Sikkerhetshendelser i den digitale sfæren opptrer stadig hyppigere. UEBA bistår organisasjoner med å identifisere og håndtere slike hendelser på en effektiv måte.
Bruker- og enhetsatferdsanalyse (UEBA), tidligere kjent som brukeratferdsanalyse (UBA), er en cybersikkerhetsløsning som benytter analyser for å skape en forståelse av hvordan brukere (mennesker) og enheter (nettverksenheter og servere) i en organisasjon normalt opererer. Dette gjøres for å oppdage og respondere på uvanlig aktivitet i sanntid.
UEBA kan identifisere og varsle sikkerhetsanalytikere om risikable avvik og mistenkelig atferd, som kan indikere:
- Lateral bevegelse
- Misbruk av privilegerte kontoer
- Eskalering av privilegier
- Kompromitterte legitimasjoner eller
- Interne trusler
Videre evaluerer UEBA trusselnivået og genererer en risikoscore for å legge grunnlag for en passende respons.
Fortsett å lese for å lære mer om hvordan UEBA fungerer, hvorfor organisasjoner går over til UEBA, de sentrale komponentene i UEBA, UEBAs rolle i hendelseshåndtering, samt beste praksis for UEBA.
Hvordan fungerer analyser av bruker- og enhetsatferd?
Analyse av bruker- og enhetsatferd begynner med å samle data om forventet oppførsel hos mennesker og maskiner i organisasjonen din fra datalagre som en datasjø, et datavarehus eller gjennom SIEM.
UEBA bruker deretter avanserte analytiske metoder for å behandle denne informasjonen. Dette gjør det mulig å bestemme og definere en baseline for atferdsmønstre. Eksempler på data som analyseres er hvor en ansatt logger på fra, privilegienivå, filer og servere de ofte benytter, tidspunkter for tilgang, frekvens og hvilke enheter de bruker.
UEBA overvåker deretter kontinuerlig bruker- og enhetsaktiviteter, sammenligner dem med baselineatferden, og avgjør hvilke handlinger som kan signalisere et angrep.
UEBA kan differensiere mellom når en bruker utfører sine normale oppgaver og når et angrep finner sted. Selv om en hacker har tilgang til en ansatts påloggingsinformasjon, vil de ikke kunne etterligne den ansattes typiske aktiviteter og adferd.
En UEBA-løsning består av tre hovedkomponenter:
Dataanalyse: UEBA samler og organiserer data fra brukere og enheter for å skape en standardprofil for hver brukers vanlige oppførsel. Statistiske modeller utarbeides deretter og anvendes for å oppdage uvanlig aktivitet og varsle sikkerhetsteamet.
Dataintegrasjon: For å øke systemets robusthet, sammenligner UEBA data fra forskjellige kilder – slik som systemlogger, pakkefangstdata og andre datasett – med data samlet inn fra eksisterende sikkerhetssystemer.
Datapresentasjon: Dette er prosessen der UEBA-systemet formidler sine funn og foreslår passende respons. Denne prosessen involverer vanligvis en forespørsel til sikkerhetsanalytikere om å undersøke uvanlig atferd.
UEBAs rolle i hendelseshåndtering
Analyse av bruker- og enhetsatferd bruker maskinlæring og dyp læring for å overvåke og analysere den vanlige oppførselen til mennesker og maskiner i din organisasjon.
Dersom det oppstår et avvik fra det normale mønsteret, identifiserer UEBA-systemet dette og utfører en analyse for å avgjøre om den uvanlige adferden utgjør en reell trussel.
UEBA mottar data fra ulike loggkilder som databaser, Windows AD, VPN, proxy, merker, filer og endepunkter for å utføre denne analysen. Ved å kombinere disse dataene med innlært atferd, kan UEBA slå sammen informasjonen for å gi en endelig risikoscore og sende en detaljert rapport til sikkerhetsanalytikerne.
