Încălcările de securitate au devenit din ce în ce mai frecvente în lumea digitală. UEBA ajută organizațiile să detecteze și să răspundă la aceste incidente.
Analiza comportamentului utilizatorilor și entităților (UEBA) era cunoscută anterior sub numele de Analytics comportamentului utilizatorilor (UBA). Este o soluție de securitate cibernetică care utilizează analiza pentru a înțelege modul în care utilizatorii (oameni) și entitățile (dispozitive și servere în rețea) dintr-o organizație se comportă de obicei pentru a detecta și a răspunde la activități anormale în timp real.
UEBA poate identifica și alerta analiștii de securitate cu privire la variații riscante și comportamente suspecte care ar putea indica:
- Miscare laterala
- Abuz de cont privilegiat
- Privilegiul escaladării
- compromiterea acreditării sau
- Amenințări din interior
UEBA evaluează, de asemenea, nivelul de amenințare și oferă un scor de risc care poate ajuta la stabilirea unui răspuns adecvat.
Citiți mai departe pentru a afla cum funcționează UEBA, de ce organizațiile trec la UEBA, componentele majore ale UEBA, rolul UEBA în răspunsul la incident și cele mai bune practici UEBA.
Cuprins
Cum funcționează analiza comportamentului utilizatorilor și entităților?
Analiza comportamentului utilizatorilor și entităților colectează mai întâi informații despre comportamentul așteptat al oamenilor și mașinilor din organizația dvs. din depozitele de date, cum ar fi un lac de date, un depozit de date sau prin SIEM.
UEBA utilizează apoi abordări avansate de analiză pentru a procesa aceste informații pentru a determina și a defini în continuare o linie de bază a tiparelor de comportament: de unde se conectează un angajat, nivelul de privilegii, fișierele, serverele pe care le accesează adesea, timpul și frecvența de acces și dispozitivele pentru care le utilizează. acces.
Apoi UEBA monitorizează continuu activitățile utilizatorilor și entităților, le compară cu comportamentul de bază și decide ce acțiuni ar putea duce la un atac.
UEBA poate ști când un utilizator își desfășoară activitățile normale și când are loc un atac. Deși un hacker poate accesa detaliile de conectare ale unui angajat, acesta nu va putea să-și imite activitățile și comportamentul obișnuit.
O soluție UEBA are trei componente principale:
Analiza datelor: UEBA colectează și organizează date despre utilizatori și entități pentru a construi un profil standard al modului în care fiecare utilizator acționează în mod obișnuit. Modelele statistice sunt apoi formulate și aplicate pentru a detecta activitatea anormală și a alerta echipa de securitate.
Integrarea datelor: Pentru a face sistemul mai rezistent, UEBA compară datele obținute din diverse surse – cum ar fi jurnalele de sistem, datele de captare a pachetelor și alte seturi de date – cu datele colectate din sistemele de securitate existente.
Prezentarea datelor: Proces prin care sistemul UEBA își comunică constatările și răspunsul adecvat. Acest proces implică de obicei emiterea unei cereri pentru analiștii de securitate pentru a investiga comportamentul neobișnuit.
Rolul UEBA în răspunsul la incident
Analiza comportamentului utilizatorilor și entităților utilizează învățarea automată și învățarea profundă pentru a monitoriza și analiza comportamentul obișnuit al oamenilor și al mașinilor din organizația dvs.
Dacă există o abatere de la tiparul obișnuit, sistemul UEBA o detectează și efectuează o analiză care stabilește dacă comportamentul neobișnuit reprezintă o amenințare reală sau nu.
UEBA ingerează date din diferite surse de jurnal, cum ar fi o bază de date, Windows AD, VPN, proxy, insignă, fișiere și puncte finale pentru a efectua această analiză. Folosind aceste intrări și comportamentul învățat, UEBA poate fuziona informațiile pentru a alcătui un scor final pentru clasarea riscurilor și poate trimite un raport detaliat analiștilor de securitate.
De exemplu, UEBA poate privi pentru prima dată un angajat care vine prin VPN din Africa. Doar pentru că comportamentul angajatului este anormal nu înseamnă că este o amenințare; utilizatorul poate călătorește pur și simplu. Totuși, dacă același angajat din departamentul de resurse umane accesează brusc subrețeaua financiară, UEBA ar recunoaște activitățile angajatului ca fiind suspecte și va alerta echipa de securitate.
