Forståelse af UEBA og dets rolle i hændelsesrespons

Af
Tweet
Share
Share
Pin

Sikkerhedsbrud er blevet mere og mere almindelige i den digitale verden. UEBA hjælper organisationer med at opdage og reagere på disse hændelser.

User and Entity Behavior Analytics (UEBA) var tidligere kendt som User Behavior Analytics (UBA). Det er en cybersikkerhedsløsning, der bruger analyser til at få en forståelse af, hvordan brugere (mennesker) og enheder (netværksenheder og servere) i en organisation typisk opfører sig for at opdage og reagere på uregelmæssig aktivitet i realtid.

UEBA kan identificere og advare sikkerhedsanalytikere om risikable variationer og mistænkelig adfærd, der kunne indikere:

  • Sidebevægelse
  • Privilegeret kontomisbrug
  • Privilegium eskalering
  • Kompromis med legitimationsoplysninger eller
  • Insidertrusler

UEBA vurderer også trusselsniveauet yderligere og giver en risikoscore, der kan hjælpe med at etablere et passende svar.

Læs videre for at lære om, hvordan UEBA fungerer, hvorfor organisationer skifter til UEBA, de vigtigste komponenter i UEBA, UEBAs rolle i hændelsesreaktion og UEBAs bedste praksis.

Hvordan fungerer bruger- og enhedsadfærdsanalyse?

Bruger- og enhedsadfærdsanalyse indsamler først information om den forventede adfærd hos personerne og maskinerne i din organisation fra datalagre såsom en datasø, et datavarehus eller gennem SIEM.

UEBA bruger derefter avancerede analysemetoder til at behandle disse oplysninger for at bestemme og yderligere definere en basislinje af adfærdsmønstre: hvor en medarbejder logger ind fra, deres privilegieniveau, filer, servere, de ofte får adgang til, tidspunkt og hyppighed af adgang og enheder, de bruger til adgang.

UEBA overvåger derefter løbende bruger- og enhedsaktiviteter, sammenligner dem med baselineadfærd og beslutter, hvilke handlinger der kan resultere i et angreb.

UEBA kan vide, hvornår en bruger udfører deres normale aktiviteter, og hvornår et angreb finder sted. Selvom en hacker muligvis kan få adgang til en medarbejders loginoplysninger, vil de ikke være i stand til at efterligne deres almindelige aktiviteter og adfærd.

En UEBA-løsning har tre hovedkomponenter:

Dataanalyse: UEBA indsamler og organiserer data fra brugere og enheder for at opbygge en standardprofil for, hvordan hver bruger typisk agerer. Statistiske modeller bliver derefter formuleret og anvendt til at opdage unormal aktivitet og advare sikkerhedsteamet.

Dataintegration: For at gøre systemet mere modstandsdygtigt sammenligner UEBA data opnået fra forskellige kilder – såsom systemlogfiler, pakkefangstdata og andre datasæt – med data indsamlet fra eksisterende sikkerhedssystemer.

  Det er nemt at oprette animationer og livevideoer med Animaker

Datapræsentation: Proces, hvorigennem UEBA-systemet kommunikerer sine resultater og det passende svar. Denne proces involverer typisk at udstede en anmodning til sikkerhedsanalytikerne om at undersøge usædvanlig adfærd.

UEBAs rolle i hændelsesberedskab

Bruger- og enhedsadfærdsanalyse bruger maskinlæring og dyb læring til at overvåge og analysere den sædvanlige adfærd hos mennesker og maskiner i din organisation.

Hvis der er en afvigelse fra det almindelige mønster, opdager UEBA-systemet det og udfører en analyse, der afgør, om den usædvanlige adfærd udgør en reel trussel eller ej.

UEBA indtager data fra forskellige logkilder såsom en database, Windows AD, VPN, proxy, badge, filer og slutpunkter for at udføre denne analyse. Ved at bruge disse input og indlært adfærd kan UEBA fusionere informationen til en endelig score for risikorangering og sende en detaljeret rapport til sikkerhedsanalytikerne.

