การทำความเข้าใจ UEBA และบทบาทในการตอบสนองต่อเหตุการณ์

การละเมิดความปลอดภัยกลายเป็นเรื่องธรรมดามากขึ้นในโลกดิจิทัล UEBA ช่วยให้องค์กรสามารถตรวจจับและตอบสนองต่อเหตุการณ์เหล่านี้ได้

User and Entity Behavior Analytics (UEBA) เดิมเรียกว่า User Behavior Analytics (UBA) เป็นโซลูชันการรักษาความปลอดภัยทางไซเบอร์ที่ใช้การวิเคราะห์เพื่อให้เข้าใจถึงวิธีที่ผู้ใช้ (มนุษย์) และหน่วยงาน (อุปกรณ์และเซิร์ฟเวอร์ในเครือข่าย) ในองค์กรมักมีพฤติกรรมในการตรวจจับและตอบสนองต่อกิจกรรมผิดปกติในแบบเรียลไทม์

UEBA สามารถระบุและแจ้งเตือนนักวิเคราะห์ด้านความปลอดภัยเกี่ยวกับรูปแบบความเสี่ยงและพฤติกรรมที่น่าสงสัยที่อาจบ่งบอกถึง:

• การเคลื่อนไหวด้านข้าง
• ละเมิดสิทธิ์บัญชี
• การเพิ่มสิทธิพิเศษ
• ประนีประนอมหนังสือรับรองหรือ
• ภัยคุกคามจากภายใน

UEBA ยังประเมินระดับภัยคุกคามเพิ่มเติมและให้คะแนนความเสี่ยงที่สามารถช่วยสร้างการตอบสนองที่เหมาะสม

อ่านต่อไปเพื่อเรียนรู้เกี่ยวกับวิธีการทำงานของ UEBA สาเหตุที่องค์กรต่างๆ เปลี่ยนไปใช้ UEBA, องค์ประกอบหลักของ UEBA, บทบาทของ UEBA ในการตอบสนองต่อเหตุการณ์ และแนวทางปฏิบัติที่ดีที่สุดของ UEBA

การวิเคราะห์พฤติกรรมผู้ใช้และเอนทิตีทำงานอย่างไร

อันดับแรก การวิเคราะห์พฤติกรรมของผู้ใช้และเอนทิตีจะรวบรวมข้อมูลเกี่ยวกับพฤติกรรมที่คาดหวังของบุคคลและเครื่องจักรในองค์กรของคุณจากที่เก็บข้อมูล เช่น Data Lake คลังข้อมูล หรือผ่าน SIEM

จากนั้น UEBA ใช้วิธีการวิเคราะห์ขั้นสูงในการประมวลผลข้อมูลนี้เพื่อกำหนดและกำหนดเส้นฐานของรูปแบบพฤติกรรมเพิ่มเติม: ตำแหน่งที่พนักงานเข้าสู่ระบบ ระดับสิทธิ์ ไฟล์ เซิร์ฟเวอร์ที่พวกเขามักจะเข้าถึง เวลาและความถี่ในการเข้าถึง และอุปกรณ์ที่พวกเขาใช้ เข้าถึง.

จากนั้น UEBA จะตรวจสอบกิจกรรมของผู้ใช้และเอนทิตีอย่างต่อเนื่อง เปรียบเทียบกับพฤติกรรมพื้นฐาน และตัดสินใจว่าการกระทำใดที่อาจส่งผลให้เกิดการโจมตี

UEBA สามารถทราบได้เมื่อผู้ใช้ดำเนินกิจกรรมตามปกติและเมื่อเกิดการโจมตีขึ้น แม้ว่าแฮ็กเกอร์อาจสามารถเข้าถึงรายละเอียดการเข้าสู่ระบบของพนักงานได้ แต่พวกเขาจะไม่สามารถเลียนแบบกิจกรรมและพฤติกรรมปกติได้

โซลูชัน UEBA มีสามองค์ประกอบหลัก:

การวิเคราะห์ข้อมูล: UEBA รวบรวมและจัดระเบียบข้อมูลของผู้ใช้และเอนทิตีเพื่อสร้างโปรไฟล์มาตรฐานว่าผู้ใช้แต่ละรายดำเนินการอย่างไร จากนั้น แบบจำลองทางสถิติจะถูกกำหนดและนำไปใช้เพื่อตรวจจับกิจกรรมผิดปกติและแจ้งเตือนทีมรักษาความปลอดภัย