Iată un alt scenariu relatabil.
Harry, angajat la Spitalul Mount Sinai din New York, este disperat după bani. În această zi, Harry așteaptă ca toată lumea să părăsească biroul, apoi descarcă informațiile sensibile ale pacienților pe un dispozitiv USB la ora 19:00. El intenționează să vândă datele furate pe piața neagră pentru un dolar mare.
Din fericire, Spitalul Mount Sinai utilizează o soluție UEBA, care monitorizează comportamentul fiecărui utilizator și entitate din rețeaua spitalului.
Deși Harry are permisiunea de a accesa informațiile despre pacient, sistemul UEBA îi crește scorul de risc atunci când detectează o abatere de la activitățile sale obișnuite, care implică de obicei vizualizarea, crearea și editarea înregistrărilor pacientului între orele 9:00 și 17:00.
Când Harry încearcă să acceseze informațiile la ora 19:00, sistemul identifică neregulile de tipar și de sincronizare și atribuie un scor de risc.
Vă puteți configura sistemul UEBA pentru a crea pur și simplu o alertă pentru echipa de securitate pentru a sugera investigații suplimentare sau îl puteți configura pentru a lua măsuri imediate, cum ar fi oprirea automată a conectivității la rețea pentru acel angajat din cauza atacului cibernetic suspectat.
Am nevoie de o soluție UEBA?
O soluție UEBA este esențială pentru organizații, deoarece hackerii efectuează atacuri mai sofisticate, care devin din ce în ce mai greu de detectat. Acest lucru este valabil mai ales în cazurile în care amenințarea vine din interior.
Conform statisticilor recente de securitate cibernetică, mai mult de 34% dintre companii sunt afectate de amenințări interne la nivel mondial. În plus, 85% dintre companii spun că este dificil de cuantificat costul real al unui atac din interior.
Drept urmare, echipele de securitate se îndreaptă către abordări mai noi de detectare și răspuns la incident (IR). Pentru a-și echilibra și a îmbunătăți sistemele de securitate, analiștii de securitate îmbină tehnologii precum analiza comportamentului utilizatorilor și entităților (UEBA) cu SIEM-uri convenționale și alte sisteme de prevenire vechi.
UEBA vă oferă un sistem de detectare a amenințărilor interne mai puternic în comparație cu alte soluții de securitate tradiționale. Monitorizează nu numai comportamentul uman anormal, ci și mișcările laterale suspecte. UEBA urmărește, de asemenea, activitățile de pe serviciile dvs. cloud, dispozitivele mobile și dispozitivele Internet of Things.
Un sistem UEBA sofisticat ingerează date din toate sursele diferite de jurnal și creează un raport detaliat al atacului pentru analiștii tăi de securitate. Acest lucru economisește echipa dvs. de securitate timpul petrecut pentru a parcurge nenumărate jurnale pentru a determina daunele reale din cauza unui atac.
Iată câteva dintre numeroasele cazuri de utilizare ale UEBA.
Top 6 cazuri de utilizare UEBA
#1. UEBA detectează abuzul de privilegii din interior atunci când utilizatorii efectuează activități riscante în afara comportamentului normal stabilit.
#2. UEBA combină informații suspecte din diferite surse pentru a crea un scor de risc pentru clasarea riscurilor.
#3. UEBA realizează prioritizarea incidentelor prin reducerea rezultatelor false pozitive. Elimină oboseala alertelor și face posibil ca echipele de securitate să se concentreze asupra alertelor cu risc ridicat.
#4. UEBA previne pierderea și exfiltrarea datelor deoarece sistemul trimite alerte atunci când detectează date sensibile mutate în rețea sau transferate în afara rețelei.
#5. UEBA ajută la detectarea mișcării laterale a hackerilor din rețea care ar fi furat acreditările de conectare ale angajaților.
#6. UEBA oferă, de asemenea, răspunsuri automate la incidente, permițând echipelor de securitate să răspundă la incidente de securitate în timp real.
