Zrozumienie UEBA i jego roli w reagowaniu na incydenty

Naruszenia bezpieczeństwa stają się coraz bardziej powszechne w cyfrowym świecie. UEBA pomaga organizacjom wykrywać i reagować na te incydenty.

Analiza zachowania użytkowników i podmiotów (UEBA) była wcześniej znana jako Analiza zachowania użytkowników (UBA). Jest to rozwiązanie w zakresie cyberbezpieczeństwa, które wykorzystuje analitykę, aby zrozumieć, w jaki sposób użytkownicy (ludzie) i podmioty (urządzenia sieciowe i serwery) w organizacji zazwyczaj zachowują się w celu wykrywania nietypowych działań i reagowania na nie w czasie rzeczywistym.

UEBA może identyfikować i ostrzegać analityków bezpieczeństwa o ryzykownych odmianach i podejrzanym zachowaniu, które mogą wskazywać:

• Ruch boczny
• Nadużycie konta uprzywilejowanego
• Eskalacja uprawnień
• Kompromis poświadczeń lub
• Zagrożenia wewnętrzne

UEBA dodatkowo ocenia poziom zagrożenia i zapewnia ocenę ryzyka, która może pomóc w ustaleniu odpowiedniej reakcji.

Czytaj dalej, aby dowiedzieć się, jak działa UEBA, dlaczego organizacje przechodzą na UEBA, główne elementy UEBA, rolę UEBA w reagowaniu na incydenty oraz najlepsze praktyki UEBA.

Jak działa analiza zachowań użytkowników i jednostek?

Analizy zachowań użytkowników i podmiotów najpierw zbierają informacje o oczekiwanym zachowaniu osób i maszyn w Twojej organizacji z repozytoriów danych, takich jak jezioro danych, hurtownia danych lub za pośrednictwem SIEM.

UEBA wykorzystuje następnie zaawansowane podejścia analityczne do przetwarzania tych informacji w celu określenia i dalszego zdefiniowania wzorców zachowań: miejsca, z którego pracownik się loguje, jego poziomu uprawnień, plików, serwerów, do których często uzyskuje dostęp, czasu i częstotliwości dostępu oraz urządzeń, z których korzysta. dostęp.

UEBA następnie stale monitoruje działania użytkowników i podmiotów, porównuje je z zachowaniem bazowym i decyduje, jakie działania mogą spowodować atak.

UEBA może wiedzieć, kiedy użytkownik wykonuje swoje normalne czynności i kiedy ma miejsce atak. Chociaż haker może mieć dostęp do danych logowania pracownika, nie będzie on w stanie naśladować jego zwykłych czynności i zachowań.

Rozwiązanie UEBA składa się z trzech głównych elementów:

Analityka danych: UEBA zbiera i porządkuje dane użytkowników i podmiotów, aby zbudować standardowy profil typowego zachowania każdego użytkownika. Następnie formułuje się i stosuje modele statystyczne w celu wykrycia nietypowej aktywności i zaalarmowania zespołu ds. bezpieczeństwa.

Integracja danych: Aby uczynić system bardziej odpornym, UEBA porównuje dane uzyskane z różnych źródeł – takich jak dzienniki systemowe, dane przechwytywania pakietów i inne zbiory danych – z danymi zebranymi z istniejących systemów bezpieczeństwa.

Prezentacja danych: Proces, za pomocą którego system UEBA komunikuje swoje ustalenia i odpowiednią reakcję. Ten proces zazwyczaj obejmuje wysłanie prośby do analityków bezpieczeństwa o zbadanie nietypowego zachowania.

Rola UEBA w reagowaniu na incydenty

Analityka zachowań użytkowników i podmiotów wykorzystuje uczenie maszynowe i głębokie uczenie do monitorowania i analizowania zwykłych zachowań ludzi i maszyn w Twojej organizacji.

W przypadku odchylenia od normalnego wzorca, system UEBA wykrywa to i przeprowadza analizę, która określa, czy nietypowe zachowanie stanowi realne zagrożenie, czy nie.

UEBA pozyskuje dane z różnych źródeł dzienników, takich jak baza danych, Windows AD, VPN, proxy, znaczek, pliki i punkty końcowe, aby przeprowadzić tę analizę. Korzystając z tych danych wejściowych i wyuczonych zachowań, UEBA może połączyć informacje, aby uzyskać ostateczny wynik w rankingu ryzyka i wysłać szczegółowy raport do analityków bezpieczeństwa.

Na przykład UEBA może po raz pierwszy przyjrzeć się pracownikowi przychodzącemu przez VPN z Afryki. To, że zachowanie pracownika jest nienormalne, nie oznacza, że ​​stanowi zagrożenie; użytkownik może po prostu podróżować. Jeśli jednak ten sam pracownik w dziale zasobów ludzkich nagle uzyska dostęp do podsieci finansowej, UEBA rozpozna jego działania jako podejrzane i zaalarmuje zespół ds. bezpieczeństwa.

