UBA 도구는 개별 사용자가 새 IP 주소에서 로그인하거나 일반적으로 사용하지 않는 민감한 데이터를 보는 등 평소에는 하지 않는 작업을 수행하는 경우를 탐지할 수 있습니다.
이러한 경미한 이상 징후는 다른 네트워크 모니터링 도구를 작동시키지 않을 수도 있습니다. 그러나 UBA는 이 특정 사용자에 대해 이 활동이 비정상적이라고 판단하고 보안팀에 경고할 수 있습니다.
UBA 도구는 미묘하게 의심스러운 행동을 탐지할 수 있기 때문에 보안 운영 센터(SOC)가 내부자 위협, 지능형 지속 위협 및 도난당한 자격 증명을 사용하는 해커와 같은 회피 공격을 발견하는 데 도움이 될 수 있습니다.
이 기능은 오늘날 SOC에 중요합니다. IBM X-Force Threat Intelligence Index에 따르면 유효한 계정의 악용은 사이버 범죄자가 네트워크에 침입하는 가장 흔한 방법입니다.
UBA 도구와 기술은 다양한 분야에서 사용됩니다. 예를 들어, 마케터와 제품 디자이너는 사용자가 앱 및 웹 사이트와 상호 작용하는 방식을 이해하기 위해 사용자 행동 데이터를 추적하는 경우가 많습니다. 그러나 사이버 보안에서 UBA는 주로 위협 탐지에 사용됩니다.
Think 뉴스레터
Think 뉴스레터를 통해 AI, 사이버 보안, 데이터 및 자동화에 대한 선별된 뉴스를 제공하는 보안 리더들과 함께하세요. 받은 편지함으로 직접 제공되는 전문가 튜토리얼과 설명서를 통해 빠르게 배울 수 있습니다. IBM 개인정보 보호정책을 참고하세요.
구독한 뉴스레터는 영어로 제공됩니다. 모든 뉴스레터에는 구독 취소 링크가 있습니다. 여기에서 구독을 관리하거나 취소할 수 있습니다. 자세한 정보는 IBM 개인정보 보호정책 을 참조하세요.
2015년 분석 기관인 Gartner에 의해 처음 정의된 사용자 및 엔터티 행동 분석(UEBA)은 UBA에서 발전한 보안 도구의 한 종류입니다.
UBA와 마찬가지로 UEBA 도구는 네트워크 활동을 모니터링하고, 정상적인 동작에 대한 기준을 설정하고, 이러한 규범에서 벗어나는 것을 감지합니다. 주요 차이점은 UBA가 인간 사용자만 추적하는 반면, UEBA 시스템은 앱이나 디바이스와 같은 비인간 실체의 활동과 지표도 추적한다는 점입니다.
이 용어를 서로 바꿔 사용할 수 있는지에 대한 논쟁이 있습니다. IDC와 같은 일부 기업에서는 이 두 가지가 서로 다른 종류의 기술이라고 주장합니다.1 반면, 전 Gartner 애널리스트인 Anton Chuvakin은 UBA와 UEBA를 거의 동의어라고 생각한다고 말했습니다.
무엇보다도 사용자에 집중한다는 점이 UBA와 UEBA를 보안 정보 및 이벤트 관리(SIEM)나 엔드포인트 탐지 및 대응(EDR)과 같은 유사한 보안 도구와 구분 짓는 요소입니다. 이러한 도구를 통해 보안팀은 개별 사용자 수준에서 시스템 활동을 이해하고 분석할 수 있습니다. 인간이 아닌 개체를 추적하면 컨텍스트를 추가할 수 있지만 이것이 반드시 이러한 도구의 핵심 목적인 것은 아닙니다.
또는 Chuvakin의 말을 인용하자면, "'U'는 필수"이지만, "'U'를 넘어 다른 'E'로 가는 것은 그렇지 않습니다."
