UEBA'yı ve Olay Müdahalesindeki Rolünü Anlamak

Güvenlik ihlalleri dijital dünyada giderek daha yaygın hale geldi. UEBA, kuruluşların bu olayları tespit etmesine ve yanıt vermesine yardımcı olur.

Kullanıcı ve Varlık Davranışı Analitiği (UEBA), daha önce Kullanıcı Davranışı Analitiği (UBA) olarak biliniyordu. Bir kuruluştaki kullanıcıların (insanlar) ve varlıkların (ağa bağlı cihazlar ve sunucular) gerçek zamanlı olarak anormal etkinlikleri algılamak ve bunlara yanıt vermek için tipik olarak nasıl davrandığını anlamak için analitiği kullanan bir siber güvenlik çözümüdür.

UEBA, aşağıdakileri gösterebilecek riskli varyasyonlar ve şüpheli davranışlar hakkında güvenlik analistlerini belirleyebilir ve uyarabilir:

• yanal hareket
• Ayrıcalıklı hesap kötüye kullanımı
• Ayrıcalık yükseltme
• Kimlik bilgisi uzlaşması veya
• İçeriden tehditler

UEBA ayrıca tehdit seviyesini de değerlendirir ve uygun bir yanıt oluşturmaya yardımcı olabilecek bir risk puanı sağlar.

UEBA'nın nasıl çalıştığı, kuruluşların neden UEBA'ya geçiş yaptığı, UEBA'nın ana bileşenleri, UEBA'nın olay müdahalesindeki rolü ve UEBA'nın en iyi uygulamaları hakkında bilgi edinmek için okumaya devam edin.

Kullanıcı ve Varlık Davranış Analizi nasıl çalışır?

Kullanıcı ve varlık davranışı analitiği, önce veri gölü, veri ambarı gibi veri havuzlarından veya SIEM aracılığıyla kuruluşunuzdaki kişilerin ve makinelerin beklenen davranışları hakkında bilgi toplar.

UEBA daha sonra, bir çalışanın nereden oturum açtığı, ayrıcalık düzeyi, dosyalar, sıklıkla eriştiği sunucular, erişim süresi ve sıklığı ve bunun için kullandıkları cihazlar gibi davranış kalıplarının temel çizgisini belirlemek ve daha fazla tanımlamak için bu bilgileri işlemek için gelişmiş analitik yaklaşımları kullanır. erişim.

UEBA daha sonra kullanıcı ve varlık etkinliklerini sürekli olarak izler, bunları temel davranışla karşılaştırır ve hangi eylemlerin bir saldırıyla sonuçlanabileceğine karar verir.

UEBA, bir kullanıcının normal faaliyetlerine ne zaman devam ettiğini ve ne zaman bir saldırı olduğunu bilebilmektedir. Bir bilgisayar korsanı, bir çalışanın oturum açma bilgilerine erişebilse de, düzenli faaliyetlerini ve davranışlarını taklit edemez.

Bir UEBA çözümünün üç ana bileşeni vardır:

Veri analitiği: UEBA, her bir kullanıcının tipik olarak nasıl davrandığına dair standart bir profil oluşturmak için kullanıcıların ve varlıkların verilerini toplar ve düzenler. Daha sonra, anormal aktiviteyi tespit etmek ve güvenlik ekibini uyarmak için istatistiksel modeller formüle edilir ve uygulanır.

Veri entegrasyonu: Sistemi daha esnek hale getirmek için UEBA, sistem günlükleri, paket yakalama verileri ve diğer veri kümeleri gibi çeşitli kaynaklardan elde edilen verileri mevcut güvenlik sistemlerinden toplanan verilerle karşılaştırır.

Veri sunumu: UEBA sisteminin bulgularını ve uygun yanıtı ilettiği süreç. Bu süreç, tipik olarak, güvenlik analistlerinin olağandışı davranışları araştırmaları için bir talepte bulunmayı içerir.

Olay müdahalesinde UEBA'nın rolü

Kullanıcı ve varlık davranışı analitiği, kuruluşunuzdaki insanların ve makinelerin olağan davranışlarını izlemek ve analiz etmek için makine öğrenimi ve derin öğrenmeyi kullanır.

Normal kalıptan bir sapma varsa, UEBA sistemi bunu algılar ve olağandışı davranışın gerçek bir tehdit oluşturup oluşturmadığını belirleyen bir analiz gerçekleştirir.

UEBA, bu analizi gerçekleştirmek için veritabanı, Windows AD, VPN, proxy, rozet, dosyalar ve uç noktalar gibi farklı günlük kaynaklarından veri alır. UEBA, bu girdileri ve öğrenilen davranışları kullanarak, risk sıralaması için nihai bir puan oluşturmak için bilgileri birleştirebilir ve güvenlik analistlerine ayrıntılı bir rapor gönderebilir.

