UEBAとインシデント対応におけるその役割を理解する
公開: 2021-09-16デジタルの世界では、セキュリティ侵害がますます一般的になっています。 UEBAは、組織がこれらのインシデントを検出して対応するのに役立ちます。
ユーザーおよびエンティティの行動分析(UEBA)は、以前はユーザー行動分析(UBA)と呼ばれていました。 これは、分析を使用して、組織内のユーザー(人間)とエンティティ(ネットワーク化されたデバイスとサーバー)が異常なアクティビティをリアルタイムで検出して対応するために通常どのように動作するかを理解するためのサイバーセキュリティソリューションです。
UEBAは、次のことを示す可能性のある危険な変動や疑わしい動作について、セキュリティアナリストを特定して警告することができます。
- 横方向の動き
- 特権アカウントの悪用
- 特権の昇格
- クレデンシャルの侵害または
- インサイダーの脅威
UEBAはさらに脅威レベルを評価し、適切な対応を確立するのに役立つリスクスコアを提供します。
UEBAの仕組み、組織がUEBAに移行する理由、UEBAの主要コンポーネント、インシデント対応におけるUEBAの役割、およびUEBAのベストプラクティスについて学習します。
ユーザーとエンティティの行動分析はどのように機能しますか?
ユーザーとエンティティの動作分析では、最初に、データレイク、データウェアハウスなどのデータリポジトリから、またはSIEMを介して、組織内の人とマシンの予想される動作に関する情報を収集します。
次に、UEBAは高度な分析アプローチを使用してこの情報を処理し、行動パターンのベースラインを決定してさらに定義します。従業員のログイン元、特権レベル、ファイル、頻繁にアクセスするサーバー、アクセスの時間と頻度、および使用するデバイスアクセス。
次に、UEBAはユーザーとエンティティのアクティビティを継続的に監視し、それらをベースラインの動作と比較して、攻撃につながる可能性のあるアクションを決定します。
UEBAは、ユーザーが通常のアクティビティを実行しているときと、攻撃が発生しているときを知ることができます。 ハッカーは従業員のログイン情報にアクセスできる可能性がありますが、通常の活動や行動を模倣することはできません。
UEBAソリューションには、次の3つの主要コンポーネントがあります。
データ分析: UEBAは、ユーザーとエンティティのデータを収集および整理して、各ユーザーの通常の行動の標準プロファイルを構築します。 次に、統計モデルが定式化されて適用され、異常なアクティビティを検出してセキュリティチームに警告します。
データ統合:システムの復元力を高めるために、UEBAは、システムログ、パケットキャプチャデータ、その他のデータセットなど、さまざまなソースから取得したデータを既存のセキュリティシステムから収集したデータと比較します。
データの提示: UEBAシステムがその結果と適切な応答を伝達するプロセス。 このプロセスには通常、セキュリティアナリストに異常な動作を調査するための要求を発行することが含まれます。
インシデント対応におけるUEBAの役割
ユーザーとエンティティの動作分析では、機械学習とディープラーニングを使用して、組織内の人間と機械の通常の動作を監視および分析します。
通常のパターンからの逸脱がある場合、UEBAシステムはそれを検出し、異常な動作が実際の脅威をもたらすかどうかを判断する分析を実行します。
UEBAは、データベース、Windows AD、VPN、プロキシ、バッジ、ファイル、エンドポイントなどのさまざまなログソースからデータを取り込み、この分析を実行します。 これらの入力と学習した動作を使用して、UEBAは情報を融合してリスクランキングの最終スコアを作成し、セキュリティアナリストに詳細なレポートを送信できます。
たとえば、UEBAは、アフリカからVPN経由で初めて入ってきた従業員を見ることができます。 従業員の行動が異常であるからといって、それが脅威であるとは限りません。 ユーザーは単に旅行している可能性があります。 ただし、人事部門の同じ従業員が突然財務サブネットにアクセスした場合、UEBAはその従業員の活動を疑わしいものとして認識し、セキュリティチームに警告します。
別の関連するシナリオがあります。
ニューヨークのマウントサイナイ病院の従業員であるハリーは、お金のために必死です。 この特定の日に、ハリーは全員がオフィスを離れるのを待ってから、午後7時に患者の機密情報をUSBデバイスにダウンロードします。 彼は盗まれたデータを闇市場で高額で売るつもりです。
幸い、マウントサイナイ病院はUEBAソリューションを利用しており、病院ネットワーク内のすべてのユーザーとエンティティの動作を監視しています。
ハリーは患者情報にアクセスする許可を持っていますが、UEBAシステムは、通常、午前9時から午後5時までの患者記録の表示、作成、編集を含む通常の活動からの逸脱を検出すると、リスクスコアを上げます。
ハリーが午後7時に情報にアクセスしようとすると、システムはパターンとタイミングの不規則性を識別し、リスクスコアを割り当てます。
UEBAシステムを設定して、セキュリティチームにアラートを作成し、さらなる調査を提案することも、サイバー攻撃の疑いがあるためにその従業員のネットワーク接続を自動的に遮断するなどの即時アクションを実行するように設定することもできます。
UEBAソリューションが必要ですか?
