Co je UEBA (analytika chování uživatelů a entit)?
Existuje mnoho způsobů, jak udržet síť zabezpečenou. Nejlepší metody obvykle zahrnují softwarová řešení, která bojují se škodlivým kódem nebo hlídají pokusy o neoprávněný přístup zvenčí. Nicméně,Jedním z aspektů, který je často brán na lehkou váhu nebo dokonce ignorován, jsou útokyv rámcisíť – uživatelé za firewallem.
Tyto druhy útoků lze potlačit pomocí nástrojů UEBA.
No a co je UEBA?
Analýza chování uživatelů a entit (UEBA)je proces kybernetické bezpečnosti, kterýzahrnuje:
- Sledujeme údaje o běžném používání a chováníuživatelů a subjektů.
- Nastavení základní liniepomocí těchto údajů.
- Sledování jejich aktuálních aktivit v reálném čase za účelem zjištění jakýchkoli odchylekod základní čáry.
Tyto odchylky jsou pak analyzovány za účelem nalezení jakýchkoli náznaků škodlivé činnosti uživatele nebo subjektu.
UEBA využívá síťové události– obvykle velké datové sady uložené jako protokoly a auditní záznamy – k modelování typického a atypického chování uživatelů a zařízení v síti.
Proces využívástrojové učení,algoritmy,statistika, aanalýza signatur hrozebna minulých datech. Poté porovnává s aktuálními každodenními aktivitami uživatelů, které jsou následně klasifikovány jako „normální“ nebo potenciálně skutečné „hrozby“.
Jako příklad předpokládejme, že uživatel obvykle stáhne 15 MB dat každý den. Pokud by najednou začali stahovat gigabajty dat, bylo by to mimo normu a klasifikováno jako odchylka, která by vyžadovala pozornost.
Mezi některé činnosti, které lze pomocí této metody detekovat, patříkompromitované přihlašovací údaje,boční pohybya další škodlivé činnosti.
Kritický bod k pochopení zde by bylUEBA nesleduje bezpečnostní události ani nemonitoruje zařízení. Namísto,zaměřuje se na síťčinnostiuživatelů a zařízení při jejich podnikání. Proto lze říci, žeje to nástroj, který dohlíží na zasvěcené osoby – obvykle zaměstnance – kterým byly ukradeny přihlašovací údaje nebo se úmyslně zbláznili.Kromě toho se používá k zastavení majitelů účtů, kteří již mají přístupna síť a její připojená aktiva před prováděním cílených útoků nebo pokusů o podvod.Konečně také sleduje aplikace, zařízení a serveryaby bylo zajištěno, že je tito uživatelé se zlými úmysly nezneužívají.
Rozdíl mezi UBA a UEBA
Před UEBA jsme měliUBA – User Behavior Analytics. Tento proces se soustředil pouze na lidský aspekt; sledovalo uživatele a nic jiného.
Nyní,UEBA rozšiřuje UBA o entityjako směrovače, koncové body a servery. To vytvořilo robustnější bezpečnostní nástrojodhalit složité útoky korelací vstupů uživatele, zařízení a IP adresy.
Toto rozšíření se stalo nutností, když se zjistilo, že v případě hrozby mohou být entity použity také jako zdroje informací a pomáhají správcům přesně určit zdroje hrozeb.
To je dnes ještě důležitější, protože vidíme vzestup všech druhů připojených zařízení, která tvoří to, čemu nyní říkáme „Internet věcí“neboIoT. S rostoucím počtem těchto zařízení roste i počet potenciálních vstupních bodů útoku.
Jak funguje UEBA?
Proces UEBA zahrnuje připojení síťových aktivit ke konkrétním uživatelůmmísto hardwaru nebo jejich IP adres.
Zdrojem dat jsou obvykle obecná datová úložiště – jako jsou protokoly a auditní záznamy – které jsou uloženy datová jezera nebo datové sklady . Zdrojová data mohou také pocházet z bezpečnostních informací a správy událostí ( SIEM ) nástroje.
Poznámka: UEBA integruje informace do protokolů, zachycování paketů a podobných meziorganizačních datových sad, které jsou obvykle zachycovány nástroji SIEM. To je důvod, proč jsou UEBA a SIEM často implementovány společně.
Tento jedinečný přístup k monitorování chování lidí a entit vykresluje jasný obraz jakýchkoli neobvyklých aktivit, které si tradiční nástroje pro monitorování perimetru ani nemusí všimnout, natož označit. Navíc lze i ty nejmenší odchylky nakonfigurovat tak, aby spouštěly výstrahy o hrozbách, což správcům umožňuje posoudit, zda se skutečně jedná o včasnou indikaci hrozby.
Data použitá pro analýzu obsahují informace jako:
- Odkud se uživatel přihlašuje
- Soubory, aplikace a servery, které pravidelně používají
- Role a oprávnění, která jim byla přidělena
- Místo, frekvence a čas přístupu
- Konektivita nebo zařízení IoT použitá pro přístup
UEBA používá tyto vstupy k identifikaci útoků, které nejsou založeny na malwaru, k posouzení úrovní hrozeb, vytváření skóre rizik a rozhodování, zda by na ně měli být upozorněni správci. Tento nástroj je může dokonce pomoci nasměrovat k odpovídající reakci.