사용자 행동 분석 도구는 네트워크 전반의 소스에서 사용자 데이터를 지속적으로 수집하고, 이를 바탕으로 사용자 행동의 기준 모델을 생성하고 정교화하는 데 활용합니다. 이러한 도구는 사용자 활동을 이러한 기준 모델과 실시간으로 비교합니다. 심각한 위험을 초래하는 이상 행동을 감지하면 관련 이해관계자에게 경고합니다.
UBA 도구는 사용자 속성(예: 역할, 권한, 위치)과 사용자 활동(예: 파일 변경 내역, 방문한 사이트, 이동한 데이터)에 대한 데이터를 수집합니다. UBA는 다음을 포함한 다양한 데이터 소스에서 이 정보를 수집할 수 있습니다.
Microsoft Active Directory와 같은 사용자 디렉터리
침입 탐지 및 방지 시스템(IDPS), 라우터, VPN 및 기타 인프라의 네트워크 트래픽 로그
앱, 파일, 엔드포인트 및 데이터베이스의 사용자 활동 데이터
신원 및 액세스 관리 시스템의 로그인 및 인증 데이터
SIEM, EDR 및 기타 보안 도구의 이벤트 데이터
UBA 도구는 데이터 분석을 사용하여 사용자 데이터를 정상적인 활동의 기준 모델로 전환합니다.
UBA 도구는 통계 모델링 및 패턴 일치와 같은 기본 분석 방법을 사용할 수 있습니다. 또한 인공지능(AI), 머신러닝(ML) 등 고급 분석 기술을 사용하는 경우도 많습니다.
AI 및 ML을 통해 UBA 도구는 방대한 데이터 세트를 분석하여 보다 정확한 행동 모델을 생성할 수 있습니다. 또한 머신러닝 알고리즘은 시간이 지남에 따라 이러한 모델을 정교화하여 비즈니스 운영과 사용자 역할의 변화에 맞추어 함께 발전하도록 합니다.
UBA 도구는 개별 사용자와 사용자 그룹 모두에 대한 행동 모델을 생성할 수 있습니다.
개별 사용자의 경우 모델은 사용자가 로그인하는 위치, 다른 앱에서 보내는 평균 시간 등을 기록할 수 있습니다.
부서의 모든 사용자와 같은 사용자 그룹의 경우 모델은 이러한 사용자가 액세스하는 데이터베이스와 상호 작용하는 다른 사용자와 같은 요소를 고려할 수 있습니다.
개별 사용자는 일반적인 업무 시간 동안 사용하는 다양한 앱 및 서비스에 대한 여러 사용자 계정을 가질 수 있습니다. 많은 UBA 도구는 이러한 계정의 활동을 단일 통합 사용자 ID로 통합하는 방법을 학습할 수 있습니다.
계정 활동 통합은 사용자 활동이 네트워크의 서로 다른 부분에 분산되어 있는 경우에도 보안 팀이 행동 패턴을 감지하는 데 도움이 됩니다.
기준 모델을 생성한 후 UBA 도구는 사용자를 모니터링하고 사용자의 행동을 이러한 모델과 비교합니다. 잠재적인 위협을 나타낼 수 있는 편차를 감지하면 보안팀에 경고합니다.
UBA는 여러 다양한 방법으로 이상 징후를 탐지할 수 있으며 많은 UBA 도구는 여러 탐지 방법을 조합하여 사용합니다.
일부 UBA 도구는 규칙 기반 시스템을 사용하여 권한 수준을 벗어난 자산 액세스 시도처럼 경고를 발생시켜야 할 상황을 보안팀이 수동으로 정의합니다.
또한 많은 UBA 도구는 AI 및 ML 알고리즘을 사용하여 사용자 행동을 분석하고 이상 징후를 찾아냅니다. UBA는 AI 및 ML을 통해 사용자의 과거 행동에서 벗어나는 것을 감지할 수 있습니다.
예를 들어, 사용자가 과거에는 근무 시간에만 앱에 로그인했는데 현재는 야간이나 주말에 로그인한다면 이는 계정이 침해되었을 가능성을 의미할 수 있습니다.
