Comprendere UEBA e il suo ruolo nella risposta agli incidenti
Pubblicato: 2021-09-16Le violazioni della sicurezza sono diventate sempre più comuni nel mondo digitale. UEBA aiuta le organizzazioni a rilevare e rispondere a questi incidenti.
User and Entity Behavior Analytics (UEBA) era precedentemente noto come User Behavior Analytics (UBA). È una soluzione di sicurezza informatica che utilizza l'analisi per comprendere come gli utenti (persone) e le entità (dispositivi in rete e server) in un'organizzazione si comportano tipicamente per rilevare e rispondere ad attività anomale in tempo reale.
UEBA può identificare e avvisare gli analisti della sicurezza su variazioni rischiose e comportamenti sospetti che potrebbero indicare:
- Movimento laterale
- Abuso di account con privilegi
- Aumento dei privilegi
- Compromissione delle credenziali o
- Minacce interne
L'UEBA valuta ulteriormente il livello di minaccia e fornisce un punteggio di rischio che può aiutare a stabilire una risposta adeguata.
Continua a leggere per scoprire come funziona UEBA, perché le organizzazioni stanno passando a UEBA, i principali componenti di UEBA, il ruolo di UEBA nella risposta agli incidenti e le migliori pratiche UEBA.
Come funziona l'analisi del comportamento di utenti ed entità?
L'analisi del comportamento di utenti ed entità raccolgono innanzitutto informazioni sul comportamento previsto delle persone e delle macchine nell'organizzazione da repository di dati come un data lake, un data warehouse o tramite SIEM.
UEBA utilizza quindi approcci di analisi avanzata per elaborare queste informazioni per determinare e definire ulteriormente una base di modelli di comportamento: da dove un dipendente accede, il suo livello di privilegio, i file, i server a cui accedono spesso, l'ora e la frequenza di accesso e i dispositivi che usa per accesso.
UEBA quindi monitora continuamente le attività dell'utente e dell'entità, le confronta con il comportamento di base e decide quali azioni potrebbero provocare un attacco.
UEBA può sapere quando un utente sta svolgendo le sue normali attività e quando si verifica un attacco. Sebbene un hacker possa essere in grado di accedere ai dettagli di accesso di un dipendente, non sarà in grado di imitare le sue normali attività e comportamenti.
Una soluzione UEBA ha tre componenti principali:
Analisi dei dati: UEBA raccoglie e organizza i dati di utenti ed entità per costruire un profilo standard di come ciascun utente agisce tipicamente. I modelli statistici vengono quindi formulati e applicati per rilevare attività anomale e allertare il team di sicurezza.
Integrazione dei dati: per rendere il sistema più resiliente, UEBA confronta i dati ottenuti da varie fonti, come i registri di sistema, i dati di acquisizione dei pacchetti e altri set di dati, con i dati raccolti dai sistemi di sicurezza esistenti.
Presentazione dei dati: processo attraverso il quale il sistema UEBA comunica i suoi risultati e la risposta appropriata. Questo processo in genere comporta l'invio di una richiesta agli analisti della sicurezza per indagare su comportamenti insoliti.
Il ruolo dell'UEBA nella risposta agli incidenti
L'analisi del comportamento degli utenti e delle entità utilizza l'apprendimento automatico e il deep learning per monitorare e analizzare il comportamento abituale di uomini e macchine nella tua organizzazione.
Se c'è una deviazione dal modello regolare, il sistema UEBA lo rileva ed esegue un'analisi che determina se il comportamento insolito rappresenta una minaccia reale o meno.
UEBA acquisisce i dati da diverse origini di log come un database, Windows AD, VPN, proxy, badge, file ed endpoint per eseguire questa analisi. Utilizzando questi input e il comportamento appreso, UEBA può fondere le informazioni per creare un punteggio finale per la classificazione del rischio e inviare un rapporto dettagliato agli analisti della sicurezza.
Ad esempio, UEBA può guardare per la prima volta un dipendente che arriva tramite VPN dall'Africa. Solo perché il comportamento del dipendente è anormale non significa che sia una minaccia; l'utente potrebbe semplicemente essere in viaggio. Tuttavia, se lo stesso dipendente del dipartimento delle risorse umane accede improvvisamente alla sottorete finanziaria, l'UEBA riconoscerà le attività del dipendente come sospette e avviserà il team di sicurezza.
