Memahami UEBA dan Perannya dalam Respons Insiden

Pelanggaran keamanan telah menjadi semakin umum di dunia digital. UEBA membantu organisasi mendeteksi dan menanggapi insiden ini.

Analisis Perilaku Pengguna dan Entitas (UEBA) sebelumnya dikenal sebagai Analisis Perilaku Pengguna (UBA). Ini adalah solusi keamanan siber yang menggunakan analitik untuk mendapatkan pemahaman tentang bagaimana pengguna (manusia) dan entitas (perangkat dan server jaringan) dalam suatu organisasi biasanya berperilaku untuk mendeteksi dan merespons aktivitas anomali secara real-time.

UEBA dapat mengidentifikasi dan memperingatkan analis keamanan tentang variasi berisiko dan perilaku mencurigakan yang dapat mengindikasikan:

• Gerakan lateral
• Penyalahgunaan akun hak istimewa
• Peningkatan hak istimewa
• Kompromi kredensial atau
• Ancaman orang dalam

UEBA juga menilai lebih lanjut tingkat ancaman dan memberikan skor risiko yang dapat membantu menetapkan respons yang tepat.

Baca terus untuk mengetahui tentang cara kerja UEBA, mengapa organisasi beralih ke UEBA, komponen utama UEBA, peran UEBA dalam respons insiden, dan praktik terbaik UEBA.

Bagaimana cara kerja Analisis Perilaku Pengguna dan Entitas?

Analitik perilaku pengguna dan entitas pertama-tama mengumpulkan informasi tentang perilaku yang diharapkan dari orang-orang dan mesin di organisasi Anda dari penyimpanan data seperti danau data, gudang data, atau melalui SIEM.

UEBA kemudian menggunakan pendekatan analitik tingkat lanjut untuk memproses informasi ini guna menentukan dan lebih lanjut menentukan garis dasar pola perilaku: dari mana seorang karyawan masuk, tingkat hak istimewa mereka, file, server yang sering mereka akses, waktu dan frekuensi akses, dan perangkat yang mereka gunakan untuk mengakses.

UEBA kemudian terus memantau aktivitas pengguna dan entitas, membandingkannya dengan perilaku dasar, dan memutuskan tindakan apa yang dapat mengakibatkan serangan.

UEBA dapat mengetahui kapan pengguna melakukan aktivitas normalnya dan kapan serangan terjadi. Meskipun peretas mungkin dapat mengakses detail login karyawan, mereka tidak akan dapat meniru aktivitas dan perilaku reguler mereka.

Solusi UEBA memiliki tiga komponen utama:

Analisis data: UEBA mengumpulkan dan mengatur data pengguna dan entitas untuk membangun profil standar tentang bagaimana setiap pengguna biasanya bertindak. Model statistik kemudian diformulasikan dan diterapkan untuk mendeteksi aktivitas anomali dan mengingatkan tim keamanan.

Integrasi data: Untuk membuat sistem lebih tangguh, UEBA membandingkan data yang diperoleh dari berbagai sumber – seperti log sistem, data pengambilan paket, dan kumpulan data lainnya – dengan data yang dikumpulkan dari sistem keamanan yang ada.

Penyajian data: Proses di mana sistem UEBA mengkomunikasikan temuannya dan tanggapan yang sesuai. Proses ini biasanya melibatkan mengeluarkan permintaan untuk analis keamanan untuk menyelidiki perilaku yang tidak biasa.

Peran UEBA dalam respons insiden

Analisis perilaku pengguna dan entitas menggunakan pembelajaran mesin dan pembelajaran mendalam untuk memantau dan menganalisis perilaku biasa manusia dan mesin di organisasi Anda.

Jika ada penyimpangan dari pola reguler, sistem UEBA mendeteksinya dan melakukan analisis untuk menentukan apakah perilaku yang tidak biasa menimbulkan ancaman nyata atau tidak.

UEBA menyerap data dari sumber log yang berbeda seperti database, Windows AD, VPN, proxy, lencana, file, dan titik akhir untuk melakukan analisis ini. Dengan menggunakan input ini dan perilaku yang dipelajari, UEBA dapat menggabungkan informasi untuk membuat skor akhir untuk peringkat risiko dan mengirim laporan terperinci ke analis keamanan.

