Pochopení UEBA a její role v reakci na incidenty

autor:
Tweet
Share
Share
Pin

Narušení bezpečnosti je v digitálním světě stále častější. UEBA pomáhá organizacím detekovat a reagovat na tyto incidenty.

User and Entity Behavior Analytics (UEBA) byla dříve známá jako User Behavior Analytics (UBA). Jedná se o řešení kybernetické bezpečnosti, které využívá analýzy k pochopení toho, jak se uživatelé (lidé) a entity (síťová zařízení a servery) v organizaci obvykle chovají, aby detekovali anomální aktivity a reagovali na ně v reálném čase.

UEBA může identifikovat a upozornit bezpečnostní analytiky na rizikové varianty a podezřelé chování, které by mohlo naznačovat:

  • Boční pohyb
  • Zneužití privilegovaného účtu
  • Eskalace privilegií
  • Kompromis pověření popř
  • Zasvěcené hrozby

UEBA také dále posuzuje úroveň ohrožení a poskytuje rizikové skóre, které může pomoci stanovit vhodnou reakci.

Čtěte dále a zjistěte, jak UEBA funguje, proč organizace přecházejí na UEBA, hlavní součásti UEBA, roli UEBA v reakci na incidenty a osvědčené postupy UEBA.

Jak funguje analýza chování uživatelů a entit?

Analýza chování uživatelů a entit nejprve shromažďuje informace o očekávaném chování lidí a strojů ve vaší organizaci z datových úložišť, jako je datové jezero, datový sklad nebo prostřednictvím SIEM.

UEBA pak používá pokročilé analytické přístupy ke zpracování těchto informací, aby určila a dále definovala základní linii vzorců chování: odkud se zaměstnanec přihlašuje, úroveň jeho oprávnění, soubory, servery, ke kterým často přistupují, čas a frekvenci přístupu a zařízení, pro která se používají. přístup.

UEBA pak průběžně monitoruje aktivity uživatelů a entit, porovnává je se základním chováním a rozhoduje, jaké akce by mohly vyústit v útok.

UEBA může vědět, kdy uživatel provádí své běžné aktivity a kdy dochází k útoku. Ačkoli hacker může mít přístup k přihlašovacím údajům zaměstnance, nebude schopen napodobit jeho běžné aktivity a chování.

Řešení UEBA má tři hlavní součásti:

Analytika dat: UEBA shromažďuje a organizuje data uživatelů a subjektů, aby vytvořila standardní profil toho, jak každý uživatel obvykle jedná. Poté jsou formulovány a aplikovány statistické modely k detekci anomální aktivity a upozornění bezpečnostního týmu.

Integrace dat: Aby byl systém odolnější, porovnává UEBA data získaná z různých zdrojů – jako jsou systémové protokoly, data zachycování paketů a další datové sady – s daty shromážděnými ze stávajících bezpečnostních systémů.

  Zde je vše, co byste měli vědět

Prezentace dat: Proces, kterým systém UEBA sděluje svá zjištění a vhodnou reakci. Tento proces obvykle zahrnuje vydání požadavku pro bezpečnostní analytiky, aby prozkoumali neobvyklé chování.

Role UEBA v reakci na incidenty

Analýza chování uživatelů a entit využívá strojové učení a hluboké učení k monitorování a analýze obvyklého chování lidí a strojů ve vaší organizaci.

Pokud dojde k odchylce od běžného vzoru, systém UEBA ji detekuje a provede analýzu, která určí, zda neobvyklé chování představuje skutečnou hrozbu či nikoli.

K provedení této analýzy UEBA zpracovává data z různých zdrojů protokolů, jako je databáze, Windows AD, VPN, proxy, odznak, soubory a koncové body. Pomocí těchto vstupů a naučeného chování může UEBA sloučit informace do konečného skóre pro hodnocení rizik a odeslat podrobnou zprávu bezpečnostním analytikům.

Například UEBA se může poprvé podívat na zaměstnance přicházející přes VPN z Afriky. To, že je chování zaměstnance abnormální, ještě neznamená, že jde o hrozbu; uživatel může jednoduše cestovat. Pokud však tentýž zaměstnanec v oddělení lidských zdrojů náhle přistoupí k finanční podsíti, UEBA rozpozná aktivity zaměstnance jako podezřelé a upozorní bezpečnostní tým.

