Понимание UEBA и его роли в реагировании на инциденты

Нарушения безопасности становятся все более распространенным явлением в цифровом мире. UEBA помогает организациям обнаруживать эти инциденты и реагировать на них.

Аналитика поведения пользователей и объектов (UEBA) ранее была известна как аналитика поведения пользователей (UBA). Это решение для кибербезопасности, использующее аналитику для понимания того, как обычно ведут себя пользователи (люди) и объекты (сетевые устройства и серверы) в организации, чтобы обнаруживать аномальную активность и реагировать на них в режиме реального времени.

UEBA может выявлять и предупреждать аналитиков безопасности о рискованных вариантах и ​​подозрительном поведении, которые могут указывать на:

• Боковое движение
• Злоупотребление привилегированным аккаунтом
• Повышение привилегий
• Компрометация учетных данных или
• Инсайдерские угрозы

UEBA также дополнительно оценивает уровень угрозы и предоставляет оценку риска, которая может помочь установить соответствующий ответ.

Читайте дальше, чтобы узнать, как работает UEBA, почему организации переходят на UEBA, основные компоненты UEBA, роль UEBA в реагировании на инциденты и передовой опыт UEBA.

Как работает аналитика поведения пользователей и объектов?

Аналитика поведения пользователей и объектов сначала собирает информацию об ожидаемом поведении людей и машин в вашей организации из репозиториев данных, таких как озеро данных, хранилище данных или через SIEM.

Затем UEBA использует подходы расширенной аналитики для обработки этой информации, чтобы определить и дополнительно определить базовые модели поведения: откуда сотрудник входит в систему, его уровень привилегий, файлы, серверы, к которым они часто обращаются, время и частота доступа, а также устройства, которые они используют для доступ.

Затем UEBA непрерывно отслеживает действия пользователей и сущностей, сравнивает их с базовым поведением и решает, какие действия могут привести к атаке.

UEBA может знать, когда пользователь занимается своими обычными делами, а когда происходит атака. Хотя хакер может получить доступ к данным для входа в систему сотрудника, он не сможет имитировать свои обычные действия и поведение.

Решение UEBA состоит из трех основных компонентов:

Аналитика данных: UEBA собирает и упорядочивает данные пользователей и сущностей, чтобы создать стандартный профиль того, как обычно действует каждый пользователь. Затем формулируются и применяются статистические модели для обнаружения аномальной активности и предупреждения службы безопасности.

Интеграция данных: чтобы сделать систему более устойчивой, UEBA сравнивает данные, полученные из различных источников, таких как системные журналы, данные захвата пакетов и другие наборы данных, с данными, полученными из существующих систем безопасности.

Представление данных: процесс, посредством которого система UEBA сообщает о своих выводах и соответствующем ответе. Этот процесс обычно включает в себя отправку запроса аналитикам по безопасности для расследования необычного поведения.

Роль UEBA в реагировании на инциденты

Аналитика поведения пользователей и сущностей использует машинное обучение и глубокое обучение для отслеживания и анализа обычного поведения людей и машин в вашей организации.

Если есть отклонение от обычного шаблона, система UEBA обнаруживает его и выполняет анализ, который определяет, представляет ли необычное поведение реальную угрозу или нет.

UEBA принимает данные из разных источников журналов, таких как база данных, Windows AD, VPN, прокси, значок, файлы и конечные точки, для выполнения этого анализа. Используя эти входные данные и изученное поведение, UEBA может объединить информацию, чтобы составить окончательную оценку для ранжирования рисков и отправить подробный отчет аналитикам безопасности.

Например, UEBA может посмотреть на сотрудника, который впервые приходит через VPN из Африки. Просто потому, что поведение сотрудника ненормальное, не означает, что это угроза; пользователь может просто путешествовать. Однако, если тот же сотрудник отдела кадров внезапно обращается к финансовой подсети, UEBA распознает действия сотрудника как подозрительные и предупреждает команду безопасности.

Вот еще один интересный сценарий.

Гарри, сотрудник больницы Mount Sinai в Нью-Йорке, отчаянно нуждается в деньгах. В этот день Гарри ждет, пока все выйдут из офиса, а затем в 19:00 загружает конфиденциальную информацию пациентов на USB-устройство. Он намерен продать украденные данные на черном рынке по высокой цене.

К счастью, больница Mount Sinai использует решение UEBA, которое отслеживает поведение каждого пользователя и объекта в сети больницы.

Хотя у Гарри есть разрешение на доступ к информации о пациентах, система UEBA увеличивает его оценку риска, когда обнаруживает отклонение от его обычных действий, которые обычно включают просмотр, создание и редактирование записей пациентов с 9 до 17 часов.

Когда Гарри пытается получить доступ к информации в 19:00, система определяет закономерности и отклонения во времени и присваивает оценку риска.

Вы можете настроить свою систему UEBA так, чтобы она предполагала создание предупреждения для группы безопасности, чтобы предложить дальнейшее расследование, или вы можете настроить ее для немедленных действий, таких как автоматическое отключение сетевого подключения для этого сотрудника из-за предполагаемой кибератаки.

Мне нужно решение UEBA?

Решение UEBA важно для организаций, потому что хакеры проводят более изощренные атаки, которые становится все труднее обнаружить. Особенно это актуально в тех случаях, когда угроза исходит изнутри.

Согласно последним статистическим данным по кибербезопасности, более 34% компаний во всем мире подвержены инсайдерским угрозам. Кроме того, 85% компаний заявляют, что трудно определить реальную стоимость инсайдерской атаки.