Misalnya, UEBA dapat melihat seorang karyawan yang datang melalui VPN dari Afrika untuk pertama kalinya. Hanya karena perilaku karyawan tidak normal tidak berarti itu adalah ancaman; pengguna mungkin hanya bepergian. Namun, jika karyawan yang sama di departemen sumber daya manusia tiba-tiba mengakses subnet keuangan, UEBA akan mengenali aktivitas karyawan tersebut sebagai mencurigakan dan memperingatkan tim keamanan.

Berikut adalah skenario lain yang terkait.

Harry, seorang karyawan di Rumah Sakit Mount Sinai di New York, sangat membutuhkan uang. Pada hari khusus ini, Harry menunggu semua orang meninggalkan kantor kemudian mengunduh informasi sensitif pasien ke perangkat USB pada pukul 7 malam. Dia bermaksud untuk menjual data yang dicuri di pasar gelap dengan harga tinggi.

Untungnya, Rumah Sakit Mount Sinai menggunakan solusi UEBA, yang memantau perilaku setiap pengguna dan entitas dalam jaringan rumah sakit.

Meskipun Harry memiliki izin untuk mengakses informasi pasien, sistem UEBA meningkatkan skor risikonya ketika mendeteksi penyimpangan dari aktivitasnya yang biasa, yang biasanya melibatkan melihat, membuat, dan mengedit catatan pasien antara pukul 9 pagi hingga 5 sore.

Ketika Harry mencoba mengakses informasi pada jam 7 malam, sistem mengidentifikasi ketidakteraturan pola dan waktu dan memberikan skor risiko.

Anda dapat mengatur sistem UEBA Anda untuk menyiratkan membuat peringatan bagi tim keamanan untuk menyarankan penyelidikan lebih lanjut, atau Anda dapat mengaturnya untuk mengambil tindakan segera seperti mematikan konektivitas jaringan secara otomatis untuk karyawan tersebut karena dugaan serangan siber.

Apakah saya memerlukan solusi UEBA?

Solusi UEBA sangat penting bagi organisasi karena peretas melakukan serangan yang lebih canggih yang semakin sulit dideteksi. Ini terutama benar dalam kasus-kasus di mana ancaman datang dari dalam.

Menurut statistik keamanan siber baru-baru ini, lebih dari 34% perusahaan dipengaruhi oleh ancaman orang dalam di seluruh dunia. Selain itu, 85% bisnis mengatakan sulit untuk menghitung biaya sebenarnya dari serangan orang dalam.

Akibatnya, tim keamanan beralih ke deteksi yang lebih baru, dan pendekatan respons insiden (IR). Untuk menyeimbangkan dan meningkatkan sistem keamanan mereka, analis keamanan menggabungkan teknologi seperti analisis perilaku pengguna dan entitas (UEBA) dengan SIEM konvensional dan sistem pencegahan warisan lainnya.

UEBA memberi Anda sistem deteksi ancaman orang dalam yang lebih kuat dibandingkan dengan solusi keamanan tradisional lainnya. Ini memonitor tidak hanya perilaku manusia yang tidak normal tetapi juga gerakan lateral yang mencurigakan. UEBA juga melacak aktivitas di layanan cloud, perangkat seluler, dan perangkat Internet of Things Anda.

Sistem UEBA yang canggih menyerap data dari semua sumber log yang berbeda dan membuat laporan terperinci tentang serangan untuk analis keamanan Anda. Ini menghemat waktu yang dihabiskan tim keamanan Anda melalui log yang tak terhitung jumlahnya untuk menentukan kerusakan aktual akibat serangan.

Berikut adalah beberapa dari banyak kasus penggunaan UEBA.

6 Kasus Penggunaan UEBA Teratas

#1 . UEBA mendeteksi penyalahgunaan hak istimewa orang dalam ketika pengguna melakukan aktivitas berisiko di luar perilaku normal yang ditetapkan.

#2. UEBA menggabungkan informasi yang mencurigakan dari sumber yang berbeda untuk membuat skor risiko untuk peringkat risiko.

#3. UEBA melakukan prioritas insiden dengan mengurangi positif palsu. Ini menghilangkan kelelahan waspada dan memungkinkan tim keamanan untuk fokus pada peringatan berisiko tinggi.

#4. UEBA mencegah kehilangan data dan pemusnahan data karena sistem mengirimkan peringatan saat mendeteksi data sensitif dipindahkan di dalam jaringan atau ditransfer keluar dari jaringan.

# 5 . UEBA membantu mendeteksi pergerakan lateral peretas dalam jaringan yang mungkin telah mencuri kredensial masuk karyawan.

#6. UEBA juga menyediakan respons insiden otomatis, memungkinkan tim keamanan untuk merespons insiden keamanan secara real-time.

