UEBA 및 사고 대응에서의 역할 이해

보안 침해는 디지털 세계에서 점점 더 흔해지고 있습니다. UEBA는 조직이 이러한 사고를 감지하고 대응하는 데 도움이 됩니다.

UEBA(사용자 및 엔터티 행동 분석)는 이전에 UBA(사용자 행동 분석)로 알려졌습니다. 분석을 사용하여 조직의 사용자(인간)와 엔터티(네트워크로 연결된 장치 및 서버)가 일반적으로 실시간으로 비정상적인 활동을 감지하고 대응하기 위해 행동하는 방식을 이해하는 사이버 보안 솔루션입니다.

UEBA는 다음을 나타낼 수 있는 위험한 변형 및 의심스러운 동작을 식별하고 보안 분석가에게 경고할 수 있습니다.

• 측면 운동
• 권한 있는 계정 남용
• 권한 에스컬레이션
• 자격 증명 손상 또는
• 내부자 위협

UEBA는 또한 위협 수준을 추가로 평가하고 적절한 대응을 수립하는 데 도움이 될 수 있는 위험 점수를 제공합니다.

UEBA의 작동 방식, 조직이 UEBA로 전환하는 이유, UEBA의 주요 구성 요소, 사고 대응에서 UEBA의 역할 및 UEBA 모범 사례에 대해 알아보려면 계속 읽으십시오.

사용자 및 엔터티 행동 분석은 어떻게 작동합니까?

사용자 및 엔터티 동작 분석은 먼저 데이터 레이크, 데이터 웨어하우스와 같은 데이터 리포지토리에서 또는 SIEM을 통해 조직의 사람과 컴퓨터의 예상 동작에 대한 정보를 수집합니다.

그런 다음 UEBA는 고급 분석 접근 방식을 사용하여 이 정보를 처리하여 직원이 로그인하는 위치, 권한 수준, 파일, 자주 액세스하는 서버, 액세스 시간 및 빈도, 사용하는 장치와 같은 행동 패턴의 기준을 결정하고 추가로 정의하기 위해 이 정보를 처리합니다. 입장.

그런 다음 UEBA는 사용자 및 엔터티 활동을 지속적으로 모니터링하고 기준 동작과 비교하고 공격을 유발할 수 있는 작업을 결정합니다.

UEBA는 사용자가 언제 정상적인 활동을 하고 있고 언제 공격이 발생하는지 알 수 있습니다. 해커가 직원의 로그인 세부 정보에 액세스할 수는 있지만 일상적인 활동과 행동을 모방할 수는 없습니다.

UEBA 솔루션에는 세 가지 주요 구성 요소가 있습니다.

데이터 분석: UEBA는 사용자 및 엔터티의 데이터를 수집 및 구성하여 각 사용자가 일반적으로 행동하는 방식에 대한 표준 프로필을 구축합니다. 그런 다음 통계 모델을 공식화하고 적용하여 비정상적인 활동을 감지하고 보안 팀에 경고합니다.

데이터 통합: 시스템을 보다 탄력적으로 만들기 위해 UEBA는 시스템 로그, 패킷 캡처 데이터 및 기타 데이터 세트와 같은 다양한 소스에서 얻은 데이터를 기존 보안 시스템에서 수집한 데이터와 비교합니다.

데이터 프리젠테이션: UEBA 시스템이 결과와 적절한 응답을 전달하는 프로세스입니다. 이 프로세스에는 일반적으로 보안 분석가가 비정상적인 동작을 조사하도록 요청하는 작업이 포함됩니다.

사고 대응에서 UEBA의 역할

사용자 및 엔터티 행동 분석은 기계 학습과 딥 러닝을 사용하여 조직에서 인간과 기계의 일반적인 행동을 모니터링하고 분석합니다.

규칙적인 패턴에서 벗어나는 경우 UEBA 시스템은 이를 감지하고 비정상적인 행동이 실제 위협이 되는지 여부를 판단하는 분석을 수행합니다.

UEBA는 데이터베이스, Windows AD, VPN, 프록시, 배지, 파일 및 엔드포인트와 같은 다양한 로그 소스에서 데이터를 수집하여 이 분석을 수행합니다. 이러한 입력과 학습된 행동을 사용하여 UEBA는 정보를 융합하여 위험 순위에 대한 최종 점수를 만들고 보안 분석가에게 자세한 보고서를 보낼 수 있습니다.

