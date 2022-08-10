UEBA는 기업이 의심스러운 행동을 식별하고 데이터 손실 방지(DLP) 노력을 강화하는 데 도움이 됩니다. UEBA는 이러한 전술적 용도 외에도 사용자 데이터 및 개인정보 보호와 관련된 규정을 준수하는 것을 입증하는 등 보다 전략적인 목적으로도 사용될 수 있습니다.

전술적 사용 사례

악의적인 내부자 – 기업 네트워크에 대한 승인된 권한, 심지어 특권을 가진 내부자들이 사이버 공격을 시도하는 경우입니다. 로그 파일이나 이벤트 기록과 같은 데이터만으로는 이러한 내부자를 항상 감지할 수 없지만 고급 분석은 감지할 수 있습니다. UEBA는 IP 주소가 아닌 특정 사용자에 대한 인사이트를 제공하기 때문에 보안 정책을 위반하는 개별 사용자를 식별할 수 있습니다.

도용된 자격 증명을 보유한 내부자 – 이러한 공격자는 피싱 수법, 무차별 공격 또는 기타 수단을 사용해 인증된 사용자나 디바이스의 자격 증명을 도용합니다. 도용된 합법적인 자격 증명을 사용하면 공격자가 권한이 있는 내부자로 보이므로 일반적인 보안 툴로는 이를 감지하지 못할 수 있습니다. 일단 내부에 침입한 공격자는 네트워크 전반에 걸쳐 수평 이동하며 새로운 자격 증명을 획득하여 권한을 확대하고 더 민감한 자산에 접근합니다. 합법적인 자격 증명을 사용하는 경우에도 UEBA는 이러한 공격자의 비정상적인 행동을 탐지하여 공격을 차단할 수 있습니다.

손상된 엔터티 – 특히 제조업체와 병원을 비롯한 많은 조직에서 보안 구성이 거의 없거나 전혀 없는 상태에서 IoT 디바이스와 같은 많은 수의 연결된 디바이스를 사용합니다. 이러한 엔터티는 보호 기능이 없기 때문에 해커의 주요 표적이 되며, 해커는 이와 같은 디바이스를 탈취하여 중요한 데이터 소스에 액세스하고 운영을 방해하거나 분산 서비스 거부(DDoS) 공격을 수행할 수 있습니다. UEBA는 공격을 받은 엔터티가 훼손되었음을 나타내는 동작을 식별할 수 있어 위협이 확산되기 전에 해결할 수 있도록 지원합니다.

데이터 유출 – 내부자 위협과 악의적인 공격자는 손상된 서버, 컴퓨터 또는 기타 디바이스에서 개인 데이터, 지적 재산 또는 비즈니스 전략 문서를 훔치려고 하는 경우가 많습니다. UEBA는 비정상적인 다운로드 및 데이터 액세스 패턴을 보안 팀에 알려 실시간으로 데이터 유출을 발견할 수 있도록 지원합니다.

전략적 사용 사례

제로 트러스트 보안 구현 – 제로 트러스트 보안 접근 방식은 네트워크 외부에 있든 이미 내부에 있든 모든 사용자 또는 엔터티를 절대 신뢰하지 않고 지속적으로 검증하는 방식입니다. 특히 제로 트러스트를 사용하려면 애플리케이션과 데이터에 대한 액세스 권한을 부여받기 전에 모든 사용자와 엔터티가 인증, 권한 부여 및 검증을 받아야 하며, 이후에도 세션 전체에서 해당 액세스를 유지하거나 확장하기 위해 지속해서 재인증, 재승인, 재검증을 받아야 합니다.

효과적인 제로 트러스트 아키텍처는 네트워크의 모든 사용자, 디바이스, 자산 및 엔터티에 대한 가시성을 최대한 확보해야 합니다. UEBA는 보안 분석가에게 네트워크에 연결을 시도하는 디바이스, 권한이 없는 활동을 시도하는 사용자 등 모든 최종 사용자 및 엔터티 활동에 대한 풍부한 실시간 가시성을 제공합니다.

GDPR 준수 – 유럽 연합의 일반 데이터 보호 규정(GDPR)은 민감한 데이터를 보호하기 위해 조직에 엄격한 요구 사항을 제시하고 있습니다. GDPR에 따라 기업은 액세스 된 개인 데이터를 추적하여 누가 액세스하고 어떻게 사용되며 언제 삭제되는지 추적해야 합니다. UEBA 툴은 사용자 행동과 사용자가 액세스하는 민감한 데이터를 모니터링하여 기업이 GDPR을 준수하는 데 도움을 줄 수 있습니다.