Naruszenia bezpieczeństwa stają się coraz bardziej powszechne w cyfrowym świecie. UEBA pomaga organizacjom wykrywać takie incydenty i reagować na nie.
Analiza zachowań użytkowników i jednostek (UEBA) była wcześniej znana jako analiza zachowań użytkowników (UBA). Jest to rozwiązanie do cyberbezpieczeństwa, które wykorzystuje analitykę do zrozumienia, w jaki sposób użytkownicy (ludzie) i podmioty (urządzenia sieciowe i serwery) w organizacji zazwyczaj zachowują się w celu wykrywania anomalii i reagowania na nie w czasie rzeczywistym.
UEBA może identyfikować i ostrzegać analityków bezpieczeństwa o ryzykownych odmianach i podejrzanych zachowaniach, które mogą wskazywać na:
- Ruch boczny
- Nadużycie konta uprzywilejowanego
- Eskalacja uprawnień
- Kompromitacja poświadczeń lub
- Zagrożenia wewnętrzne
UEBA dodatkowo ocenia poziom zagrożenia i zapewnia ocenę ryzyka, która może pomóc w ustaleniu odpowiedniej reakcji.
Czytaj dalej, aby dowiedzieć się, jak działa UEBA, dlaczego organizacje przechodzą na UEBA, główne komponenty UEBA, rolę UEBA w reagowaniu na incydenty oraz najlepsze praktyki UEBA.
Spis treści:
Jak działa analiza zachowań użytkowników i podmiotów?
Analityka zachowań użytkowników i jednostek zbiera najpierw informacje o oczekiwanym zachowaniu ludzi i maszyn w Twojej organizacji z repozytoriów danych, takich jak data lake, hurtownia danych lub za pośrednictwem SIEM.
Następnie UEBA wykorzystuje zaawansowane metody analityczne do przetwarzania tych informacji w celu określenia i dalszego zdefiniowania linii bazowej wzorców zachowań: miejsca, z którego pracownik się loguje, jego poziomu uprawnień, plików, serwerów, do których często uzyskuje dostęp, czasu i częstotliwości dostępu oraz urządzeń, których używa do dostęp.
Następnie UEBA stale monitoruje działania użytkowników i podmiotów, porównuje je z zachowaniem podstawowym i decyduje, jakie działania mogą skutkować atakiem.
UEBA może wiedzieć, kiedy użytkownik wykonuje swoje normalne czynności i kiedy ma miejsce atak. Chociaż haker może uzyskać dostęp do danych logowania pracownika, nie będzie on w stanie naśladować jego zwykłych czynności i zachowań.
Rozwiązanie UEBA składa się z trzech głównych komponentów:
Analityka danych: UEBA gromadzi i porządkuje dane użytkowników i podmiotów w celu zbudowania standardowego profilu typowego zachowania każdego użytkownika. Modele statystyczne są następnie formułowane i stosowane w celu wykrycia nietypowej aktywności i zaalarmowania zespołu ds. bezpieczeństwa.
Integracja danych: Aby system był bardziej odporny, UEBA porównuje dane uzyskane z różnych źródeł — takich jak dzienniki systemowe, dane przechwytywania pakietów i inne zestawy danych — z danymi zebranymi z istniejących systemów bezpieczeństwa.
Prezentacja danych: Proces, za pośrednictwem którego system UEBA przekazuje swoje ustalenia i odpowiednią odpowiedź. Ten proces zwykle obejmuje wysłanie prośby do analityków bezpieczeństwa o zbadanie nietypowego zachowania.
Rola UEBA w reagowaniu na incydenty
Analityka zachowań użytkowników i podmiotów wykorzystuje uczenie maszynowe i uczenie głębokie do monitorowania i analizowania zwykłego zachowania ludzi i maszyn w organizacji.
Jeśli występuje odchylenie od regularnego wzorca, system UEBA wykrywa je i przeprowadza analizę, która określa, czy nietypowe zachowanie stanowi realne zagrożenie, czy nie.
UEBA pobiera dane z różnych źródeł dziennika, takich jak baza danych, Windows AD, VPN, serwer proxy, plakietka, pliki i punkty końcowe w celu przeprowadzenia tej analizy. Korzystając z tych danych wejściowych i wyuczonych zachowań, UEBA może łączyć informacje, aby uzyskać końcową ocenę w rankingu ryzyka i wysłać szczegółowy raport do analityków bezpieczeństwa.