예를 들어 UEBA는 처음으로 아프리카에서 VPN을 통해 들어오는 직원을 볼 수 있습니다. 직원의 행동이 비정상적이라고 해서 위협이 되는 것은 아닙니다. 사용자는 단순히 여행 중일 수 있습니다. 그러나 인사 부서의 같은 직원이 갑자기 재무 서브넷에 액세스하면 UEBA는 해당 직원의 활동을 의심스러운 것으로 인식하고 보안 팀에 경고합니다.

여기에 또 다른 관련 시나리오가 있습니다.

뉴욕 마운트 시나이 병원의 직원 해리는 돈이 절실히 필요합니다. 이 특별한 날 Harry는 모든 사람이 사무실을 떠날 때까지 기다렸다가 오후 7시에 환자의 민감한 정보를 USB 장치에 다운로드합니다. 그는 훔친 데이터를 암시장에서 고액에 팔려고 합니다.

운 좋게도 Mount Sinai Hospital은 병원 네트워크 내의 모든 사용자와 개체의 행동을 모니터링하는 UEBA 솔루션을 활용합니다.

Harry는 환자 정보에 액세스할 수 있는 권한이 있지만 UEBA 시스템은 일반적으로 오전 9시에서 오후 5시 사이에 환자 기록 보기, 생성 및 편집을 포함하는 평소 활동에서 벗어나는 것을 감지하면 위험 점수를 높입니다.

Harry가 오후 7시에 정보에 액세스하려고 하면 시스템이 패턴 및 타이밍 불규칙성을 식별하고 위험 점수를 할당합니다.

UEBA 시스템을 설정 하여 보안 팀이 추가 조사를 제안하도록 경고를 생성하거나 의심되는 사이버 공격으로 인해 해당 직원의 네트워크 연결을 자동으로 차단하는 것과 같은 즉각적인 조치를 취하도록 설정할 수 있습니다.

UEBA 솔루션이 필요합니까?

UEBA 솔루션은 해커가 탐지하기 점점 더 어려워지는 보다 정교한 공격을 수행하기 때문에 조직에 필수적입니다. 위협이 내부에서 오는 경우 특히 그렇습니다.

최근 사이버 보안 통계에 따르면 전 세계적으로 34% 이상의 기업이 내부자 위협의 영향을 받고 있습니다. 또한 기업의 85%는 내부자 공격의 실제 비용을 수량화하기가 어렵다고 말합니다.

결과적으로 보안 팀은 보다 새로운 탐지 및 사고 대응(IR) 접근 방식으로 전환하고 있습니다. 보안 시스템의 균형을 유지하고 강화하기 위해 보안 분석가는 사용자 및 엔터티 행동 분석(UEBA)과 같은 기술을 기존 SIEM 및 기타 레거시 방지 시스템과 병합하고 있습니다.

UEBA는 다른 기존 보안 솔루션에 비해 더 강력한 내부 위협 탐지 시스템을 제공합니다. 변칙적인 인간의 행동뿐만 아니라 의심스러운 측면 움직임까지 모니터링합니다. UEBA는 또한 클라우드 서비스, 모바일 장치 및 사물 인터넷 장치의 활동을 추적합니다.

정교한 UEBA 시스템은 다양한 로그 소스에서 데이터를 수집하고 보안 분석가를 위해 공격에 대한 자세한 보고서를 작성합니다. 이렇게 하면 보안 팀이 공격으로 인한 실제 피해를 확인하기 위해 수많은 로그를 살펴보는 데 소요되는 시간을 절약할 수 있습니다.

다음은 UEBA의 여러 사용 사례 중 일부입니다.

상위 6개 UEBA 사용 사례

#1 . UEBA는 사용자가 설정된 정상적인 동작을 벗어나 위험한 활동을 수행할 때 내부자 권한 남용을 감지합니다.

#2. UEBA는 다양한 출처의 의심스러운 정보를 융합하여 위험 순위에 대한 위험 점수를 생성합니다.

#삼. UEBA는 가양성을 줄여 사고 우선 순위를 지정합니다. 이는 경보 피로를 없애고 보안 팀이 고위험 경보에 집중할 수 있도록 합니다.

#4. UEBA는 네트워크 내에서 이동하거나 네트워크 외부로 전송되는 민감한 데이터를 감지할 때 시스템이 경고를 보내기 때문에 데이터 손실 및 데이터 유출을 방지합니다.

#5 . UEBA는 네트워크 내에서 직원 로그인 자격 증명을 훔쳤을 수 있는 해커의 측면 이동을 감지하는 데 도움이 됩니다.