ハッカーはより高度な攻撃を実行しており、検出がますます困難になっているため、UEBAソリューションは組織にとって不可欠です。 これは、脅威が内部から発生している場合に特に当てはまります。
最近のサイバーセキュリティ統計によると、34%以上の企業が世界中の内部脅威の影響を受けています。 さらに、85%の企業が、インサイダー攻撃の実際のコストを定量化するのは難しいと述べています。
その結果、セキュリティチームは新しい検出にシフトし、インシデントレスポンス(IR)アプローチを採用しています。 セキュリティシステムのバランスを取り、強化するために、セキュリティアナリストは、ユーザーおよびエンティティの行動分析(UEBA)などのテクノロジーを従来のSIEMやその他のレガシー防止システムと統合しています。
UEBAは、他の従来のセキュリティソリューションと比較して、より強力な内部脅威検出システムを提供します。 異常な人間の行動だけでなく、疑わしい横方向の動きも監視します。 UEBAは、クラウドサービス、モバイルデバイス、モノのインターネットデバイスでのアクティビティも追跡します。
高度なUEBAシステムは、さまざまなログソースからデータを取り込み、セキュリティアナリスト向けに攻撃の詳細なレポートを作成します。 これにより、セキュリティチームは、攻撃による実際の被害を特定するために無数のログを調べる時間を節約できます。
UEBAの多くのユースケースのいくつかを次に示します。
UEBAのユースケーストップ6
#1 。 UEBAは、ユーザーが確立された通常の動作以外の危険なアクティビティを実行すると、インサイダー特権の悪用を検出します。
#2。 UEBAは、さまざまなソースからの疑わしい情報を融合して、リスクランキングのリスクスコアを作成します。
#3。 UEBAは、誤検知を減らすことでインシデントの優先順位付けを実行します。 これにより、アラートの疲労が解消され、セキュリティチームがリスクの高いアラートに集中できるようになります。
#4。 UEBAは、ネットワーク内で移動されている、またはネットワークから転送されている機密データを検出するとアラートを送信するため、データの損失とデータの漏えいを防ぎます。
#5 。 UEBAは、従業員のログイン資格情報を盗んだ可能性のあるネットワーク内のハッカーの横方向の動きを検出するのに役立ちます。
#6。 UEBAは自動化されたインシデント対応も提供し、セキュリティチームがセキュリティインシデントにリアルタイムで対応できるようにします。
UEBAがUBAおよびSIEMなどのレガシーセキュリティシステムをどのように改善するか
UEBAは他のセキュリティシステムに取って代わるものではありませんが、より効果的なサイバーセキュリティのために他のソリューションと一緒に使用される大幅な改善を表しています。 UEBAは、サーバー、ルーター、エンドポイントなどの「エンティティ」と「イベント」を含むという点で、ユーザー行動分析(UBA)とは異なります。
UEBAソリューションは、人間以外のプロセスとマシンエンティティを監視して脅威をより正確に特定するため、UBAよりも包括的です。
SIEMは、セキュリティ情報とイベント管理の略です。 従来のレガシーSIEMは、脅威をリアルタイムで監視するように設計されていないため、高度な脅威を単独で検出できない場合があります。 また、ハッカーは単純な1回限りの攻撃を避け、代わりに一連の高度な攻撃を行うことが多いことを考えると、SIEMなどの従来の脅威検出ツールでは数週間から数か月も検出されない可能性があります。
洗練されたUEBAソリューションは、この制限に対処します。 UEBAシステムは、SIEMによって保存されたデータを分析し、連携して脅威をリアルタイムで監視し、侵害に迅速かつ簡単に対応できるようにします。
したがって、UEBAツールとSIEMツールを統合することで、組織は脅威の検出と分析をより効果的に行い、脆弱性に迅速に対処し、攻撃を回避できます。
ユーザーおよびエンティティの行動分析のベストプラクティス
ここでは、ユーザーの行動のベースラインを構築するときに行うべきことについての洞察を提供する、ユーザーの行動分析の5つのベストプラクティスを示します。
#1。 ユースケースを定義する
UEBAソリューションで識別させたいユースケースを定義します。 これらは、特権アカウントの悪用、資格情報の侵害、または内部脅威の検出である可能性があります。 ユースケースを定義すると、監視のために収集するデータを決定するのに役立ちます。
#2。 データソースを定義する
UEBAシステムが処理できるデータ型が多いほど、ベースラインはより正確になります。 一部のデータソースには、システムログまたは従業員のパフォーマンス履歴などの人材データが含まれます。
#3。 データが収集される動作を定義します
これには、従業員の勤務時間、頻繁にアクセスするアプリケーションとデバイス、タイピングのリズムなどが含まれます。 このデータを使用すると、誤検知の考えられる理由をよりよく理解できます。
#4。 ベースラインを確立するための期間を設定します
ベースライン期間の期間を決定するときは、ビジネスのセキュリティ目標とユーザーのアクティビティを考慮することが不可欠です。
ベースライン期間は短すぎたり長すぎたりしてはいけません。 これは、ベースライン期間の終了が速すぎると正しい情報を収集できず、誤検知の割合が高くなる可能性があるためです。 一方、ベースライン情報の収集に時間がかかりすぎると、一部の悪意のあるアクティビティが通常どおりに渡される可能性があります。
#5。 ベースラインデータを定期的に更新する
ユーザーとエンティティのアクティビティは常に変化するため、ベースラインデータを定期的に再構築する必要がある場合があります。 従業員は昇進し、タスクやプロジェクト、特権のレベル、および活動を変更する場合があります。 UEBAシステムは、データを収集し、変更が発生したときにベースラインデータを調整するように自動的に設定できます。
最後の言葉
テクノロジーへの依存度が高まるにつれ、サイバーセキュリティの脅威はより複雑になっています。 大企業は、大規模なセキュリティ侵害を回避するために、自社とそのクライアントの機密データを保持するシステムを保護する必要があります。 UEBAは、攻撃を防ぐことができるリアルタイムのインシデント対応システムを提供します。