Oto kolejny możliwy do odniesienia scenariusz.

Harry, pracownik szpitala Mount Sinai w Nowym Jorku, desperacko potrzebuje pieniędzy. Tego konkretnego dnia Harry czeka, aż wszyscy opuszczą biuro, a następnie o 19:00 pobiera poufne informacje pacjentów na urządzenie USB. Skradzione dane zamierza sprzedać na czarnym rynku za wysoką cenę dolara.

Na szczęście Mount Sinai Hospital wykorzystuje rozwiązanie UEBA, które monitoruje zachowanie każdego użytkownika i podmiotu w sieci szpitalnej.

Chociaż Harry ma pozwolenie na dostęp do informacji o pacjencie, system UEBA zwiększa jego ocenę ryzyka, gdy wykryje odstępstwo od jego zwykłych czynności, które zazwyczaj obejmują przeglądanie, tworzenie i edytowanie rekordów pacjentów w godzinach od 9:00 do 17:00.

Kiedy Harry próbuje uzyskać dostęp do informacji o 19:00, system identyfikuje wzorce i nieprawidłowości czasowe oraz przypisuje ocenę ryzyka.

Możesz skonfigurować system UEBA tak, aby po prostu tworzył alert dla zespołu ds. bezpieczeństwa, aby zasugerował dalsze dochodzenie, lub możesz skonfigurować go tak, aby podejmował natychmiastowe działania, takie jak automatyczne wyłączanie łączności sieciowej dla tego pracownika z powodu podejrzenia cyberataku.

Czy potrzebuję rozwiązania UEBA?

Rozwiązanie UEBA jest niezbędne dla organizacji, ponieważ hakerzy przeprowadzają bardziej wyrafinowane ataki, które stają się coraz trudniejsze do wykrycia. Jest to szczególnie prawdziwe w przypadkach, gdy zagrożenie pochodzi z wnętrza.

Według najnowszych statystyk dotyczących cyberbezpieczeństwa ponad 34% firm jest dotkniętych zagrożeniami wewnętrznymi na całym świecie. Ponadto 85% firm twierdzi, że trudno jest oszacować rzeczywisty koszt ataku z wykorzystaniem informacji poufnych.

W rezultacie zespoły ds. bezpieczeństwa przechodzą w kierunku nowszych metod wykrywania i reagowania na incydenty (IR). Aby zrównoważyć i wzmocnić swoje systemy bezpieczeństwa, analitycy bezpieczeństwa łączą technologie, takie jak analiza zachowań użytkowników i podmiotów (UEBA) z konwencjonalnymi SIEM i innymi starszymi systemami zapobiegania.

UEBA zapewnia potężniejszy system wykrywania zagrożeń wewnętrznych w porównaniu z innymi tradycyjnymi rozwiązaniami bezpieczeństwa. Monitoruje nie tylko anomalne zachowanie człowieka, ale także podejrzane ruchy boczne. UEBA śledzi również działania w Twoich usługach w chmurze, urządzeniach mobilnych i urządzeniach Internetu rzeczy.

Zaawansowany system UEBA pobiera dane ze wszystkich różnych źródeł dzienników i tworzy szczegółowy raport o ataku dla analityków bezpieczeństwa. Oszczędza to Twojemu zespołowi ds. bezpieczeństwa czas spędzony na przeglądaniu niezliczonych dzienników w celu określenia rzeczywistych szkód spowodowanych atakiem.

Oto niektóre z wielu przypadków użycia UEBA.

6 najważniejszych przypadków użycia UEBA

#1 . UEBA wykrywa nadużycia uprawnień wewnętrznych, gdy użytkownicy wykonują ryzykowne działania poza ustalonym normalnym zachowaniem.

#2. UEBA łączy podejrzane informacje z różnych źródeł, aby stworzyć ocenę ryzyka dla rankingu ryzyka.

#3. UEBA ustala priorytety incydentów, redukując liczbę fałszywych alarmów. Eliminuje zmęczenie alertami i umożliwia zespołom ds. bezpieczeństwa skupienie się na alertach wysokiego ryzyka.

#4. UEBA zapobiega utracie i eksfiltracji danych, ponieważ system wysyła alerty, gdy wykryje, że wrażliwe dane są przenoszone w sieci lub przesyłane poza sieć.

#5 . UEBA pomaga wykrywać ruchy boczne hakerów w sieci, którzy mogli ukraść dane logowania pracowników.

#6. UEBA zapewnia również automatyczne reakcje na incydenty, umożliwiając zespołom bezpieczeństwa reagowanie na incydenty bezpieczeństwa w czasie rzeczywistym.