For eksempel, la oss si at UEBA ser at en ansatt logger inn via VPN fra Afrika for første gang. Selv om denne ansattes adferd er uvanlig, betyr ikke det at det er en trussel. Brukeren kan rett og slett være på reise. Men dersom samme ansatt i personalavdelingen plutselig prøver å få tilgang til finansnettverket, vil UEBA markere dette som mistenkelig og varsle sikkerhetsteamet.
Her er et annet eksempel:
Harry, ansatt ved Mount Sinai Hospital i New York, trenger penger. En dag venter Harry til alle har gått hjem før han laster ned sensitiv pasientinformasjon til en USB-enhet kl. 19. Han har tenkt å selge de stjålne dataene på det svarte markedet for en god sum.
Heldigvis bruker Mount Sinai Hospital en UEBA-løsning som overvåker atferden til hver bruker og enhet i sykehusets nettverk.
Selv om Harry har tilgang til pasientinformasjon, øker UEBA-systemet risikoscoren hans når det oppdager et avvik fra hans vanlige aktiviteter. Hans vanlige aktivitet er å se, opprette og redigere pasientjournaler mellom kl. 09.00 og 17.00.
Når Harry prøver å få tilgang til informasjonen kl. 19.00, identifiserer systemet uregelmessigheter i mønster og tidspunkt, og gir en risikoscore.
Du kan konfigurere UEBA-systemet ditt til å sende et varsel til sikkerhetsteamet for videre undersøkelser, eller det kan være innstilt til å iverksette umiddelbare tiltak som å automatisk koble den ansatte fra nettverket på grunn av den mistenkte nettverkshendelsen.
Er en UEBA-løsning nødvendig?
En UEBA-løsning er essensiell for organisasjoner fordi hackere benytter seg av stadig mer sofistikerte angrep som blir vanskeligere å oppdage. Dette gjelder spesielt når trusselen kommer fra innsiden.
Ifølge fersk cybersikkerhetsstatistikk er over 34 % av selskaper rammet av interne trusler globalt. I tillegg opplever 85 % av virksomhetene det vanskelig å tallfeste de reelle kostnadene ved et internt angrep.
Som en konsekvens ser sikkerhetsteam etter nyere tilnærminger for oppdagelse og håndtering av hendelser. For å balansere og styrke sikkerhetssystemene sine, kombinerer sikkerhetsanalytikere teknologier som bruker- og enhetsatferdsanalyse (UEBA) med konvensjonelle SIEM-er og andre eldre forebyggingssystemer.
UEBA gir et mer robust system for deteksjon av interne trusler sammenlignet med tradisjonelle sikkerhetsløsninger. Det overvåker ikke bare uvanlig menneskelig atferd, men også mistenkelig lateral bevegelse. UEBA sporer også aktiviteter på dine skytjenester, mobile enheter og Internett of Things (IoT)-enheter.
Et avansert UEBA-system samler inn data fra forskjellige loggkilder og bygger en detaljert rapport om angrepet for sikkerhetsanalytikerne dine. Dette sparer sikkerhetsteamet for tid brukt på å gå gjennom utallige logger for å fastslå den faktiske skaden som skyldes et angrep.
Her er noen av de mange bruksområdene for UEBA.
De 6 viktigste bruksområdene for UEBA
#1. UEBA identifiserer misbruk av innsiderettigheter når brukere foretar risikable aktiviteter som avviker fra etablert normal atferd.
#2. UEBA slår sammen mistenkelig informasjon fra ulike kilder for å lage en risikoscore.
#3. UEBA prioriterer hendelser ved å redusere falske positiver. Dette reduserer varslingstrøtthet og gjør det mulig for sikkerhetsteam å fokusere på varsler med høy risiko.
#4. UEBA forhindrer tap av data og dataeksfiltrering ved at systemet sender varsler når det oppdager sensitive data som flyttes internt i nettverket eller overføres ut av nettverket.
#5. UEBA bidrar til å oppdage laterale bevegelser av hackere i nettverket som kan ha stjålet ansattes påloggingsinformasjon.
