Пробивите в сигурността стават все по-чести в дигиталния свят. UEBA помага на организациите да открият и реагират на тези инциденти.
Анализът на поведението на потребителите и субектите (UEBA) беше известен преди като Анализ на поведението на потребителите (UBA). Това е решение за киберсигурност, което използва анализи, за да разбере как обикновено се държат потребителите (хора) и субектите (мрежови устройства и сървъри) в една организация, за да открият и реагират на аномална дейност в реално време.
UEBA може да идентифицира и предупреди анализаторите по сигурността за рискови вариации и подозрително поведение, които биха могли да показват:
- Странично движение
- Злоупотреба с привилегирован акаунт
- Ескалация на привилегии
- Компромис на идентификационни данни или
- Вътрешни заплахи
UEBA също така допълнително оценява нивото на заплаха и предоставя оценка на риска, която може да помогне за установяване на подходящ отговор.
Прочетете, за да научите как работи UEBA, защо организациите преминават към UEBA, основните компоненти на UEBA, ролята на UEBA в реакцията при инциденти и най-добрите практики на UEBA.
Съдържание
Как работи анализът на поведението на потребителите и субектите?
Анализите на поведението на потребителите и субектите първо събират информация за очакваното поведение на хората и машините във вашата организация от хранилища на данни като езеро с данни, склад за данни или чрез SIEM.
След това UEBA използва усъвършенствани подходи за анализ, за да обработи тази информация, за да определи и допълнително дефинира базова линия на моделите на поведение: откъде служителят влиза, нивото на техните привилегии, файлове, сървъри, до които често има достъп, време и честота на достъп и устройства, които използва за достъп.
След това UEBA непрекъснато наблюдава дейностите на потребителите и субектите, сравнява ги с базовото поведение и решава какви действия могат да доведат до атака.
UEBA може да знае кога даден потребител извършва нормалните си дейности и кога се случва атака. Въпреки че хакер може да има достъп до данните за вход на служител, той няма да може да имитира обичайните им дейности и поведение.
Решението на UEBA има три основни компонента:
Анализ на данни: UEBA събира и организира данни на потребители и субекти, за да изгради стандартен профил за това как всеки потребител действа типично. След това се формулират и прилагат статистически модели за откриване на аномална дейност и предупреждаване на екипа по сигурността.
Интегриране на данни: За да направи системата по-устойчива, UEBA сравнява данните, получени от различни източници – като системни регистрационни файлове, данни за улавяне на пакети и други набори от данни – с данни, събрани от съществуващи системи за сигурност.
Представяне на данни: Процес, чрез който системата на UEBA съобщава своите констатации и подходящия отговор. Този процес обикновено включва издаване на заявка към анализаторите по сигурността да разследват необичайно поведение.
Ролята на УЕБА в реакцията при инциденти
Анализите на поведението на потребителите и субектите използват машинно обучение и дълбоко обучение, за да наблюдават и анализират обичайното поведение на хората и машините във вашата организация.
Ако има отклонение от обичайния модел, системата на UEBA го открива и извършва анализ, който определя дали необичайното поведение представлява реална заплаха или не.
UEBA поглъща данни от различни източници на регистрационни файлове, като база данни, Windows AD, VPN, прокси, значка, файлове и крайни точки, за да извърши този анализ. Използвайки тези данни и научено поведение, UEBA може да обедини информацията, за да състави окончателен резултат за класиране на риска и да изпрати подробен доклад до анализаторите по сигурността.
Например UEBA може да погледне служител, идващ през VPN от Африка за първи път. Това, че поведението на служителя е необичайно, не означава, че е заплаха; потребителят може просто да пътува. Въпреки това, ако същият служител в отдела за човешки ресурси внезапно получи достъп до финансовата подмрежа, UEBA ще разпознае дейностите на служителя като подозрителни и ще предупреди екипа по сигурността.
Ето още един сравним сценарий.
Хари, служител в болница Маунт Синай в Ню Йорк, отчаяно се нуждае от пари. В този конкретен ден Хари изчаква всички да напуснат кабинета, след което изтегля поверителна информация на пациентите на USB устройство в 19 часа. Той възнамерява да продаде откраднатите данни на черния пазар за висок долар.
За щастие болницата Mount Sinai използва решение на UEBA, което следи поведението на всеки потребител и субект в болничната мрежа.
Въпреки че Хари има разрешение за достъп до информация за пациента, системата на UEBA увеличава неговия рисков резултат, когато открие отклонение от обичайните му дейности, които обикновено включват преглед, създаване и редактиране на досиета на пациенти между 9 сутринта и 5 следобед.
Когато Хари се опита да получи достъп до информацията в 19 часа, системата идентифицира нередности в модела и времето и присвоява оценка на риска.
Можете да настроите вашата система UEBA просто да създава предупреждение за екипа по сигурността, за да предложи по-нататъшно разследване, или можете да я настроите да предприема незабавни действия като автоматично изключване на мрежовата свързаност за този служител поради предполагаема кибератака.
Имам ли нужда от решение на UEBA?
Решението на UEBA е от съществено значение за организациите, тъй като хакерите извършват по-сложни атаки, които стават все по-трудни за откриване. Това е особено вярно в случаите, когато заплахата идва отвътре.
Според последните статистически данни за киберсигурността, повече от 34% от компаниите са засегнати от вътрешни заплахи по целия свят. И в допълнение, 85% от фирмите казват, че е трудно да се определи количествено действителната цена на вътрешна атака.