Jak UEBA ulepsza UBA i starsze systemy bezpieczeństwa, takie jak SIEM

UEBA nie zastępuje innych systemów bezpieczeństwa, ale stanowi znaczne ulepszenie stosowane wraz z innymi rozwiązaniami w celu skuteczniejszego cyberbezpieczeństwa. UEBA różni się od analizy zachowań użytkowników (UBA) tym, że UEBA obejmuje „podmioty” i „zdarzenia”, takie jak serwery, routery i punkty końcowe.

Rozwiązanie UEBA jest bardziej wszechstronne niż UBA, ponieważ monitoruje procesy inne niż ludzkie i jednostki maszynowe, aby dokładniej identyfikować zagrożenia.

SIEM oznacza informacje o bezpieczeństwie i zarządzanie zdarzeniami. Tradycyjny, starszy SIEM może nie być w stanie samodzielnie wykryć zaawansowanych zagrożeń, ponieważ nie jest przeznaczony do monitorowania zagrożeń w czasie rzeczywistym. Biorąc pod uwagę, że hakerzy często unikają prostych, jednorazowych ataków i zamiast tego angażują się w łańcuch wyrafinowanych ataków, mogą pozostać niewykryte przez tradycyjne narzędzia do wykrywania zagrożeń, takie jak SIEM, przez tygodnie, a nawet miesiące.

Wyrafinowane rozwiązanie UEBA rozwiązuje to ograniczenie. Systemy UEBA analizują dane przechowywane przez SIEM i współpracują ze sobą w celu monitorowania zagrożeń w czasie rzeczywistym, co pozwala szybko i bez wysiłku reagować na naruszenia.

Dlatego dzięki połączeniu narzędzi UEBA i SIEM organizacje mogą znacznie skuteczniej wykrywać i analizować zagrożenia, szybko usuwać luki i unikać ataków.

Sprawdzone metody analizy zachowań użytkowników i jednostek

Oto pięć najlepszych praktyk dotyczących analizy zachowań użytkowników, które dają wgląd w to, co należy zrobić podczas budowania punktu odniesienia dla zachowań użytkowników.

#1. Zdefiniuj przypadki użycia

Zdefiniuj przypadki użycia, które ma identyfikować rozwiązanie UEBA. Może to być wykrywanie nadużyć konta uprzywilejowanego, naruszenia danych uwierzytelniających lub zagrożeń wewnętrznych. Definiowanie przypadków użycia pomaga określić, jakie dane należy zbierać do monitorowania.

#2. Zdefiniuj źródła danych

Im więcej typów danych może obsłużyć Twój system UEBA, tym dokładniejszy będzie poziom odniesienia. Niektóre źródła danych obejmują dzienniki systemowe lub dane dotyczące zasobów ludzkich, takie jak historia wydajności pracowników.

#3. Zdefiniuj zachowania, o których dane będą zbierane

Może to obejmować godziny pracy pracowników, aplikacje i urządzenia, z których często korzystają, oraz rytm pisania. Mając te dane, możesz lepiej zrozumieć możliwe przyczyny fałszywych alarmów.

#4. Ustaw czas trwania ustalania linii bazowej

Określając długość okresu bazowego, należy wziąć pod uwagę cele bezpieczeństwa firmy oraz działania użytkowników.

Okres wyjściowy nie powinien być ani za krótki, ani za długi. Dzieje się tak, ponieważ możesz nie być w stanie zebrać poprawnych informacji, jeśli zbyt szybko zakończysz czas trwania linii bazowej, co skutkuje wysokim odsetkiem fałszywych alarmów. Z drugiej strony niektóre złośliwe działania mogą być przekazywane w normalny sposób, jeśli zbieranie informacji bazowych zajmie zbyt dużo czasu.

#5. Regularnie aktualizuj dane bazowe

Może być konieczne regularne odbudowywanie danych bazowych, ponieważ działania użytkowników i jednostek zmieniają się przez cały czas. Pracownik może awansować i zmieniać swoje zadania i projekty, poziom uprawnień i czynności. Systemy UEBA mogą być automatycznie ustawione na gromadzenie danych i dostosowywanie danych bazowych, gdy nastąpią zmiany.

Ostatnie słowa

Ponieważ coraz bardziej polegamy na technologii, zagrożenia cyberbezpieczeństwa stają się coraz bardziej złożone. Duże przedsiębiorstwo musi zabezpieczyć swoje systemy, które przechowują poufne dane własne i swoich klientów, aby uniknąć naruszeń bezpieczeństwa na dużą skalę. UEBA oferuje system reagowania na incydenty w czasie rzeczywistym, który może zapobiegać atakom.