Hvad er UEBA (User and Entity Behavior Analytics)?
Der er mange måder at holde et netværk sikkert på. De bedste metoder involverer normalt softwareløsninger, der bekæmper ondsindet kode eller holder øje med uautoriserede adgangsforsøg udefra. Imidlertid,et aspekt ofte taget let på eller endda ignoreret er angreb frainden fornetværket – af brugere bag firewallen.
Disse former for angreb kan dæmmes ved hjælp af UEBA-værktøjer.
Nå, hvad er UEBA?
Bruger- og enhedsadfærdsanalyse (UEBA)er en cybersikkerhedsproces, derinvolverer:
- Vi overvåger data for normal brug og adfærdaf brugere og enheder.
- Indstilling af en baselineved at bruge disse data.
- Sporing af deres aktuelle aktiviteter i realtid for at opdage eventuelle afvigelserfra basislinjen.
Disse afvigelser analyseres derefter for at finde indikationer på ondsindet aktivitet af en bruger eller enhed.
UEBA udnytter netværksbegivenheder– normalt store datasæt gemt som logfiler og revisionsspor – for at modellere den typiske og atypiske adfærd hos brugere og enheder på netværket.
Processen brugermaskinelæring,algoritmer,Statistikker, oganalyse af trusselssignaturerpå tidligere data. Det sammenligner derefter med brugernes aktuelle daglige aktiviteter, som derefter klassificeres som 'normale' eller potentielt rigtige 'trusler“.
Lad os som et eksempel antage, at en bruger typisk downloader 15 MB data hver dag. Hvis de pludselig skulle begynde at downloade gigabyte data, ville det være ude af normen og klassificeret som en afvigelse, der ville kræve opmærksomhed.
Nogle aktiviteter, der kunne detekteres ved hjælp af denne metode, omfatterkompromitterede legitimationsoplysninger,laterale bevægelserog andre ondsindede aktiviteter.
Et kritisk punkt at forstå her ville være detUEBA sporer ikke sikkerhedshændelser eller overvåger enheder. I stedet,den fokuserer på netværketaktiviteteraf brugere og enheder, mens de går i gang med deres forretning. Derfor kan man sige detdette er et værktøj, der holder øje med insidere – som regel medarbejdere – som har fået stjålet deres legitimationsoplysninger eller med vilje er blevet useriøse.Derudover bruges det til at stoppe kontohavere, der allerede har adgangtil netværket og dets forbundne aktiver fra at udføre målrettede angreb eller forsøg på at begå svindel.Endelig sporer den også applikationer, enheder og serverefor at sikre, at disse ondsindede brugere ikke udnytter dem.
Forskellen mellem UBA og UEBA
Før UEBA havde viUBA – Brugeradfærdsanalyse. Denne proces fokuserede kun på det menneskelige aspekt; det holdt styr på brugere og intet andet.
Nu,UEBA udvider UBA til at omfatte enhedersom routere, slutpunkter og servere. Dette skabte et mere robust sikkerhedsværktøj tilopdage komplekse angreb ved at korrelere bruger-, enheds- og IP-adresseinput.
Denne udvidelse blev en nødvendighed, da det blev erkendt, at enheder i tilfælde af en trussel også kunne bruges som informationskilder samt hjælpe administratorer med at lokalisere kilderne til trusler præcist.
Dette er endnu vigtigere i dag, da vi ser fremkomsten af alle slags tilsluttede enheder, der udgør det, vi nu kalder 'Tingenes internet” ellerIoT. Efterhånden som antallet af disse enheder vokser, stiger antallet af potentielle angrebspunkter også.
Hvordan fungerer UEBA?
UEBA-processen involverer at forbinde netværksaktiviteter til specifikke brugerei stedet for hardware eller deres IP-adresser.
Datakilden er normalt generelle datalagre – såsom logfiler og revisionsspor – der er gemt i datasøer eller datavarehuse . Kildedataene kan også komme fra Security Information and Event Management ( SIEM ) værktøjer.
Bemærk: UEBA integrerer information i logfiler, pakkeregistreringer og lignende tværorganisatoriske datasæt, som normalt fanges af SIEM-værktøjer. Det er derfor, UEBA og SIEM ofte implementeres sammen.
Denne unikke tilgang til overvågning af menneskelig og entitetsadfærd tegner et klart billede af alle usædvanlige aktiviteter, som måske ikke engang bliver bemærket, endsige markeret, af traditionelle perimeterovervågningsværktøjer. Desuden kan selv de mindste afvigelser konfigureres til at udløse trusselsalarmer, hvilket giver administratorer mulighed for at vurdere, om det faktisk er en tidlig indikation af en trussel.
Data, der bruges til analysen, indeholder information som:
- Hvor en bruger logger ind fra
- De filer, applikationer og servere, de regelmæssigt bruger
- De roller og privilegier, de er blevet tildelt
- Placering, frekvens og tidspunkt for adgang
- Tilslutningsmulighederne eller IoT-enheder, der bruges til adgang
UEBA bruger disse input til at identificere ikke-malware-baserede angreb, vurdere trusselsniveauer, oprette risikoscore og beslutte, om det skal gøres opmærksom på administratorer eller ej. Værktøjet kan endda hjælpe med at guide dem hen imod det rigtige svar.
