UEBA 솔루션은 기본적으로 데이터 소스에서 또는 기존 데이터 저장소(예: 보안 정보 및 이벤트 관리(SIEM), 데이터 웨어하우스 또는 데이터 레이크)를 통해 사용자 및 엔터티 활동의 데이터를 수집할 수 있어야 합니다.

UBA 툴과 UEBA 툴의 차이점

가트너에서 정의한 사용자 행동 분석(UBA)은 네트워크 또는 컴퓨터 시스템에서 사용자 행동 패턴을 엄격하게 분석하는 사이버 보안 도구로, UEBA의 전신입니다. UBA 솔루션은 여전히 고급 분석을 적용하여 행동 패턴 이상을 식별하지만 라우터, 서버, 엔드포인트와 같은 다른 엔티티를 분석할 수 없었습니다.

이후 가트너는 UBA의 정의를 업데이트하여 사용자와 엔터티(개별 또는 피어 그룹)의 행동 분석을 모두 포함하는 UEBA를 만들었습니다. UEBA 솔루션은 사용자 정의 상관관계 규칙에 의존하지 않고 ML과 딥 러닝을 사용하여 개인, 디바이스, 네트워크(클라우드 기반 네트워크 포함)에서 내부자 위협(예: 데이터 유출), 지능형 지속적 위협, 제로데이 공격과 같은 복잡한 공격을 인식하므로 UBA 솔루션보다 더 강력합니다.

UEBA 모범 사례

일반적으로 UEBA 툴은 CASB 또는 침입 탐지 시스템(IDS)과 같은 기존 사이버 보안 툴이나 모니터링 시스템을 대체해서는 안 됩니다. 대신 UEBA를 전체 보안 스택에 통합하여 조직의 전반적인 보안 태세를 강화해야 합니다. 다른 UEBA 모범 사례는 다음과 같습니다:

지정된 IT 구성원만 UEBA 시스템 알림을 받도록 하세요.
권한이 있는 사용자 계정과 권한이 없는 사용자 계정 모두 잠재적으로 위험한 것으로 간주합니다.
내부 및 외부 위협을 모두 염두에 두고 새로운 정책과 규칙을 만드세요.
UEBA를 SIEM과 같은 빅 데이터 보안 분석과 결합하여 복잡하거나 알려지지 않은 위협을 보다 효과적으로 탐지하고 분석할 수 있습니다.

사이버레스 아크사이트 인텔리전스를 통한 UEBA 배포

고급 사용자 및 엔터티 행동 분석과 관련하여 CyberRes(Micro Focus 사업부)의 Arcsight Intelligence는 복잡한 사이버 위협으로부터 조직을 보호하는 데 도움이 될 수 있습니다. 기업 내 사용자 및 엔터티 행동 패턴에 대한 컨텍스트화된 보기를 제공하는 강력한 UEBA 도구는 SOC 팀에내부자 위협 및 APT와 같은 위협을 너무 늦기 전에시각화하고 조사할 수 있는 포괄적인 도구를 제공합니다.

ArcSight 행동 분석을 통한 내부자 위협 차단

또한, 저희의 이상 징후 탐지 모델은 모든 사용자나 엔티티의 행동 패턴이 동일할 것으로 예상하지 않으므로 오탐 알림의 홍수를 처리할 필요가 없습니다. ArcSight Intelligence 소프트웨어는 수학적 확률과 비지도 머신러닝을 활용하여 사이버 위협을 보다 정확하게 식별함으로써 비정상적인 행동과 실제 위협을 명확히 구분합니다.

ArcSight Intelligence가 UEBA 솔루션을 활용하여 SOC 팀이 기업 네트워크에 숨겨진 위협을 신속하게 발견하는 데 어떻게 도움이 되는지 알아볼 준비가 되셨다면 지금 바로 데모를 요청하세요.