Bagaimana UEBA meningkatkan UBA dan sistem keamanan lama seperti SIEM

UEBA tidak menggantikan sistem keamanan lain tetapi mewakili peningkatan signifikan yang digunakan bersama dengan solusi lain untuk keamanan siber yang lebih efektif. UEBA berbeda dari analisis perilaku pengguna (UBA) karena UEBA menyertakan "Entitas" dan "Acara" seperti server, router, dan titik akhir.

Solusi UEBA lebih komprehensif daripada UBA karena memantau proses nonmanusia dan entitas mesin untuk mengidentifikasi ancaman secara lebih akurat.

SIEM adalah singkatan dari informasi keamanan dan manajemen acara. SIEM warisan tradisional mungkin tidak dapat mendeteksi ancaman canggih dengan sendirinya karena tidak dirancang untuk memantau ancaman secara real-time. Dan mengingat bahwa peretas sering kali menghindari serangan satu kali yang sederhana dan malah terlibat dalam rangkaian serangan yang canggih, mereka dapat tidak terdeteksi oleh alat pendeteksi ancaman tradisional seperti SIEM selama berminggu-minggu atau bahkan berbulan-bulan.

Solusi UEBA yang canggih mengatasi keterbatasan ini. Sistem UEBA menganalisis data yang disimpan oleh SIEM dan bekerja sama untuk memantau ancaman secara real-time, memungkinkan Anda untuk merespons pelanggaran dengan cepat dan mudah.

Oleh karena itu, dengan menggabungkan alat UEBA dan SIEM, organisasi dapat menjadi jauh lebih efektif dalam mendeteksi dan menganalisis ancaman, mengatasi kerentanan dengan cepat, dan menghindari serangan.

Praktik terbaik Analisis Perilaku Pengguna dan Entitas

Berikut adalah lima praktik terbaik untuk analitik perilaku pengguna yang memberikan wawasan tentang hal-hal yang harus dilakukan saat membangun dasar untuk perilaku pengguna.

#1. Tentukan kasus penggunaan

Tentukan kasus penggunaan yang Anda inginkan untuk diidentifikasi oleh solusi UEBA Anda. Ini bisa berupa deteksi penyalahgunaan akun istimewa, kompromi kredensial, atau ancaman orang dalam. Mendefinisikan kasus penggunaan membantu Anda menentukan data apa yang akan dikumpulkan untuk pemantauan.

#2. Tentukan sumber data

Semakin banyak tipe data yang dapat ditangani oleh sistem UEBA Anda, semakin tepat baselinenya. Beberapa sumber data termasuk log sistem atau data sumber daya manusia seperti riwayat kinerja karyawan.

#3. Tentukan perilaku tentang data mana yang akan dikumpulkan

Ini dapat mencakup jam kerja karyawan, aplikasi dan perangkat yang sering mereka akses, dan ritme mengetik. Dengan data ini, Anda dapat lebih memahami kemungkinan alasan positif palsu.

#4. Tetapkan durasi untuk menetapkan baseline

Saat menentukan durasi periode dasar Anda, penting untuk mempertimbangkan tujuan keamanan bisnis Anda dan aktivitas pengguna.

Periode baseline tidak boleh terlalu pendek atau terlalu lama. Ini karena Anda mungkin tidak dapat mengumpulkan informasi yang benar jika Anda mengakhiri durasi baseline terlalu cepat, sehingga menghasilkan tingkat positif palsu yang tinggi. Di sisi lain, beberapa aktivitas berbahaya dapat diteruskan seperti biasa jika Anda terlalu lama mengumpulkan informasi dasar.

#5. Perbarui data dasar Anda secara teratur

Anda mungkin perlu membangun kembali data dasar Anda secara teratur karena aktivitas pengguna dan entitas berubah setiap saat. Seorang karyawan dapat dipromosikan dan mengubah tugas dan proyek mereka, tingkat hak istimewa dan kegiatan mereka. Sistem UEBA dapat diatur secara otomatis untuk mengumpulkan data dan menyesuaikan data dasar saat terjadi perubahan.

Kata-kata Terakhir

Saat kita menjadi semakin bergantung pada teknologi, ancaman keamanan siber menjadi lebih kompleks. Perusahaan besar harus mengamankan sistemnya yang menyimpan data sensitif miliknya dan kliennya untuk menghindari pelanggaran keamanan skala besar. UEBA menawarkan sistem respons insiden waktu nyata yang dapat mencegah serangan.