Zde je další podobný scénář.

Harry, zaměstnanec nemocnice Mount Sinai v New Yorku, zoufale touží po penězích. V tento konkrétní den Harry čeká, až všichni odejdou z ordinace, a poté v 19 hodin stáhne citlivé informace pacientů na USB zařízení. Ukradená data hodlá prodat na černém trhu za vysoký dolar.

Naštěstí Mount Sinai Hospital využívá řešení UEBA, které monitoruje chování každého uživatele a subjektu v nemocniční síti.

Přestože má Harry povolení k přístupu k informacím o pacientech, systém UEBA zvyšuje jeho rizikové skóre, když detekuje odchylku od jeho obvyklých činností, které obvykle zahrnují prohlížení, vytváření a úpravy záznamů o pacientech mezi 9:00 a 17:00.

Když se Harry pokusí získat přístup k informacím v 19 hodin, systém identifikuje nepravidelnosti vzoru a načasování a přiřadí skóre rizika.

Svůj systém UEBA můžete nastavit tak, aby jednoduše vytvořil výstrahu pro bezpečnostní tým, aby navrhl další vyšetřování, nebo jej můžete nastavit tak, aby provedl okamžitou akci, jako je automatické vypnutí síťového připojení pro daného zaměstnance kvůli podezření z kybernetického útoku.

Potřebuji řešení UEBA?

Řešení UEBA je pro organizace zásadní, protože hackeři provádějí sofistikovanější útoky, které je stále obtížnější odhalit. To platí zejména v případech, kdy hrozba přichází zevnitř.

  Jak odstranit stránku nebo mezery z Wordu

Podle nedávných statistik kybernetické bezpečnosti více než 34 % společností je celosvětově zasaženo hrozbami zevnitř. A navíc 85 % podniků tvrdí, že je obtížné vyčíslit skutečné náklady na útok zevnitř.

V důsledku toho se bezpečnostní týmy posouvají k novějším přístupům detekce a reakce na incidenty (IR). Aby vyvážili a posílili své bezpečnostní systémy, bezpečnostní analytici slučují technologie, jako je analýza chování uživatelů a entit (UEBA) s konvenčními SIEM a dalšími staršími systémy prevence.

UEBA vám poskytuje výkonnější systém detekce vnitřních hrozeb ve srovnání s jinými tradičními bezpečnostními řešeními. Sleduje nejen anomální lidské chování, ale i podezřelé boční pohyby. UEBA také sleduje aktivity na vašich cloudových službách, mobilních zařízeních a zařízeních internetu věcí.

Sofistikovaný systém UEBA zpracovává data ze všech různých zdrojů protokolů a vytváří podrobnou zprávu o útoku pro vaše bezpečnostní analytiky. To vašemu bezpečnostnímu týmu ušetří čas strávený procházením nesčetných protokolů k určení skutečného poškození způsobeného útokem.

Zde jsou některé z mnoha případů použití UEBA.

6 nejlepších případů použití UEBA

#1. UEBA detekuje zneužití vnitřních práv, když uživatelé provádějí rizikové aktivity mimo zavedené normální chování.

#2. UEBA spojuje podezřelé informace z různých zdrojů a vytváří skóre rizika pro hodnocení rizika.

#3. UEBA provádí prioritizaci incidentů snížením počtu falešných poplachů. Odstraňuje únavu z výstrah a umožňuje bezpečnostním týmům soustředit se na vysoce riziková upozornění.

#4. UEBA zabraňuje ztrátě dat a jejich exfiltraci, protože systém zasílá upozornění, když zjistí, že se citlivá data přesouvají v rámci sítě nebo přenášejí ze sítě.

#5. UEBA pomáhá detekovat boční pohyb hackerů v rámci sítě, kteří mohli ukrást přihlašovací údaje zaměstnanců.

#6. UEBA také poskytuje automatizované reakce na incidenty, což bezpečnostním týmům umožňuje reagovat na bezpečnostní incidenty v reálném čase.