В резултат на това екипите по сигурността се насочват към по-нови подходи за откриване и реакция при инциденти (IR). За да балансират и подобрят своите системи за сигурност, анализаторите по сигурността обединяват технологии като анализ на поведението на потребителите и обектите (UEBA) с конвенционалните SIEM и други наследени системи за предотвратяване.
UEBA ви предоставя по-мощна система за откриване на вътрешни заплахи в сравнение с други традиционни решения за сигурност. Той следи не само аномалното човешко поведение, но и подозрителните странични движения. UEBA също така проследява дейностите във вашите облачни услуги, мобилни устройства и устройства за Интернет на нещата.
Усъвършенствана система на UEBA поглъща данни от всички различни източници на регистрационни файлове и изгражда подробен отчет за атаката за вашите анализатори по сигурността. Това спестява на вашия екип по сигурността времето, прекарано в безброй регистрационни файлове, за да се определи действителната щета, дължаща се на атака.
Ето някои от многото случаи на използване на UEBA.
Топ 6 на УЕБА случая на употреба
#1. UEBA открива злоупотреба с вътрешни привилегии, когато потребителите извършват рискови дейности извън установеното нормално поведение.
#2. UEBA обединява подозрителна информация от различни източници, за да създаде оценка на риска за класиране на риска.
#3. UEBA извършва приоритизиране на инциденти чрез намаляване на фалшивите положителни резултати. Той елиминира умората от предупреждения и дава възможност на екипите по сигурността да се съсредоточат върху високорискови предупреждения.
#4. UEBA предотвратява загуба на данни и ексфилтрация на данни, тъй като системата изпраща предупреждения, когато открие чувствителни данни, които се преместват в мрежата или се прехвърлят извън мрежата.
#5. UEBA помага за откриване на странично движение на хакери в мрежата, които може да са откраднали идентификационните данни за вход на служители.
#6. UEBA също така предоставя автоматизирани реакции при инциденти, което позволява на екипите по сигурността да реагират на инциденти в реално време.
Как UEBA подобрява UBA и наследените системи за сигурност като SIEM
UEBA не замества други системи за сигурност, но представлява значително подобрение, използвано заедно с други решения за по-ефективна киберсигурност. UEBA се различава от анализа на потребителското поведение (UBA) по това, че UEBA включва „Обекти“ и „Събития“, като сървъри, рутери и крайни точки.
Решението на UEBA е по-всеобхватно от UBA, защото наблюдава нечовешки процеси и машинни единици, за да идентифицира по-точно заплахите.
SIEM означава информация за сигурността и управление на събития. Традиционният наследен SIEM може да не е в състояние сам да открива сложни заплахи, защото не е проектиран да наблюдава заплахи в реално време. И като се има предвид, че хакерите често избягват прости еднократни атаки и вместо това участват във верига от сложни атаки, те могат да останат незабелязани от традиционните инструменти за откриване на заплахи като SIEM в продължение на седмици или дори месеци.
Едно усъвършенствано решение на UEBA се справя с това ограничение. Системите на UEBA анализират данните, съхранявани от SIEM, и работят заедно, за да наблюдават заплахите в реално време, което ви позволява да реагирате на пробиви бързо и без усилия.
Следователно, чрез обединяване на инструментите на UEBA и SIEM, организациите могат да бъдат много по-ефективни при откриване и анализ на заплахи, бързо адресиране на уязвимости и избягване на атаки.
Най-добри практики за анализ на поведението на потребителите и субектите
Ето пет най-добри практики за анализ на потребителското поведение, които дават представа за нещата, които трябва да се направят, когато се изгражда базова линия за потребителското поведение.
#1. Определете случаи на употреба
Определете случаите на употреба, които искате вашето решение на UEBA да идентифицира. Те могат да бъдат откриване на злоупотреба с привилегирован акаунт, компрометиране на идентификационни данни или вътрешни заплахи. Дефинирането на случаи на употреба ви помага да определите какви данни да събирате за наблюдение.
#2. Дефинирайте източници на данни
Колкото повече типове данни могат да обработват вашите UEBA системи, толкова по-прецизно ще бъде изходното ниво. Някои източници на данни включват системни регистрационни файлове или данни за човешки ресурси, като например история на работата на служителите.
#3. Определете поведения за това кои данни ще се събират
Това може да включва работното време на служителя, приложенията и устройствата, до които често имат достъп, и ритъма на писане. С тези данни можете да разберете по-добре възможните причини за фалшиви положителни резултати.
#4. Задайте продължителност за установяване на базовата линия
Когато определяте продължителността на вашия базов период, важно е да вземете предвид целите за сигурност на вашия бизнес и дейностите на потребителите.
Базовият период не трябва да бъде твърде кратък или твърде дълъг. Това е така, защото може да не успеете да съберете правилната информация, ако приключите базовата продължителност твърде бързо, което води до висок процент на фалшиви положителни резултати. От друга страна, някои злонамерени дейности може да бъдат приети като нормални, ако събирането на базовата информация отнема твърде много време.
#5. Редовно актуализирайте базовите си данни
Може да се наложи редовно да възстановявате базовите си данни, тъй като дейностите на потребителите и обектите се променят през цялото време. Един служител може да бъде повишен и да промени своите задачи и проекти, ниво на привилегия и дейности. Системите на UEBA могат да бъдат автоматично настроени да събират данни и да коригират базовите данни, когато настъпят промени.
Заключителни думи
Тъй като ставаме все по-зависими от технологиите, заплахите за киберсигурността стават все по-сложни. Едно голямо предприятие трябва да защити своите системи, които съхраняват чувствителни данни за него и за неговите клиенти, за да избегне широкомащабни пробиви в сигурността. UEBA предлага система за реакция при инциденти в реално време, която може да предотврати атаки.