Pomocí těchto dat může UEBA chytit viníka, který například získal přístup k uživatelskému účtu, protože nebude schopen přesně napodobit aktivity svých obětí.
Jaký je rozsah UEBA? Nebo co může chránit?
Na rozdíl odútoky ze sítě organizace,UEBA může také monitorovat cloudová aktiva, která jsou zřizována dynamicky nebo ke kterým se přistupuje vzdáleně– něco, co by bylo obtížné provést pomocí tradičních bezpečnostních nástrojů, především pokud by byly implementovány lokálně v místní síti.
Na jaké atributy UEBA hledí?
Dobrý nástroj UEBA budesledovat několik atributůkteré mu pomohou rychle a přesně rozpoznat a upozornit na podezřelé aktivity.Kromě toho kombinace funkcí umožní inkluzivnější základní linii, která pokrývá více lidských vlastností,což ztíží oklamání.
Mezi základní atributy, které je třeba sledovat, patří:
- Sdělenízahrnuje sledování e-mailů, chatů a dat VoIP za účelem sledování lidí, se kterými uživatelé komunikují.
- Systém– jejich digitální stopy a jejich chování při připojení je cenným zdrojem informací, které lze extrahovat z koncových bodů, prohlížečů, sdílených souborů a zvyků přihlašování; tato data lze také odstranit ze SIEM.
- Lidské zdroje– motivaci za každou podezřelou aktivitou a důvod, proč se může jednat o zlý úmysl, lze získat z recenzí výkonu zaměstnanců HR a Active Directory (AD).
- Fyzický údaje o poloze– sledování fyzických pohybů v areálu může poskytnout cenné informace; to lze získat sledováním dat odznaků, míst přihlášení a historie cest.
Jak vidíme, spojení všech těchto datových sad může vykreslit jasný obrázek o uživateli, jeho aktivitách a – pokud je to možné – o jeho nekalých úmyslech.
Jak se vytváří základní linie?
Jedna otázka, kterou je zde třeba položit, je, jak postupovat při vytváření základní linie, která pomůže sledovat uživatele. Je třeba projít několika kroky:
- Definování případů použití– hned od začátku by mělo být jasné, co se bude sledovat. Příkladem může být odhalení uživatelů se zlými úmysly, ohrožené účty, známé bezpečnostní hrozby nebo kombinace všech.
- Definování zdrojů dat– zde se určuje původ dat, aby se vytvořily profily chování každého uživatele. Příklady zdrojů zahrnují protokoly, e-maily, platformy sociálních médií, zprávy o hodnocení lidských zdrojů, toky datových paketů v síti a SIEM.
- Definování chování ke sledování– řešení UEBA by mělo pokrývat co nejvíce atributů. V tomto bodě jsou popsány podrobnosti. Mohou to být pracovní hodiny, rychlost psaní, podnikové aplikace a přístupná data, navštívené webové stránky, dynamika myši a data mimo IT, jako jsou HR vstupy o úrovni spokojenosti zaměstnanců s prací.
- Definování základní doby založení– i když zaměstnanci obvykle jednají každý den stejně, vnější faktory, jako jsou výplatní dny, týdny uzavření rozpočtu nebo chřipková sezóna, mohou způsobit změny ve zvyku v pracovním dni. Tyto faktory je třeba vzít v úvahu a vyhnout se jim při plánování základního plánu. Sběr dat může trvat od týdne do 90 dnů, během kterých se UEBA „učí“ o uživatelích a stanoví základní linii. Správci by také měli mít dostatek času, aby se ujistili, že základní linie jsou skutečně rozumné.
- Definování zásad a poskytování školení– jakmile bude řešení UEBA připraveno k použití, měly by být implementovány bezpečnostní zásady a uživatelé o nich musí být informováni. V případě potřeby by mělo být poskytnuto školení, aby každý věděl, co a jak získat přístup k informacím, ke kterým má pouze oprávnění. Nakonec by měli být zapojeni všichni – HR, právní oddělení, správci, bezpečnostní týmy i samotní uživatelé.
- Zkušební období– každý systém by měl před zavedením do výroby projít zkušební dobou. Totéž platí pro UEBA. Během zkušební doby lze pozorovat a odstraňovat chyby a nesrovnalosti.
- Spuštění a sledování– jakmile je UEBA aktivní, je vyžadováno pečlivé sledování, aby bylo zajištěno, že všechny systémy fungují podle očekávání. Během prvních několika měsíců mohou být nutné úpravy a opravy. Celkově by měla být základní linie upravena tak, aby vyhovovala všem novým atributům zavedeným do organizace, jako jsou nové plány, upgrady bezpečnostních systémů a přesuny zaměstnanců.
