Sikkerhetsbrudd har blitt stadig mer vanlig i den digitale verden. UEBA hjelper organisasjoner med å oppdage og reagere på disse hendelsene.
User and Entity Behavior Analytics (UEBA) var tidligere kjent som User Behavior Analytics (UBA). Det er en cybersikkerhetsløsning som bruker analyser for å få en forståelse av hvordan brukere (mennesker) og enheter (nettverksenheter og servere) i en organisasjon typisk oppfører seg for å oppdage og reagere på unormal aktivitet i sanntid.
UEBA kan identifisere og varsle sikkerhetsanalytikere om risikable variasjoner og mistenkelig oppførsel som kan indikere:
- Sidebevegelse
- Privilegert kontomisbruk
- Eskalering av privilegier
- Legitimasjon kompromiss eller
- Insidertrusler
UEBA vurderer også trusselnivået videre og gir en risikoscore som kan bidra til å etablere en passende respons.
Les videre for å lære om hvordan UEBA fungerer, hvorfor organisasjoner går over til UEBA, hovedkomponentene i UEBA, rollen til UEBA i hendelsesrespons og UEBAs beste praksis.
Innholdsfortegnelse
Hvordan fungerer Analytics for bruker- og enhetsatferd?
Bruker- og enhetsatferdsanalyse samler først inn informasjon om forventet oppførsel til menneskene og maskinene i organisasjonen din fra datalager som en datainnsjø, et datavarehus eller gjennom SIEM.
UEBA bruker deretter avanserte analytiske tilnærminger for å behandle denne informasjonen for å bestemme og videre definere en grunnlinje av atferdsmønstre: hvor en ansatt logger på fra, privilegienivået, filer, servere de ofte får tilgang til, tidspunkt og frekvens for tilgang og enheter de bruker for adgang.
UEBA overvåker deretter kontinuerlig bruker- og enhetsaktiviteter, sammenligner dem med grunnlinjeadferd og bestemmer hvilke handlinger som kan resultere i et angrep.
UEBA kan vite når en bruker utfører sine normale aktiviteter og når et angrep skjer. Selv om en hacker kan ha tilgang til en ansatts påloggingsdetaljer, vil de ikke kunne etterligne deres vanlige aktiviteter og oppførsel.
En UEBA-løsning har tre hovedkomponenter:
Dataanalyse: UEBA samler inn og organiserer data fra brukere og enheter for å bygge en standardprofil for hvordan hver bruker opptrer typisk. Statistiske modeller blir deretter formulert og brukt for å oppdage unormal aktivitet og varsle sikkerhetsteamet.
Dataintegrasjon: For å gjøre systemet mer robust, sammenligner UEBA data hentet fra ulike kilder – som systemlogger, pakkefangstdata og andre datasett – med data samlet inn fra eksisterende sikkerhetssystemer.
Datapresentasjon: Prosess der UEBA-systemet kommuniserer sine funn og passende respons. Denne prosessen innebærer vanligvis å sende en forespørsel til sikkerhetsanalytikerne om å undersøke uvanlig oppførsel.
Rollen til UEBA i hendelsesrespons
Bruker- og enhetsatferdsanalyse bruker maskinlæring og dyp læring for å overvåke og analysere den vanlige oppførselen til mennesker og maskiner i organisasjonen din.
Hvis det er et avvik fra det vanlige mønsteret, oppdager UEBA-systemet det og utfører en analyse som avgjør om den uvanlige oppførselen utgjør en reell trussel eller ikke.
UEBA tar inn data fra forskjellige loggkilder som en database, Windows AD, VPN, proxy, merke, filer og endepunkter for å utføre denne analysen. Ved å bruke disse inputene og innlært atferd kan UEBA smelte sammen informasjonen for å lage en endelig poengsum for risikorangering og sende en detaljert rapport til sikkerhetsanalytikerne.
For eksempel kan UEBA se på en ansatt som kommer inn over VPN fra Afrika for første gang. Bare fordi den ansattes oppførsel er unormal, betyr det ikke at det er en trussel; brukeren kan ganske enkelt være på reise. Men hvis den samme ansatt i personalavdelingen plutselig får tilgang til finansundernettet, vil UEBA anerkjenne den ansattes aktiviteter som mistenkelige og varsle sikkerhetsteamet.