В результате группы безопасности переходят на новые подходы к обнаружению и реагированию на инциденты (IR). Чтобы сбалансировать и усилить свои системы безопасности, аналитики безопасности объединяют такие технологии, как анализ поведения пользователей и объектов (UEBA), с традиционными SIEM и другими устаревшими системами предотвращения.

UEBA предоставляет вам более мощную систему обнаружения внутренних угроз по сравнению с другими традиционными решениями безопасности. Он отслеживает не только аномальное поведение человека, но и подозрительные боковые движения. UEBA также отслеживает действия в ваших облачных сервисах, мобильных устройствах и устройствах Интернета вещей.

Сложная система UEBA принимает данные из всех различных источников журналов и создает подробный отчет об атаке для ваших аналитиков по безопасности. Это сэкономит вашей команде безопасности время, потраченное на просмотр бесчисленных журналов для определения фактического ущерба, нанесенного атакой.

Вот несколько примеров использования UEBA.

6 лучших вариантов использования UEBA

№1 . UEBA обнаруживает злоупотребление инсайдерскими привилегиями, когда пользователи выполняют рискованные действия, выходящие за рамки установленного нормального поведения.

№2. UEBA объединяет подозрительную информацию из разных источников, чтобы создать оценку риска для ранжирования рисков.

№3. UEBA выполняет приоритизацию инцидентов, уменьшая количество ложных срабатываний. Это устраняет усталость от предупреждений и позволяет группам безопасности сосредоточиться на предупреждениях с высокой степенью риска.

№4. UEBA предотвращает потерю и кражу данных, поскольку система отправляет предупреждения, когда обнаруживает, что конфиденциальные данные перемещаются внутри сети или передаются из сети.

№5 . UEBA помогает обнаружить боковое перемещение хакеров в сети, которые могли украсть учетные данные сотрудников.

№6. UEBA также обеспечивает автоматическое реагирование на инциденты, позволяя службам безопасности реагировать на инциденты безопасности в режиме реального времени.

Как UEBA улучшает UBA и устаревшие системы безопасности, такие как SIEM

UEBA не заменяет другие системы безопасности, но представляет собой значительное улучшение, используемое вместе с другими решениями для более эффективной кибербезопасности. UEBA отличается от аналитики поведения пользователей (UBA) тем, что UEBA включает «объекты» и «события», такие как серверы, маршрутизаторы и конечные точки.

Решение UEBA более комплексное, чем UBA, поскольку оно отслеживает нечеловеческие процессы и машинные объекты для более точного выявления угроз.

SIEM означает управление информацией о безопасности и событиями. Традиционный устаревший SIEM может быть не в состоянии самостоятельно обнаруживать сложные угрозы, потому что он не предназначен для мониторинга угроз в реальном времени. А учитывая, что хакеры часто избегают простых разовых атак и вместо этого участвуют в цепочке сложных атак, они могут оставаться незамеченными традиционными инструментами обнаружения угроз, такими как SIEM, в течение недель или даже месяцев.

Сложное решение UEBA устраняет это ограничение. Системы UEBA анализируют данные, хранящиеся в SIEM, и работают вместе для отслеживания угроз в режиме реального времени, что позволяет быстро и без усилий реагировать на нарушения.

Таким образом, объединяя инструменты UEBA и SIEM, организации могут намного эффективнее обнаруживать и анализировать угрозы, быстро устранять уязвимости и избегать атак.

Рекомендации по аналитике поведения пользователей и объектов

Вот пять лучших практик для анализа поведения пользователей, которые дают представление о том, что нужно делать при построении базовых показателей поведения пользователей.

№1. Определите варианты использования

Определите варианты использования, которые вы хотите идентифицировать с помощью решения UEBA. Это может быть обнаружение злоупотребления привилегированной учетной записью, компрометации учетных данных или внутренних угроз. Определение вариантов использования помогает определить, какие данные нужно собирать для мониторинга.

№2. Определить источники данных

Чем больше типов данных могут обрабатывать ваши системы UEBA, тем более точным будет базовое определение. Некоторые источники данных включают в себя системные журналы или данные о людских ресурсах, такие как история эффективности сотрудников.

№3. Определите поведение, о котором будут собираться данные

Это может включать в себя рабочее время сотрудника, приложения и устройства, к которым они часто обращаются, а также ритмы набора текста. Имея эти данные, вы сможете лучше понять возможные причины ложных срабатываний.

№4. Установите продолжительность для установления базового уровня

При определении продолжительности базового периода важно учитывать цели безопасности вашего бизнеса и действия пользователей.

Базовый период не должен быть слишком коротким или слишком длинным. Это связано с тем, что вы не сможете собрать правильную информацию, если закончите базовый период слишком быстро, что приведет к высокому уровню ложных срабатываний. С другой стороны, некоторые вредоносные действия могут передаваться как обычно, если вы слишком долго собираете базовую информацию.

№5. Регулярно обновляйте базовые данные

Возможно, вам придется регулярно перестраивать базовые данные, потому что действия пользователей и сущностей постоянно меняются. Сотрудник может получить повышение и изменить свои задачи и проекты, уровень привилегий и виды деятельности. Системы UEBA могут быть автоматически настроены для сбора данных и корректировки исходных данных при возникновении изменений.

Заключительные слова

По мере того, как мы все больше полагаемся на технологии, угрозы кибербезопасности становятся все более сложными. Крупное предприятие должно защищать свои системы, в которых хранятся конфиденциальные данные, как его самого, так и своих клиентов, чтобы избежать крупномасштабных нарушений безопасности. UEBA предлагает систему реагирования на инциденты в реальном времени, которая может предотвратить атаки.