Jak UEBA vylepšuje UBA a starší bezpečnostní systémy, jako je SIEM

UEBA nenahrazuje jiné bezpečnostní systémy, ale představuje významné vylepšení používané spolu s dalšími řešeními pro efektivnější kybernetickou bezpečnost. UEBA se liší od analýzy chování uživatelů (UBA) v tom, že UEBA zahrnuje „entity“ a „události“, jako jsou servery, směrovače a koncové body.

Řešení UEBA je komplexnější než UBA, protože monitoruje mimolidské procesy a strojové entity, aby přesněji identifikovalo hrozby.

SIEM je zkratka pro bezpečnostní informace a správu událostí. Tradiční starší SIEM nemusí být schopen detekovat sofistikované hrozby sám, protože není navržen tak, aby monitoroval hrozby v reálném čase. A vezmeme-li v úvahu, že hackeři se často vyhýbají jednoduchým jednorázovým útokům a místo toho se zapojují do řetězce sofistikovaných útoků, mohou být tradičními nástroji pro detekci hrozeb, jako je SIEM, několik týdnů nebo dokonce měsíců neodhaleni.

  Ne, VLC nemusíte odinstalovat

Toto omezení řeší sofistikované řešení UEBA. Systémy UEBA analyzují data uložená v SIEM a spolupracují na monitorování hrozeb v reálném čase, což vám umožňuje rychle a bez námahy reagovat na narušení.

Sloučením nástrojů UEBA a SIEM mohou být organizace mnohem efektivnější při detekci a analýze hrozeb, rychle řešit zranitelnosti a vyhýbat se útokům.

Doporučené postupy pro analýzu chování uživatelů a entit

Zde je pět osvědčených postupů pro analýzu chování uživatelů, které poskytují přehled o tom, co dělat při vytváření základní linie pro chování uživatelů.

#1. Definujte případy použití

Definujte případy použití, které má vaše řešení UEBA identifikovat. Může se jednat o detekci zneužití privilegovaného účtu, kompromitaci pověření nebo vnitřní hrozby. Definování případů použití vám pomůže určit, jaká data shromažďovat pro monitorování.

#2. Definujte zdroje dat

Čím více datových typů vaše systémy UEBA zvládnou, tím přesnější bude základní linie. Některé zdroje dat zahrnují systémové protokoly nebo data lidských zdrojů, jako je historie výkonu zaměstnanců.

#3. Definujte chování o tom, která data budou shromažďována

To může zahrnovat pracovní dobu zaměstnanců, aplikace a zařízení, ke kterým často přistupují, a rytmy psaní. S těmito daty můžete lépe porozumět možným důvodům falešně pozitivních výsledků.

#4. Nastavte dobu trvání pro stanovení základní linie

Při určování délky základního období je nezbytné vzít v úvahu bezpečnostní cíle vašeho podnikání a aktivity uživatelů.

Základní období by nemělo být příliš krátké ani příliš dlouhé. Je to proto, že nebudete schopni shromáždit správné informace, pokud ukončíte základní dobu trvání příliš rychle, což má za následek vysokou míru falešných poplachů. Na druhou stranu mohou být některé škodlivé aktivity předány jako obvykle, pokud shromažďování základních informací trvá příliš dlouho.

#5. Pravidelně aktualizujte základní data

Možná budete muset svá základní data pravidelně obnovovat, protože aktivity uživatelů a entit se neustále mění. Zaměstnanec může být povýšen a změnit své úkoly a projekty, úroveň privilegií a aktivit. Systémy UEBA lze automaticky nastavit tak, aby shromažďovaly data a upravovaly základní data, když dojde ke změnám.

Závěrečná slova

Jak se stále více spoléháme na technologie, kybernetické bezpečnostní hrozby jsou stále složitější. Velký podnik musí zabezpečit své systémy, které uchovávají citlivá data jeho vlastních a jeho klientů, aby se vyhnul rozsáhlým narušení bezpečnosti. UEBA nabízí systém reakce na incidenty v reálném čase, který dokáže zabránit útokům.