Na przykład UEBA może przyjrzeć się pracownikowi, który po raz pierwszy przychodzi przez VPN z Afryki. Tylko dlatego, że zachowanie pracownika jest nienormalne, nie oznacza, że jest to zagrożenie; użytkownik może po prostu podróżować. Jeśli jednak ten sam pracownik działu kadr nagle uzyska dostęp do podsieci finansowej, UEBA rozpozna działania pracownika jako podejrzane i zaalarmuje zespół ds. bezpieczeństwa.
Oto kolejny możliwy scenariusz.
Harry, pracownik szpitala Mount Sinai w Nowym Jorku, desperacko potrzebuje pieniędzy. Tego szczególnego dnia Harry czeka, aż wszyscy opuszczą gabinet, a następnie o godzinie 19:00 pobiera poufne informacje pacjentów na urządzenie USB. Skradzione dane zamierza sprzedać na czarnym rynku za wysoką cenę.
Na szczęście szpital Mount Sinai korzysta z rozwiązania UEBA, które monitoruje zachowanie każdego użytkownika i podmiotu w sieci szpitalnej.
Chociaż Harry ma uprawnienia dostępu do informacji o pacjencie, system UEBA zwiększa jego ocenę ryzyka, gdy wykryje odstępstwo od jego zwykłych czynności, które zwykle obejmują przeglądanie, tworzenie i edytowanie dokumentacji pacjentów w godzinach od 9:00 do 17:00.
Kiedy Harry próbuje uzyskać dostęp do informacji o godzinie 19:00, system identyfikuje nieprawidłowości wzorca i czasu oraz przypisuje ocenę ryzyka.
Możesz skonfigurować system UEBA tak, aby po prostu tworzył alert dla zespołu ds.
Czy potrzebuję rozwiązania UEBA?
Rozwiązanie UEBA jest niezbędne dla organizacji, ponieważ hakerzy przeprowadzają bardziej wyrafinowane ataki, które stają się coraz trudniejsze do wykrycia. Jest to szczególnie prawdziwe w przypadkach, gdy zagrożenie pochodzi z wewnątrz.
Według najnowszych statystyk dotyczących cyberbezpieczeństwa, ponad 34% firm jest dotkniętych zagrożeniami wewnętrznymi na całym świecie. Ponadto 85% firm twierdzi, że trudno jest oszacować rzeczywisty koszt ataku z wykorzystaniem informacji poufnych.
W rezultacie zespoły ds. bezpieczeństwa przechodzą na nowsze podejścia do wykrywania i reagowania na incydenty (IR). Aby zrównoważyć i ulepszyć swoje systemy bezpieczeństwa, analitycy bezpieczeństwa łączą technologie, takie jak analiza zachowań użytkowników i podmiotów (UEBA), z konwencjonalnymi systemami SIEM i innymi starszymi systemami zapobiegania.
UEBA zapewnia potężniejszy system wykrywania zagrożeń wewnętrznych w porównaniu z innymi tradycyjnymi rozwiązaniami bezpieczeństwa. Monitoruje nie tylko anomalne zachowania ludzi, ale także podejrzane ruchy boczne. UEBA śledzi również działania w Twoich usługach w chmurze, urządzeniach mobilnych i urządzeniach Internetu rzeczy.
Zaawansowany system UEBA pobiera dane ze wszystkich różnych źródeł dziennika i tworzy szczegółowy raport z ataku dla Twoich analityków bezpieczeństwa. Oszczędza to Twojemu zespołowi bezpieczeństwa czasu spędzonego na przeglądaniu niezliczonych dzienników w celu określenia rzeczywistych szkód spowodowanych atakiem.
Oto niektóre z wielu przypadków użycia UEBA.
6 najlepszych przypadków użycia UEBA
# 1. UEBA wykrywa nadużycia uprawnień osób poufnych, gdy użytkownicy wykonują ryzykowne działania poza ustalonym normalnym zachowaniem.
#2. UEBA łączy podejrzane informacje z różnych źródeł, aby stworzyć ocenę ryzyka dla rankingu ryzyka.
#3. UEBA ustala priorytety incydentów, zmniejszając liczbę fałszywych trafień. Eliminuje zmęczenie alertami i umożliwia zespołom ds. bezpieczeństwa skupienie się na alertach wysokiego ryzyka.
#4. UEBA zapobiega utracie i eksfiltracji danych, ponieważ system wysyła alerty, gdy wykryje, że wrażliwe dane są przenoszone w sieci lub przesyłane poza nią.
#5. UEBA pomaga wykryć boczny ruch hakerów w sieci, którzy mogli ukraść dane logowania pracowników.
#6. UEBA zapewnia również automatyczne reagowanie na incydenty, umożliwiając zespołom ds. bezpieczeństwa reagowanie na incydenty bezpieczeństwa w czasie rzeczywistym.
