Säkerhetsöverträdelser blir allt vanligare i den digitala världen. UEBA underlättar för organisationer att identifiera och hantera dessa incidenter på ett effektivt sätt.
User and Entity Behavior Analytics (UEBA), tidigare känd som User Behavior Analytics (UBA), är en cybersäkerhetsmetod. Denna metodik nyttjar avancerad analys för att skapa en djup förståelse för normalt beteende hos användare (individer) och entiteter (nätverksenheter och servrar) inom en organisation. Målet är att i realtid upptäcka och svara på avvikande aktiviteter.
UEBA är kapabel att identifiera och informera säkerhetsanalytiker om riskfyllda avvikelser och misstänkt beteende, vilket kan tyda på:
- Horisontell förflyttning
- Missbruk av privilegierade konton
- Eskalering av privilegier
- Komprometterade inloggningsuppgifter eller
- Interna hot
UEBA analyserar även hotens allvarlighetsgrad och tilldelar en riskpoäng, vilket underlättar beslut om lämpliga motåtgärder.
Fortsätt läsa för att lära dig mer om hur UEBA fungerar, skälen bakom organisationers övergång till UEBA, dess centrala komponenter, dess roll i incidenthantering samt bästa praxis för UEBA.
Hur fungerar analys av användar- och enhetsbeteende?
Analys av användar- och enhetsbeteende inleds med insamling av data om förväntat beteende hos individer och maskiner i din organisation. Denna data inhämtas från datalager som en datasjö, ett datalager eller via ett SIEM-system.
UEBA använder sedan sofistikerade analysmetoder för att bearbeta denna data. Syftet är att etablera och finjustera en baslinje för beteendemönster. Denna baslinje inkluderar information om var en anställd loggar in ifrån, deras behörighetsnivå, filer och servrar de frekvent använder, tidpunkter och frekvens för åtkomst, samt de enheter de använder för inloggning.
UEBA övervakar sedan kontinuerligt användar- och enhetsaktiviteter och jämför dem med den fastställda baslinjen. Systemet avgör vilka handlingar som kan indikera en potentiell attack.
UEBA kan skilja mellan normala användaraktiviteter och pågående attacker. Även om en angripare får tillgång till en anställds inloggningsuppgifter, kommer de inte kunna efterlikna den anställdes etablerade vanor och beteenden.
En UEBA-lösning består av tre huvudkomponenter:
Dataanalys: UEBA samlar in och strukturerar data från användare och enheter för att skapa en standardprofil av varje användares normala beteende. Statistiska modeller utvecklas sedan och används för att identifiera avvikande aktiviteter och larma säkerhetsteamet.
Dataintegration: För att öka systemets robusthet jämför UEBA data från olika källor – som systemloggar, paketinsamlingsdata och andra datamängder – med information från befintliga säkerhetssystem.
Datapresentation: Detta är processen genom vilken UEBA-systemet förmedlar sina resultat och rekommenderade åtgärder. Denna process involverar vanligtvis att skicka en begäran till säkerhetsanalytikerna om att granska onormalt beteende.
UEBA:s roll i incidenthantering
Analys av användar- och enhetsbeteende utnyttjar maskininlärning och djupinlärning för att övervaka och analysera de vanliga beteenden hos både människor och maskiner inom organisationen.
Om en avvikelse från det normala mönstret upptäcks, genomför UEBA-systemet en analys för att bedöma om detta avvikande beteende utgör ett verkligt hot.
UEBA samlar in data från en mängd olika loggkällor, som databaser, Windows AD, VPN, proxy, brandväggar, filserver och slutpunkter för att genomföra denna analys. Med hjälp av den inhämtade datan och den lärda beteendemodellen, sammanställer UEBA informationen för att ge ett slutgiltigt riskpoäng och skickar en detaljerad rapport till säkerhetsanalytikerna.
Som exempel kan UEBA uppmärksamma en anställd som loggar in via VPN från Afrika för första gången. Bara för att beteendet är avvikande betyder det inte att det är ett hot; personen kan vara på resa. Men om samma anställde, som arbetar på personalavdelningen, plötsligt försöker få tillgång till ekonomisystemet, skulle UEBA identifiera detta som misstänkt och larma säkerhetsteamet.
Här är ett annat exempel:
Harry, som jobbar på Mount Sinai Hospital i New York, är i akut behov av pengar. En dag, när alla andra har lämnat kontoret, laddar Harry ner känslig patientinformation till en USB-enhet vid klockan 19:00. Han planerar att sälja informationen på den svarta marknaden.
Mount Sinai Hospital använder lyckligtvis en UEBA-lösning som övervakar alla användare och enheter inom sjukhusnätverket.
Även om Harry har behörighet att komma åt patientinformation, ökar UEBA-systemet hans riskpoäng när det noterar en avvikelse från hans vanliga aktiviteter, som vanligtvis involverar att granska, skapa och redigera patientjournaler mellan klockan 09:00 och 17:00.
När Harry försöker komma åt informationen klockan 19:00 identifierar systemet oregelbundenheter i tidpunkten och tilldelar en riskpoäng.
Du kan konfigurera ditt UEBA-system att antingen generera en varning för säkerhetsteamet för vidare granskning, eller att omedelbart vidta åtgärder, som att automatiskt stänga av den anställdes nätverksanslutning, på grund av den misstänkta cyberattacken.
Är en UEBA-lösning nödvändig?
En UEBA-lösning är avgörande för organisationer eftersom hackare använder allt mer sofistikerade attacker som blir svårare att identifiera, särskilt i de fall där hotet kommer från insidan.
Enligt den senaste cybersäkerhetsstatistiken påverkas mer än 34 % av företagen av interna hot globalt. Dessutom uppger 85 % av företagen att det är svårt att uppskatta den faktiska kostnaden för en intern attack.