또한 UBA 도구는 AI와 ML을 사용하여 사용자를 동료와 비교하고 이러한 방식으로 이상 징후를 감지할 수 있습니다.
예를 들어, 마케팅 부서 직원이 고객의 신용카드 기록에 액세스할 필요는 거의 없습니다. 만약 마케팅 사용자가 이런 기록에 액세스하려 한다면 이는 데이터 유출 시도의 신호일 수 있습니다.
조직은 사용자 행동에 대한 AI 및 ML 알고리즘을 학습시키는 것 외에도 위협 인텔리전스 피드를 활용해 UBA 도구가 알려진 악성 활동 지표를 식별하도록 학습시킬 수 있습니다.
UBA 도구는 사용자가 비정상적인 작업을 수행할 때마다 경고를 발생시키지 않습니다. 사람들이 종종 '이상한' 행동을 하는 데에는 정당한 이유가 있는 경우가 있기 때문입니다. 예를 들어, 새로운 공급업체와 처음 협업하게 되어 이전에는 알지 못하던 대상과 데이터를 공유할 수도 있습니다.
개별 이벤트를 일일이 표시하는 대신 많은 UBA 도구는 각 사용자에게 위험 점수를 할당합니다. 사용자가 비정상적인 행동을 할 때마다 위험 점수가 높아지며 이상 행동이 위험할수록 점수 상승 폭도 커집니다. 사용자의 위험 점수가 특정 임계값을 초과하면, UBA 도구가 보안팀에 경고합니다.
이 방식은 경미한 이상 징후로 보안팀이 과도한 경고를 받는 일을 방지합니다. 그러나 사용자의 활동에서 반복적인 이상 패턴이 나타나는 경우에는 이를 탐지할 수 있어 사이버 위협 가능성을 더 정확히 포착합니다. 또한, 단 한 번의 이상 행동일지라도 위험도가 높다면 경고가 즉시 발생할 수 있습니다.
사용자의 위험 점수가 충분히 높아지면, UBA 도구는 SOC나 사고 대응팀 또는 기타 관련 이해관계자에게 경고합니다.
일부 UBA 도구에는 보안팀이 사용자 활동을 모니터링하고, 위험 점수를 추적하며, 경고를 수신할 수 있는 전용 대시보드가 있습니다. 많은 UBA 도구는 SIEM 또는 기타 보안 도구로 경고를 전송할 수도 있습니다.
UBA 도구는 일반적으로 위협에 직접 대응할 수 있는 능력을 갖추고 있지 않지만, 그러한 기능이 있는 다른 보안 도구와 연동할 수 있습니다.
예를 들어, 일부 ID 및 액세스 관리(IAM) 플랫폼은 적응형 인증에 UBA 데이터를 사용합니다. 사용자의 위험 점수가 특정 임계값을 초과하는 경우(예: 새로운 디바이스에서 로그인하는 경우) IAM 시스템에서 추가 인증 요소를 요청할 수 있습니다.
UBA 도구는 네트워크 내부의 사용자 활동에 초점을 맞추기 때문에 보안팀이 경계 방어를 우회하는 악의적인 공격자를 포착하는 데 도움을 줄 수 있습니다.
더 나아가, UBA는 사용자 행동의 장기적인 패턴을 추적함으로써 가장 정교한 사이버 공격이 남기는 감지하기 매우 어려운 흔적까지 탐지할 수 있습니다.
내부자 위협은 고의적이든 부주의하든, 자신의 정당한 권한을 악용하거나 오용하여 회사에 피해를 주는 사용자를 의미합니다. 이러한 사용자는 자신이 피해를 입히는 시스템에 접근할 권한을 가지고 있는 경우가 많기 때문에 많은 보안 도구가 이를 놓칠 수 있습니다.