การรวมข้อมูล: เพื่อให้ระบบมีความยืดหยุ่นมากขึ้น UEBA จะเปรียบเทียบข้อมูลที่ได้รับจากแหล่งต่างๆ เช่น บันทึกของระบบ ข้อมูลการดักจับแพ็กเก็ต และชุดข้อมูลอื่นๆ กับข้อมูลที่รวบรวมจากระบบรักษาความปลอดภัยที่มีอยู่

การนำเสนอข้อมูล: กระบวนการที่ระบบ UEBA สื่อสารสิ่งที่ค้นพบและการตอบสนองที่เหมาะสม กระบวนการนี้มักเกี่ยวข้องกับการออกคำขอให้นักวิเคราะห์ความปลอดภัยตรวจสอบพฤติกรรมที่ผิดปกติ

บทบาทของ UEBA ในการตอบสนองต่อเหตุการณ์

การวิเคราะห์พฤติกรรมผู้ใช้และเอนทิตีใช้การเรียนรู้ของเครื่องและการเรียนรู้เชิงลึกเพื่อตรวจสอบและวิเคราะห์พฤติกรรมปกติของมนุษย์และเครื่องจักรในองค์กรของคุณ

หากมีการเบี่ยงเบนจากรูปแบบปกติ ระบบ UEBA จะตรวจจับและทำการวิเคราะห์เพื่อพิจารณาว่าพฤติกรรมที่ผิดปกตินั้นเป็นภัยคุกคามจริงหรือไม่

UEBA นำเข้าข้อมูลจากแหล่งบันทึกต่างๆ เช่น ฐานข้อมูล, Windows AD, VPN, พร็อกซี่, ป้ายสถานะ, ไฟล์ และปลายทาง เพื่อทำการวิเคราะห์นี้ การใช้อินพุตเหล่านี้และพฤติกรรมที่เรียนรู้ UEBA สามารถรวมข้อมูลเพื่อสร้างคะแนนขั้นสุดท้ายสำหรับการจัดอันดับความเสี่ยง และส่งรายงานโดยละเอียดไปยังนักวิเคราะห์ด้านความปลอดภัย

ตัวอย่างเช่น UEBA สามารถดูพนักงานที่เข้ามาทาง VPN จากแอฟริกาได้เป็นครั้งแรก เพียงเพราะพฤติกรรมของพนักงานผิดปกติไม่ได้หมายความว่าเป็นภัยคุกคาม ผู้ใช้อาจจะกำลังเดินทาง อย่างไรก็ตาม หากพนักงานคนเดียวกันในแผนกทรัพยากรบุคคลเข้าถึงเครือข่ายย่อยด้านการเงินอย่างกะทันหัน UEBA จะรับรู้กิจกรรมของพนักงานว่าน่าสงสัยและแจ้งเตือนทีมรักษาความปลอดภัย

นี่เป็นอีกสถานการณ์หนึ่งที่เกี่ยวข้อง

แฮร์รี่ พนักงานที่โรงพยาบาลเมานต์ซีนายในนิวยอร์ก หมดหวังเรื่องเงิน ในวันพิเศษนี้ แฮร์รี่รอให้ทุกคนออกจากสำนักงาน แล้วดาวน์โหลดข้อมูลที่ละเอียดอ่อนของผู้ป่วยไปยังอุปกรณ์ USB เวลา 19.00 น. เขาตั้งใจที่จะขายข้อมูลที่ถูกขโมยไปในตลาดมืดในราคาสูง

โชคดีที่โรงพยาบาล Mount Sinai ใช้โซลูชัน UEBA ซึ่งตรวจสอบพฤติกรรมของผู้ใช้และทุกหน่วยงานภายในเครือข่ายของโรงพยาบาล

แม้ว่าแฮร์รี่จะได้รับอนุญาตให้เข้าถึงข้อมูลผู้ป่วย แต่ระบบ UEBA จะเพิ่มคะแนนความเสี่ยงเมื่อตรวจพบการเบี่ยงเบนจากกิจกรรมปกติของเขา ซึ่งมักเกี่ยวข้องกับการดู การสร้าง และแก้ไขบันทึกผู้ป่วยระหว่างเวลา 9.00 น. ถึง 17.00 น.

