
UEBA는 'User and Entity Behavior Analytics(사용자와 엔티티의 행동분석)'의 약자로 기계학습과 딥러닝을 이용하여 사내 네트워크상의 사용자 및 기타 엔티티의 통상적인 행동을 학습하고 이상행동을 감지하고 그 행동에 보안상의 영향이 있는지를 추정하는 새로운 분야의 보안 솔루션입니다.
상호 연관 규칙이나 이미 알려진 공격 패턴을 기반으로 하는 기존 보안 툴과 달리 UEBA는 노이즈에 섞인 새로운 유형의 공격이나 인시던트를 식별할 수 있습니다.여기에는 제로 데이 공격이나 내부 부정이 포함됩니다.
UEBA와 SIEM의 차이점은?
SIEM(Security Information and Event Management) 시스템은 보안 운영 센터(SOC)의 중요한 인프라입니다.SIEM은 많은 엔터프라이즈 시스템 및 기타 보안 도구와 연동하여 기업 전체의 보안 로그와 이벤트를 모두 수집하고 이러한 이벤트를 분석하여 보안 팀을 위한 알림을 생성합니다.
UEBA는 SIEM과 깊이 관련되어 있습니다.그것은 많은 기능이 공통적이기 때문입니다.둘 다 기업 네트워크에서 이벤트를 수집하고 분석하여 알림을 생성합니다.그러나 UEBA 솔루션이 분석면에 주력하는 반면 SIEM 시스템은 매우 폭넓은 보안 데이터를 다루는 데 능하며 보안 분석가용으로 데이터를 정리합니다.이것에 의해 SOC에서는, 계통 세운 처리가 가능하게 됩니다.
UEBA는 인시던트 대응에 어떻게 도움이 되는가?
UEBA는 현대 인시던트 대응에서 중요한 요소입니다.과거에는 보안 분석가들은 대량의 알림을 보다 나누어 '진짜' 보안 인시던트를 발견했고, 그 후 추가 증거를 조사하여 무슨 일이 일어났는지 밝혔습니다.
UEBA는 이 프로세스의 대부분을 자동화합니다.구체적으로는 보안상 특히 중요한 이벤트를 특정해 같은 보안 인시던트의 일부를 구성하고 있을 가능성이 있는 관련 이벤트를 정리합니다.이렇게 UEBA는 조직이 보다 신속하고 정확한 인시던트 대응을 실행할 수 있도록 지원하고 보안 분석가의 귀중한 시간도 절약할 수 있습니다.
UEBA(사용자 및 개체 행동분석)의 일본시장 규모 추이와 예측

일본에서의 UEBA 시장의 2020년도 매출 금액은 18억2,000만엔, 전년도 대비 56.9% 증가했습니다. 2021년도는 60.4% 증가한 29억2,000만엔정도입니다.
UEBA는, 그 학습 기능에 의해, 종래보다 높은 정밀도로 네트워크내의 이상 행동, 비정상적인 트래픽, 위협의 검출등이 가능하기 때문에, 다양화, 고도화하는 내부 부정이나 공격 수법에의 대책으로서 인지도가 높아지고 있습니다. 보안 인시던트의 발생이 끊이지 않는 가운데, 보안 투자에 적극적이고 컴플라이언스 대응을 중시하는 대기업을 중심으로 도입이 확대되고 있습니다.
이러한 움직임으로 CAGR(2020~2025년도)은 22.2%, 2025년도에는 50억엔에 육박할 것으로 예측되고 있습니다.
2022년 트렌드 정보(UEBA)
가트너 재팬 주식회사는 2022년도에 멀웨어와 표적형 공격에 대한 대책 상황에 관한 조사 결과와 주목할 만한 트렌드를 발표했었습니다.


새로 추가된 5개 항목
- ASM(Attack Surface Management)
온프레미스나 클라우드, IoT 등 기업 내에 분산된 디지털 자산과 이를 향한 위협의 가시성을 높여 공격을 미연에 방어하거나 피해가 커지기 전에 대처하기 위한 솔루션 - SRS(Security Rating Service)
인터넷으로 확인 가능한 조직의 보안에 독립적인 점수 및 레이팅을 지속적으로 제공하는 서비스 - BAS(Breach and Attack Simulation)
공격자 시점에서의 페니트레이션 테스트의 지속적 실시 필요성이 증대되고 있는 것을 배경으로 기업의 위협 벡터 테스트를 자동적으로 계속 평가하는 솔루션 - SSE(Security Service Edge)
시큐어 액세스 서비스 에지(SASE)를 구성하는 핵심 기술.클라우드 서비스 및 텔레워크를 안전하게 제공하여 업무 방식과 비즈니스 유연성을 향상시키다 - CSMA(Cybersecurity Mesh Architecture)
분산형 보안 컨트롤을 구축하는 새로운 전략적 아키텍처.보안의 전체적인 유효성을 향상시키다
엔드포인트 보안시장에서는 멀웨어 대책에 이어 EDR이 기업에 도입·전개되고 있는데, 그 다음으로 기업에 보급될 것으로 전망되는 제품·서비스가 UEBA입니다.
멀웨어 대책이나 EDR이 악성코드를 대상으로 하고 있는 반면, UEBA는 사용자의 로그인 패턴이나 단말기 조작 패턴을 AI로 분석함으로써 사용자의 위장이나 내부 부정행위 등을 검지합니다.