#6. UEBA tilbyr også automatisert hendelseshåndtering, som gir sikkerhetsteam muligheten til å reagere på sikkerhetshendelser i sanntid.
Hvordan UEBA forbedrer UBA og eldre sikkerhetssystemer som SIEM
UEBA erstatter ikke andre sikkerhetssystemer, men representerer en betydelig forbedring når det kombineres med andre løsninger for en mer effektiv cybersikkerhet. UEBA skiller seg fra brukeratferdsanalyse (UBA) ved at UEBA inkluderer «Enheter» og «Hendelser» som servere, rutere og endepunkter.
En UEBA-løsning er mer omfattende enn UBA fordi den overvåker ikke-menneskelige prosesser og maskinenheter for å mer nøyaktig kunne identifisere trusler.
SIEM står for sikkerhetsinformasjon og hendelsesadministrasjon. Tradisjonell eldre SIEM er ikke alltid i stand til å oppdage sofistikerte trusler, da den ikke er designet for å overvåke trusler i sanntid. Ettersom hackere ofte unngår enkle engangsangrep og i stedet foretar en kjede av sofistikerte angrep, kan disse forbli uoppdaget av tradisjonelle verktøy som SIEM i uker eller måneder.
En avansert UEBA-løsning tar tak i denne begrensningen. UEBA-systemer analyserer data som er lagret av SIEM, og samarbeider for å overvåke trusler i sanntid, slik at du kan reagere raskt og enkelt på sikkerhetsbrudd.
Ved å kombinere UEBA- og SIEM-verktøy, kan organisasjoner være mer effektive i trusseldeteksjon og -analyse, håndtere sårbarheter raskt og unngå angrep.
Beste praksis for analyse av bruker- og enhetsatferd
Her er fem anbefalte fremgangsmåter for analyse av brukeratferd som gir innsikt i hva du bør gjøre når du bygger en baseline for brukeratferd.
#1. Definer bruksområder
Definer bruksområdene du vil at UEBA-løsningen skal identifisere. Dette kan være å oppdage misbruk av privilegerte kontoer, kompromittering av legitimasjon eller interne trusler. Ved å definere bruksområder blir det enklere å vite hvilke data som skal samles inn for overvåking.
#2. Definer datakilder
Jo flere datatyper UEBA-systemet ditt kan håndtere, desto mer nøyaktig blir baseline. Datakilder kan for eksempel være systemlogger eller menneskelige ressurser som ansattes prestasjonshistorikk.
#3. Definer atferd som skal samles inn
Dette kan inkludere ansattes arbeidstid, applikasjoner og enheter de ofte bruker, og deres skrivemønster. Med disse dataene tilgjengelig blir det enklere å forstå mulige årsaker til falske positiver.
#4. Angi en varighet for å etablere baseline
Når du bestemmer varigheten for baselineperioden, er det viktig å vurdere sikkerhetsmålene til virksomheten din og brukernes aktiviteter.
Baselineperioden bør verken være for kort eller for lang. For kort periode kan resultere i at du ikke samler inn tilstrekkelig informasjon, noe som igjen kan føre til mange falske positiver. Dersom du derimot bruker for lang tid, kan det hende at enkelte ondsinnede aktiviteter blir tolket som normale.
#5. Oppdater jevnlig dine baseline-data
Du kan trenge å bygge dine baseline-data på nytt med jevne mellomrom, da bruker- og enhetsaktiviteter stadig endres. En ansatt kan bli forfremmet og endre sine oppgaver og prosjekter, privilegienivå og aktiviteter. UEBA-systemer kan automatisk konfigureres til å samle data og justere baseline når endringer skjer.
Konklusjon
Etterhvert som vi blir stadig mer avhengige av teknologi, blir cybersikkerhetstrusler mer komplekse. En stor bedrift må sikre sine systemer som inneholder sensitiv informasjon om seg selv og sine kunder for å unngå alvorlige sikkerhetsbrudd. UEBA tilbyr et hendelseshåndteringssystem i sanntid som kan forhindre angrep.