เมื่อแฮร์รี่พยายามเข้าถึงข้อมูลในเวลา 19.00 น. ระบบจะระบุรูปแบบและความผิดปกติของเวลาและกำหนดคะแนนความเสี่ยง

คุณสามารถตั้งค่าระบบ UEBA ของคุณเพื่อ สร้างการแจ้งเตือนสำหรับทีมรักษาความปลอดภัยเพื่อแนะนำการตรวจสอบเพิ่มเติม หรือคุณสามารถตั้งค่าให้ดำเนินการทันที เช่น การปิดการเชื่อมต่อเครือข่ายโดยอัตโนมัติสำหรับพนักงานคนนั้นเนื่องจากการโจมตีทางไซเบอร์ที่น่าสงสัย

ฉันต้องการโซลูชัน UEBA หรือไม่

โซลูชัน UEBA เป็นสิ่งจำเป็นสำหรับองค์กร เนื่องจากแฮ็กเกอร์กำลังดำเนินการโจมตีที่ซับซ้อนมากขึ้น ซึ่งการตรวจจับยากขึ้นเรื่อยๆ โดยเฉพาะอย่างยิ่งในกรณีที่ภัยคุกคามมาจากภายใน

จากสถิติความปลอดภัยทางไซเบอร์ล่าสุด บริษัทมากกว่า 34% ได้รับผลกระทบจากภัยคุกคามภายในทั่วโลก นอกจากนี้ 85% ของธุรกิจกล่าวว่าเป็นการยากที่จะประเมินต้นทุนที่แท้จริงของการโจมตีโดยใช้ข้อมูลภายใน

ด้วยเหตุนี้ ทีมรักษาความปลอดภัยจึงเปลี่ยนไปใช้การตรวจจับแบบใหม่และการตอบสนองต่อเหตุการณ์ (IR) นักวิเคราะห์ด้านความปลอดภัยกำลังผสานเทคโนโลยีต่างๆ เช่น การวิเคราะห์พฤติกรรมผู้ใช้และเอนทิตี (UEBA) เข้ากับ SIEM ทั่วไปและระบบป้องกันแบบเดิมเพื่อสร้างสมดุลและเพิ่มระบบความปลอดภัย

UEBA มอบระบบตรวจจับภัยคุกคามภายในที่ทรงพลังกว่าเมื่อเทียบกับโซลูชันการรักษาความปลอดภัยแบบดั้งเดิมอื่นๆ มันตรวจสอบไม่เพียง แต่พฤติกรรมของมนุษย์ที่ผิดปกติ แต่ยังรวมถึงการเคลื่อนไหวด้านข้างที่น่าสงสัยด้วย UEBA ยังติดตามกิจกรรมบนบริการคลาวด์ อุปกรณ์มือถือ และอุปกรณ์ Internet of Things ของคุณอีกด้วย

ระบบ UEBA ที่ซับซ้อนจะนำเข้าข้อมูลจากแหล่งที่มาของบันทึกต่างๆ และสร้างรายงานโดยละเอียดเกี่ยวกับการโจมตีสำหรับนักวิเคราะห์ความปลอดภัยของคุณ วิธีนี้จะช่วยประหยัดเวลาให้กับทีมรักษาความปลอดภัยของคุณในการดูบันทึกจำนวนนับไม่ถ้วนเพื่อระบุความเสียหายที่เกิดขึ้นจริงจากการโจมตี

ต่อไปนี้คือกรณีการใช้งานต่างๆ ของ UEBA

กรณีการใช้งาน UEBA 6 อันดับแรก

#1 . UEBA ตรวจพบการละเมิดสิทธิ์ภายในเมื่อผู้ใช้ทำกิจกรรมเสี่ยงนอกพฤติกรรมปกติที่กำหนดไว้

#2. UEBA รวบรวมข้อมูลที่น่าสงสัยจากแหล่งต่างๆ เพื่อสร้างคะแนนความเสี่ยงสำหรับการจัดอันดับความเสี่ยง