For eksempel kan UEBA se på en medarbejder, der kommer ind over VPN fra Afrika for første gang. Bare fordi medarbejderens adfærd er unormal, betyder det ikke, at det er en trussel; brugeren kan simpelthen være på rejse. Men hvis den samme medarbejder i personaleafdelingen pludselig får adgang til finansundernettet, vil UEBA anerkende medarbejderens aktiviteter som mistænkelige og advare sikkerhedsteamet.

Her er et andet relateret scenarie.

Harry, en ansat på Mount Sinai Hospital i New York, er desperat efter penge. På denne særlige dag venter Harry på, at alle forlader kontoret, og downloader derefter patienters følsomme oplysninger til en USB-enhed kl. 19.00. Han agter at sælge de stjålne data på det sorte marked for en høj dollar.

Heldigvis bruger Mount Sinai Hospital en UEBA-løsning, som overvåger adfærden for hver bruger og entitet i hospitalets netværk.

Selvom Harry har tilladelse til at få adgang til patientoplysninger, øger UEBA-systemet hans risikoscore, når det registrerer en afvigelse fra hans sædvanlige aktiviteter, som typisk involverer visning, oprettelse og redigering af patientjournaler mellem kl. 9 og 17.

Når Harry forsøger at få adgang til oplysningerne kl. 19.00, identificerer systemet mønster- og timing-uregelmæssigheder og tildeler en risikoscore.

Du kan konfigurere dit UEBA-system til blot at oprette en advarsel til sikkerhedsteamet for at foreslå yderligere undersøgelser, eller du kan konfigurere det til at træffe øjeblikkelige handlinger som automatisk afbrydelse af netværksforbindelse for den pågældende medarbejder på grund af det formodede cyberangreb.

Har jeg brug for en UEBA-løsning?

En UEBA-løsning er essentiel for organisationer, fordi hackere udfører mere sofistikerede angreb, som bliver sværere og sværere at opdage. Dette gælder især i tilfælde, hvor truslen kommer indefra.

  9 Pålidelige e-handelshostingplatforme til små til store onlinebutikker

Ifølge de seneste cybersikkerhedsstatistikker, mere end 34 % af virksomheder er påvirket af insidertrusler verden over. Og derudover siger 85 % af virksomhederne, at det er svært at kvantificere de faktiske omkostninger ved et insiderangreb.

Som følge heraf skifter sikkerhedsteams mod nyere detektions- og hændelsesrespons (IR) tilgange. For at balancere og booste deres sikkerhedssystemer fusionerer sikkerhedsanalytikere teknologier som bruger- og enhedsadfærdsanalyse (UEBA) med konventionelle SIEM’er og andre ældre forebyggelsessystemer.

UEBA giver dig et mere kraftfuldt insider-trusselsdetektionssystem sammenlignet med andre traditionelle sikkerhedsløsninger. Den overvåger ikke kun unormal menneskelig adfærd, men også mistænkelige sidebevægelser. UEBA sporer også aktiviteter på dine cloud-tjenester, mobile enheder og Internet of Things-enheder.

Et sofistikeret UEBA-system indtager data fra alle de forskellige logkilder og opbygger en detaljeret rapport om angrebet til dine sikkerhedsanalytikere. Dette sparer dit sikkerhedsteam for den tid, du bruger på at gennemgå utallige logfiler for at fastslå den faktiske skade på grund af et angreb.

Her er nogle af de mange use cases af UEBA.

Top 6 UEBA Use Cases

#1. UEBA registrerer misbrug af insider-privilegier, når brugere udfører risikable aktiviteter uden for den etablerede normale adfærd.

#2. UEBA fusionerer mistænkelig information fra forskellige kilder for at skabe en risikoscore for risikorangering.

#3. UEBA udfører hændelsesprioritering ved at reducere falske positiver. Det eliminerer alarmtræthed og gør det muligt for sikkerhedsteams at fokusere på højrisiko-advarsler.

#4. UEBA forhindrer datatab og dataeksfiltrering, fordi systemet sender advarsler, når det registrerer følsomme data, der flyttes inden for netværket eller overføres fra netværket.

#5. UEBA hjælper med at opdage sideværts bevægelse af hackere inden for netværket, som kan have stjålet medarbejders loginoplysninger.

#6. UEBA leverer også automatiske hændelsessvar, der gør det muligt for sikkerhedsteams at reagere på sikkerhedshændelser i realtid.