반면 UBA는 사용자가 비정상적으로 행동할 때 이를 확인할 수 있습니다. 사용자는 민감한 데이터를 사용할 수 있는 권한을 가질 수 있지만 해당 데이터의 상당 부분을 알 수 없는 디바이스로 전송하는 경우 UBA는 이를 잠재적인 도난으로 플래그를 지정할 수 있습니다.
APT는 몇 달 또는 몇 년 동안 네트워크에 숨어 조용히 데이터를 훔치거나 멀웨어를 퍼뜨릴 수 있습니다. 이는 종종 합법적인 사용자로 가장하고 크고 위험한 행동을 하기보다는 시간이 지남에 따라 많은 작은 조치를 취하여 탐지를 피합니다. UBA는 이러한 장기적인 의심스러운 행동 패턴을 탐지하는 데 탁월합니다.
UBA 도구는 특정 상황에서 오탐이나 미탐을 일으킬 수 있습니다. 조직은 위험 점수를 활용하고 사용자 고유의 패턴에 맞게 AI 및 ML 알고리즘을 학습시켜 이러한 가능성을 줄일 수 있으나 위험을 완전히 제거할 수는 없습니다.
예를 들어, 한 사용자가 계획된 마이그레이션의 일환으로 대량의 민감 데이터를 한 클라우드에서 다른 클라우드로 전송한다고 가정하겠습니다. UBA의 기준 모델은 이러한 승인되었지만 드문 활동을 예외로 인식하지 못해 경고를 발생시킬 수 있습니다.
오탐은 UBA 도구가 잠재적 위협을 허용 가능한 동작으로 처리하는 방법을 학습할 때 발생합니다. 이는 수정 없이 이상 징후가 반복적으로 발생할 때 발생할 수 있습니다.
예를 들어, 데모 중에 고객을 위해 데이터 침해를 시뮬레이션하여 UBA의 위협 탐지 기술을 선보이는 공급업체를 생각해 보십시오. UBA 도구는 동일한 침해가 반복적으로 발생하는 것으로 감지할 것입니다. 결국 도구는 이러한 침해 행위가 매우 정기적으로 발생하기 때문에 정상적인 동작으로 판단하고, 이에 대한 경고를 더 이상 제공하지 않을 수도 있습니다.
일부 공급업체는 독립형 UBA 솔루션을 제공하지만, 시장은 점차 UBA 기능을 다른 보안 도구에 통합하거나 애드온으로 제공하는 방향으로 전환하고 있습니다. 특히 UBA 기능은 SIEM, EDR, IAM 플랫폼에 내장되어 있는 경우가 많습니다.
SIEM은 내부의 다양한 보안 도구에서 발생한 보안 이벤트 데이터를 하나의 로그로 통합하고, 그 데이터를 분석하여 비정상적인 활동을 탐지합니다 현재 많은 SIEM 시스템에는 UBA 기능이 포함되어 있거나 UBA 도구와 쉽게 통합되어, 조직이 SIEM 데이터를 보다 효율적으로 최적화할 수 있도록 돕습니다.
사용자 행동 데이터를 보안 이벤트 데이터와 결합하면 조직이 위협을 더 빨리 발견하고 조사할 가장 위험한 이상 징후의 우선 순위를 지정하는 데 도움이 될 수 있습니다.
UBA는 엔드포인트 활동 데이터에 사용자 행동 데이터를 추가하여 EDR 도구를 보완합니다. 이를 통해 보안 팀은 사용자가 엔드포인트에서 수행하는 작업에 대한 더 많은 인사이트를 얻을 수 있으므로 디바이스 전반에서 의심스러운 동작 패턴을 더 쉽게 식별할 수 있습니다.
조직에서는 IAM 도구를 사용하여 어떤 사용자가 어떤 리소스에 액세스할 수 있는지 제어합니다. 앞서 언급했듯이 UBA 도구를 IAM 시스템과 통합하면 조직은 사용자의 위험 점수가 높아짐에 따라 인증 요구 사항을 강화하는 지능형 적응형 인증 프로세스를 설계할 수 있습니다.