#6. UEBA는 또한 자동화된 사고 대응을 제공하여 보안 팀이 실시간으로 보안 사고에 대응할 수 있도록 합니다.

UEBA가 UBA 및 SIEM과 같은 레거시 보안 시스템을 개선하는 방법

UEBA는 다른 보안 시스템을 대체하지 않지만 보다 효과적인 사이버 보안을 위해 다른 솔루션과 함께 사용되는 상당한 개선을 나타냅니다. UEBA는 UEBA가 서버, 라우터 및 끝점과 같은 "엔티티" 및 "이벤트"를 포함한다는 점에서 UBA(사용자 행동 분석)와 다릅니다.

UEBA 솔루션은 위협을 보다 정확하게 식별하기 위해 인간이 아닌 프로세스와 기계 엔티티를 모니터링하기 때문에 UBA보다 더 포괄적입니다.

SIEM은 보안 정보 및 이벤트 관리를 의미합니다. 기존의 레거시 SIEM은 위협을 실시간으로 모니터링하도록 설계되지 않았기 때문에 자체적으로 정교한 위협을 탐지하지 못할 수 있습니다. 해커는 종종 단순한 일회성 공격을 피하고 대신 일련의 정교한 공격에 참여하기 때문에 SIEM과 같은 기존 위협 탐지 도구로 몇 주 또는 몇 달 동안 탐지되지 않을 수 있습니다.

정교한 UEBA 솔루션은 이러한 한계를 해결합니다. UEBA 시스템은 SIEM에 저장된 데이터를 분석하고 함께 작동하여 실시간으로 위협을 모니터링하므로 침해에 빠르고 쉽게 대응할 수 있습니다.

따라서 UEBA와 SIEM 도구를 병합함으로써 조직은 위협 탐지 및 분석에 훨씬 더 효과적일 수 있고 취약성을 신속하게 해결하며 공격을 피할 수 있습니다.

사용자 및 엔터티 행동 분석 모범 사례

다음은 사용자 행동에 대한 기준을 구축할 때 해야 할 일에 대한 통찰력을 제공하는 사용자 행동 분석을 위한 5가지 모범 사례입니다.

#1. 사용 사례 정의

UEBA 솔루션에서 식별할 사용 사례를 정의합니다. 권한 있는 계정 남용, 자격 증명 손상 또는 내부 위협을 감지할 수 있습니다. 사용 사례를 정의하면 모니터링을 위해 수집할 데이터를 결정하는 데 도움이 됩니다.

#2. 데이터 소스 정의

UEBA 시스템이 처리할 수 있는 데이터 유형이 많을수록 기준선이 더 정확해집니다. 일부 데이터 소스에는 시스템 로그 또는 직원 성과 기록과 같은 인적 자원 데이터가 포함됩니다.

#삼. 수집할 데이터에 대한 동작 정의

여기에는 직원의 근무 시간, 자주 액세스하는 애플리케이션 및 장치, 타이핑 리듬이 포함될 수 있습니다. 이 데이터를 사용하면 가양성의 가능한 이유를 더 잘 이해할 수 있습니다.

#4. 기준선 설정 기간 설정

기준 기간을 결정할 때 비즈니스의 보안 목표와 사용자의 활동을 고려하는 것이 필수적입니다.

기준 기간은 너무 짧거나 너무 길어서는 안 됩니다. 이는 기준 기간을 너무 빨리 종료하여 잘못된 긍정 비율이 높은 경우 올바른 정보를 수집하지 못할 수 있기 때문입니다. 반면 기준 정보를 수집하는 데 시간이 너무 오래 걸리면 일부 악의적인 활동이 정상적으로 전달될 수 있습니다.

#5. 정기적으로 기준 데이터 업데이트

사용자 및 엔터티 활동이 항상 변경되기 때문에 기준 데이터를 정기적으로 다시 작성해야 할 수 있습니다. 직원은 승진하고 자신의 작업과 프로젝트, 권한 수준 및 활동을 변경할 수 있습니다. UEBA 시스템은 데이터를 수집하고 변경 사항이 발생할 때 기준 데이터를 조정하도록 자동으로 설정할 수 있습니다.

마지막 단어

기술에 대한 의존도가 높아짐에 따라 사이버 보안 위협은 더욱 복잡해지고 있습니다. 대기업은 대규모 보안 침해를 피하기 위해 자체 및 클라이언트의 중요한 데이터를 보유하는 시스템을 보호해야 합니다. UEBA는 공격을 예방할 수 있는 실시간 사고 대응 시스템을 제공합니다.