A biztonság megsértése egyre gyakoribb a digitális világban. Az UEBA segít a szervezeteknek észlelni és reagálni ezekre az incidensekre.
A Felhasználói és entitási viselkedéselemzés (UEBA) korábban User Behavior Analytics (UBA) néven volt ismert. Ez egy kiberbiztonsági megoldás, amely elemzéseket használ annak megértésére, hogy egy szervezet felhasználói (emberek) és entitásai (hálózatba kapcsolt eszközök és szerverek) általában hogyan viselkednek a rendellenes tevékenységek valós idejű észlelése és reagálása érdekében.
Az UEBA képes azonosítani és figyelmeztetni a biztonsági elemzőket azokra a kockázatos változatokra és gyanús viselkedésekre, amelyek a következőkre utalhatnak:
- Oldalirányú mozgás
- Kiváltságos fiókkal való visszaélés
- A privilégiumok eszkalációja
- Hitelesítési kompromisszum ill
- Bennfentes fenyegetés
Az UEBA tovább méri a fenyegetettségi szintet, és kockázati pontszámot ad, amely segíthet a megfelelő válaszadás meghatározásában.
Olvasson tovább, ha megtudhatja, hogyan működik az UEBA, miért térnek át a szervezetek az UEBA-ra, az UEBA fő összetevőiről, az UEBA szerepéről az incidensek reagálásában és az UEBA bevált gyakorlatairól.
Tartalomjegyzék
Hogyan működik a Felhasználói és entitási viselkedéselemzés?
A felhasználók és entitások viselkedésének elemzése először adattárakból, például egy adattóból, egy adattárházból vagy a SIEM-en keresztül gyűjt információkat a szervezetben lévő emberek és gépek várható viselkedéséről.
Az UEBA ezután fejlett analitikai megközelítéseket használ ezen információk feldolgozására, hogy meghatározza és tovább definiálja a viselkedési minták alapvonalát: honnan jelentkezik be az alkalmazott, jogosultsági szintje, fájlok, szerverek, amelyekhez gyakran hozzáfér, a hozzáférés ideje és gyakorisága, valamint az általa használt eszközök. hozzáférés.
Az UEBA ezután folyamatosan figyeli a felhasználók és entitások tevékenységeit, összehasonlítja azokat az alapszintű viselkedéssel, és eldönti, hogy milyen műveletek vezethetnek támadáshoz.
Az UEBA tudja, hogy a felhasználó mikor végzi szokásos tevékenységét, és mikor történik támadás. Bár a hacker hozzáférhet egy alkalmazott bejelentkezési adataihoz, nem tudja utánozni szokásos tevékenységeit és viselkedését.
Az UEBA-megoldás három fő összetevőből áll:
Adatelemzés: Az UEBA összegyűjti és rendszerezi a felhasználók és entitások adatait, hogy szabványos profilt készítsen az egyes felhasználók jellemző viselkedéséről. A rendszer ezután statisztikai modelleket fogalmaz meg és alkalmaz a rendellenes tevékenység észlelésére és a biztonsági csapat figyelmeztetésére.
Adatintegráció: A rendszer rugalmasabbá tétele érdekében az UEBA összehasonlítja a különböző forrásokból származó adatokat – például rendszernaplókat, csomagrögzítési adatokat és egyéb adatkészleteket – a meglévő biztonsági rendszerekből gyűjtött adatokkal.
Adatok bemutatása: Az a folyamat, amelyen keresztül az UEBA rendszer közli megállapításait és a megfelelő választ. Ez a folyamat általában azt jelenti, hogy a biztonsági elemzőket kérik a szokatlan viselkedés kivizsgálására.
Az UEBA szerepe az incidensek reagálásában
A felhasználók és entitások viselkedésének elemzése gépi tanulást és mély tanulást használ az emberek és gépek szokásos viselkedésének figyelésére és elemzésére a szervezetben.
Ha eltérés tapasztalható a szokásos mintától, az UEBA rendszer észleli, és elemzést végez, amely megállapítja, hogy a szokatlan viselkedés valós veszélyt jelent-e vagy sem.
Az UEBA különböző naplóforrásokból, például adatbázisból, Windows AD-ből, VPN-ből, proxyból, jelvényből, fájlokból és végpontokból származó adatokat fogad be az elemzés elvégzéséhez. Ezeket a bemeneteket és a tanult viselkedést felhasználva az UEBA összeolvaszthatja az információkat a kockázati rangsor végső pontszámával, és részletes jelentést küldhet a biztonsági elemzőknek.
Például az UEBA először nézhet meg egy alkalmazottat, aki VPN-en keresztül érkezik Afrikából. Csak azért, mert az alkalmazott viselkedése rendellenes, még nem jelenti azt, hogy fenyegetés; lehet, hogy a felhasználó egyszerűen utazik. Ha azonban a humánerőforrás osztály ugyanazon alkalmazottja hirtelen hozzáfér a pénzügyi alhálózathoz, az UEBA gyanúsnak ismeri fel az alkalmazott tevékenységét, és figyelmezteti a biztonsági csapatot.