Tři pilíře UEBA
Na základě informací, které jsme doposud viděli, můžeme nyní definovat tři pilíře UEBA. Tyto pilíře stanovíco dělá UEBA,jak to dělá, avýsledek.
Proto jsou podle společnosti Gartner řešení UEBA definována ve třech dimenzích:
- Případy užití– Řešení UEBA monitorují, odhalují a hlásí škodlivé aktivity uživatelů a subjektů v podnikové síti. Měly by také zůstat relevantní například při analýze monitorování důvěryhodného hostitele, odhalování podvodů a monitorování zaměstnanců.
- Zdroje dat– řešení UEBA by nemělo být nasazeno přímo v síti nebo dokonce v prostředí IT, aby bylo možné shromažďovat data. Místo toho by měl extrahovat data z datových úložišť, jako jsou datová jezera, datové sklady nebo prostřednictvím SIEM.
- Analytics– Řešení UEBA by měla detekovat anomálie pomocí různých analytických přístupů, které zahrnují strojové učení, pravidla, statistické modely, signatury hrozeb a další.
Jaké jsou výhody UEBA?
Nyní, když jsme definovali a viděli, co řešení UEBA dokáže, pojďme se podívat na výhody, které přináší:
- Je to především nástroj, který může pomoci zastavit mnoho zasvěcených kybernetických útokůjako jsou kompromitované účty, útoky hrubou silou, neoprávněné vytváření nových účtů a úniky dat.
- Pokrývá rozsah, který většina organizací obvykle ignoruje anelze sledovat tradičními nástroji, jako jsou antiviry nebo antimalwarová řešení – vnitřní hrozba.
- Nasazením UEBA se sníží počet bezpečnostních analytikůkteří potřebují udržovat firemní síť v bezpečí; tato řešení jsou automatická, fungují nepřetržitě a odesílají upozornění v reálném čase.
- Řešení UEBA může snížit rozpočet a režiipotřebné pro údržbu kybernetické bezpečnosti organizace.
- Lidské chybě způsobené tím, že správci musí ručně prosévat obrovské množství dat o aktivitě, lze předejít; analýzu a zmírnění hrozeb lze provádět během několika minut, v reálném čase a přesně.
- UEBA je jedinečný bezpečnostní přístup v tom, že zahrnuje přijetí více systémů a zdrojů data nevyhovující sledování předem definovaných korelačních pravidel nebo vzorců útoků;AI se neustále učí.
Má používání UEBA nějaké nevýhody?
Bylo by nespravedlivé říkat, že implementace UEBA nemá žádné nevýhody. A tak tady jsou:
- UEBA generuje data, která jsou složitějšínež průměrné, tradiční bezpečnostní řešení. Proto,vyžaduje to vyškoleného odborníkaimplementovat, provozovat a monitorovat systém. Analytika také vyžaduje učené oko, aby se zabránilo ukvapeným závěrům kvůli falešně pozitivním výsledkům.
- Přestože se jedná o bezpečnostní systém,nestačí chránit systém zcela sám o sobě. Pamatovat si,sleduje pouze chování lidí a entita nic víc. Některé organizace to mohou považovat za nedostatek, zvláště když zvažují potřebu dalšího bezpečnostního softwaru – ale není tomu tak. Není to určeno k zastavení útoků – pouze k upozornění na škodlivé interní uživatele.
Nejlepší postupy implementace UEBA
Zde je několik bodů, které je třeba vzít v úvahu, když usilujete o úspěšnou implementaci UEBA:
- Vždy zvažte hrozby ze sítě i mimo ni– všechny zásady, pravidla a základní linie by měly brát v úvahu uživatele, kteří se nacházejí kdekoli.
- Je třeba vzít v úvahu všechny účty– Pamatujte, že hackeři mohou vždy upgradovat svá oprávnění, aby zvýšili své možnosti přístupu.
- UEBA by měla být zaslána příslušným členům bezpečnostního týmu– například ne zpět k samotným uživatelům nebo jiným neoprávněným osobám.
- Jak jsme viděli výše, rozsah UEBA je omezený– správci by se neměli soustředit na ostatní tradiční bezpečnostní nástroje.
- Vyškolte všechny uživateleminimalizovat falešné poplachy nebo neúmyslné spouštěcí výstrahy.
- Taky,vyškolit bezpečnostní personálsprávně číst analýzy, aby nedošlo k unáhleným závěrům.
UEBA je nutnost
Na závěr musíme říci, že přijetí řešení UEBA je nutností v dnešním světě krádeží duševního vlastnictví, úniků technologií, hackování a narušení dat – vše se děje zevnitř. Vždy se říkalo, že uživatelé byli nejslabší článek v kybernetické bezpečnosti. Kombinací těchto informací se zaměstnanci, kteří mají nekalé úmysly, je snadné pochopit, proč potřebujeme tyto typy řešení.
Proto má smysl udržovat firemní data v bezpečí pomocí řešení UEBA. Co dělatvymyslet si? Dej nám vědět; zanechte nám komentář.