Her er et annet relatert scenario.
Harry, en ansatt ved Mount Sinai Hospital i New York, er desperat etter penger. Denne dagen venter Harry på at alle skal forlate kontoret, og laster deretter ned pasientens sensitive informasjon til en USB-enhet klokken 19.00. Han har til hensikt å selge de stjålne dataene på det svarte markedet for en høy dollar.
Heldigvis bruker Mount Sinai Hospital en UEBA-løsning som overvåker oppførselen til hver bruker og enhet i sykehusnettverket.
Selv om Harry har tillatelse til å få tilgang til pasientinformasjon, øker UEBA-systemet hans risikopoengsum når det oppdager et avvik fra hans vanlige aktiviteter, som vanligvis involverer visning, opprettelse og redigering av pasientjournaler mellom kl. 09.00 og 17.00.
Når Harry prøver å få tilgang til informasjonen klokken 19.00, identifiserer systemet mønster- og tidsuregelmessigheter og tildeler en risikoscore.
Du kan sette opp UEBA-systemet ditt til å lage et varsel for sikkerhetsteamet for å foreslå videre undersøkelser, eller du kan sette det opp til å iverksette umiddelbare tiltak som å automatisk slå av nettverkstilkoblingen for den ansatte på grunn av det mistenkte nettangrepet.
Trenger jeg en UEBA-løsning?
En UEBA-løsning er avgjørende for organisasjoner fordi hackere utfører mer sofistikerte angrep som blir vanskeligere og vanskeligere å oppdage. Dette gjelder spesielt i tilfeller der trusselen kommer innenfra.
I følge nyere cybersikkerhetsstatistikk, mer enn 34 % av selskaper er berørt av innsidetrusler over hele verden. Og i tillegg sier 85 % av virksomhetene at det er vanskelig å kvantifisere de faktiske kostnadene ved et innsideangrep.
Som et resultat skifter sikkerhetsteam mot nyere tilnærminger til deteksjon og hendelsesrespons (IR). For å balansere og øke sikkerhetssystemene sine, slår sikkerhetsanalytikere sammen teknologier som bruker- og enhetsatferdsanalyse (UEBA) med konvensjonelle SIEM-er og andre eldre forebyggingssystemer.
UEBA gir deg et kraftigere insidertrusseldeteksjonssystem sammenlignet med andre tradisjonelle sikkerhetsløsninger. Den overvåker ikke bare unormal menneskelig oppførsel, men også mistenkelige sidebevegelser. UEBA sporer også aktiviteter på dine skytjenester, mobile enheter og Internet of Things-enheter.
Et sofistikert UEBA-system tar inn data fra alle de forskjellige loggkildene og bygger en detaljert rapport om angrepet for sikkerhetsanalytikerne dine. Dette sparer sikkerhetsteamet for tiden du bruker på å gå gjennom utallige logger for å fastslå den faktiske skaden på grunn av et angrep.
Her er noen av de mange brukssakene til UEBA.
Topp 6 UEBA Use Cases
#1. UEBA oppdager misbruk av innsiderettigheter når brukere utfører risikofylte aktiviteter utenfor den etablerte normale atferden.
#2. UEBA slår sammen mistenkelig informasjon fra forskjellige kilder for å lage en risikoscore for risikorangering.
#3. UEBA utfører hendelsesprioritering ved å redusere falske positiver. Det eliminerer varslingstrøtthet og gjør det mulig for sikkerhetsteam å fokusere på høyrisikovarsler.
#4. UEBA forhindrer tap av data og dataeksfiltrering fordi systemet sender varsler når det oppdager sensitive data som flyttes innenfor nettverket eller overføres ut av nettverket.
#5. UEBA hjelper til med å oppdage sideveis bevegelse av hackere i nettverket som kan ha stjålet påloggingsinformasjon for ansatte.