Örneğin, UEBA, Afrika'dan VPN üzerinden ilk kez gelen bir çalışana bakabilir. Çalışanın davranışının anormal olması, bunun bir tehdit olduğu anlamına gelmez; kullanıcı sadece seyahat ediyor olabilir. Ancak, insan kaynakları departmanındaki aynı çalışan aniden finans alt ağına erişirse, UEBA çalışanın faaliyetlerini şüpheli olarak algılar ve güvenlik ekibini uyarır.

İşte başka bir ilişkilendirilebilir senaryo.

New York'taki Mount Sinai Hastanesinde çalışan Harry, para için çaresizdir. Bu özel günde, Harry herkesin ofisten çıkmasını bekler ve ardından hastaların hassas bilgilerini akşam 7'de bir USB cihazına indirir. Çalınan verileri karaborsada yüksek bir dolara satmayı planlıyor.

Neyse ki Mount Sinai Hastanesi, hastane ağındaki her kullanıcının ve varlığın davranışını izleyen bir UEBA çözümü kullanıyor.

Harry'nin hasta bilgilerine erişim izni olmasına rağmen, UEBA sistemi, tipik olarak sabah 9 ile akşam 5 arasında hasta kayıtlarını görüntülemeyi, oluşturmayı ve düzenlemeyi içeren olağan aktivitelerinden bir sapma tespit ettiğinde risk puanını artırır.

Harry akşam 7'de bilgiye erişmeye çalıştığında, sistem kalıp ve zamanlama düzensizliklerini belirler ve bir risk puanı atar.

UEBA sisteminizi , güvenlik ekibinin daha fazla araştırma önermesi için bir uyarı oluşturacak şekilde ayarlayabilir veya şüpheli siber saldırı nedeniyle o çalışanın ağ bağlantısını otomatik olarak kapatmak gibi hemen harekete geçmek üzere ayarlayabilirsiniz.

Bir UEBA çözümüne ihtiyacım var mı?

Bilgisayar korsanları, tespit edilmesi giderek zorlaşan daha karmaşık saldırılar gerçekleştirdiğinden, kuruluşlar için bir UEBA çözümü gereklidir. Bu, özellikle tehdidin içeriden geldiği durumlarda geçerlidir.

Son siber güvenlik istatistiklerine göre, şirketlerin %34'ünden fazlası dünya çapında içeriden gelen tehditlerden etkileniyor. Ayrıca, işletmelerin %85'i içeriden bir saldırının gerçek maliyetini ölçmenin zor olduğunu söylüyor.

Sonuç olarak, güvenlik ekipleri daha yeni algılama ve olay müdahale (IR) yaklaşımlarına yöneliyor. Güvenlik analistleri, güvenlik sistemlerini dengelemek ve güçlendirmek için kullanıcı ve varlık davranışı analitiği (UEBA) gibi teknolojileri geleneksel SIEM'ler ve diğer eski önleme sistemleriyle birleştiriyor.

UEBA, diğer geleneksel güvenlik çözümlerine kıyasla size daha güçlü bir içeriden tehdit algılama sistemi sunar. Yalnızca anormal insan davranışlarını değil, aynı zamanda şüpheli yanal hareketleri de izler. UEBA ayrıca bulut hizmetleriniz, mobil cihazlarınız ve Nesnelerin İnterneti cihazlarınızdaki etkinlikleri de izler.

Gelişmiş bir UEBA sistemi, tüm farklı günlük kaynaklarından veri alır ve güvenlik analistleriniz için saldırının ayrıntılı bir raporunu oluşturur. Bu, güvenlik ekibinize bir saldırıdan kaynaklanan gerçek hasarı belirlemek için sayısız günlükleri incelemek için harcadığı zamandan tasarruf sağlar.

İşte UEBA'nın birçok kullanım örneğinden bazıları.

En İyi 6 UEBA Kullanım Örneği

#1 . UEBA, kullanıcılar yerleşik normal davranışın dışında riskli faaliyetler gerçekleştirdiğinde içeriden ayrıcalık kötüye kullanımını tespit eder.

#2. UEBA, risk sıralaması için bir risk puanı oluşturmak için farklı kaynaklardan gelen şüpheli bilgileri birleştirir.

#3. UEBA, yanlış pozitifleri azaltarak olay önceliklendirmesi gerçekleştirir. Uyarı yorgunluğunu ortadan kaldırır ve güvenlik ekiplerinin yüksek riskli uyarılara odaklanmasını mümkün kılar.

#4. UEBA, hassas verilerin ağ içinde taşındığını veya ağ dışına aktarıldığını algıladığında sistem uyarı gönderdiği için veri kaybını ve veri hırsızlığını önler.

#5 . UEBA, çalışan giriş bilgilerini çalmış olabilecek bilgisayar korsanlarının ağ içindeki yanal hareketlerini tespit etmeye yardımcı olur.

#6. UEBA ayrıca otomatik olay yanıtları sağlayarak güvenlik ekiplerinin güvenlik olaylarına gerçek zamanlı olarak yanıt vermesini sağlar.