Ecco un altro scenario riconoscibile.
Harry, un impiegato del Mount Sinai Hospital di New York, è alla disperata ricerca di soldi. In questo particolare giorno, Harry aspetta che tutti lascino l'ufficio, quindi scarica le informazioni sensibili dei pazienti su un dispositivo USB alle 19:00. Ha intenzione di vendere i dati rubati sul mercato nero per un dollaro alto.
Fortunatamente, il Mount Sinai Hospital utilizza una soluzione UEBA, che monitora il comportamento di ogni utente ed entità all'interno della rete ospedaliera.
Sebbene Harry abbia il permesso di accedere alle informazioni sui pazienti, il sistema UEBA aumenta il suo punteggio di rischio quando rileva una deviazione dalle sue normali attività, che in genere comportano la visualizzazione, la creazione e la modifica dei record dei pazienti tra le 9:00 e le 17:00.
Quando Harry cerca di accedere alle informazioni alle 19:00, il sistema identifica irregolarità nel modello e nei tempi e assegna un punteggio di rischio.
Puoi configurare il tuo sistema UEBA in modo che implichi la creazione di un avviso per il team di sicurezza per suggerire ulteriori indagini, oppure puoi configurarlo per intraprendere un'azione immediata come spegnere automaticamente la connettività di rete per quel dipendente a causa del sospetto attacco informatico.
Ho bisogno di una soluzione UEBA?
Una soluzione UEBA è essenziale per le organizzazioni perché gli hacker stanno effettuando attacchi più sofisticati che stanno diventando sempre più difficili da rilevare. Ciò è particolarmente vero nei casi in cui la minaccia proviene dall'interno.
Secondo recenti statistiche sulla sicurezza informatica, oltre il 34% delle aziende è colpita da minacce interne in tutto il mondo. Inoltre, l'85% delle aziende afferma che è difficile quantificare il costo effettivo di un attacco interno.
Di conseguenza, i team di sicurezza si stanno spostando verso nuovi approcci di rilevamento e risposta agli incidenti (IR). Per bilanciare e potenziare i propri sistemi di sicurezza, gli analisti della sicurezza stanno unendo tecnologie come l'analisi del comportamento degli utenti e delle entità (UEBA) con i SIEM convenzionali e altri sistemi di prevenzione legacy.
UEBA ti offre un sistema di rilevamento delle minacce interne più potente rispetto ad altre soluzioni di sicurezza tradizionali. Monitora non solo il comportamento umano anomalo ma anche i movimenti laterali sospetti. UEBA tiene traccia anche delle attività sui servizi cloud, sui dispositivi mobili e sui dispositivi Internet of Things.
Un sofisticato sistema UEBA acquisisce i dati da tutte le diverse fonti di log e crea un report dettagliato dell'attacco per i tuoi analisti della sicurezza. Ciò consente al tuo team di sicurezza di risparmiare il tempo impiegato a passare attraverso innumerevoli registri per determinare il danno effettivo dovuto a un attacco.
Ecco alcuni dei tanti casi d'uso di UEBA.
I 6 migliori casi d'uso UEBA
#1 . UEBA rileva l'abuso dei privilegi interni quando gli utenti eseguono attività rischiose al di fuori del normale comportamento stabilito.
#2. UEBA fonde informazioni sospette da diverse fonti per creare un punteggio di rischio per la classificazione del rischio.
#3. UEBA esegue la prioritizzazione degli incidenti riducendo i falsi positivi. Elimina l'affaticamento degli avvisi e consente ai team di sicurezza di concentrarsi sugli avvisi ad alto rischio.
#4. UEBA previene la perdita e l'esfiltrazione dei dati perché il sistema invia avvisi quando rileva dati sensibili spostati all'interno della rete o trasferiti fuori dalla rete.
#5 . UEBA aiuta a rilevare il movimento laterale degli hacker all'interno della rete che potrebbero aver rubato le credenziali di accesso dei dipendenti.