#6. UEBA tilbyr også automatiserte hendelsesresponser, som gjør det mulig for sikkerhetsteam å svare på sikkerhetshendelser i sanntid.
Hvordan UEBA forbedrer UBA og eldre sikkerhetssystemer som SIEM
UEBA erstatter ikke andre sikkerhetssystemer, men representerer en betydelig forbedring brukt sammen med andre løsninger for mer effektiv cybersikkerhet. UEBA skiller seg fra brukeratferdsanalyse (UBA) ved at UEBA inkluderer «Entities» og «Events» som servere, rutere og endepunkter.
En UEBA-løsning er mer omfattende enn UBA fordi den overvåker ikke-menneskelige prosesser og maskinenheter for å identifisere trusler mer nøyaktig.
SIEM står for sikkerhetsinformasjon og event management. Tradisjonell eldre SIEM kan kanskje ikke oppdage sofistikerte trusler av seg selv fordi den ikke er designet for å overvåke trusler i sanntid. Og med tanke på at hackere ofte unngår enkle engangsangrep og i stedet engasjerer seg i en kjede av sofistikerte angrep, kan de forbli uoppdaget av tradisjonelle trusseldeteksjonsverktøy som SIEM i uker eller måneder.
En sofistikert UEBA-løsning tar tak i denne begrensningen. UEBA-systemer analyserer data lagret av SIEM og jobber sammen for å overvåke trusler i sanntid, slik at du kan reagere på brudd raskt og enkelt.
Derfor, ved å slå sammen UEBA- og SIEM-verktøy, kan organisasjoner være mye mer effektive når det gjelder trusseldeteksjon og -analyse, adressere sårbarheter raskt og unngå angrep.
Gode fremgangsmåter for Analytics for bruker- og enhetsatferd
Her er fem beste fremgangsmåter for brukeratferdsanalyse som gir innsikt i ting du bør gjøre når du bygger en grunnlinje for brukeratferd.
#1. Definer brukstilfeller
Definer brukstilfellene du vil at UEBA-løsningen skal identifisere. Dette kan være påvisning av privilegert kontomisbruk, kompromittering av legitimasjon eller innsidetrusler. Å definere brukstilfeller hjelper deg med å finne ut hvilke data du skal samle inn for overvåking.
#2. Definer datakilder
Jo flere datatyper UEBA-systemene dine kan håndtere, desto mer presis blir grunnlinjen. Noen datakilder inkluderer systemlogger eller menneskelige ressurser som for eksempel ansattes ytelseshistorikk.
#3. Definer atferd om hvilke data som skal samles inn
Dette kan inkludere ansattes arbeidstid, applikasjoner og enheter de ofte har tilgang til, og skriverytmer. Med disse dataene på plass kan du bedre forstå mulige årsaker til falske positiver.
#4. Angi en varighet for å etablere grunnlinjen
Når du bestemmer varigheten av basisperioden din, er det viktig å vurdere sikkerhetsmålene til virksomheten din og aktivitetene til brukerne.
Utgangsperioden bør ikke være for kort eller for lang. Dette er fordi du kanskje ikke kan samle inn riktig informasjon hvis du avslutter grunnlinjevarigheten for raskt, noe som resulterer i en høy andel falske positiver. På den annen side kan noen ondsinnede aktiviteter overføres som normalt hvis du bruker for lang tid på å samle inn grunnleggende informasjon.
#5. Oppdater grunndataene dine regelmessig
Du må kanskje gjenoppbygge grunnlinjedataene dine regelmessig fordi bruker- og enhetsaktiviteter endres hele tiden. En ansatt kan bli forfremmet og endre sine oppgaver og prosjekter, nivå av privilegier og aktiviteter. UEBA-systemer kan automatisk settes til å samle inn data og justere grunndataene når endringer skjer.
Siste ord
Etter hvert som vi blir stadig mer avhengige av teknologi, blir cybersikkerhetstrusler mer komplekse. En stor bedrift må sikre sine systemer som inneholder sensitive data fra sine egne og sine kunder for å unngå store sikkerhetsbrudd. UEBA tilbyr et hendelsesresponssystem i sanntid som kan forhindre angrep.