#3. UEBA ดำเนินการจัดลำดับความสำคัญของเหตุการณ์โดยลดผลบวกลวง ขจัดความเหนื่อยล้าในการแจ้งเตือนและทำให้ทีมรักษาความปลอดภัยสามารถมุ่งเน้นไปที่การแจ้งเตือนที่มีความเสี่ยงสูงได้

#4. UEBA ป้องกันการสูญหายของข้อมูลและการขโมยข้อมูลเนื่องจากระบบส่งการแจ้งเตือนเมื่อตรวจพบข้อมูลที่ละเอียดอ่อนถูกย้ายภายในเครือข่ายหรือโอนออกจากเครือข่าย

#5 . UEBA ช่วยตรวจจับการเคลื่อนไหวด้านข้างของแฮ็กเกอร์ภายในเครือข่ายที่อาจขโมยข้อมูลรับรองการเข้าสู่ระบบของพนักงาน

#6. UEBA ยังจัดเตรียมการตอบสนองต่อเหตุการณ์โดยอัตโนมัติ ทำให้ทีมรักษาความปลอดภัยสามารถตอบสนองต่อเหตุการณ์ด้านความปลอดภัยในแบบเรียลไทม์

UEBA ปรับปรุง UBA และระบบรักษาความปลอดภัยแบบเดิมอย่างไร เช่น SIEM

UEBA ไม่ได้มาแทนที่ระบบรักษาความปลอดภัยอื่นๆ แต่แสดงถึงการปรับปรุงที่สำคัญที่ใช้ควบคู่ไปกับโซลูชันอื่นๆ เพื่อการรักษาความปลอดภัยทางไซเบอร์ที่มีประสิทธิภาพมากขึ้น UEBA แตกต่างจากการวิเคราะห์พฤติกรรมผู้ใช้ (UBA) โดยที่ UEBA มี "เอนทิตี" และ "เหตุการณ์" เช่น เซิร์ฟเวอร์ เราเตอร์ และอุปกรณ์ปลายทาง

โซลูชัน UEBA มีความครอบคลุมมากกว่า UBA เนื่องจากจะตรวจสอบกระบวนการที่ไม่ใช่มนุษย์และเอนทิตีของเครื่องจักรเพื่อระบุภัยคุกคามได้แม่นยำยิ่งขึ้น

SIEM ย่อมาจากข้อมูลความปลอดภัยและการจัดการเหตุการณ์ SIEM ดั้งเดิมแบบดั้งเดิมอาจไม่สามารถตรวจจับภัยคุกคามที่ซับซ้อนได้ด้วยตัวเอง เนื่องจากไม่ได้ออกแบบมาเพื่อตรวจสอบภัยคุกคามแบบเรียลไทม์ และเมื่อพิจารณาว่าแฮ็กเกอร์มักจะหลีกเลี่ยงการโจมตีแบบครั้งเดียวธรรมดาๆ และแทนที่จะมีส่วนร่วมในการโจมตีที่ซับซ้อน พวกเขาสามารถตรวจจับได้โดยเครื่องมือตรวจจับภัยคุกคามแบบเดิม เช่น SIEM เป็นเวลาหลายสัปดาห์หรือหลายเดือน

โซลูชัน UEBA ที่ซับซ้อนช่วยจัดการกับข้อจำกัดนี้ ระบบ UEBA วิเคราะห์ข้อมูลที่จัดเก็บโดย SIEM และทำงานร่วมกันเพื่อตรวจสอบภัยคุกคามแบบเรียลไทม์ ช่วยให้คุณตอบสนองต่อการละเมิดได้อย่างรวดเร็วและง่ายดาย

ดังนั้น ด้วยการผสานเครื่องมือ UEBA และ SIEM องค์กรจึงสามารถตรวจจับและวิเคราะห์ภัยคุกคามได้อย่างมีประสิทธิภาพมากขึ้น จัดการกับช่องโหว่ได้อย่างรวดเร็ว และหลีกเลี่ยงการโจมตี