Hvordan UEBA forbedrer UBA og ældre sikkerhedssystemer som SIEM

UEBA erstatter ikke andre sikkerhedssystemer, men repræsenterer en væsentlig forbedring, der bruges sammen med andre løsninger til mere effektiv cybersikkerhed. UEBA adskiller sig fra brugeradfærdsanalyse (UBA) ved, at UEBA inkluderer “Entiteter” og “Begivenheder” såsom servere, routere og slutpunkter.

En UEBA-løsning er mere omfattende end UBA, fordi den overvåger ikke-menneskelige processer og maskinenheder for mere præcist at identificere trusler.

SIEM står for sikkerhedsinformation og event management. Traditionelt ældre SIEM er muligvis ikke i stand til at opdage sofistikerede trusler af sig selv, fordi det ikke er designet til at overvåge trusler i realtid. Og i betragtning af at hackere ofte undgår simple engangsangreb og i stedet engagerer sig i en kæde af sofistikerede angreb, kan de forblive uopdaget af traditionelle trusselsdetektionsværktøjer som SIEM i uger eller endda måneder.

  6 bedste Ubuntu-derivater at tjekke ud

En sofistikeret UEBA-løsning løser denne begrænsning. UEBA-systemer analyserer data lagret af SIEM og arbejder sammen om at overvåge trusler i realtid, så du kan reagere på brud hurtigt og ubesværet.

Ved at fusionere UEBA- og SIEM-værktøjer kan organisationer derfor være meget mere effektive til at opdage og analysere trusler, håndtere sårbarheder hurtigt og undgå angreb.

Bedste praksisser for bruger- og enhedsadfærdsanalyse

Her er fem bedste praksisser for brugeradfærdsanalyse, der giver indsigt i, hvad man kan gøre, når man bygger en baseline for brugeradfærd.

#1. Definer use cases

Definer de use cases, du ønsker, at din UEBA-løsning skal identificere. Disse kan være påvisning af privilegeret kontomisbrug, kompromittering af legitimationsoplysninger eller insidertrusler. At definere use cases hjælper dig med at bestemme, hvilke data der skal indsamles til overvågning.

#2. Definer datakilder

Jo flere datatyper dine UEBA-systemer kan håndtere, jo mere præcis bliver basislinjen. Nogle datakilder inkluderer systemlogfiler eller menneskelige ressourcedata, såsom medarbejders præstationshistorik.

#3. Definer adfærd om, hvilke data der skal indsamles

Dette kan omfatte medarbejderes arbejdstid, applikationer og enheder, de ofte får adgang til, og indtastningsrytmer. Med disse data på plads kan du bedre forstå mulige årsager til falske positiver.

#4. Indstil en varighed for etablering af basislinjen

Når du bestemmer varigheden af ​​din basisperiode, er det vigtigt at overveje sikkerhedsmålene for din virksomhed og brugernes aktiviteter.

Udgangsperioden bør ikke være for kort eller for lang. Dette skyldes, at du muligvis ikke er i stand til at indsamle de korrekte oplysninger, hvis du afslutter basislinjevarigheden for hurtigt, hvilket resulterer i en høj frekvens af falske positiver. På den anden side kan nogle ondsindede aktiviteter overføres som normalt, hvis du tager for lang tid om at indsamle basisoplysningerne.

#5. Opdater dine basisdata regelmæssigt

Du skal muligvis genopbygge dine basisdata regelmæssigt, fordi bruger- og enhedsaktiviteter ændrer sig hele tiden. En medarbejder kan blive forfremmet og ændre deres opgaver og projekter, niveau af privilegier og aktiviteter. UEBA-systemer kan automatisk indstilles til at indsamle data og justere basisdataene, når der sker ændringer.

Afsluttende ord

Efterhånden som vi bliver mere og mere afhængige af teknologi, bliver cybersikkerhedstrusler mere komplekse. En stor virksomhed skal sikre sine systemer, der indeholder følsomme data fra sine egne og sine kunder for at undgå omfattende sikkerhedsbrud. UEBA tilbyder et hændelsesresponssystem i realtid, der kan forhindre angreb.