#6. UEBA fornisce anche risposte automatizzate agli incidenti, consentendo ai team di sicurezza di rispondere agli incidenti di sicurezza in tempo reale.
In che modo UEBA migliora UBA e i sistemi di sicurezza legacy come SIEM
UEBA non sostituisce altri sistemi di sicurezza ma rappresenta un miglioramento significativo utilizzato insieme ad altre soluzioni per una sicurezza informatica più efficace. UEBA differisce dall'analisi del comportamento degli utenti (UBA) in quanto UEBA include "Entità" ed "Eventi" come server, router ed endpoint.
Una soluzione UEBA è più completa di UBA perché monitora i processi non umani e le entità macchina per identificare con maggiore precisione le minacce.
SIEM sta per informazioni sulla sicurezza e gestione degli eventi. Il tradizionale SIEM legacy potrebbe non essere in grado di rilevare da solo le minacce sofisticate perché non è progettato per monitorare le minacce in tempo reale. E considerando che gli hacker spesso evitano semplici attacchi una tantum e si impegnano invece in una catena di attacchi sofisticati, possono non essere rilevati dai tradizionali strumenti di rilevamento delle minacce come SIEM per settimane o addirittura mesi.
Una sofisticata soluzione UEBA risolve questa limitazione. I sistemi UEBA analizzano i dati archiviati da SIEM e collaborano per monitorare le minacce in tempo reale, consentendoti di rispondere alle violazioni in modo rapido e senza sforzo.
Pertanto, unendo gli strumenti UEBA e SIEM, le organizzazioni possono essere molto più efficaci nel rilevamento e nell'analisi delle minacce, affrontare rapidamente le vulnerabilità ed evitare attacchi.
Best practice per l'analisi del comportamento degli utenti e delle entità
Ecco cinque best practice per l'analisi del comportamento degli utenti che forniscono informazioni sulle cose da fare quando si costruisce una linea di base per il comportamento degli utenti.
#1. Definisci i casi d'uso
Definisci i casi d'uso che vuoi che la tua soluzione UEBA identifichi. Questi possono essere il rilevamento di abuso di account con privilegi, compromissione delle credenziali o minacce interne. La definizione dei casi d'uso consente di determinare quali dati raccogliere per il monitoraggio.
#2. Definire le origini dati
Più tipi di dati possono gestire i tuoi sistemi UEBA, più precisa sarà la linea di base. Alcune origini dati includono registri di sistema o dati sulle risorse umane come la cronologia delle prestazioni dei dipendenti.
#3. Definire i comportamenti su quali dati verranno raccolti
Ciò potrebbe includere l'orario di lavoro dei dipendenti, le applicazioni e i dispositivi a cui accedono di frequente e i ritmi di digitazione. Con questi dati in atto, puoi capire meglio le possibili ragioni dei falsi positivi.
#4. Imposta una durata per stabilire la linea di base
Quando si determina la durata del periodo di riferimento, è essenziale considerare gli obiettivi di sicurezza della propria azienda e le attività degli utenti.
Il periodo di riferimento non dovrebbe essere né troppo breve né troppo lungo. Questo perché potresti non essere in grado di raccogliere le informazioni corrette se termini troppo velocemente la durata della linea di base, determinando un alto tasso di falsi positivi. D'altro canto, alcune attività dannose possono essere trasmesse normalmente se si impiega troppo tempo per raccogliere le informazioni di riferimento.
#5. Aggiorna regolarmente i tuoi dati di riferimento
Potrebbe essere necessario ricostruire regolarmente i dati di base perché le attività dell'utente e dell'entità cambiano continuamente. Un dipendente può essere promosso e modificare i propri compiti e progetti, il livello di privilegio e le attività. I sistemi UEBA possono essere impostati automaticamente per raccogliere dati e regolare i dati di base quando si verificano cambiamenti.
Parole finali
Man mano che diventiamo sempre più dipendenti dalla tecnologia, le minacce alla sicurezza informatica stanno diventando più complesse. Una grande azienda deve proteggere i propri sistemi che contengono dati sensibili propri e dei propri clienti per evitare violazioni della sicurezza su larga scala. UEBA offre un sistema di risposta agli incidenti in tempo reale in grado di prevenire gli attacchi.