Íme egy másik hasonló forgatókönyv.
Harry, a New York-i Mount Sinai kórház alkalmazottja kétségbeesetten keresi a pénzt. Ezen a bizonyos napon Harry megvárja, amíg mindenki elhagyja az irodát, majd este 7 órakor letölti a betegek érzékeny adatait egy USB-eszközre. Az ellopott adatokat magas dollárért kívánja eladni a feketepiacon.
Szerencsére a Mount Sinai Hospital egy UEBA-megoldást használ, amely figyeli a kórházi hálózaton belül minden felhasználó és entitás viselkedését.
Noha Harrynek van engedélye a betegadatokhoz való hozzáférésre, az UEBA-rendszer növeli a kockázati pontszámát, ha eltérést észlel a szokásos tevékenységeitől, amelyek általában reggel 9 és délután 5 óra között a betegrekordok megtekintését, létrehozását és szerkesztését foglalják magukban.
Amikor Harry 19 órakor megpróbál hozzáférni az információhoz, a rendszer azonosítja a minta és az időzítés szabálytalanságait, és kockázati pontszámot rendel hozzá.
Beállíthatja UEBA-rendszerét úgy, hogy egyszerűen riasztást hozzon létre a biztonsági csapat számára, hogy további vizsgálatot javasoljon, vagy beállíthatja, hogy azonnali lépéseket tegyen, például automatikusan leállítsa az adott alkalmazott hálózati kapcsolatát a feltételezett kibertámadás miatt.
Szükségem van UEBA megoldásra?
Az UEBA-megoldás elengedhetetlen a szervezetek számára, mert a hackerek egyre kifinomultabb támadásokat hajtanak végre, amelyeket egyre nehezebb észlelni. Ez különösen igaz azokra az esetekre, amikor a fenyegetés belülről érkezik.
A legújabb kiberbiztonsági statisztikák szerint több mint 34% vállalatokat érintik a bennfentes fenyegetések világszerte. Ráadásul a vállalkozások 85%-a szerint nehéz számszerűsíteni egy bennfentes támadás tényleges költségét.
Ennek eredményeként a biztonsági csapatok az újabb észlelési és incidensreagálási (IR) megközelítések felé mozdulnak el. Biztonsági rendszereik kiegyensúlyozása és fokozása érdekében a biztonsági elemzők olyan technológiákat egyesítenek, mint a felhasználói és entitási viselkedéselemzés (UEBA) a hagyományos SIEM-ekkel és más örökölt megelőzési rendszerekkel.
Az UEBA a többi hagyományos biztonsági megoldáshoz képest erősebb bennfentes fenyegetésészlelő rendszert kínál. Nemcsak a rendellenes emberi viselkedést figyeli, hanem a gyanús oldalirányú mozgásokat is. Az UEBA emellett nyomon követi a felhőszolgáltatásokon, a mobileszközökön és a dolgok internetes eszközein végzett tevékenységeket.
Egy kifinomult UEBA-rendszer az összes különböző naplóforrásból feldolgozza az adatokat, és részletes jelentést készít a támadásról a biztonsági elemzők számára. Ezzel megspórolja a biztonsági csapatnak azt az időt, amelyet számtalan napló áttekintésével tölt, hogy megállapítsa a támadás által okozott tényleges károkat.
Íme néhány az UEBA számos felhasználási esete közül.
A 6 legjobb UEBA használati eset
#1. Az UEBA észleli a bennfentes jogosultságokkal való visszaélést, ha a felhasználók kockázatos tevékenységeket hajtanak végre a megállapított normál viselkedésen kívül.
#2. Az UEBA egyesíti a különböző forrásokból származó gyanús információkat, hogy kockázati pontszámot hozzon létre a kockázati rangsorhoz.
#3. Az UEBA az incidensek priorizálását a hamis pozitívumok csökkentésével végzi. Megszünteti a riasztások fáradtságát, és lehetővé teszi a biztonsági csapatok számára, hogy a magas kockázatú riasztásokra összpontosítsanak.
#4. Az UEBA megakadályozza az adatvesztést és az adatok kiszűrését, mivel a rendszer riasztást küld, ha érzékeny adatokat észlel a hálózaton belül vagy a hálózaton kívülről.
#5. Az UEBA segít észlelni a hálózaton belüli hackerek oldalirányú mozgását, akik ellophatták az alkalmazottak bejelentkezési adatait.
#6. Az UEBA automatizált incidensválaszokat is biztosít, lehetővé téve a biztonsági csapatok számára, hogy valós időben reagáljanak a biztonsági incidensekre.