Jak UEBA ulepsza UBA i starsze systemy bezpieczeństwa, takie jak SIEM
UEBA nie zastępuje innych systemów bezpieczeństwa, ale stanowi znaczące ulepszenie stosowane wraz z innymi rozwiązaniami w celu skuteczniejszego cyberbezpieczeństwa. UEBA różni się od analizy zachowań użytkowników (UBA) tym, że UEBA obejmuje „Podmioty” i „Zdarzenia”, takie jak serwery, routery i punkty końcowe.
Rozwiązanie UEBA jest bardziej wszechstronne niż UBA, ponieważ monitoruje procesy inne niż ludzkie i jednostki maszynowe, aby dokładniej identyfikować zagrożenia.
SIEM oznacza zarządzanie informacjami o bezpieczeństwie i zdarzeniami. Tradycyjny system SIEM może nie być w stanie samodzielnie wykryć wyrafinowanych zagrożeń, ponieważ nie jest przeznaczony do monitorowania zagrożeń w czasie rzeczywistym. A biorąc pod uwagę, że hakerzy często unikają prostych jednorazowych ataków i zamiast tego angażują się w łańcuch wyrafinowanych ataków, mogą pozostać niewykryci przez tradycyjne narzędzia do wykrywania zagrożeń, takie jak SIEM, przez tygodnie, a nawet miesiące.
Wyrafinowane rozwiązanie UEBA eliminuje to ograniczenie. Systemy UEBA analizują dane przechowywane przez SIEM i współpracują ze sobą, aby monitorować zagrożenia w czasie rzeczywistym, umożliwiając szybką i bezproblemową reakcję na naruszenia.
Dzięki połączeniu narzędzi UEBA i SIEM organizacje mogą znacznie skuteczniej wykrywać i analizować zagrożenia, szybko eliminować luki w zabezpieczeniach i unikać ataków.
Najlepsze praktyki analizy zachowań użytkowników i jednostek
Oto pięć najlepszych praktyk w zakresie analizy zachowań użytkowników, które dają wgląd w to, co należy zrobić podczas tworzenia punktu odniesienia dla zachowania użytkowników.
# 1. Zdefiniuj przypadki użycia
Zdefiniuj przypadki użycia, które ma identyfikować Twoje rozwiązanie UEBA. Może to być wykrywanie nadużyć na kontach uprzywilejowanych, naruszenie poświadczeń lub zagrożenia wewnętrzne. Zdefiniowanie przypadków użycia pomaga określić, jakie dane należy zbierać do monitorowania.
#2. Zdefiniuj źródła danych
Im więcej typów danych mogą obsłużyć twoje systemy UEBA, tym dokładniejsze będą obliczenia bazowe. Niektóre źródła danych obejmują dzienniki systemowe lub dane dotyczące zasobów ludzkich, takie jak historia wydajności pracowników.
#3. Zdefiniuj zachowania, o których dane będą zbierane
Może to obejmować godziny pracy pracownika, aplikacje i urządzenia, z których często korzysta, oraz rytm pisania. Dysponując tymi danymi, możesz lepiej zrozumieć możliwe przyczyny fałszywych trafień.
#4. Ustaw czas trwania ustalania linii bazowej
Podczas określania czasu trwania okresu bazowego należy wziąć pod uwagę cele bezpieczeństwa firmy i działania użytkowników.
Okres bazowy nie powinien być ani za krótki, ani za długi. Wynika to z faktu, że zbyt szybkie zakończenie okresu bazowego może nie być w stanie zebrać prawidłowych informacji, co skutkuje wysokim odsetkiem fałszywych trafień. Z drugiej strony niektóre złośliwe działania mogą zostać uznane za normalne, jeśli zebranie informacji bazowych zajmie zbyt dużo czasu.
#5. Regularnie aktualizuj swoje dane bazowe
Może zaistnieć potrzeba regularnego odbudowywania danych planu bazowego, ponieważ działania użytkowników i podmiotów cały czas się zmieniają. Pracownik może awansować i zmieniać swoje zadania i projekty, poziom uprawnień i czynności. Systemy UEBA można ustawić tak, aby automatycznie zbierały dane i dostosowywały dane bazowe, gdy zajdą zmiany.
Ostatnie słowa
W miarę jak stajemy się coraz bardziej zależni od technologii, zagrożenia cyberbezpieczeństwa stają się coraz bardziej złożone. Duże przedsiębiorstwo musi zabezpieczyć swoje systemy, które przechowują poufne dane własne i swoich klientów, aby uniknąć naruszeń bezpieczeństwa na dużą skalę. UEBA oferuje system reagowania na incydenty w czasie rzeczywistym, który może zapobiegać atakom.