보안 인시던트는 외부로부터의 공격보다 내부 부정행위가 상회함에 따라 UEBA의 니즈는 향후 더욱 확대될 것으로 전망되고 있습니다.
UEBA는 'User and Entity Behavior Analytics(사용자와 엔티티의 행동분석)'의 약자로 기계학습과 딥러닝을 이용하여 사내 네트워크상의 사용자 및 기타 엔티티의 통상적인 행동을 학습하고 이상행동을 감지하고 그 행동에 보안상의 영향이 있는지를 추정하는 새로운 분야의 보안 솔루션입니다.
상호 연관 규칙이나 이미 알려진 공격 패턴을 기반으로 하는 기존 보안 툴과 달리 UEBA는 노이즈에 섞인 새로운 유형의 공격이나 인시던트를 식별할 수 있습니다.여기에는 제로 데이 공격이나 내부 부정이 포함됩니다.
UEBA와 SIEM의 차이점은?
SIEM(Security Information and Event Management) 시스템은 보안 운영 센터(SOC)의 중요한 인프라입니다.SIEM은 많은 엔터프라이즈 시스템 및 기타 보안 도구와 연동하여 기업 전체의 보안 로그와 이벤트를 모두 수집하고 이러한 이벤트를 분석하여 보안 팀을 위한 알림을 생성합니다.
UEBA는 SIEM과 깊이 관련되어 있습니다.그것은 많은 기능이 공통적이기 때문입니다.둘 다 기업 네트워크에서 이벤트를 수집하고 분석하여 알림을 생성합니다.그러나 UEBA 솔루션이 분석면에 주력하는 반면 SIEM 시스템은 매우 폭넓은 보안 데이터를 다루는 데 능하며 보안 분석가용으로 데이터를 정리합니다.이것에 의해 SOC에서는, 계통 세운 처리가 가능하게 됩니다.
UEBA는 인시던트 대응에 어떻게 도움이 되는가?
UEBA는 현대 인시던트 대응에서 중요한 요소입니다.과거에는 보안 분석가들은 대량의 알림을 보다 나누어 '진짜' 보안 인시던트를 발견했고, 그 후 추가 증거를 조사하여 무슨 일이 일어났는지 밝혔습니다.
UEBA는 이 프로세스의 대부분을 자동화합니다.구체적으로는 보안상 특히 중요한 이벤트를 특정해 같은 보안 인시던트의 일부를 구성하고 있을 가능성이 있는 관련 이벤트를 정리합니다.이렇게 UEBA는 조직이 보다 신속하고 정확한 인시던트 대응을 실행할 수 있도록 지원하고 보안 분석가의 귀중한 시간도 절약할 수 있습니다.
UEBA(사용자 및 개체 행동분석)의 일본시장 규모 추이와 예측
일본에서의 UEBA 시장의 2020년도 매출 금액은 18억2,000만엔, 전년도 대비 56.9% 증가했습니다. 2021년도는 60.4% 증가한 29억2,000만엔정도입니다.
UEBA는, 그 학습 기능에 의해, 종래보다 높은 정밀도로 네트워크내의 이상 행동, 비정상적인 트래픽, 위협의 검출등이 가능하기 때문에, 다양화, 고도화하는 내부 부정이나 공격 수법에의 대책으로서 인지도가 높아지고 있습니다. 보안 인시던트의 발생이 끊이지 않는 가운데, 보안 투자에 적극적이고 컴플라이언스 대응을 중시하는 대기업을 중심으로 도입이 확대되고 있습니다.
이러한 움직임으로 CAGR(2020~2025년도)은 22.2%, 2025년도에는 50억엔에 육박할 것으로 예측되고 있습니다.
2022년 트렌드 정보(UEBA)
가트너 재팬 주식회사는 2022년도에 멀웨어와 표적형 공격에 대한 대책 상황에 관한 조사 결과와 주목할 만한 트렌드를 발표했었습니다.
새로 추가된 5개 항목
온프레미스나 클라우드, IoT 등 기업 내에 분산된 디지털 자산과 이를 향한 위협의 가시성을 높여 공격을 미연에 방어하거나 피해가 커지기 전에 대처하기 위한 솔루션
인터넷으로 확인 가능한 조직의 보안에 독립적인 점수 및 레이팅을 지속적으로 제공하는 서비스
공격자 시점에서의 페니트레이션 테스트의 지속적 실시 필요성이 증대되고 있는 것을 배경으로 기업의 위협 벡터 테스트를 자동적으로 계속 평가하는 솔루션
시큐어 액세스 서비스 에지(SASE)를 구성하는 핵심 기술.클라우드 서비스 및 텔레워크를 안전하게 제공하여 업무 방식과 비즈니스 유연성을 향상시키다
분산형 보안 컨트롤을 구축하는 새로운 전략적 아키텍처.보안의 전체적인 유효성을 향상시키다
엔드포인트 보안시장에서는 멀웨어 대책에 이어 EDR이 기업에 도입·전개되고 있는데, 그 다음으로 기업에 보급될 것으로 전망되는 제품·서비스가 UEBA입니다.
멀웨어 대책이나 EDR이 악성코드를 대상으로 하고 있는 반면, UEBA는 사용자의 로그인 패턴이나 단말기 조작 패턴을 AI로 분석함으로써 사용자의 위장이나 내부 부정행위 등을 검지합니다.
보안 인시던트는 외부로부터의 공격보다 내부 부정행위가 상회함에 따라 UEBA의 니즈는 향후 더욱 확대될 것으로 전망되고 있습니다.