Ved hjælp af disse data kan UEBA fange en gerningsmand, der for eksempel har fået adgang til en brugers konto, fordi de ikke vil være i stand til at efterligne deres ofres aktiviteter nøjagtigt.
Hvad er omfanget af UEBA? Eller hvad kan det beskytte?
Undtagenangreb fra en organisations netværk,UEBA kan også overvåge cloud-aktiver, der leveres dynamisk eller tilgås eksternt– noget, der ville være svært at gøre ved at bruge traditionelle sikkerhedsværktøjer, primært hvis de er blevet implementeret på stedet, inden for det lokale netværk.
Hvilke egenskaber undersøger UEBA?
Et godt UEBA-værktøj vilovervåge flere egenskaberfor at hjælpe den med at opdage og advare mistænkelige aktiviteter hurtigt og præcist.Derudover vil kombinationen af funktioner give mulighed for en mere inkluderende baseline, der dækker flere menneskelige egenskaber,hvilket vil gøre det sværere at narre.
Nogle væsentlige egenskaber at overvåge inkluderer:
- Meddelelseinvolverer at holde styr på e-mail-, chat- og VoIP-data for at spore de personer, som brugerne interagerer med.
- System– deres digitale fodspor og hvordan de opfører sig, når de er tilsluttet, er en værdifuld informationskilde, der kan udvindes fra slutpunkter, browsere, delte filer og login-vaner; disse data kan også fjernes fra SIEM'er.
- Menneskelige ressourcer– motivationen bag enhver mistænkelig aktivitet, og hvorfor det kan være et ondsindet forsøg, kan uddrages fra HR-medarbejdernes præstationsanmeldelser og Active Directory (AD).
- Fysisk lokationsdata– sporing af fysiske bevægelser rundt i lokalerne kan give værdifuld information; dette kan udtrækkes ved at overvåge badgedata, loginplaceringer og rejsehistorik.
Som vi kan se, kan det at bringe alle disse datasæt sammen tegne et klart billede af en bruger, deres aktiviteter og – hvis det er relevant – deres ondsindede hensigter.
Hvordan bygges en basislinje?
Et spørgsmål, der skal stilles her, er, hvordan man kan gå om at opbygge den baseline, der hjælper med at holde styr på en bruger. Nå, der er et par trin at gå igennem:
- Definition af use cases– det burde være klart lige fra begyndelsen, hvad der skal spores. Eksempler kunne være at opdage ondsindede brugere, kompromitterede konti, kendte sikkerhedstrusler eller en kombination af alle.
- Definition af datakilder– her er oprindelsen af data bestemmes for at opbygge adfærdsprofilerne for hver bruger. Eksempler på kilder omfatter logfiler, e-mails, sociale medieplatforme, HR-gennemgangsrapporter, netværksdatapakkestrømme og SIEM'er.
- Definition af adfærd, der skal overvåges– en UEBA-løsning bør dække så mange attributter som muligt. Det er på dette tidspunkt, detaljerne beskrives. Disse kunne være kontortid, skrivehastigheder, virksomhedsapplikationer og adgang til data, besøgte websteder, musedynamik og ikke-IT-data såsom HR-input om medarbejdernes jobtilfredshedsniveau.
- Definition af basis-etableringstidspunktet– selvom medarbejderne normalt handler ens dag ind og dag ind, kan eksterne faktorer som løndage, budgetlukningsuger eller influenzasæson skabe vaneændringer i arbejdsdagen. Disse faktorer bør tages i betragtning og undgås, mens basisplanen planlægges. Dataindsamlingen kan tage alt fra en uge til 90 dage, hvor UEBA 'lærer' om brugerne og etablerer en baseline. Administratorer bør også have tid nok til at sikre sig, at basislinjerne faktisk er fornuftige.
- Udarbejdelse af politikker og undervisning– når UEBA-løsningen er klar til at gå, bør sikkerhedspolitikker implementeres, og brugerne skal gøres opmærksomme på dem. Hvor det er nødvendigt, bør der gives træning for at sikre, at alle ved, hvad og hvordan de skal få adgang til de oplysninger, de kun har tilladelse til at være fortrolige med. Endelig bør alle bringes ombord – HR, juridiske afdelinger, administratorer, sikkerhedsteams og brugerne selv.
- En prøveperiode– ethvert system bør gennemgå en prøveperiode, før det sættes i produktion. Det samme gælder UEBA. I løbet af prøveperioden kan fejl og uoverensstemmelser observeres og udlignes.
- Go-live og overvågning– når UEBA er live, kræves der tæt overvågning for at sikre, at alle systemer fungerer som forventet. Tweaks og rettelser kan være nødvendige i løbet af de første par måneder. Overordnet set bør basislinjen justeres for at imødekomme eventuelle nye attributter, der indføres i organisationen, såsom nye tidsplaner, sikkerhedssystemopgraderinger og medarbejderoverførsler.