แนวทางปฏิบัติที่ดีที่สุดสำหรับการวิเคราะห์พฤติกรรมของผู้ใช้และเอนทิตี

ต่อไปนี้คือแนวทางปฏิบัติที่ดีที่สุด 5 ประการสำหรับการวิเคราะห์พฤติกรรมผู้ใช้ที่ให้ข้อมูลเชิงลึกเกี่ยวกับสิ่งที่ต้องทำเมื่อสร้างพื้นฐานสำหรับพฤติกรรมของผู้ใช้

#1. กำหนดกรณีการใช้งาน

กำหนดกรณีการใช้งานที่คุณต้องการให้โซลูชัน UEBA ระบุ สิ่งเหล่านี้อาจเป็นการตรวจจับการละเมิดบัญชีที่มีสิทธิพิเศษ การประนีประนอมข้อมูลประจำตัว หรือภัยคุกคามจากภายใน การกำหนดกรณีการใช้งานช่วยให้คุณกำหนดว่าข้อมูลใดที่จะรวบรวมเพื่อการตรวจสอบ

#2. กำหนดแหล่งข้อมูล

ยิ่งระบบ UEBA ของคุณสามารถจัดการประเภทข้อมูลได้มากเท่าไร ข้อมูลพื้นฐานก็จะยิ่งแม่นยำมากขึ้นเท่านั้น แหล่งข้อมูลบางแห่งรวมถึงบันทึกของระบบหรือข้อมูลทรัพยากรบุคคล เช่น ประวัติประสิทธิภาพของพนักงาน

#3. กำหนดพฤติกรรมเกี่ยวกับข้อมูลที่จะถูกเก็บรวบรวม

ซึ่งอาจรวมถึงชั่วโมงทำงานของพนักงาน แอปพลิเคชันและอุปกรณ์ที่พวกเขาเข้าถึงบ่อยๆ และจังหวะการพิมพ์ ด้วยข้อมูลนี้ คุณจะเข้าใจสาเหตุที่เป็นไปได้ของผลบวกลวงได้ดีขึ้น

#4. กำหนดระยะเวลาในการสร้างเส้นฐาน

เมื่อกำหนดระยะเวลาพื้นฐานของคุณ จำเป็นต้องพิจารณาเป้าหมายด้านความปลอดภัยของธุรกิจและกิจกรรมของผู้ใช้

ระยะเวลาที่การตรวจวัดพื้นฐานไม่ควรสั้นหรือยาวเกินไป เนื่องจากคุณอาจไม่สามารถรวบรวมข้อมูลที่ถูกต้องได้ หากคุณสิ้นสุดระยะเวลาที่การตรวจวัดพื้นฐานเร็วเกินไป ส่งผลให้มีอัตราที่ผิดพลาดสูง ในทางกลับกัน กิจกรรมที่เป็นอันตรายบางอย่างอาจถูกส่งต่อตามปกติ หากคุณใช้เวลานานเกินไปในการรวบรวมข้อมูลพื้นฐาน

#5. อัปเดตข้อมูลพื้นฐานของคุณเป็นประจำ

คุณอาจต้องสร้างข้อมูลพื้นฐานของคุณใหม่เป็นประจำ เนื่องจากกิจกรรมของผู้ใช้และเอนทิตีเปลี่ยนแปลงตลอดเวลา พนักงานอาจได้รับการเลื่อนตำแหน่งและเปลี่ยนแปลงงานและโครงการ ระดับสิทธิพิเศษและกิจกรรมต่างๆ ระบบ UEBA สามารถตั้งค่าให้รวบรวมข้อมูลโดยอัตโนมัติและปรับข้อมูลพื้นฐานเมื่อมีการเปลี่ยนแปลง

คำพูดสุดท้าย

เมื่อเราพึ่งพาเทคโนโลยีมากขึ้น ภัยคุกคามความปลอดภัยทางไซเบอร์ก็ซับซ้อนมากขึ้น องค์กรขนาดใหญ่ต้องรักษาความปลอดภัยระบบที่เก็บข้อมูลที่สำคัญของตนเองและไคลเอ็นต์เพื่อหลีกเลี่ยงการละเมิดความปลอดภัยในวงกว้าง UEBA นำเสนอระบบตอบสนองเหตุการณ์แบบเรียลไทม์ที่สามารถป้องกันการโจมตีได้