Hogyan fejleszti az UEBA az UBA-t és a régi biztonsági rendszereket, például a SIEM-et
Az UEBA nem helyettesít más biztonsági rendszereket, de jelentős előrelépést jelent más megoldások mellett a hatékonyabb kiberbiztonság érdekében. Az UEBA abban különbözik a felhasználói viselkedéselemzéstől (UBA), hogy az UEBA magában foglalja az „Entitásokat” és az „Eseményeket”, például a szervereket, útválasztókat és végpontokat.
Az UEBA-megoldás átfogóbb, mint az UBA, mert figyeli a nem emberi folyamatokat és a gépi entitásokat a fenyegetések pontosabb azonosítása érdekében.
A SIEM a biztonsági információk és az eseménykezelés rövidítése. Előfordulhat, hogy a hagyományos, örökölt SIEM nem képes önmagában észlelni a kifinomult fenyegetéseket, mert nem arra tervezték, hogy valós időben figyelje a fenyegetéseket. És figyelembe véve, hogy a hackerek gyakran elkerülik az egyszeri támadásokat, és ehelyett kifinomult támadások láncolatában vesznek részt, a hagyományos fenyegetésészlelő eszközök, például a SIEM, hetekig vagy akár hónapokig is észrevétlen maradhatnak.
Egy kifinomult UEBA-megoldás orvosolja ezt a korlátot. Az UEBA-rendszerek elemzik a SIEM által tárolt adatokat, és együtt dolgoznak a fenyegetések valós idejű nyomon követése érdekében, lehetővé téve az incidensek gyors és könnyed reagálását.
Ezért az UEBA és a SIEM eszközök egyesítésével a szervezetek sokkal hatékonyabban észlelhetik és elemzik a fenyegetéseket, gyorsan kezelhetik a sebezhetőségeket, és elkerülhetik a támadásokat.
Felhasználói és entitási viselkedéselemzési bevált módszerek
Íme öt bevált gyakorlat a felhasználói viselkedés elemzéséhez, amelyek betekintést nyújtanak a felhasználói viselkedés alapvonalának kialakításához szükséges tennivalókba.
#1. Határozza meg a használati eseteket
Határozza meg azokat a használati eseteket, amelyeket az UEBA-megoldásnak azonosítani szeretne. Ezek lehetnek a privilegizált fiókkal való visszaélések, a hitelesítő adatokkal való visszaélések vagy a bennfentes fenyegetések észlelése. A használati esetek meghatározása segít meghatározni, hogy milyen adatokat kell gyűjteni a megfigyeléshez.
#2. Határozza meg az adatforrásokat
Minél több adattípust tudnak kezelni az UEBA-rendszerek, annál pontosabb lesz az alapvonal. Egyes adatforrások rendszernaplókat vagy emberi erőforrás-adatokat tartalmaznak, például az alkalmazottak teljesítményének előzményeit.
#3. Határozza meg azokat a viselkedéseket, amelyekkel kapcsolatban adatokat gyűjtenek
Ez magában foglalhatja az alkalmazottak munkaidejét, az általuk gyakran használt alkalmazásokat és eszközöket, valamint a gépelési ritmusokat. Ezen adatok birtokában jobban megértheti a hamis pozitív eredmények lehetséges okait.
#4. Állítson be egy időtartamot az alapvonal megállapításához
A kiindulási időszak időtartamának meghatározásakor elengedhetetlen, hogy vegye figyelembe vállalkozása biztonsági céljait és a felhasználók tevékenységét.
Az alapozási időszak nem lehet túl rövid vagy túl hosszú. Ez azért van így, mert előfordulhat, hogy nem tudja összegyűjteni a megfelelő információkat, ha túl gyorsan fejezi be az alapidőtartamot, ami a hamis pozitív eredmények magas arányát eredményezi. Másrészt előfordulhat, hogy néhány rosszindulatú tevékenység a szokásos módon továbbadható, ha túl sokáig tart az alapinformációk összegyűjtése.
#5. Rendszeresen frissítse alapadatait
Előfordulhat, hogy rendszeresen újra kell építenie az alapadatokat, mert a felhasználói és entitási tevékenységek folyamatosan változnak. Egy alkalmazott előléptethet, és megváltoztathatja feladatait és projektjeit, kiváltságainak szintjét és tevékenységeit. Az UEBA-rendszerek automatikusan beállíthatók adatok gyűjtésére és az alapadatok módosítására, amikor változások történnek.
Végső szavak
Ahogy egyre inkább támaszkodunk a technológiára, a kiberbiztonsági fenyegetések egyre összetettebbé válnak. Egy nagyvállalatnak biztonságossá kell tennie saját és ügyfelei érzékeny adatait tároló rendszereit, hogy elkerülje a nagyszabású biztonsági megsértéseket. Az UEBA valós idejű incidensreagáló rendszert kínál, amely képes megelőzni a támadásokat.