Som en följd av detta går säkerhetsteamen över till modernare metoder för upptäckt och incidenthantering. Säkerhetsanalytiker kombinerar tekniker som User and Entity Behavior Analytics (UEBA) med traditionella SIEM-system och andra äldre förebyggande system för att balansera och förstärka sina säkerhetsåtgärder.
UEBA erbjuder ett mer avancerat system för att identifiera interna hot jämfört med traditionella säkerhetslösningar. Systemet övervakar inte bara avvikande mänskligt beteende utan även potentiella sidorörelser. UEBA övervakar även aktiviteter på molntjänster, mobila enheter och Internet of Things (IoT)-enheter.
Ett avancerat UEBA-system hämtar in data från alla olika loggkällor och sammanställer en detaljerad rapport om en attack till säkerhetsanalytikerna. Detta sparar tid för säkerhetsteamet som annars skulle behöva granska ett stort antal loggar för att fastställa den faktiska skadan av en attack.
Här följer några exempel på hur UEBA kan användas:
Sex huvudsakliga användningsområden för UEBA
#1. UEBA identifierar missbruk av interna privilegier när användare utför riskabla aktiviteter som ligger utanför det normala beteendet.
#2. UEBA samlar in misstänkt information från olika källor för att generera ett riskpoäng för riskvärdering.
#3. UEBA hanterar incidentprioritering genom att reducera falska positiva resultat, vilket minskar larmtrötthet och gör det möjligt för säkerhetsteam att fokusera på högprioriterade varningar.
#4. UEBA förebygger dataförlust och dataexfiltrering genom att generera varningar när känslig data flyttas inom nätverket eller överförs från nätverket.
#5. UEBA bidrar till att upptäcka horisontella rörelser av hackare inom nätverket som kan ha stulit anställdas inloggningsuppgifter.
#6. UEBA erbjuder även automatiserade incidenthanteringsprocesser, vilket gör det möjligt för säkerhetsteam att agera i realtid vid säkerhetsincidenter.
Hur UEBA förbättrar UBA och äldre säkerhetssystem som SIEM
UEBA ersätter inte andra säkerhetssystem utan fungerar som en betydande förbättring som används tillsammans med andra lösningar för en mer effektiv cybersäkerhet. UEBA skiljer sig från User Behavior Analytics (UBA) genom att UEBA inkluderar ”Entiteter” och ”Händelser” som servrar, routrar och slutpunkter.
En UEBA-lösning är mer omfattande än UBA eftersom den övervakar både icke-mänskliga processer och maskinella enheter för att kunna identifiera hot mer noggrant.
SIEM står för Security Information and Event Management. Traditionella, äldre SIEM-system kan ha svårt att upptäcka sofistikerade hot på egen hand eftersom de inte är designade för att övervaka hot i realtid. Eftersom hackare ofta använder sig av en kedja av sofistikerade attacker kan dessa förbli oupptäckta av traditionella verktyg för hotdetektering, som SIEM, i veckor eller till och med månader.
En avancerad UEBA-lösning löser detta problem. UEBA-system analyserar data som lagras av SIEM och arbetar tillsammans för att övervaka hot i realtid, vilket möjliggör snabba och effektiva insatser vid intrång.
Genom att kombinera UEBA- och SIEM-verktyg kan organisationer öka sin effektivitet när det gäller att identifiera och analysera hot, hantera sårbarheter och förebygga attacker.
Bästa praxis för analys av användar- och enhetsbeteende
Här följer fem viktiga rekommendationer för analys av användarbeteende som ger insikt i hur man bygger en baslinje för användarbeteende:
#1. Definiera användningsområden
Definiera de användningsområden som du vill att din UEBA-lösning ska identifiera. Detta kan inkludera upptäckt av missbruk av privilegierade konton, komprometterade inloggningsuppgifter eller interna hot. Att definiera användningsområden hjälper dig att bestämma vilken data som ska samlas in för övervakning.
#2. Definiera datakällor
Ju fler typer av data dina UEBA-system kan hantera, desto mer precis blir baslinjen. Vissa datakällor kan inkludera systemloggar eller personaldata, till exempel de anställdas resultat.
#3. Definiera de beteenden som data ska samlas in om
Detta kan inkludera anställdas arbetstider, applikationer och enheter som de ofta använder, samt hur de skriver. Med denna information kan du bättre förstå möjliga orsaker till falska positiva resultat.
#4. Ange en tidsperiod för att fastställa baslinjen
När du bestämmer tidsperioden för din baslinje är det viktigt att beakta företagets säkerhetsmål och användarnas aktiviteter.
Baslinjeperioden bör varken vara för kort eller för lång. Om du avslutar baslinjeperioden för snabbt kan du misslyckas med att samla in korrekt information, vilket resulterar i en hög andel falska positiva resultat. Å andra sidan kan vissa skadliga aktiviteter bli sedda som normala om du tar för lång tid på dig att samla in baslinjedatan.
#5. Uppdatera dina basdata regelbundet
Du kan behöva ompröva din baslinjedata regelbundet eftersom användar- och enhetsaktiviteter kontinuerligt förändras. En anställd kan till exempel befordras, vilket kan leda till förändrade uppgifter, projekt, privilegienivåer och aktiviteter. UEBA-system kan konfigureras för att automatiskt samla in data och anpassa basdata när förändringar inträffar.
Avslutningsvis
I takt med att vi blir alltmer beroende av teknik, blir cybersäkerhetshoten mer komplexa. Stora företag behöver skydda sina system, som innehåller känsliga uppgifter från dem själva och deras kunder, för att undvika storskaliga säkerhetsintrång. UEBA erbjuder ett realtidsbaserat incidenthanteringssystem som kan förebygga attacker.