Cum UEBA îmbunătățește UBA și sistemele de securitate vechi precum SIEM
UEBA nu înlocuiește alte sisteme de securitate, dar reprezintă o îmbunătățire semnificativă utilizată alături de alte soluții pentru o securitate cibernetică mai eficientă. UEBA diferă de analiza comportamentului utilizatorului (UBA) prin faptul că UEBA include „Entități” și „Evenimente”, cum ar fi servere, routere și puncte finale.
O soluție UEBA este mai cuprinzătoare decât UBA, deoarece monitorizează procesele non-umane și entitățile mașinii pentru a identifica mai precis amenințările.
SIEM înseamnă informații de securitate și managementul evenimentelor. SIEM tradițional moștenit poate să nu poată detecta amenințările sofisticate de la sine, deoarece nu este conceput pentru a monitoriza amenințările în timp real. Și având în vedere că hackerii evită adesea atacuri simple și unice și se angajează în schimb într-un lanț de atacuri sofisticate, aceștia pot rămâne nedetectați de instrumentele tradiționale de detectare a amenințărilor, cum ar fi SIEM, timp de săptămâni sau chiar luni.
O soluție UEBA sofisticată abordează această limitare. Sistemele UEBA analizează datele stocate de SIEM și lucrează împreună pentru a monitoriza amenințările în timp real, permițându-vă să răspundeți la încălcări rapid și fără efort.
Prin urmare, prin fuzionarea instrumentelor UEBA și SIEM, organizațiile pot fi mult mai eficiente în detectarea și analiza amenințărilor, pot aborda rapid vulnerabilitățile și pot evita atacurile.
Cele mai bune practici privind analiza comportamentului utilizatorilor și entităților
Iată cinci bune practici pentru analiza comportamentului utilizatorilor, care oferă o perspectivă asupra lucrurilor de făcut atunci când se construiește o bază de referință pentru comportamentul utilizatorului.
#1. Definiți cazuri de utilizare
Definiți cazurile de utilizare pe care doriți să le identifice soluția dvs. UEBA. Acestea pot fi detectarea abuzului de cont privilegiat, compromiterea acreditărilor sau amenințările interne. Definirea cazurilor de utilizare vă ajută să determinați ce date să colectați pentru monitorizare.
#2. Definiți sursele de date
Cu cât sistemele dvs. UEBA pot gestiona mai multe tipuri de date, cu atât va fi mai precisă linia de bază. Unele surse de date includ jurnalele de sistem sau datele de resurse umane, cum ar fi istoricul performanței angajaților.
#3. Definiți comportamentele despre care datele vor fi colectate
Aceasta ar putea include orele de lucru ale angajaților, aplicațiile și dispozitivele pe care le accesează frecvent și ritmurile de tastare. Cu aceste date, puteți înțelege mai bine posibilele motive pentru fals pozitive.
#4. Setați o durată pentru stabilirea liniei de bază
Atunci când determinați durata perioadei de referință, este esențial să luați în considerare obiectivele de securitate ale afacerii dvs. și activitățile utilizatorilor.
Perioada de referință nu trebuie să fie prea scurtă sau prea lungă. Acest lucru se datorează faptului că este posibil să nu puteți colecta informațiile corecte dacă încheiați durata de referință prea repede, rezultând o rată ridicată de fals pozitive. Pe de altă parte, unele activități rău intenționate pot fi transmise ca în mod obișnuit dacă durează prea mult timp pentru a colecta informațiile de bază.
#5. Actualizați-vă datele de referință în mod regulat
Este posibil să fie necesar să vă reconstruiți datele de referință în mod regulat, deoarece activitățile utilizatorilor și entităților se schimbă tot timpul. Un angajat poate fi promovat și își poate schimba sarcinile și proiectele, nivelul de privilegiu și activitățile. Sistemele UEBA pot fi setate automat să colecteze date și să ajusteze datele de referință atunci când au loc modificări.
Cuvinte finale
Pe măsură ce devenim din ce în ce mai dependenți de tehnologie, amenințările la adresa securității cibernetice devin din ce în ce mai complexe. O întreprindere mare trebuie să-și securizeze sistemele care dețin date sensibile ale sale și ale clienților săi pentru a evita încălcările de securitate la scară largă. UEBA oferă un sistem de răspuns la incident în timp real care poate preveni atacurile.