UEBA, UBA'yı ve SIEM gibi eski güvenlik sistemlerini nasıl geliştirir?

UEBA, diğer güvenlik sistemlerinin yerini almaz, ancak daha etkili siber güvenlik için diğer çözümlerle birlikte kullanılan önemli bir gelişmeyi temsil eder. UEBA, UEBA'nın sunucular, yönlendiriciler ve uç noktalar gibi "Varlıklar" ve "Olaylar" içermesi bakımından kullanıcı davranışı analitiğinden (UBA) farklıdır.

Bir UEBA çözümü, tehditleri daha doğru bir şekilde belirlemek için insan dışı süreçleri ve makine varlıklarını izlediği için UBA'dan daha kapsamlıdır.

SIEM, güvenlik bilgileri ve olay yönetimi anlamına gelir. Geleneksel eski SIEM, tehditleri gerçek zamanlı olarak izlemek üzere tasarlanmadığından karmaşık tehditleri tek başına tespit edemeyebilir. Ve bilgisayar korsanlarının genellikle tek seferlik basit saldırılardan kaçındıkları ve bunun yerine bir dizi karmaşık saldırıyla meşgul oldukları göz önüne alındığında, SIEM gibi geleneksel tehdit algılama araçları tarafından haftalar hatta aylarca fark edilmeyebilirler.

Sofistike bir UEBA çözümü bu sınırlamayı giderir. UEBA sistemleri, SIEM tarafından depolanan verileri analiz eder ve tehditleri gerçek zamanlı olarak izlemek için birlikte çalışarak ihlallere hızlı ve zahmetsizce yanıt vermenizi sağlar.

Bu nedenle, UEBA ve SIEM araçlarını birleştirerek kuruluşlar tehdit algılama ve analizinde çok daha etkili olabilir, güvenlik açıklarını hızlı bir şekilde ele alabilir ve saldırılardan kaçınabilir.

Kullanıcı ve Varlık Davranışı Analitiği en iyi uygulamaları

Kullanıcı davranışı için bir temel oluştururken yapılması gerekenler hakkında fikir veren kullanıcı davranışı analizi için en iyi beş uygulamayı burada bulabilirsiniz.

#1. Kullanım senaryolarını tanımlayın

UEBA çözümünüzün tanımlamasını istediğiniz kullanım senaryolarını tanımlayın. Bunlar, ayrıcalıklı hesabın kötüye kullanılması, kimlik bilgilerinin ele geçirilmesi veya içeriden gelen tehditlerin tespiti olabilir. Kullanım senaryolarının tanımlanması, izleme için hangi verilerin toplanacağını belirlemenize yardımcı olur.

#2. Veri kaynaklarını tanımlayın

UEBA sistemleriniz ne kadar çok veri tipini işleyebilirse, temel belirleme o kadar kesin olacaktır. Bazı veri kaynakları, sistem günlüklerini veya çalışan performans geçmişi gibi insan kaynakları verilerini içerir.

#3. Hangi verilerin toplanacağına ilişkin davranışları tanımlayın

Bu, çalışanın çalışma saatlerini, sık eriştikleri uygulamaları ve cihazları ve yazma ritimlerini içerebilir. Bu veriler yerinde olduğunda, yanlış pozitiflerin olası nedenlerini daha iyi anlayabilirsiniz.

#4. Temeli oluşturmak için bir süre belirleyin

Referans döneminizin süresini belirlerken, işletmenizin güvenlik hedeflerini ve kullanıcıların faaliyetlerini dikkate almak önemlidir.

Temel belirleme süresi çok kısa veya çok uzun olmamalıdır. Bunun nedeni, temel süreyi çok hızlı bir şekilde sonlandırırsanız doğru bilgileri toplayamayabilirsiniz ve bu da yüksek oranda yanlış pozitiflere neden olur. Öte yandan, temel bilgileri toplamanız çok uzun sürerse, bazı kötü amaçlı etkinlikler normal şekilde geçirilebilir.

#5. Temel verilerinizi düzenli olarak güncelleyin

Kullanıcı ve varlık etkinlikleri sürekli değiştiği için temel verilerinizi düzenli olarak yeniden oluşturmanız gerekebilir. Bir çalışan terfi alabilir ve görevlerini ve projelerini, ayrıcalık düzeylerini ve faaliyetlerini değiştirebilir. UEBA sistemleri, veri toplamak ve değişiklikler olduğunda temel verileri ayarlamak için otomatik olarak ayarlanabilir.

Son sözler

Teknolojiye giderek daha fazla bağımlı hale geldikçe, siber güvenlik tehditleri daha karmaşık hale geliyor. Büyük bir kuruluş, büyük ölçekli güvenlik ihlallerini önlemek için kendisine ve müşterilerine ait hassas verileri tutan sistemlerini güvence altına almalıdır. UEBA, saldırıları önleyebilen gerçek zamanlı bir olay yanıt sistemi sunar.