UEBAs tre søjler
Baseret på de oplysninger, vi har set indtil nu, kan vi nu definere de tre søjler i UEBA. Disse søjler foreskriverhvad en UEBA gør,hvordan det gør det, ogresultatet.
Derfor er UEBA-løsninger ifølge Gartner defineret på tværs af tre dimensioner:
- Brug cases– UEBA-løsninger overvåger, opdager og rapporterer ondsindede aktiviteter fra brugere og enheder på et virksomhedsnetværk. De bør også forblive relevante i analysen af f.eks. betroet værtsovervågning, afsløring af svindel og medarbejderovervågning.
- Data kilder– en UEBA-løsning bør ikke installeres direkte på netværket eller endda i it-miljøet for at kunne indsamle data. I stedet bør det udtrække data fra datalagre som datasøer, datavarehuse eller gennem en SIEM.
- Analytics– UEBA-løsninger bør opdage uregelmæssigheder ved hjælp af forskellige analysemetoder, der inkluderer maskinlæring, regler, statistiske modeller, trusselssignaturer og mere.
Hvad er fordelene ved UEBA?
Nu hvor vi har defineret og set, hvad en UEBA-løsning kan gøre, lad os se på de fordele, den bringer til bordet:
- Det er primært et værktøj, der kan hjælpe med at stoppe mange insider-cyberangrebsom kompromitterede konti, brute-force-angreb, uautoriseret oprettelse af nye konti og databrud.
- Det dækker et omfang, som de fleste organisationer normalt ignorerer ogkan ikke spores af traditionelle værktøjer som anti-virus eller antimalware-løsninger - insidertruslen.
- Indsættelse af UEBA reducerer antallet af sikkerhedsanalytikereder har brug for at holde et firmanetværk sikkert; disse løsninger er automatiske, fungerer døgnet rundt og udsender alarmer i realtid.
- En UEBA-løsning kan reducere budgettet og overheadpåkrævet for en organisations cybersikkerhedsvedligeholdelse.
- Menneskelige fejl, forårsaget af at administratorer skal gennemsøge enorme mængder aktivitetsdata manuelt, kan undgås; trusselsanalyse og afbødning kan udføres på få minutter, i realtid og præcist.
- UEBA er en unik sikkerhedstilgang, idet den involverer adoption af flere systemer og datakilderog ikke i overensstemmelse med sporing af foruddefinerede korrelationsregler eller angrebsmønstre;AI'en lærer altid.
Er der nogen ulemper ved at bruge UEBA?
Det ville være uretfærdigt at sige, at der ikke er nogen ulemper ved at implementere UEBA. Og så her er de:
- UEBA genererer data, der er mere komplekseend den gennemsnitlige traditionelle sikkerhedsløsning. Derfor,det kræver en uddannet fagmandat implementere, køre og overvåge systemet. Analysen kræver også et lært øje for at undgå at drage konklusioner på grund af falsk-positive resultater.
- Selvom det er et sikkerhedssystem,det er ikke nok at beskytte et system helt alene. Husk,den sporer kun menneskets og enhedens adfærdog intet mere. Nogle organisationer kan se dette som en mangel, især når de overvejer behovet for yderligere sikkerhedssoftware - men det er det ikke. Det er bare ikke beregnet til at stoppe angreb - bare at advare ondsindede interne brugere.
UEBAs bedste praksis for implementering
Her er et par punkter, du skal overveje, når du sigter mod en vellykket UEBA-implementering:
- Overvej altid trusler fra både inden for og uden for netværket– alle politikker, regler og basislinjer bør tage hensyn til brugere, der befinder sig hvor som helst.
- Alle konti skal tages i betragtning– husk, hackere kan altid opgradere deres privilegier for at øge deres adgangsmuligheder.
- UEBA skal sendes til de relevante sikkerhedsteammedlemmer– ikke tilbage til f.eks. brugerne selv eller andet uautoriseret personale.
- SOM VI HAR SETT OVENFOR, er UEBA's anvendelsesområde begrænset– administratorer bør ikke tage fokus fra de andre traditionelle sikkerhedsværktøjer.
- Træn alle brugerefor at minimere falske positiver eller utilsigtede triggeralarmer.
- Også,uddanne sikkerhedspersonaleat læse analyser korrekt for at undgå at springe til fejlagtige konklusioner.
UEBA er en nødvendighed
Afslutningsvis er vi nødt til at sige, at det er en nødvendighed at vedtage en UEBA-løsning i nutidens verden med tyveri af intellektuel ejendom, teknologilækager, hacks og databrud – alt sammen gjort indefra. Det er altid blevet sagt, at brugerne var svageste led inden for cybersikkerhed. At kombinere disse oplysninger med medarbejdere, der har ondsindede hensigter, gør det nemt at se, hvorfor vi har brug for disse typer løsninger.
Det giver derfor mening at holde virksomhedens data sikker ved hjælp af UEBA-løsninger. Hvad gørdutænke? Lad os vide; efterlad os en kommentar.